Spoiler mit-titlu tar-rapport: "L-użu ta 'awtentikazzjoni qawwija jiżdied minħabba theddid ta' riskji ġodda u rekwiżiti regolatorji."
Il-kumpanija ta 'riċerka "Javelin Strategy & Research" ippubblikat ir-rapport "L-Istat ta' Awtentikazzjoni Qawwija 2019" (). Dan ir-rapport jgħid: x'perċentwal ta' kumpaniji Amerikani u Ewropej jużaw passwords (u għaliex ftit nies jużaw passwords issa); għaliex l-użu ta 'awtentikazzjoni b'żewġ fatturi bbażata fuq tokens kriptografiċi qed jikber daqshekk malajr; Għaliex kodiċi ta' darba mibgħuta permezz ta' SMS mhumiex siguri.
Kull min hu interessat fil-preżent, il-passat u l-futur tal-awtentikazzjoni fl-intrapriżi u l-applikazzjonijiet tal-konsumatur huwa milqugħ.
Mit-traduttur
Alas, il-lingwa li biha huwa miktub dan ir-rapport hija pjuttost "niexfa" u formali. U l-użu ta 'ħames darbiet tal-kelma "awtentikazzjoni" f'sentenza waħda qasira mhuwiex l-idejn mgħawweġ (jew l-imħuħ) tat-traduttur, iżda l-kapriċċ tal-awturi. Meta nittraduċi minn żewġ għażliet - biex il-qarrejja nagħti test eqreb lejn l-oriġinal, jew wieħed aktar interessanti, kultant għażilt l-ewwel, u xi drabi t-tieni. Imma kunu paċenzja, għeżież qarrejja, il-kontenut tar-rapport huwa worth it.
Xi biċċiet mhux importanti u bla bżonn għall-istorja tneħħew, inkella l-maġġoranza ma kinitx tkun kapaċi tgħaddi mit-test kollu. Dawk li jixtiequ jaqraw ir-rapport "mhux maqtugħ" jistgħu jagħmlu dan fil-lingwa oriġinali billi jsegwu l-link.
Sfortunatament, l-awturi mhux dejjem joqogħdu attenti mat-terminoloġija. Għalhekk, il-passwords ta' darba (One Time Password - OTP) kultant jissejħu "passwords", u xi drabi "kodiċijiet". Huwa saħansitra agħar bil-metodi ta 'awtentikazzjoni. Mhux dejjem faċli għall-qarrej mhux imħarreġ li raden li "awtentikazzjoni bl-użu ta 'ċwievet kriptografiċi" u "awtentikazzjoni qawwija" huma l-istess ħaġa. Ippruvajt ngħaqqad it-termini kemm jista 'jkun, u fir-rapport innifsu hemm framment bid-deskrizzjoni tagħhom.
Madankollu, ir-rapport huwa qari rakkomandat ħafna għaliex fih riżultati ta' riċerka uniċi u konklużjonijiet korretti.
Iċ-ċifri u l-fatti kollha huma ppreżentati mingħajr l-iċken bidliet, u jekk ma taqbilx magħhom, allura huwa aħjar li targumenta mhux mat-traduttur, iżda mal-awturi tar-rapport. U hawn huma l-kummenti tiegħi (imqiegħda bħala kwotazzjonijiet, u mmarkati fit-test Taljan) huma l-ġudizzju tal-valur tiegħi u nkun kuntent li nargumenta fuq kull wieħed minnhom (kif ukoll dwar il-kwalità tat-traduzzjoni).
Reviżjoni
Illum il-ġurnata, il-kanali diġitali ta 'komunikazzjoni mal-klijenti huma aktar importanti minn qatt qabel għan-negozji. U fi ħdan il-kumpanija, il-komunikazzjonijiet bejn l-impjegati huma orjentati diġitalment aktar minn qatt qabel. U kemm se jkunu siguri dawn l-interazzjonijiet jiddependi fuq il-metodu magħżul ta 'awtentikazzjoni tal-utent. L-attakkanti jużaw awtentikazzjoni dgħajfa biex hack bil-kbir il-kontijiet tal-utenti. Bi tweġiba, ir-regolaturi qed jissikkaw l-istandards biex iġġiegħel lin-negozji jipproteġu aħjar il-kontijiet u d-dejta tal-utenti.
Theddid relatat mal-awtentikazzjoni jestendi lil hinn mill-applikazzjonijiet tal-konsumatur; l-attakkanti jistgħu wkoll jiksbu aċċess għal applikazzjonijiet li jaħdmu ġewwa l-intrapriża. Din l-operazzjoni tippermettilhom jippersonaw utenti korporattivi. L-attakkanti li jużaw punti ta' aċċess b'awtentikazzjoni dgħajfa jistgħu jisirqu d-dejta u jwettqu attivitajiet frawdolenti oħra. Fortunatament, hemm miżuri biex jiġġieldu dan. Awtentikazzjoni b'saħħitha tgħin biex tnaqqas b'mod sinifikanti r-riskju ta 'attakk minn attakkant, kemm fuq applikazzjonijiet tal-konsumatur kif ukoll fuq sistemi tan-negozju tal-intrapriżi.
