Тайлангийн гарчигаас авсан спойлер: "Шинэ эрсдэл болон зохицуулалтын шаардлагуудын аюулын улмаас хүчтэй баталгаажуулалтын хэрэглээ нэмэгддэг."
"Javelin Strategy & Research" судалгааны компани "The State of Strong Authentication 2019" тайланг нийтэлжээ.). Энэхүү тайланд: Америк, Европын компаниудын хэдэн хувь нь нууц үг ашигладаг вэ (мөн яагаад одоо цөөхөн хүн нууц үг ашигладаг); криптограф жетон дээр суурилсан хоёр хүчин зүйлийн баталгаажуулалтын хэрэглээ яагаад ийм хурдан өсч байна вэ; SMS-ээр илгээсэн нэг удаагийн код яагаад аюулгүй байдаггүй вэ?
Аж ахуйн нэгжүүд болон хэрэглээний програмууд дахь баталгаажуулалтын одоо, өнгөрсөн, ирээдүйн талаар сонирхож буй хэн бүхнийг урьж байна.
Орчуулагчаас
Харамсалтай нь, энэ илтгэлийг бичсэн хэл нь нэлээд "хуурай" бөгөөд албан ёсны хэл юм. Нэг богино өгүүлбэрт "баталгаажуулалт" гэдэг үгийг таван удаа ашигласан нь орчуулагчийн муруй гар (эсвэл тархи) биш, харин зохиогчдын хүсэл эрмэлзэл юм. Уншигчдад эх хувилбартай ойр, эсвэл илүү сонирхолтой текстийг өгөх гэсэн хоёр хувилбараас орчуулахдаа би заримдаа эхний, заримдаа хоёр дахь хувилбарыг сонгосон. Гэхдээ тэвчээртэй байгаарай, эрхэм уншигчид, тайлангийн агуулга нь үнэ цэнэтэй юм.
Түүхийн зарим чухал биш, шаардлагагүй хэсгүүдийг хассан, эс тэгвээс ихэнх нь текстийг бүхэлд нь уншиж чадахгүй байх байсан. "Тасаагүй" тайланг уншихыг хүссэн хүмүүс холбоосоор орж эх хэл дээр уншиж болно.
Харамсалтай нь зохиолчид нэр томъёонд тэр бүр болгоомжтой ханддаггүй. Тиймээс нэг удаагийн нууц үгийг (Нэг удаагийн нууц үг - OTP) заримдаа "нууц үг", заримдаа "код" гэж нэрлэдэг. Баталгаажуулах аргуудын хувьд энэ нь бүр ч дор юм. "Криптограф түлхүүр ашиглан баталгаажуулалт" болон "хүчтэй нэвтрэлт танилт" нь ижил зүйл гэдгийг таахад сураагүй уншигчид тийм ч амар байдаггүй. Би нэр томъёог аль болох нэгтгэхийг хичээсэн бөгөөд тайланд өөрөө тэдгээрийн тайлбар бүхий хэсэг байдаг.
Гэсэн хэдий ч судалгааны өвөрмөц үр дүн, зөв дүгнэлтийг агуулсан тайланг уншихыг зөвлөж байна.
Бүх тоо баримт, баримтуудыг өчүүхэн ч өөрчлөлтгүйгээр танилцуулсан бөгөөд хэрэв та тэдгээртэй санал нийлэхгүй бол орчуулагчтай биш, харин илтгэлийн зохиогчидтой маргах нь дээр. Энд миний тайлбарууд байна (ишлэл болгон гаргаж, текстэнд тэмдэглэсэн итали) нь миний үнэлэмж бөгөөд би тэдгээр тус бүрийн талаар (мөн орчуулгын чанарын талаар) маргахдаа баяртай байх болно.
тойм
Өнөө үед үйлчлүүлэгчидтэй харилцах дижитал сувгууд нь бизнесийн хувьд урьд өмнө байгаагүй чухал болж байна. Мөн компани дотор ажилчдын хоорондын харилцаа урьд өмнөхөөсөө илүү дижитал чиг баримжаатай болсон. Эдгээр харилцан үйлчлэл хэр найдвартай байх нь хэрэглэгчийн баталгаажуулалтын сонгосон аргаас хамаарна. Халдагчид хэрэглэгчийн бүртгэлийг их хэмжээгээр хакердахын тулд сул баталгаажуулалтыг ашигладаг. Үүний хариуд зохицуулагчид бизнес эрхлэгчдийг хэрэглэгчийн бүртгэл, өгөгдлийг илүү сайн хамгаалахыг албадахын тулд стандартыг чангатгаж байна.
Баталгаажуулалттай холбоотой аюул занал нь хэрэглэгчийн хэрэглээний программуудаас гадна халдагчид мөн байгууллагын дотор ажиллаж байгаа програмуудад хандах боломжтой. Энэ үйлдэл нь тэдэнд байгууллагын хэрэглэгчдийн дүрийг бүтээх боломжийг олгодог. Баталгаажуулалт муутай хандалтын цэгүүдийг ашигладаг халдагчид өгөгдөл хулгайлж, бусад залилангийн үйлдлүүдийг хийж болно. Аз болоход үүнтэй тэмцэх арга хэмжээнүүд байдаг. Хүчтэй нэвтрэлт танилт нь хэрэглэгчийн хэрэглээний программууд болон байгууллагын бизнесийн системүүд дээр халдагчийн халдлагын эрсдлийг мэдэгдэхүйц бууруулахад тусална.
