Spoiler uit de titel van het rapport: “Het gebruik van sterke authenticatie neemt toe als gevolg van de dreiging van nieuwe risico’s en wettelijke vereisten.”
Het onderzoeksbureau "Javelin Strategy & Research" publiceerde het rapport "The State of Strong Authentication 2019" (). Dit rapport zegt: welk percentage van de Amerikaanse en Europese bedrijven wachtwoorden gebruikt (en waarom maar weinig mensen nu wachtwoorden gebruiken); waarom het gebruik van tweefactorauthenticatie op basis van cryptografische tokens zo snel groeit; Waarom eenmalige codes verzonden via sms niet veilig zijn.
Iedereen die geïnteresseerd is in het heden, verleden en de toekomst van authenticatie in bedrijven en consumententoepassingen is welkom.
Van de vertaler
Helaas is de taal waarin dit rapport is geschreven nogal “droog” en formeel. En het vijf keer gebruiken van het woord ‘authenticatie’ in één korte zin is niet de kromme handen (of hersenen) van de vertaler, maar de gril van de auteurs. Bij het vertalen vanuit twee opties - om de lezers een tekst te geven die dichter bij het origineel ligt, of een interessantere, kies ik soms voor de eerste en soms voor de tweede. Maar wees geduldig, beste lezers, de inhoud van het rapport is de moeite waard.
Er zijn enkele onbelangrijke en onnodige stukjes voor het verhaal verwijderd, anders had het merendeel niet de hele tekst kunnen doornemen. Degenen die het rapport “ongesneden” willen lezen, kunnen dit in de originele taal doen door de link te volgen.
Helaas zijn auteurs niet altijd voorzichtig met terminologie. Eenmalige wachtwoorden (One Time Password - OTP) worden dus soms “wachtwoorden” en soms “codes” genoemd. Het is nog erger met authenticatiemethoden. Het is voor de ongetrainde lezer niet altijd gemakkelijk om te raden dat “authenticatie met behulp van cryptografische sleutels” en “sterke authenticatie” hetzelfde zijn. Ik heb geprobeerd de termen zoveel mogelijk te verenigen, en in het rapport zelf staat een fragment met hun beschrijving.
Toch is het rapport een echte aanrader omdat het unieke onderzoeksresultaten en correcte conclusies bevat.
Alle cijfers en feiten worden zonder de minste veranderingen gepresenteerd, en als u het er niet mee eens bent, is het beter om niet met de vertaler in discussie te gaan, maar met de auteurs van het rapport. En hier zijn mijn opmerkingen (opgemaakt als aanhalingstekens en gemarkeerd in de tekst Italiaans) zijn mijn waardeoordeel en ik zal graag over elk ervan discussiëren (en ook over de kwaliteit van de vertaling).
Recensie
Tegenwoordig zijn digitale communicatiekanalen met klanten belangrijker dan ooit voor bedrijven. En binnen het bedrijf is de communicatie tussen medewerkers meer digitaal georiënteerd dan ooit tevoren. En hoe veilig deze interacties zullen zijn, hangt af van de gekozen methode van gebruikersauthenticatie. Aanvallers gebruiken zwakke authenticatie om gebruikersaccounts op grote schaal te hacken. Als reactie hierop scherpen toezichthouders de normen aan om bedrijven te dwingen gebruikersaccounts en gegevens beter te beschermen.
Authenticatiegerelateerde bedreigingen reiken verder dan consumentenapplicaties; aanvallers kunnen ook toegang krijgen tot applicaties die binnen de onderneming draaien. Met deze bewerking kunnen ze zich voordoen als zakelijke gebruikers. Aanvallers die toegangspunten met zwakke authenticatie gebruiken, kunnen gegevens stelen en andere frauduleuze activiteiten uitvoeren. Gelukkig zijn er maatregelen om dit tegen te gaan. Sterke authenticatie zal het risico op een aanval door een aanvaller aanzienlijk helpen verminderen, zowel op consumentenapplicaties als op zakelijke bedrijfssystemen.
Deze studie onderzoekt: hoe bedrijven authenticatie implementeren om eindgebruikersapplicaties en zakelijke bedrijfssystemen te beschermen; factoren waarmee zij rekening houden bij het kiezen van een authenticatieoplossing; de rol die sterke authenticatie speelt in hun organisaties; de voordelen die deze organisaties ontvangen.