Dan l-istudju jeżamina: kif l-intrapriżi jimplimentaw l-awtentikazzjoni biex jipproteġu l-applikazzjonijiet tal-utenti finali u s-sistemi tan-negozju tal-intrapriżi; fatturi li jqisu meta jagħżlu soluzzjoni ta’ awtentikazzjoni; ir-rwol li għandha awtentikazzjoni b'saħħitha fl-organizzazzjonijiet tagħhom; il-benefiċċji li jirċievu dawn l-organizzazzjonijiet.
Sommarju
Sejbiet ewlenin
Mill-2017 'l hawn, l-użu ta' awtentikazzjoni b'saħħitha żdied b'mod qawwi. Bl-għadd dejjem jikber ta 'vulnerabbiltajiet li jaffettwaw is-soluzzjonijiet ta' awtentikazzjoni tradizzjonali, l-organizzazzjonijiet qed isaħħu l-kapaċitajiet ta 'awtentikazzjoni tagħhom b'awtentikazzjoni qawwija. In-numru ta 'organizzazzjonijiet li jużaw awtentikazzjoni kriptografika b'ħafna fatturi (MFA) ttriplika mill-2017 għall-applikazzjonijiet tal-konsumatur u żdied bi kważi 50% għall-applikazzjonijiet tal-intrapriżi. L-aktar tkabbir mgħaġġel jidher fl-awtentikazzjoni mobbli minħabba d-disponibbiltà dejjem tikber tal-awtentikazzjoni bijometrika.
Hawnhekk naraw tixbiha tal-qal “sakemm jolqot ir-ragħad, bniedem ma jmurx.” Meta l-esperti wissew dwar in-nuqqas ta 'sigurtà tal-passwords, ħadd ma kien mgħaġġla biex jimplimenta awtentikazzjoni b'żewġ fatturi. Hekk kif il-hackers bdew jisirqu l-passwords, in-nies bdew jimplimentaw awtentikazzjoni b’żewġ fatturi.
Veru, l-individwi qed jimplimentaw 2FA b'mod ħafna aktar attiv. L-ewwelnett, huwa aktar faċli għalihom li jikkalmaw il-biżgħat tagħhom billi jiddependu fuq l-awtentikazzjoni bijometrika mibnija fis-smartphones, li fil-fatt hija inaffidabbli ħafna. L-organizzazzjonijiet jeħtieġ li jonfqu l-flus biex jixtru tokens u jwettqu xogħol (fil-fatt, sempliċi ħafna) biex jimplimentawhom. U t-tieni, in-nies għażżien biss ma kitbux dwar it-tnixxija tal-passwords minn servizzi bħal Facebook u Dropbox, iżda taħt l-ebda ċirkostanza s-CIOs ta 'dawn l-organizzazzjonijiet m'huma jaqsmu stejjer dwar kif il-passwords insterqu (u x'ġara wara) fl-organizzazzjonijiet.
Dawk li ma jużawx awtentikazzjoni qawwija qed jissottovalutaw ir-riskju tagħhom għan-negozju u l-klijenti tagħhom. Xi organizzazzjonijiet li bħalissa ma jużawx awtentikazzjoni qawwija għandhom it-tendenza li jaraw il-logins u l-passwords bħala wieħed mill-aktar metodi effettivi u faċli biex jintużaw ta’ awtentikazzjoni tal-utent. Oħrajn ma jarawx il-valur tal-assi diġitali li għandhom. Wara kollox, ta 'min jikkunsidra li ċ-ċiberkriminali huma interessati fi kwalunkwe informazzjoni dwar il-konsumatur u n-negozju. Żewġ terzi tal-kumpaniji li jużaw biss passwords biex jawtentikaw lill-impjegati tagħhom jagħmlu dan għax jemmnu li l-passwords huma tajbin biżżejjed għat-tip ta’ informazzjoni li jipproteġu.
Madankollu, il-passwords qegħdin fi triqthom lejn il-qabar. Id-dipendenza tal-password naqset b'mod sinifikanti matul l-aħħar sena kemm għall-applikazzjonijiet tal-konsumatur kif ukoll tal-intrapriżi (minn 44% għal 31%, u minn 56% għal 47%, rispettivament) hekk kif l-organizzazzjonijiet iżidu l-użu tagħhom tal-MFA tradizzjonali u awtentikazzjoni qawwija.
Imma jekk inħarsu lejn is-sitwazzjoni kollha kemm hi, metodi vulnerabbli ta 'awtentikazzjoni xorta jipprevalu. Għall-awtentikazzjoni tal-utent, madwar kwart tal-organizzazzjonijiet jużaw SMS OTP (password ta' darba) flimkien ma' mistoqsijiet tas-sigurtà. Bħala riżultat, għandhom jiġu implimentati miżuri ta 'sigurtà addizzjonali biex jipproteġu kontra l-vulnerabbiltà, li żżid l-ispejjeż. L-użu ta 'metodi ta' awtentikazzjoni ħafna aktar siguri, bħal ċwievet kriptografiċi tal-ħardwer, jintuża ħafna inqas ta 'spiss, f'madwar 5% tal-organizzazzjonijiet.