Энэхүү судалгаа нь: аж ахуйн нэгжүүд эцсийн хэрэглэгчийн програмууд болон байгууллагын бизнесийн системийг хамгаалахын тулд баталгаажуулалтыг хэрхэн хэрэгжүүлдэг; баталгаажуулалтын шийдлийг сонгохдоо тэдний авч үздэг хүчин зүйлүүд; тэдний байгууллагад хүчтэй баталгаажуулалт гүйцэтгэдэг үүрэг; эдгээр байгууллагуудын ашиг тус.
Хураангуй
Гол олдворууд
2017 оноос хойш хүчтэй баталгаажуулалтын хэрэглээ эрс нэмэгдсэн. Уламжлалт баталгаажуулалтын шийдлүүдэд нөлөөлж буй эмзэг байдлын тоо нэмэгдэж байгаа тул байгууллагууд баталгаажуулалтын чадавхиа хүчирхэг нотолгоогоор бэхжүүлж байна. 2017 оноос хойш криптографийн олон хүчин зүйлийн баталгаажуулалтыг (MFA) ашигладаг байгууллагуудын тоо хэрэглэгчийн хэрэглээний програмуудад гурав дахин нэмэгдэж, байгууллагын хэрэглээний хувьд бараг 50%-иар өссөн байна. Биометрийн баталгаажуулалтын хүртээмж нэмэгдэж байгаатай холбоотойгоор гар утасны нэвтрэлт танилтад хамгийн хурдан өсөлт ажиглагдаж байна.
Энд бид "Аянга цахилгаанаас нааш хүн өөрийгөө огтолдоггүй" гэсэн үгийн жишээг харж байна. Мэргэжилтнүүд нууц үгийн аюулгүй байдлын талаар анхааруулахад хэн ч хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлэх гэж яарсангүй. Хакерууд нууц үг хулгайлж эхэлмэгц хүмүүс хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлж эхэлсэн.
Хувь хүмүүс 2FA-г илүү идэвхтэй хэрэгжүүлж байгаа нь үнэн. Нэгдүгээрт, ухаалаг гар утсанд суурилуулсан биометрийн баталгаажуулалтад тулгуурлан айдсаа тайвшруулах нь тэдэнд илүү хялбар байдаг бөгөөд энэ нь үнэндээ маш найдваргүй юм. Байгууллагууд жетон худалдаж авахад мөнгө зарцуулж, тэдгээрийг хэрэгжүүлэх ажлыг (үнэндээ маш энгийн) хийх хэрэгтэй. Хоёрдугаарт, зөвхөн залхуу хүмүүс Facebook, Dropbox зэрэг үйлчилгээнүүдээс нууц үг алдагдсан тухай бичээгүй ч ямар ч тохиолдолд эдгээр байгууллагын CIO-ууд нууц үг хэрхэн хулгайлагдсан (болон дараа нь юу болсон) тухай түүхийг хуваалцахгүй.
Хүчтэй нэвтрэлт танилтыг ашигладаггүй хүмүүс бизнес болон үйлчлүүлэгчдэдээ эрсдэлээ дутуу үнэлдэг. Одоогоор хүчтэй баталгаажуулалтыг ашигладаггүй зарим байгууллагууд нэвтрэх болон нууц үгийг хэрэглэгчийн баталгаажуулалтын хамгийн үр дүнтэй, хэрэглэхэд хялбар аргуудын нэг гэж үзэх хандлагатай байдаг. Бусад нь өөрсдийн эзэмшдэг дижитал хөрөнгийн үнэ цэнийг хардаггүй. Эцсийн эцэст кибер гэмт хэрэгтнүүд аливаа хэрэглэгчийн болон бизнесийн мэдээллийг сонирхож байгааг анхаарч үзэх нь зүйтэй юм. Ажилчдаа баталгаажуулахын тулд зөвхөн нууц үг ашигладаг компаниудын гуравны хоёр нь нууц үг нь тэдний хамгаалж буй мэдээллийн төрөлд хангалттай гэж итгэдэг учраас үүнийг хийдэг.
Гэсэн хэдий ч нууц үг нь булшин руу явах замд байна. Байгууллагууд уламжлалт MFA болон хүчирхэг баталгаажуулалтын хэрэглээгээ нэмэгдүүлснээр хэрэглэгчийн болон аж ахуйн нэгжийн хэрэглээний программуудын (тус тус 44% -иас 31%, 56% -иас 47% хүртэл) нууц үгийн хамаарал өнгөрсөн жилийн хугацаанд мэдэгдэхүйц буурсан байна.
Гэхдээ нөхцөл байдлыг бүхэлд нь авч үзвэл, баталгаажуулалтын эмзэг аргууд давамгайлсан хэвээр байна. Хэрэглэгчийн баталгаажуулалтын хувьд байгууллагуудын дөрөвний нэг орчим нь аюулгүй байдлын асуултын хамт SMS OTP (нэг удаагийн нууц үг) ашигладаг. Үүний үр дүнд өртгийг нэмэгдүүлдэг эмзэг байдлаас хамгаалах нэмэлт хамгаалалтын арга хэмжээг хэрэгжүүлэх шаардлагатай. Техник хангамжийн криптограф түлхүүр гэх мэт илүү найдвартай баталгаажуулалтын аргуудыг байгууллагын ойролцоогоор 5% нь хамаагүй бага ашигладаг.