Beknopt
Belangrijkste bevindingen
Sinds 2017 is het gebruik van sterke authenticatie sterk toegenomen. Met het toenemende aantal kwetsbaarheden die traditionele authenticatieoplossingen aantasten, versterken organisaties hun authenticatiemogelijkheden met sterke authenticatie. Het aantal organisaties dat cryptografische multi-factor authenticatie (MFA) gebruikt, is sinds 2017 verdrievoudigd voor consumentenapplicaties en met bijna 50% toegenomen voor bedrijfsapplicaties. De snelste groei is te zien in mobiele authenticatie als gevolg van de toenemende beschikbaarheid van biometrische authenticatie.
Hier zien we een illustratie van het gezegde ‘totdat de donder inslaat, zal een man geen kruis slaan’. Toen experts waarschuwden voor de onveiligheid van wachtwoorden, had niemand haast met het implementeren van tweefactorauthenticatie. Zodra hackers wachtwoorden begonnen te stelen, begonnen mensen tweefactorauthenticatie te implementeren.
Het is waar dat individuen veel actiever 2FA implementeren. Ten eerste is het voor hen gemakkelijker om hun angsten te kalmeren door te vertrouwen op de biometrische authenticatie die in smartphones is ingebouwd, wat in feite zeer onbetrouwbaar is. Organisaties moeten geld uitgeven aan de aanschaf van tokens en werk verrichten (in feite heel eenvoudig) om deze te implementeren. En ten tweede hebben alleen luie mensen niet geschreven over wachtwoordlekken van diensten als Facebook en Dropbox, maar onder geen beding zullen de CIO's van deze organisaties verhalen delen over hoe wachtwoorden werden gestolen (en wat er daarna gebeurde) in organisaties.
Degenen die geen gebruik maken van sterke authenticatie onderschatten de risico's voor hun bedrijf en klanten. Sommige organisaties die momenteel geen sterke authenticatie gebruiken, beschouwen logins en wachtwoorden vaak als een van de meest effectieve en gemakkelijk te gebruiken methoden voor gebruikersauthenticatie. Anderen zien de waarde niet van de digitale activa die zij bezitten. Het is immers de moeite waard om te bedenken dat cybercriminelen geïnteresseerd zijn in alle consumenten- en bedrijfsinformatie. Twee derde van de bedrijven die alleen wachtwoorden gebruiken om hun werknemers te authenticeren, doen dit omdat ze denken dat de wachtwoorden goed genoeg zijn voor het soort informatie dat ze beschermen.
Wachtwoorden zijn echter onderweg naar het graf. De wachtwoordafhankelijkheid is het afgelopen jaar aanzienlijk gedaald voor zowel consumenten- als bedrijfsapplicaties (respectievelijk van 44% naar 31% en van 56% naar 47%), omdat organisaties steeds meer gebruik maken van traditionele MFA en sterke authenticatie.
Maar als we naar de situatie als geheel kijken, hebben kwetsbare authenticatiemethoden nog steeds de overhand. Voor gebruikersauthenticatie gebruikt ongeveer een kwart van de organisaties SMS OTP (eenmalig wachtwoord) naast beveiligingsvragen. Als gevolg hiervan moeten aanvullende beveiligingsmaatregelen worden geïmplementeerd ter bescherming tegen de kwetsbaarheid, wat de kosten verhoogt. Het gebruik van veel veiligere authenticatiemethoden, zoals hardware cryptografische sleutels, wordt veel minder vaak gebruikt, bij ongeveer 5% van de organisaties.
Het veranderende regelgevingsklimaat belooft de adoptie van sterke authenticatie voor consumententoepassingen te versnellen. Met de introductie van PSD2 en nieuwe regels voor gegevensbescherming in de EU en verschillende Amerikaanse staten, zoals Californië, voelen bedrijven de hitte. Bijna 70% van de bedrijven is het ermee eens dat ze te maken krijgen met sterke regeldruk om sterke authenticatie aan hun klanten te bieden. Meer dan de helft van de bedrijven is van mening dat hun authenticatiemethoden binnen een paar jaar niet voldoende zullen zijn om aan de wettelijke normen te voldoen.