L-ambjent regolatorju li qed jevolvi jwiegħed li jaċċellera l-adozzjoni ta 'awtentikazzjoni b'saħħitha għall-applikazzjonijiet tal-konsumatur. Bl-introduzzjoni tal-PSD2, kif ukoll regoli ġodda dwar il-protezzjoni tad-dejta fl-UE u diversi stati tal-Istati Uniti bħal California, il-kumpaniji qed iħossu s-sħana. Kważi 70% tal-kumpaniji jaqblu li jiffaċċjaw pressjoni regolatorja qawwija biex jipprovdu awtentikazzjoni b'saħħitha lill-klijenti tagħhom. Aktar minn nofs l-intrapriżi jemmnu li fi żmien ftit snin il-metodi ta 'awtentikazzjoni tagħhom mhux se jkunu biżżejjed biex jilħqu l-istandards regolatorji.
Id-differenza fl-approċċi tal-leġiżlaturi Russi u Amerikani-Ewropej għall-protezzjoni tad-dejta personali tal-utenti ta 'programmi u servizzi hija viżibbli b'mod ċar. Ir-Russi jgħidu: għeżież sidien tas-servizzi, agħmel li trid u kif trid, imma jekk l-admin tiegħek jgħaqqad id-database, aħna nikkastigawkom. Jgħidu barra minn Malta: trid timplimenta sett ta’ miżuri li mhux se tippermetti ixxotta l-bażi. Huwa għalhekk li hemm qed jiġu implimentati rekwiżiti għal awtentikazzjoni stretta b'żewġ fatturi.
Veru, huwa 'l bogħod mill-fatt li l-magna leġiżlattiva tagħna xi darba ma tiġix f'sensiha u tqis l-esperjenza tal-Punent. Imbagħad jirriżulta li kulħadd jeħtieġ li jimplimenta 2FA, li jikkonforma mal-istandards kriptografiċi Russi, u b'mod urġenti.
L-istabbiliment ta' qafas ta' awtentikazzjoni b'saħħtu jippermetti lill-kumpaniji jbiddlu l-fokus tagħhom milli jissodisfaw ir-rekwiżiti regolatorji għal jissodisfaw il-ħtiġijiet tal-klijenti. Għal dawk l-organizzazzjonijiet li għadhom qed jużaw passwords sempliċi jew jirċievu kodiċijiet permezz ta 'SMS, l-aktar fattur importanti meta jagħżlu metodu ta' awtentikazzjoni se jkun il-konformità mar-rekwiżiti regolatorji. Iżda dawk il-kumpaniji li diġà jużaw awtentikazzjoni qawwija jistgħu jiffokaw fuq l-għażla ta 'dawk il-metodi ta' awtentikazzjoni li jżidu l-lealtà tal-klijenti.
Meta tagħżel metodu ta' awtentikazzjoni korporattiva fi ħdan intrapriża, ir-rekwiżiti regolatorji m'għadhomx fattur sinifikanti. F'dan il-każ, il-faċilità ta 'integrazzjoni (32%) u l-ispiża (26%) huma ħafna aktar importanti.
Fl-era tal-phishing, l-attakkanti jistgħu jużaw l-email korporattiva biex scam biex b'mod frodulenti jikseb aċċess għal data, kontijiet (bi drittijiet ta 'aċċess xierqa), u anke biex jikkonvinċi lill-impjegati biex jagħmlu trasferiment ta' flus fil-kont tiegħu. Għalhekk, l-email korporattiva u l-kontijiet tal-portal għandhom ikunu protetti tajjeb b'mod speċjali.
Google saħħet is-sigurtà tagħha billi implimentat awtentikazzjoni b'saħħitha. Aktar minn sentejn ilu, Google ppubblikat rapport dwar l-implimentazzjoni ta 'awtentikazzjoni b'żewġ fatturi bbażata fuq ċwievet tas-sigurtà kriptografiċi bl-użu tal-istandard FIDO U2F, u rrapporta riżultati impressjonanti. Skont il-kumpanija, ma sar ebda attakk wieħed ta’ phishing kontra aktar minn 85 impjegat.
Rakkomandazzjonijiet
Implimenta awtentikazzjoni qawwija għall-applikazzjonijiet mobbli u onlajn. Awtentikazzjoni b'ħafna fatturi bbażata fuq ċwievet kriptografiċi tipprovdi protezzjoni ħafna aħjar kontra l-hacking minn metodi MFA tradizzjonali. Barra minn hekk, l-użu ta 'ċwievet kriptografiċi huwa ħafna aktar konvenjenti minħabba li m'hemmx bżonn li tuża u tittrasferixxi informazzjoni addizzjonali - passwords, passwords ta' darba jew data bijometrika mill-apparat tal-utent għas-server ta 'awtentikazzjoni. Barra minn hekk, l-istandardizzazzjoni tal-protokolli ta’ awtentikazzjoni tagħmilha ferm aktar faċli li jiġu implimentati metodi ġodda ta’ awtentikazzjoni hekk kif isiru disponibbli, billi tnaqqas l-ispejjeż tal-implimentazzjoni u tipproteġi kontra skemi ta’ frodi aktar sofistikati.