Хөгжиж буй зохицуулалтын орчин нь хэрэглэгчийн хэрэглээний програмуудад хүчтэй нэвтрэлт танилтыг нэвтрүүлэх ажлыг хурдасгах амлалт өгч байна. PSD2, түүнчлэн ЕХ болон АНУ-ын Калифорниа зэрэг хэд хэдэн мужид мэдээлэл хамгаалах шинэ дүрмийг нэвтрүүлснээр компаниуд халууныг мэдэрч байна. Компаниудын бараг 70% нь үйлчлүүлэгчдэдээ баталгаажуулах хүчтэй зохицуулалтын дарамттай тулгардаг гэдгээ хүлээн зөвшөөрдөг. Аж ахуйн нэгжүүдийн талаас илүү хувь нь хэдхэн жилийн дотор баталгаажуулах арга нь зохицуулалтын стандартыг хангахад хангалтгүй гэж үздэг.
Хөтөлбөр, үйлчилгээний хэрэглэгчдийн хувийн мэдээллийг хамгаалахад Орос, Америк-Европын хууль тогтоогчдын хандлагын ялгаа нь тодорхой харагдаж байна. Оросууд: Эрхэм үйлчилгээний эзэд, хүссэнээ, хүссэнээрээ хий, гэхдээ админ чинь мэдээллийн санг нэгтгэвэл бид чамайг шийтгэнэ гэж хэлдэг. Тэд хилийн чанадад: Та ийм цогц арга хэмжээг хэрэгжүүлэх ёстой гэж хэлдэг зөвшөөрөхгүй суурийг шавхах. Тийм ч учраас хоёр хүчин зүйлийн баталгаажуулалтын хатуу шаардлагыг тэнд хэрэгжүүлж байна.
Манай хууль тогтоох машин хэзээ нэгэн цагт ухаан орж барууны туршлагыг харгалзахгүй байх нь үнэн. Дараа нь хүн бүр Оросын криптографийн стандартад нийцсэн 2FA-г яаралтай хэрэгжүүлэх шаардлагатай болж байна.
Баталгаажуулалтын хүчирхэг тогтолцоог бий болгох нь компаниудад зохицуулалтын шаардлагыг хангахаас хэрэглэгчийн хэрэгцээг хангахад анхаарлаа хандуулах боломжийг олгодог. Энгийн нууц үг ашиглаж байгаа эсвэл SMS-ээр код хүлээн авсаар байгаа байгууллагуудын хувьд баталгаажуулалтын аргыг сонгохдоо хамгийн чухал хүчин зүйл бол зохицуулалтын шаардлагыг дагаж мөрдөх явдал юм. Гэхдээ аль хэдийн хүчтэй нэвтрэлт танилтыг ашигладаг компаниуд хэрэглэгчийн үнэнч байдлыг нэмэгдүүлэх баталгаажуулалтын аргуудыг сонгоход анхаарлаа төвлөрүүлж болно.
Аж ахуйн нэгжийн баталгаажуулалтын аргыг сонгохдоо зохицуулалтын шаардлага чухал хүчин зүйл байхаа больсон. Энэ тохиолдолд нэгтгэхэд хялбар (32%), зардал (26%) нь илүү чухал юм.
Фишингийн эрин үед халдагчид корпорацийн имэйлийг ашиглан залилан мэхлэх боломжтой мэдээлэл, данс руу (тохиромжтой хандах эрхтэй) хандах, тэр ч байтугай ажилчдыг өөрийн данс руу мөнгө шилжүүлэхийг ятгах замаар залилан мэхлэх. Тиймээс корпорацийн цахим шуудан болон портал дансууд онцгой сайн хамгаалагдсан байх ёстой.
Google хүчирхэг баталгаажуулалтыг хэрэгжүүлснээр аюулгүй байдлаа бэхжүүлсэн. Хоёр жил гаруйн өмнө Google FIDO U2F стандартыг ашиглан криптографийн аюулгүй байдлын түлхүүрт суурилсан хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлсэн тайланг нийтэлж, гайхалтай үр дүнг тайлагнасан. Тус компанийн мэдээлснээр 85 мянга гаруй ажилчдын эсрэг нэг ч фишинг халдлага үйлдээгүй байна.
зөвлөмж
Хөдөлгөөнт болон онлайн програмуудад хүчтэй баталгаажуулалтыг хэрэгжүүл. Криптограф түлхүүр дээр суурилсан олон хүчин зүйлийн баталгаажуулалт нь уламжлалт MFA аргуудаас илүү хакердахаас илүү сайн хамгаалалт болдог. Нэмж дурдахад криптограф түлхүүрийг ашиглах нь илүү тохиромжтой, учир нь нэмэлт мэдээлэл - нууц үг, нэг удаагийн нууц үг эсвэл хэрэглэгчийн төхөөрөмжөөс баталгаажуулалтын сервер рүү биометрийн өгөгдлийг ашиглах, дамжуулах шаардлагагүй. Нэмж дурдахад, баталгаажуулалтын протоколуудыг стандартчилснаар баталгаажуулалтын шинэ аргуудыг ашиглах боломжтой болж, хэрэгжүүлэх зардлыг бууруулж, илүү боловсронгуй залилангийн схемээс хамгаалахад хялбар болгодог.