Het verschil in de benadering van Russische en Amerikaans-Europese wetgevers met betrekking tot de bescherming van persoonlijke gegevens van gebruikers van programma's en diensten is duidelijk zichtbaar. De Russen zeggen: beste service-eigenaren, doe wat je wilt en hoe je wilt, maar als je beheerder de database samenvoegt, zullen we je straffen. In het buitenland zeggen ze: daar moet je een reeks maatregelen voor nemen zal niet toestaan laat de basis leeglopen. Daarom worden daar eisen voor strikte tweefactorauthenticatie geïmplementeerd.
Het is waar dat het verre van een feit is dat ons wetgevend apparaat op een dag niet tot bezinning zal komen en geen rekening zal houden met de westerse ervaringen. Dan blijkt dat iedereen dringend 2FA moet implementeren, dat voldoet aan de Russische cryptografische standaarden.
Door een sterk authenticatieframework op te zetten, kunnen bedrijven hun focus verleggen van het voldoen aan wettelijke vereisten naar het voldoen aan de behoeften van klanten. Voor organisaties die nog steeds eenvoudige wachtwoorden gebruiken of codes via sms ontvangen, is de belangrijkste factor bij het kiezen van een authenticatiemethode het voldoen aan wettelijke vereisten. Maar de bedrijven die al sterke authenticatie gebruiken, kunnen zich concentreren op het kiezen van die authenticatiemethoden die de klantloyaliteit vergroten.
Bij het kiezen van een bedrijfsauthenticatiemethode binnen een onderneming zijn wettelijke vereisten niet langer een belangrijke factor. In dit geval zijn het integratiegemak (32%) en de kosten (26%) veel belangrijker.
In het tijdperk van phishing kunnen aanvallers zakelijke e-mail gebruiken om op te lichten om op frauduleuze wijze toegang te krijgen tot gegevens en accounts (met de juiste toegangsrechten) en zelfs om werknemers ervan te overtuigen geld naar zijn rekening over te maken. Daarom moeten zakelijke e-mail- en portalaccounts bijzonder goed worden beschermd.
Google heeft zijn beveiliging versterkt door sterke authenticatie te implementeren. Ruim twee jaar geleden publiceerde Google een rapport over de implementatie van tweefactorauthenticatie op basis van cryptografische beveiligingssleutels met behulp van de FIDO U2F-standaard, met indrukwekkende resultaten. Volgens het bedrijf is er geen enkele phishing-aanval gepleegd op ruim 85 medewerkers.
Aanbevelingen
Implementeer sterke authenticatie voor mobiele en online applicaties. Multi-factor authenticatie op basis van cryptografische sleutels biedt een veel betere bescherming tegen hacking dan traditionele MFA-methoden. Bovendien is het gebruik van cryptografische sleutels veel handiger omdat het niet nodig is om aanvullende informatie (wachtwoorden, eenmalige wachtwoorden of biometrische gegevens) van het apparaat van de gebruiker naar de authenticatieserver te gebruiken en over te dragen. Bovendien maakt het standaardiseren van authenticatieprotocollen het veel eenvoudiger om nieuwe authenticatiemethoden te implementeren zodra deze beschikbaar komen, waardoor de implementatiekosten worden verlaagd en bescherming wordt geboden tegen meer geavanceerde fraudeconstructies.
Bereid u voor op de teloorgang van eenmalige wachtwoorden (OTP). De kwetsbaarheden die inherent zijn aan OTP’s worden steeds duidelijker nu cybercriminelen social engineering, het klonen van smartphones en malware gebruiken om deze authenticatiemiddelen in gevaar te brengen. En als OTP's in sommige gevallen bepaalde voordelen hebben, dan alleen vanuit het oogpunt van universele beschikbaarheid voor alle gebruikers, maar niet vanuit het oogpunt van veiligheid.
Het is onmogelijk om niet op te merken dat het ontvangen van codes via sms of pushmeldingen, maar ook het genereren van codes met behulp van programma's voor smartphones, het gebruik is van diezelfde eenmalige wachtwoorden (OTP) waarvoor ons wordt gevraagd ons voor te bereiden op de achteruitgang. Vanuit technisch oogpunt is de oplossing zeer correct, omdat het een zeldzame fraudeur is die niet probeert het eenmalige wachtwoord van een goedgelovige gebruiker te achterhalen. Maar ik denk dat fabrikanten van dergelijke systemen tot het laatst zullen vasthouden aan stervende technologie.