Ipprepara għall-mewt ta 'passwords ta' darba (OTP). Il-vulnerabbiltajiet inerenti fl-OTPs qed isiru dejjem aktar evidenti hekk kif iċ-ċiberkriminali jużaw l-inġinerija soċjali, il-klonazzjoni ta’ smartphones u l-malware biex jikkompromettu dawn il-mezzi ta’ awtentikazzjoni. U jekk l-OTPs f'xi każijiet għandhom ċerti vantaġġi, allura biss mill-aspett tad-disponibbiltà universali għall-utenti kollha, iżda mhux mill-aspett tas-sigurtà.
Huwa impossibbli li ma tindunax li r-riċeviment ta 'kodiċijiet permezz ta' notifiki SMS jew Push, kif ukoll il-ġenerazzjoni ta 'kodiċijiet bl-użu ta' programmi għal smartphones, huwa l-użu ta 'dawk l-istess passwords ta' darba (OTP) li għalihom aħna mitluba nippreparaw għat-tnaqqis. Mil-lat tekniku, is-soluzzjoni hija korretta ħafna, għaliex huwa frodist rari li ma jipprovax isib il-password ta 'darba minn utent gullible. Imma naħseb li l-manifatturi ta 'sistemi bħal dawn se jaqbdu mat-teknoloġija li tmut għall-aħħar.
Uża awtentikazzjoni b'saħħitha bħala għodda ta' kummerċjalizzazzjoni biex iżżid il-fiduċja tal-klijenti. Awtentikazzjoni b'saħħitha tista 'tagħmel aktar milli sempliċement ittejjeb is-sigurtà attwali tan-negozju tiegħek. Li tinforma lill-klijenti li n-negozju tiegħek juża awtentikazzjoni qawwija jista' jsaħħaħ il-perċezzjoni pubblika tas-sigurtà ta' dak in-negozju—fattur importanti meta jkun hemm domanda sinifikanti tal-klijenti għal metodi ta' awtentikazzjoni b'saħħithom.
Wettaq inventarju bir-reqqa u valutazzjoni tal-kritiċità tad-dejta korporattiva u tipproteġiha skont l-importanza. Anke data ta' riskju baxx bħal informazzjoni ta' kuntatt tal-klijenti (le, tassew, ir-rapport jgħid "b'riskju baxx", hija stramba ħafna li jissottovalutaw l-importanza ta 'din l-informazzjoni), jistgħu jġibu valur sinifikanti lill-frodisti u jikkawżaw problemi għall-kumpanija.
Uża awtentikazzjoni qawwija ta 'intrapriża. Għadd ta' sistemi huma l-aktar miri attraenti għall-kriminali. Dawn jinkludu sistemi interni u konnessi mal-Internet bħal programm tal-kontabilità jew maħżen tad-dejta korporattiv. Awtentikazzjoni qawwija tipprevjeni lill-attakkanti milli jiksbu aċċess mhux awtorizzat, u tagħmilha possibbli wkoll li jiġi ddeterminat b'mod preċiż liema impjegat wettaq l-attività malizzjuża.
X'inhi l-Awtentikazzjoni Qawwija?
Meta tuża awtentikazzjoni qawwija, jintużaw diversi metodi jew fatturi biex jivverifikaw l-awtentiċità tal-utent:
- Fattur ta' Għarfien: sigriet kondiviż bejn l-utent u s-suġġett awtentikat tal-utent (bħal passwords, tweġibiet għal mistoqsijiet tas-sigurtà, eċċ.)
- Fattur ta' sjieda: apparat li l-utent biss għandu (per eżempju, apparat mobbli, ċavetta kriptografika, eċċ.)
- Fattur ta' integrità: karatteristiċi fiżiċi (spiss bijometriċi) tal-utent (pereżempju, marki tas-swaba’, mudell tal-iris, vuċi, imġieba, eċċ.)
Il-ħtieġa li jiġu hackjati fatturi multipli iżżid bil-kbir il-probabbiltà ta' falliment għall-attakkanti, peress li l-jevitament jew it-tqarraq ta' diversi fatturi jeħtieġ li jintużaw diversi tipi ta' tattiċi ta' hacking, għal kull fattur separatament.
Pereżempju, b'2FA "password + smartphone", attakkant jista 'jwettaq awtentikazzjoni billi jħares lejn il-password tal-utent u jagħmel kopja eżatta tas-software tal-ismartphone tiegħu. U dan huwa ħafna aktar diffiċli milli sempliċement tisraq password.