Нэг удаагийн нууц үгийг (OTP) устгахад бэлтгэ. Кибер гэмт хэрэгтнүүд нийгмийн инженерчлэл, ухаалаг гар утсыг клончлох, хортой программ хангамжийг ашиглан эдгээр нэвтрэлт таних хэрэгслийг эвдэхийн тулд OTP-д хамаарах эмзэг байдал улам бүр тодорхой болж байна. Хэрэв зарим тохиолдолд OTP нь тодорхой давуу талтай бол зөвхөн бүх хэрэглэгчдэд хүртээмжтэй байх үүднээс, гэхдээ аюулгүй байдлын үүднээс авч үзэхгүй.
SMS эсвэл Push мэдэгдлээр код хүлээн авах, мөн ухаалаг гар утсанд зориулсан програм ашиглан код үүсгэх нь бидний бууралтад бэлтгэхийг хүссэн нэг удаагийн нууц үг (OTP) ашиглах явдал гэдгийг анзаарахгүй байхын аргагүй юм. Техникийн үүднээс авч үзвэл шийдэл нь маш зөв, учир нь энэ нь итгэмтгий хэрэглэгчээс нэг удаагийн нууц үгийг олохыг оролддоггүй ховор луйварчин юм. Гэхдээ ийм систем үйлдвэрлэгчид үхэх технологитой эцсээ хүртэл зууралдах болно гэж би бодож байна.
Хэрэглэгчийн итгэлийг нэмэгдүүлэхийн тулд хүчирхэг баталгаажуулалтыг маркетингийн хэрэгсэл болгон ашигла. Хүчтэй баталгаажуулалт нь таны бизнесийн бодит аюулгүй байдлыг сайжруулахаас илүүг хийж чадна. Үйлчлүүлэгчиддээ танай бизнес хүчтэй нотлох баримтыг ашигладаг гэж мэдээлэх нь тухайн бизнесийн аюулгүй байдлын талаарх олон нийтийн ойлголтыг бэхжүүлж болох бөгөөд энэ нь баталгаажуулалтын хүчтэй аргуудыг худалдан авагчдын эрэлт хэрэгцээ их байгаа үед чухал хүчин зүйл юм.
Байгууллагын мэдээллийн тооллого, шүүмжлэлийн үнэлгээг сайтар хийж, ач холбогдлын дагуу хамгаална. Хэрэглэгчийн холбоо барих мэдээлэл гэх мэт эрсдэл багатай өгөгдөл хүртэл (Үгүй ээ, тайланд "эрсдэл багатай" гэж бичсэн байна, тэд энэ мэдээллийн ач холбогдлыг дутуу үнэлдэг нь маш хачирхалтай.), луйварчдад ихээхэн үнэ цэнийг авчирч, компанид асуудал үүсгэж болзошгүй.
Хүчтэй байгууллагын баталгаажуулалтыг ашигла. Хэд хэдэн систем нь гэмт хэрэгтнүүдийн анхаарлыг татахуйц бай юм. Үүнд нягтлан бодох бүртгэлийн програм эсвэл корпорацийн мэдээллийн агуулах зэрэг дотоод болон интернетэд холбогдсон системүүд орно. Хүчтэй нэвтрэлт танилт нь халдагчдыг зөвшөөрөлгүй нэвтрэхээс сэргийлж, ямар ажилтан хортой үйлдэл хийснийг үнэн зөв тодорхойлох боломжтой болгодог.
Хүчтэй баталгаажуулалт гэж юу вэ?
Хүчтэй нэвтрэлт танилтыг ашиглах үед хэрэглэгчийн жинхэнэ эсэхийг шалгах хэд хэдэн арга эсвэл хүчин зүйлийг ашигладаг:
- Мэдлэгийн хүчин зүйл: Хэрэглэгч болон хэрэглэгчийн баталгаажуулсан субьектийн хооронд хуваалцсан нууц (нууц үг, аюулгүй байдлын асуултын хариулт гэх мэт)
- Өмчлөлийн хүчин зүйл: зөвхөн хэрэглэгчдэд байдаг төхөөрөмж (жишээлбэл, хөдөлгөөнт төхөөрөмж, криптограф түлхүүр гэх мэт)
- Бүрэн бүтэн байдлын хүчин зүйл: хэрэглэгчийн физик (ихэвчлэн биометрийн) шинж чанарууд (жишээлбэл, хурууны хээ, цахилдаг хээ, дуу хоолой, зан байдал гэх мэт)
Олон хүчин зүйлийг хакердах хэрэгцээ нь халдагчдын бүтэлгүйтэх магадлалыг ихээхэн нэмэгдүүлдэг, учир нь янз бүрийн хүчин зүйлийг тойрч гарах эсвэл хууран мэхлэх нь хүчин зүйл тус бүрээр тус тусад нь олон төрлийн хакердах тактик ашиглах шаардлагатай болдог.
Жишээлбэл, 2FA "нууц үг + ухаалаг гар утас" -ын тусламжтайгаар халдагчид хэрэглэгчийн нууц үгийг харж, ухаалаг утасныхаа програм хангамжийн хуулбарыг хийж баталгаажуулах боломжтой. Энэ нь нууц үг хулгайлахаас хамаагүй хэцүү юм.
Гэхдээ 2FA-д нууц үг болон криптограф токен ашигладаг бол хуулбарлах сонголт энд ажиллахгүй - токеныг хуулбарлах боломжгүй юм. Луйварчин хэрэглэгчээс токеныг хулгайлах шаардлагатай болно. Хэрэв хэрэглэгч алдагдлаа цаг тухайд нь анзаарч, админд мэдэгдвэл жетон хаагдах бөгөөд залилагчийн хүчин чармайлт үр дүнгүй болно. Ийм учраас өмчлөлийн хүчин зүйл нь ерөнхий зориулалтын төхөөрөмж (ухаалаг утас) гэхээсээ илүү тусгай хамгаалалттай төхөөрөмж (жетон) ашиглахыг шаарддаг.
Гурван хүчин зүйлийг ашиглах нь энэ баталгаажуулалтын аргыг хэрэгжүүлэхэд нэлээд үнэтэй бөгөөд ашиглахад тун тохиромжгүй болгоно. Тиймээс гурван хүчин зүйлийн хоёрыг ихэвчлэн ашигладаг.
Хоёр хүчин зүйлийн баталгаажуулалтын зарчмуудыг илүү дэлгэрэнгүй тайлбарласан болно , "Хоёр хүчин зүйлийн баталгаажуулалт хэрхэн ажилладаг вэ" хэсэгт.
Хүчтэй баталгаажуулалтад ашигладаг баталгаажуулалтын хүчин зүйлсийн дор хаяж нэг нь нийтийн түлхүүрийн криптографийг ашиглах ёстой гэдгийг анхаарах нь чухал юм.
Хүчтэй нэвтрэлт танилт нь сонгодог нууц үг болон уламжлалт MFA дээр суурилсан ганц хүчин зүйлийн баталгаажуулалтаас хамаагүй илүү хүчтэй хамгаалалт болдог. Түлхүүр хөтлөгч, фишинг сайт эсвэл нийгмийн инженерийн халдлага (хохирогч нууц үгээ илчлэх гэж хууран мэхлэх) ашиглан нууц үгээ тагнаж, тагнаж болно. Түүнээс гадна нууц үг эзэмшигч нь хулгайн талаар юу ч мэдэхгүй. Уламжлалт Гадаад харилцааны яамыг (OTP код, ухаалаг утас эсвэл SIM карттай холбох гэх мэт) олон нийтийн түлхүүрийн криптограф дээр суурилдаггүй тул амархан хакердуулж болно.Дашрамд хэлэхэд, ижил нийгмийн инженерчлэлийн арга техникийг ашиглан луйварчид хэрэглэгчдэд нэг удаагийн нууц үг өгөхийг ятгаж байсан олон жишээ бий.).
Аз болоход, хүчирхэг нотолгоо, уламжлалт ГХЯ-г ашиглах нь өнгөрсөн жилээс эхлэн хэрэглэгчийн болон аж ахуйн нэгжийн хэрэглээнд ихээхэн анхаарал хандуулж байна. Хэрэглэгчийн програмуудад хүчтэй баталгаажуулалтыг ашиглах нь ялангуяа хурдацтай өссөн. Хэрэв 2017 онд компаниудын дөнгөж 5% нь үүнийг ашигласан бол 2018 онд энэ нь гурав дахин их буюу 16% болжээ. Үүнийг Public Key Cryptography (PKC) алгоритмуудыг дэмждэг токенуудын хүртээмж нэмэгдсэнээр тайлбарлаж болно. Нэмж дурдахад, PSD2, GDPR зэрэг мэдээлэл хамгаалах шинэ дүрмийг баталсны дараа Европын зохицуулагчид дарамт шахалт ихсэх нь Европоос гадуур ч хүчтэй нөлөө үзүүлсэн (түүний дотор Орост).
Эдгээр тоонуудыг нарийвчлан авч үзье. Бидний харж байгаагаар олон хүчин зүйлийн баталгаажуулалтыг ашигладаг хувийн хүмүүсийн хувь жилийн хугацаанд гайхалтай 11% -иар өссөн байна. Push мэдэгдэл, SMS, биометрийн аюулгүй байдалд итгэдэг хүмүүсийн тоо өөрчлөгдөөгүй тул нууц үг дурлагчдын зардлаар энэ нь тодорхой болсон.
Гэхдээ корпорацийн хэрэглээнд зориулсан хоёр хүчин зүйлийн баталгаажуулалт нь тийм ч сайн биш юм. Нэгдүгээрт, тайланд дурдсанаар ажилчдын дөнгөж 5% нь нууц үгийн баталгаажуулалтаас токен руу шилжсэн байна. Хоёрдугаарт, корпорацийн орчинд Гадаад харилцааны яамны өөр хувилбаруудыг ашигладаг хүмүүсийн тоо 4% -иар өссөн байна.
Би шинжээчийн дүрд тоглож, тайлбараа өгөхийг хичээх болно. Хувь хүний тоон ертөнцийн төвд ухаалаг утас байдаг. Тиймээс дийлэнх нь төхөөрөмжийн өгсөн боломжуудыг ашигладаг нь гайхах зүйл биш юм - биометрийн баталгаажуулалт, SMS болон Push мэдэгдэл, мөн ухаалаг гар утсан дээрх програмуудаар үүсгэсэн нэг удаагийн нууц үг. Хүмүүс ихэвчлэн хэрэглэж байсан багажаа ашиглахдаа аюулгүй байдал, найдвартай байдлын талаар боддоггүй.