Imma jekk jintużaw password u token kriptografiku għal 2FA, allura l-għażla tal-ikkupjar ma taħdimx hawn - huwa impossibbli li tidduplika t-token. Il-frodist ikollu bżonn jisraq it-token b'mod mistiku mill-utent. Jekk l-utent jinnota t-telf fil-ħin u jinnotifika lill-amministratur, it-token jiġi mblukkat u l-isforzi tal-frodist ikunu għalxejn. Huwa għalhekk li l-fattur ta 'sjieda jeħtieġ l-użu ta' apparati siguri speċjalizzati (tokens) aktar milli apparati għal skopijiet ġenerali (smartphones).
L-użu tat-tliet fatturi se jagħmel dan il-metodu ta 'awtentikazzjoni pjuttost għoli biex jiġi implimentat u pjuttost inkonvenjenti biex jintuża. Għalhekk, tnejn minn tliet fatturi huma ġeneralment użati.
Il-prinċipji tal-awtentikazzjoni b'żewġ fatturi huma deskritti f'aktar dettall , fil-blokk "Kif taħdem l-awtentikazzjoni b'żewġ fatturi".
Huwa importanti li wieħed jinnota li mill-inqas wieħed mill-fatturi ta 'awtentikazzjoni użati f'awtentikazzjoni qawwija għandu juża kriptografija taċ-ċavetta pubblika.
Awtentikazzjoni b'saħħitha tipprovdi protezzjoni ħafna aktar b'saħħitha minn awtentikazzjoni b'fattur wieħed ibbażata fuq passwords klassiċi u MFA tradizzjonali. Il-passwords jistgħu jiġu spionjati jew interċettati bl-użu ta' keyloggers, siti ta' phishing, jew attakki ta' inġinerija soċjali (fejn il-vittma tiġi mqarrqa biex tiżvela l-password tagħha). Barra minn hekk, sid il-password ma jkun jaf xejn dwar is-serq. L-MFA tradizzjonali (inklużi kodiċijiet OTP, li jorbtu ma' smartphone jew SIM card) jistgħu wkoll jiġu hackjati pjuttost faċilment, peress li mhix ibbażata fuq kriptografija taċ-ċavetta pubblika (Mill-mod, hemm ħafna eżempji meta, bl-użu tal-istess tekniki ta 'inġinerija soċjali, scammers ikkonvinċu lill-utenti biex jagħtuhom password ta' darba.).
Fortunatament, l-użu ta 'awtentikazzjoni qawwija u MFA tradizzjonali ilu jikseb trazzjoni kemm fl-applikazzjonijiet tal-konsumatur kif ukoll tal-intrapriżi mis-sena li għaddiet. L-użu ta' awtentikazzjoni b'saħħitha fl-applikazzjonijiet tal-konsumatur kiber b'mod partikolari malajr. Jekk fl-2017 5% biss tal-kumpaniji użawha, allura fl-2018 kienet diġà tliet darbiet aktar - 16%. Dan jista 'jiġi spjegat mid-disponibbiltà akbar ta' tokens li jappoġġaw algoritmi ta 'Public Key Criptography (PKC). Barra minn hekk, pressjoni akbar mir-regolaturi Ewropej wara l-adozzjoni ta’ regoli ġodda dwar il-protezzjoni tad-dejta bħal PSD2 u GDPR kellha effett qawwi anke barra mill-Ewropa (inkluż fir-Russja).
Ejja nagħtu ħarsa aktar mill-qrib lejn dawn in-numri. Kif nistgħu naraw, il-perċentwal ta' individwi privati li jużaw awtentikazzjoni b'ħafna fatturi kiber bi 11% impressjonanti matul is-sena. U dan ġara b'mod ċar għad-detriment ta 'min iħobb il-password, peress li n-numri ta' dawk li jemmnu fis-sigurtà ta 'notifiki Push, SMS u bijometriċi ma nbidlux.
Iżda b'awtentikazzjoni b'żewġ fatturi għall-użu korporattiv, l-affarijiet mhumiex daqshekk tajbin. L-ewwelnett, skont ir-rapport, 5% biss tal-impjegati ġew trasferiti mill-awtentikazzjoni tal-password għal tokens. U t-tieni, in-numru ta’ dawk li jużaw għażliet alternattivi ta’ MFA f’ambjent korporattiv żdied b’4%.
Nipprova nagħmel analista u nagħti l-interpretazzjoni tiegħi. Fiċ-ċentru tad-dinja diġitali tal-utenti individwali hemm l-ismartphone. Għalhekk, mhux ta 'b'xejn li l-maġġoranza jużaw il-kapaċitajiet li l-apparat jipprovdilhom - awtentikazzjoni bijometrika, notifiki SMS u Push, kif ukoll passwords ta' darba ġġenerati minn applikazzjonijiet fuq l-ismartphone innifsu. In-nies normalment ma jaħsbux dwar is-sigurtà u l-affidabbiltà meta jużaw l-għodod li huma mdorrijin bihom.