Тийм ч учраас анхдагч "уламжлалт" баталгаажуулалтын хүчин зүйлийн хэрэглэгчдийн хувь өөрчлөгдөөгүй хэвээр байна. Гэхдээ өмнө нь нууц үг хэрэглэж байсан хүмүүс хэр их эрсдэлд өртөж байгаагаа ойлгодог бөгөөд шинэ баталгаажуулалтын хүчин зүйлийг сонгохдоо хамгийн шинэ бөгөөд аюулгүй хувилбар болох криптограф жетоныг сонгодог.
Корпорацийн зах зээлийн хувьд ямар системд баталгаажуулалт хийж байгааг ойлгох нь чухал юм. Хэрэв Windows домэйнд нэвтэрсэн бол криптографийн жетон ашигладаг. Тэдгээрийг 2FA-д ашиглах боломжууд нь Windows болон Linux-д аль хэдийн суурилагдсан боловч өөр сонголтууд нь урт бөгөөд хэрэгжүүлэхэд хэцүү байдаг. Нууц үгээс токен руу шилжих 5% нь маш их юм.
Мөн корпорацийн мэдээллийн системд 2FA-г хэрэгжүүлэх нь хөгжүүлэгчдийн ур чадвараас ихээхэн хамаардаг. Хөгжүүлэгчид криптограф алгоритмын үйл ажиллагааг ойлгохоос илүүтэйгээр нэг удаагийн нууц үг үүсгэх бэлэн модулиудыг авах нь илүү хялбар байдаг. Үүний үр дүнд дангаар нэвтрэх эсвэл давуу эрхтэй хандалтын удирдлагын систем гэх мэт аюулгүй байдлын хувьд маш чухал програмууд хүртэл OTP-ийг хоёр дахь хүчин зүйл болгон ашигладаг.
Уламжлалт баталгаажуулалтын аргуудын олон эмзэг байдал
Олон байгууллага хуучин нэг хүчин зүйлийн системд хамааралтай хэвээр байгаа ч уламжлалт олон хүчин зүйлийн баталгаажуулалтын эмзэг байдал улам бүр тодорхой болж байна. Зургаан найман тэмдэгтийн урттай, SMS-ээр дамжуулдаг нэг удаагийн нууц үг нь баталгаажуулалтын хамгийн түгээмэл хэлбэр хэвээр байна (мэдээж нууц үгийн хүчин зүйлээс гадна). "Хоёр хүчин зүйлийн баталгаажуулалт" эсвэл "хоёр шаттай баталгаажуулалт" гэсэн үгсийг алдартай хэвлэлд дурдахад тэд бараг үргэлж SMS нэг удаагийн нууц үгийн баталгаажуулалтыг хэлдэг.
Энд зохиолч бага зэрэг андуурч байна. SMS-ээр нэг удаагийн нууц үг хүргэх нь хэзээ ч хоёр хүчин зүйлийн баталгаажуулалт байгаагүй. Энэ нь хамгийн цэвэр хэлбэрээрээ хоёр шатлалт баталгаажуулалтын хоёр дахь шат бөгөөд эхний шат нь таны нэвтрэх нэр, нууц үгээ оруулах явдал юм.
2016 онд Үндэсний Стандарт, Технологийн Хүрээлэн (NIST) нь мессежээр илгээсэн нэг удаагийн нууц үгийн хэрэглээг халахын тулд баталгаажуулалтын дүрмээ шинэчилсэн. Гэсэн хэдий ч салбарын эсэргүүцлийн дараа эдгээр дүрмийг мэдэгдэхүйц сулруулсан.
Тиймээс, өрнөлийг дагаж мөрдье. Америкийн зохицуулагч хуучирсан технологи нь хэрэглэгчийн аюулгүй байдлыг хангах чадваргүй гэдгийг зөвөөр хүлээн зөвшөөрч, шинэ стандартуудыг нэвтрүүлж байна. Онлайн болон мобайл програмын (түүний дотор банкны) хэрэглэгчдийг хамгаалахад зориулагдсан стандартууд. Энэ салбар үнэхээр найдвартай криптограф жетон худалдаж авах, хэрэглээний программуудыг дахин төлөвлөх, нийтийн түлхүүрийн дэд бүтцийг ашиглахад хэр их мөнгө зарцуулахаа тооцоолж байгаа бөгөөд "хойд хөл дээрээ босож" байна. Нэг талаас хэрэглэгчид нэг удаагийн нууц үг найдвартай гэдэгт итгэлтэй байсан бол нөгөө талаас NIST-д халдлага гарч байсан. Үүний үр дүнд стандартыг зөөлрүүлж, нууц үг (банкны хэрэглээний мөнгө) хулгайлах, хулгайлах тохиолдол эрс нэмэгдсэн. Гэхдээ энэ салбар мөнгө гаргах шаардлагагүй байсан.
Түүнээс хойш SMS OTP-ийн төрөлхийн сул талууд илүү тодорхой болсон. Луйварчид SMS мессежийг эвдэхийн тулд янз бүрийн арга хэрэглэдэг.
- SIM картын хуулбар. Халдагчид SIM-н хуулбарыг үүсгэдэг (Үүрэн холбооны операторын ажилтнуудын тусламжтайгаар эсвэл бие даан тусгай програм хангамж, техник хангамж ашиглан).). Үүний үр дүнд халдагч нэг удаагийн нууц үг бүхий SMS хүлээн авдаг. Нэгэн алдартай тохиолдлоор хакерууд криптовалютын хөрөнгө оруулагч Майкл Турпиний AT&T дансыг эвдэж, бараг 24 сая долларын криптовалют хулгайлж чадсан байна. Үүний үр дүнд Турпин AT&T нь SIM картыг давхардуулахад хүргэсэн баталгаажуулалтын арга хэмжээ сул байснаас буруутай гэж мэдэгдэв.
Гайхалтай логик. Тэгэхээр энэ үнэхээр зөвхөн AT&T-ийн буруу юм болов уу? Үгүй ээ, харилцаа холбооны дэлгүүрийн борлуулагчид давхар SIM карт гаргасан нь үүрэн холбооны операторын буруу юм. Криптовалютын солилцооны баталгаажуулалтын системийн талаар юу хэлэх вэ? Тэд яагаад хүчтэй криптограф жетон ашиглаагүй юм бэ? Хэрэгжүүлэхэд мөнгө зарцуулсан нь харамсалтай байсан уу? Майкл өөрөө буруутай биш гэж үү? Тэр яагаад баталгаажуулалтын механизмыг өөрчлөхийг шаардаагүй юмуу эсвэл зөвхөн криптограф жетон дээр суурилсан хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлдэг биржүүдийг ашиглаагүй юм бэ?
Хэрэглэгчид хакердахаасаа өмнө гайхалтай хайхрамжгүй ханддаг бөгөөд үүний дараа тэд өөрсдийн бэрхшээлийг эртний болон "алдсан" таних технологиос өөр хэнд ч, юунд ч буруутгадаг тул жинхэнэ найдвартай баталгаажуулалтын аргуудыг нэвтрүүлэх нь хойшлогддог.
- Хортой програм. Хөдөлгөөнт програмын хамгийн эртний функцүүдийн нэг бол мессежийг халдагчид руу дамжуулах явдал байв. Мөн хөтчөөс хүн болон дунд хүн халдлага нь халдвартай зөөврийн компьютер эсвэл ширээний төхөөрөмж дээр нэг удаагийн нууц үг оруулахад саад болдог.
Ухаалаг утсан дээрх Сбербанкны аппликейшн статус талбарт ногоон дүрс анивчвал таны утсан дээрх "хорлонтой программ"-ыг хайж байна. Энэхүү арга хэмжээний зорилго нь ердийн ухаалаг гар утасны найдваргүй гүйцэтгэлийн орчныг ядаж ямар нэгэн байдлаар найдвартай болгох явдал юм.
Дашрамд хэлэхэд ухаалаг гар утас нь юу ч хийж болох бүрэн найдвартай төхөөрөмж бөгөөд үүнийг баталгаажуулалтад ашиглах бас нэг шалтгаан юм. зөвхөн техник хангамжийн токенууд, хамгаалагдсан бөгөөд вирус, троянаас ангид. - Нийгмийн инженерчлэл. Луйварчид хохирогчид SMS-ээр OTP-г идэвхжүүлсэн гэдгийг мэдсэн үед тэд хохирогчтой шууд холбогдож, өөрийн банк, зээлийн хоршоо гэх мэт итгэмжлэгдсэн байгууллага мэт дүр үзүүлж, хохирогчийг хууран мэхэлж, саяхан хүлээн авсан кодыг өгөх боломжтой.
Би хувьдаа ийм төрлийн луйвартай олон удаа тулгарч байсан, жишээлбэл, алдартай онлайн бүүргийн зах зээл дээр ямар нэгэн зүйл зарах гэж оролдох үед. Би өөрөө намайг сэтгэлээ ханатал хуурах гэж оролдсон луйварчинг шоолж байсан. Харамсалтай нь, луйварчдын өөр нэг хохирогч хэрхэн "бодсонгүй" баталгаажуулах код өгөөд их хэмжээний мөнгө алдсаныг би мэдээнээс байнга уншдаг. Энэ бүхэн нь банк нь програмууддаа криптограф жетонуудыг хэрэгжүүлэхтэй харьцахыг хүсэхгүй байгаатай холбоотой юм. Эцсийн эцэст, хэрэв ямар нэг зүйл тохиолдвол үйлчлүүлэгчид "өөрсдөө буруутай".
OTP дамжуулалтын өөр аргууд нь энэ баталгаажуулалтын аргын зарим эмзэг байдлыг багасгаж болох ч бусад сул талууд хэвээр байна. Хортой программ ч гэсэн код үүсгэгчтэй шууд харьцаж чаддаггүй тул бие даасан код үүсгэх програмууд нь чагнахаас хамгийн сайн хамгаалалт болдог.нухацтай юу? Тайлангийн зохиогч алсын удирдлагын талаар мартсан уу?), гэхдээ хөтөч рүү нэвтрэх үед OTP-г таслах боломжтой хэвээр байна (жишээ нь keylogger ашиглах), хакердсан гар утасны програмаар дамжуулан; Мөн нийгмийн инженерчлэлийг ашиглан хэрэглэгчээс шууд авах боломжтой.
Төхөөрөмжийг таних зэрэг эрсдэлийн үнэлгээний олон хэрэгслийг ашиглах (хууль ёсны хэрэглэгчийн хамааралгүй төхөөрөмжөөс гүйлгээ хийх оролдлогыг илрүүлэх), газарзүйн байршил (Москвад саяхан ирсэн хэрэглэгч Новосибирскээс мэс засал хийхийг оролдов) болон зан үйлийн аналитик нь эмзэг байдлыг арилгахад чухал ач холбогдолтой боловч аль ч шийдэл нь эм биш юм. Нөхцөл байдал, өгөгдлийн төрөл бүрийн хувьд эрсдлийг сайтар үнэлж, баталгаажуулах технологийг сонгох шаардлагатай.