Din hija r-raġuni għaliex il-persentaġġ ta 'utenti ta' fatturi ta 'awtentikazzjoni "tradizzjonali" primittiv jibqa' mhux mibdul. Iżda dawk li qabel użaw passwords jifhmu kemm qed jirriskjaw, u meta jagħżlu fattur ġdid ta 'awtentikazzjoni, jagħżlu l-aktar għażla ġdida u sikura - token kriptografiku.
Fir-rigward tas-suq korporattiv, huwa importanti li wieħed jifhem f'liema sistema titwettaq l-awtentikazzjoni. Jekk il-login f'dominju tal-Windows huwa implimentat, allura jintużaw tokens kriptografiċi. Il-possibbiltajiet għall-użu tagħhom għal 2FA diġà huma mibnija kemm fil-Windows kif ukoll fil-Linux, iżda għażliet alternattivi huma twal u diffiċli biex jiġu implimentati. Tant għall-migrazzjoni ta '5% mill-passwords għal tokens.
U l-implimentazzjoni ta '2FA f'sistema ta' informazzjoni korporattiva tiddependi ħafna fuq il-kwalifiki tal-iżviluppaturi. U huwa ħafna aktar faċli għall-iżviluppaturi li jieħdu moduli lesti biex jiġġeneraw passwords ta 'darba milli jifhmu t-tħaddim ta' algoritmi kriptografiċi. U bħala riżultat, anke applikazzjonijiet oerhört kritiċi għas-sigurtà bħal Single Sign-On jew sistemi ta 'Ġestjoni ta' Aċċess Privileġġjat jużaw OTP bħala t-tieni fattur.
Ħafna vulnerabbiltajiet fil-metodi tradizzjonali ta 'awtentikazzjoni
Filwaqt li ħafna organizzazzjonijiet jibqgħu jiddependu fuq sistemi ta’ fattur wieħed wirt, il-vulnerabbiltajiet fl-awtentikazzjoni tradizzjonali b’ħafna fatturi qed isiru dejjem aktar evidenti. Il-passwords ta' darba, tipikament tul minn sitta sa tmien karattri, mogħtija permezz ta' SMS, jibqgħu l-aktar forma komuni ta' awtentikazzjoni (minbarra l-fattur tal-password, ovvjament). U meta l-kliem "awtentikazzjoni b'żewġ fatturi" jew "verifika f'żewġ passi" jissemmew fl-istampa popolari, huma kważi dejjem jirreferu għall-awtentikazzjoni tal-password ta 'darba ta' SMS.
Hawnhekk l-awtur huwa ftit żbaljat. It-twassil ta' passwords ta' darba permezz ta' SMS qatt ma kien awtentikazzjoni b'żewġ fatturi. Dan huwa fil-forma l-aktar pura tiegħu t-tieni stadju ta 'awtentikazzjoni f'żewġ stadji, fejn l-ewwel stadju huwa ddaħħal il-login u l-password tiegħek.
Fl-2016, l-Istitut Nazzjonali ta 'Standards u Teknoloġija (NIST) aġġorna r-regoli ta' awtentikazzjoni tiegħu biex jelimina l-użu ta 'passwords ta' darba mibgħuta permezz ta 'SMS. Madankollu, dawn ir-regoli kienu rilassati b'mod sinifikanti wara protesti tal-industrija.
Allura, ejja nsegwu l-plott. Ir-regolatur Amerikan jirrikonoxxi bir-raġun li teknoloġija skaduta mhix kapaċi tiżgura s-sikurezza tal-utenti u qed tintroduċi standards ġodda. Standards imfassla biex jipproteġu lill-utenti tal-applikazzjonijiet onlajn u mobbli (inklużi dawk bankarji). L-industrija qed tikkalkula kemm se jkollha tonfoq flus biex tixtri tokens kriptografiċi tassew affidabbli, tfassal mill-ġdid l-applikazzjonijiet, tuża infrastruttura ta 'ċavetta pubblika, u qed "togħla fuq saqajha ta' wara." Min-naħa waħda, l-utenti kienu konvinti mill-affidabbiltà ta 'passwords ta' darba, u min-naħa l-oħra, kien hemm attakki fuq NIST. Bħala riżultat, l-istandard ġie mrattab, u n-numru ta 'hacks u serq ta' passwords (u flus minn applikazzjonijiet bankarji) żdiedu drastikament. Iżda l-industrija ma kellhiex għalfejn tħallas il-flus.
Minn dakinhar, id-dgħufijiet inerenti tal-SMS OTP saru aktar evidenti. Il-frodisti jużaw diversi metodi biex jikkompromettu messaġġi SMS:
- Duplikazzjoni SIM card. L-attakkanti joħolqu kopja tas-SIM (bl-għajnuna ta' impjegati ta' operaturi mobbli, jew b'mod indipendenti, bl-użu ta' softwer u ħardwer speċjali). Bħala riżultat, l-attakkant jirċievi SMS b'password ta' darba. F'każ wieħed partikolarment famuż, il-hackers kienu saħansitra kapaċi jikkompromettu l-kont AT&T tal-investitur tal-kripto-munita Michael Turpin, u jisirqu kważi $ 24 miljun f'kripto-muniti. Bħala riżultat, Turpin iddikjara li AT&T kienet tort minħabba miżuri ta 'verifika dgħajfa li wasslu għal duplikazzjoni ta' SIM card.