Баталгаажуулах ямар ч шийдэл нь эм биш юм
Зураг 2. Баталгаажуулах сонголтуудын хүснэгт
| Гэрчлэлт | Хүчин зүйл | Тайлбар | Гол эмзэг байдал |
| Нууц үг эсвэл ПИН | Мэдлэг | Үсэг, тоо болон бусад тэмдэгтүүдийг багтааж болох тогтмол утга | Чагнаж, тагнаж, хулгайлж, барьж авах, хакердах боломжтой |
| Мэдлэгт суурилсан баталгаажуулалт | Мэдлэг | Зөвхөн хууль ёсны хэрэглэгч мэдэх боломжтой хариултыг асууна | Нийгмийн инженерчлэлийн аргуудыг ашиглан барьж авах, авах, олж авах боломжтой |
| Техник хангамжийн OTP () | Эзэмших | Нэг удаагийн нууц үг үүсгэдэг тусгай төхөөрөмж | Кодыг таслан зогсоож, дахин давтаж, эсвэл төхөөрөмжийг хулгайлж болзошгүй |
| Програм хангамжийн OTP | Эзэмших | Нэг удаагийн нууц үг үүсгэдэг програм (гар утас, хөтчөөр дамжуулан хандах эсвэл кодыг имэйлээр илгээх) | Кодыг таслан зогсоож, дахин давтаж, эсвэл төхөөрөмжийг хулгайлж болзошгүй |
| SMS OTP | Эзэмших | Нэг удаагийн нууц үгийг SMS мессежээр илгээнэ | Кодыг саатуулж, дахин давтаж, эсвэл ухаалаг утас эсвэл SIM картыг хулгайлсан, эсвэл SIM картыг хуулбарласан байж болзошгүй. |
| Ухаалаг картууд () | Эзэмших | Баталгаажуулахад нийтийн түлхүүрийн дэд бүтцийг ашигладаг криптограф чип болон аюулгүй түлхүүрийн санах ой агуулсан карт. | Хулгайлсан байж болзошгүй (гэхдээ халдагч PIN кодыг мэдэхгүй бол төхөөрөмжийг ашиглах боломжгүй болно; Хэд хэдэн удаа буруу оруулах оролдлого хийсэн тохиолдолд төхөөрөмжийг блоклох болно) |
| Аюулгүй байдлын түлхүүрүүд - жетон (, ) | Эзэмших | Баталгаажуулахад нийтийн түлхүүрийн дэд бүтцийг ашигладаг криптограф чип, аюулгүй түлхүүр санах ой агуулсан USB төхөөрөмж | Бие махбодийн хувьд хулгайлж болно (гэхдээ халдагчид PIN кодыг мэдэхгүй бол төхөөрөмжийг ашиглах боломжгүй; хэд хэдэн удаа буруу оруулах оролдлого хийсэн тохиолдолд төхөөрөмжийг блоклох болно) |
| Төхөөрөмжтэй холбож байна | Эзэмших | Тодорхой төхөөрөмжийг ашиглаж байгаа эсэхийг шалгахын тулд ихэвчлэн JavaScript ашиглан эсвэл күүки, Flash хуваалцсан объект зэрэг тэмдэглэгээг ашиглан профайл үүсгэх процесс. | Токенуудыг хулгайлах (хуулбарлах) боломжтой бөгөөд хууль ёсны төхөөрөмжийн шинж чанарыг халдагчид төхөөрөмж дээрээ дуурайж болно. |
| Зан төлөв байдал | Өв залгамжлал | Хэрэглэгч төхөөрөмж эсвэл программтай хэрхэн харьцаж байгаад дүн шинжилгээ хийдэг | Зан төлөвийг дуурайж болно |
| Хурууны хээ | Өв залгамжлал | Хадгалсан хурууны хээг оптик эсвэл цахим хэлбэрээр авсан хурууны хээтэй харьцуулдаг | Зургийг хулгайлж, баталгаажуулахад ашиглаж болно |
| Нүдний сканнер | Өв залгамжлал | Цахилдаг хээ зэрэг нүдний шинж чанарыг шинэ оптик сканнертай харьцуулна | Зургийг хулгайлж, баталгаажуулахад ашиглаж болно |
| Нүүр царай таних | Өв залгамжлал | Нүүрний шинж чанарыг шинэ оптик сканнеруудтай харьцуулдаг | Зургийг хулгайлж, баталгаажуулахад ашиглаж болно |
| Дуу таних | Өв залгамжлал | Бүртгэгдсэн дуу хоолойны шинж чанарыг шинэ дээжтэй харьцуулна | Бичлэгийг хулгайлж, баталгаажуулах, эсвэл дуурайлган ашиглах боломжтой |
Нийтлэлийн хоёрдугаар хэсэгт биднийг хамгийн амттай зүйлс хүлээж байна - эхний хэсэгт өгсөн дүгнэлт, зөвлөмжид үндэслэсэн тоо, баримтууд. Хэрэглэгчийн програмууд болон корпорацийн систем дэх баталгаажуулалтыг тусад нь авч үзэх болно.
Баяртай!
Эх сурвалж: www.habr.com