Loġika tal-għaġeb. Allura huwa verament tort biss ta 'AT&T? Le, huwa bla dubju tort tal-operatur tal-mowbajl li l-bejjiegħa fil-maħżen tal-komunikazzjoni ħarġu SIM card duplikat. Xi ngħidu dwar is-sistema ta 'awtentikazzjoni tal-iskambju tal-kripto-munita? Għaliex ma użawx tokens kriptografiċi b'saħħithom? Kienet ħasra li tonfoq il-flus fuq l-implimentazzjoni? Mhux Michael innifsu t-tort? Għaliex ma insistax li jibdel il-mekkaniżmu ta 'awtentikazzjoni jew uża biss dawk l-iskambji li jimplimentaw awtentikazzjoni b'żewġ fatturi bbażata fuq tokens kriptografiċi?
L-introduzzjoni ta 'metodi ta' awtentikazzjoni tassew affidabbli tittardja preċiżament minħabba li l-utenti juru traskuraġni aqwa qabel il-hacking, u wara jwaħħlu l-problemi tagħhom fuq xi ħadd u fuq xi ħaġa oħra għajr teknoloġiji ta 'awtentikazzjoni antiki u "leaky"
- Malware. Waħda mill-ewwel funzjonijiet tal-malware mobbli kienet li jinterċetta u jgħaddi messaġġi lill-attakkanti. Ukoll, attakki man-in-the-browser u man-in-the-middle jistgħu jinterċettaw passwords ta' darba meta jiddaħħlu fuq laptops jew apparat tad-desktop infettati.
Meta l-applikazzjoni Sberbank fuq l-ismartphone tiegħek teptip ikona ħadra fl-istrixxa tal-istatus, tfittex ukoll "malware" fuq it-telefon tiegħek. L-għan ta 'dan l-avveniment huwa li jibdel l-ambjent ta' eżekuzzjoni mhux fdat ta 'smartphone tipiku f'wieħed, tal-inqas b'xi mod, wieħed fdat.
Mill-mod, smartphone, bħala mezz kompletament mhux fdat li fuqu jista 'jsir xi ħaġa, hija raġuni oħra biex tużah għall-awtentikazzjoni tokens tal-ħardwer biss, li huma protetti u ħielsa minn viruses u trojans. - Inġinerija soċjali. Meta l-scammers jafu li vittma għandha l-OTPs attivati permezz tal-SMS, jistgħu jikkuntattjaw lill-vittma direttament, jippreżentaw bħala organizzazzjoni ta’ fiduċja bħall-bank jew l-unjoni ta’ kreditu tagħhom, biex iqarrqu lill-vittma biex tipprovdi l-kodiċi li għadhom kif irċevew.
Jien personalment iltqajt ma' dan it-tip ta' frodi ħafna drabi, pereżempju, meta ppruvajt nbiegħ xi ħaġa f'suq tal-briegħed online popolari. Jien stess għamilt gost mill-iskantatur li pprova jqarraqni għal qalbi. Imma sfortunatament, naqra regolarment fl-aħbarijiet kif vittma oħra ta 'scammers "ma ħsibtx," tat il-kodiċi ta' konferma u tilfet somma kbira. U dan kollu huwa minħabba li l-bank sempliċement ma jridx jittratta l-implimentazzjoni ta 'tokens kriptografiċi fl-applikazzjonijiet tiegħu. Wara kollox, jekk jiġri xi ħaġa, il-klijenti "jkollhom it-tort lilhom infushom."
Filwaqt li metodi alternattivi ta' konsenja OTP jistgħu jtaffu xi wħud mill-vulnerabbiltajiet f'dan il-metodu ta' awtentikazzjoni, fadal vulnerabbiltajiet oħra. Applikazzjonijiet ta' ġenerazzjoni ta' kodiċi awtonomi huma l-aħjar protezzjoni kontra l-eavesdropping, peress li anke l-malware ma tantx jista' jinteraġixxi direttament mal-ġeneratur tal-kodiċi (bis-serjeta? L-awtur tar-rapport insa dwar il-kontroll mill-bogħod?), iżda l-OTPs xorta jistgħu jiġu interċettati meta jiddaħħlu fil-browser (per eżempju bl-użu ta 'keylogger), permezz ta' applikazzjoni mobbli hacked; u jista 'jinkiseb ukoll direttament mill-utent bl-użu ta' inġinerija soċjali.
L-użu ta' għodod multipli ta' valutazzjoni tar-riskju bħar-rikonoxximent tal-apparat (skoperta ta' tentattivi biex isiru transazzjonijiet minn apparati li ma jappartjenux għal utent legali), ġeolokalizzazzjoni (utent li għadu kif kien Moska jipprova jagħmel operazzjoni minn Novosibirsk) u l-analiżi tal-imġieba huma importanti biex jiġu indirizzati l-vulnerabbiltajiet, iżda l-ebda soluzzjoni ma hija rimedju. Għal kull sitwazzjoni u tip ta' dejta, huwa meħtieġ li jiġu vvalutati bir-reqqa r-riskji u tagħżel liema teknoloġija ta' awtentikazzjoni għandha tintuża.
L-ebda soluzzjoni ta 'awtentikazzjoni ma hija rimedju
Figura 2. Tabella tal-għażliet tal-awtentikazzjoni
| Awtentikazzjoni | Fattur | Deskrizzjoni | Vulnerabbiltajiet ewlenin |
| Password jew PIN | Għarfien | Valur fiss, li jista 'jinkludi ittri, numri u numru ta' karattri oħra | Jistgħu jiġu interċettati, spionjati, misruqa, miġbura jew hacked |
| Awtentikazzjoni bbażata fuq l-għarfien | Għarfien | Jistaqsi t-tweġibiet li utent legali biss jista' jkun jaf għalihom | Jista 'jiġi interċettat, jinġabar, miksub bl-użu ta' metodi ta 'inġinerija soċjali |
| OTP tal-ħardwer () | Pussess | Apparat speċjali li jiġġenera passwords ta' darba | Il-kodiċi jista 'jiġi interċettat u ripetut, jew l-apparat jista' jinsteraq |
| OTPs tas-softwer | Pussess | Applikazzjoni (mobbli, aċċessibbli permezz ta' browser, jew li tibgħat kodiċijiet bl-e-mail) li tiġġenera passwords ta' darba | Il-kodiċi jista 'jiġi interċettat u ripetut, jew l-apparat jista' jinsteraq |
| SMS OTP | Pussess | Password ta' darba mogħtija permezz ta' messaġġ SMS | Il-kodiċi jista' jiġi interċettat u ripetut, jew l-ismartphone jew il-karta SIM jistgħu jinsterqu, jew is-SIM card tista' tiġi duplikata |
| Smart cards () | Pussess | Kard li fiha ċippa kriptografika u memorja taċ-ċavetta sigura li tuża infrastruttura taċ-ċavetta pubblika għall-awtentikazzjoni | Jista' jinsteraq fiżikament (iżda attakkant mhux se jkun jista 'juża l-apparat mingħajr ma jkun jaf il-kodiċi PIN; fil-każ ta 'diversi tentattivi ta' input mhux korretti, l-apparat jiġi mblukkat) |
| Ċwievet tas-sigurtà - tokens (, ) | Pussess | Apparat USB li fih ċippa kriptografika u memorja taċ-ċavetta sigura li tuża infrastruttura taċ-ċavetta pubblika għall-awtentikazzjoni | Jista' jinsteraq fiżikament (iżda attakkant ma jkunx jista' juża l-apparat mingħajr ma jkun jaf il-kodiċi PIN; f'każ ta' diversi tentattivi ta' dħul mhux korretti, l-apparat jiġi mblukkat) |
| Linking ma' apparat | Pussess | Il-proċess li joħloq profil, ħafna drabi bl-użu ta’ JavaScript, jew bl-użu ta’ markaturi bħal cookies u Flash Shared Objects biex jiġi żgurat li qed jintuża apparat speċifiku | It-tokens jistgħu jiġu misruqa (ikkupjati), u l-karatteristiċi ta 'apparat legali jistgħu jiġu imitati minn attakkant fuq it-tagħmir tiegħu |
| Imġieba | Inerenza | Janalizza kif l-utent jinteraġixxi ma 'apparat jew programm | L-imġieba tista’ tiġi imitata |
| Marki tas-swaba' | Inerenza | Il-marki tas-swaba' maħżuna jitqabblu ma' dawk maqbuda b'mod ottiku jew elettroniku | L-immaġni tista 'tiġi misruqa u użata għall-awtentikazzjoni |
| Skan tal-għajnejn | Inerenza | Tqabbel il-karatteristiċi tal-għajnejn, bħall-mudell tal-iris, ma 'skans ottiċi ġodda | L-immaġni tista 'tiġi misruqa u użata għall-awtentikazzjoni |
| Rikonoxximent tal-wiċċ | Inerenza | Il-karatteristiċi tal-wiċċ huma mqabbla ma 'skans ottiċi ġodda | L-immaġni tista 'tiġi misruqa u użata għall-awtentikazzjoni |
| Rikonoxximent tal-vuċi | Inerenza | Il-karatteristiċi tal-kampjun tal-vuċi rreġistrat huma mqabbla ma 'kampjuni ġodda | Ir-rekord jista 'jinsteraq u jintuża għall-awtentikazzjoni, jew emulat |
Fit-tieni parti tal-pubblikazzjoni, jistennewna l-aktar affarijiet delizzjużi - numri u fatti, li fuqhom huma bbażati l-konklużjonijiet u r-rakkomandazzjonijiet mogħtija fl-ewwel parti. L-awtentikazzjoni fl-applikazzjonijiet tal-utenti u fis-sistemi korporattivi se jiġu diskussi separatament.
Ara inti hekk!
Sors: www.habr.com