Gebruik sterke authenticatie als marketingtool om het vertrouwen van klanten te vergroten. Sterke authenticatie kan meer doen dan alleen de daadwerkelijke beveiliging van uw bedrijf verbeteren. Door klanten te informeren dat uw bedrijf sterke authenticatie gebruikt, kan de publieke perceptie van de veiligheid van dat bedrijf worden versterkt – een belangrijke factor wanneer er een grote vraag van klanten naar sterke authenticatiemethoden bestaat.
Voer een grondige inventarisatie en beoordeling van de kriticiteit van bedrijfsgegevens uit en bescherm deze op basis van belangrijkheid. Zelfs gegevens met een laag risico, zoals klantcontactinformatie (nee, echt waar, het rapport zegt “laag risico”, het is heel vreemd dat ze het belang van deze informatie onderschatten), kan aanzienlijke waarde opleveren voor fraudeurs en problemen veroorzaken voor het bedrijf.
Gebruik sterke bedrijfsauthenticatie. Een aantal systemen zijn het meest aantrekkelijke doelwit voor criminelen. Deze omvatten interne en op het internet aangesloten systemen, zoals een boekhoudprogramma of een bedrijfsdatawarehouse. Sterke authenticatie voorkomt dat aanvallers ongeautoriseerde toegang krijgen en maakt het ook mogelijk om nauwkeurig te bepalen welke medewerker de kwaadaardige activiteit heeft gepleegd.
Wat is sterke authenticatie?
Bij het gebruik van sterke authenticatie worden verschillende methoden of factoren gebruikt om de authenticiteit van de gebruiker te verifiëren:
- Kennisfactor: gedeeld geheim tussen de gebruiker en het geverifieerde onderwerp van de gebruiker (zoals wachtwoorden, antwoorden op beveiligingsvragen, enz.)
- Eigendomsfactor: een apparaat dat alleen de gebruiker heeft (bijvoorbeeld een mobiel apparaat, een cryptografische sleutel, enz.)
- Integriteitsfactor: fysieke (vaak biometrische) kenmerken van de gebruiker (bijvoorbeeld vingerafdruk, irispatroon, stem, gedrag, etc.)
De noodzaak om meerdere factoren te hacken vergroot de kans op mislukking voor aanvallers aanzienlijk, omdat het omzeilen of misleiden van verschillende factoren het gebruik van meerdere soorten hacktactieken vereist, voor elke factor afzonderlijk.
Met 2FA ‘wachtwoord + smartphone’ kan een aanvaller bijvoorbeeld authenticatie uitvoeren door naar het wachtwoord van de gebruiker te kijken en een exacte softwarekopie van zijn smartphone te maken. En dit is veel moeilijker dan simpelweg een wachtwoord stelen.
Maar als voor 2FA een wachtwoord en een cryptografisch token worden gebruikt, werkt de kopieeroptie hier niet: het is onmogelijk om het token te dupliceren. De fraudeur zal het token heimelijk van de gebruiker moeten stelen. Als de gebruiker het verlies tijdig opmerkt en de beheerder hiervan op de hoogte stelt, wordt het token geblokkeerd en zijn de inspanningen van de fraudeur tevergeefs. Dit is de reden waarom de eigendomsfactor het gebruik van gespecialiseerde beveiligde apparaten (tokens) vereist in plaats van apparaten voor algemene doeleinden (smartphones).
Als u alle drie de factoren gebruikt, wordt deze authenticatiemethode behoorlijk duur om te implementeren en behoorlijk onhandig in het gebruik. Daarom worden meestal twee van de drie factoren gebruikt.
De principes van tweefactorauthenticatie worden gedetailleerder beschreven , in het blok 'Hoe tweefactorauthenticatie werkt'.
Het is belangrijk op te merken dat ten minste één van de authenticatiefactoren die bij sterke authenticatie worden gebruikt, gebruik moet maken van cryptografie met openbare sleutels.
Sterke authenticatie biedt een veel sterkere bescherming dan single-factor authenticatie op basis van klassieke wachtwoorden en traditionele MFA. Wachtwoorden kunnen worden bespioneerd of onderschept met behulp van keyloggers, phishing-sites of social engineering-aanvallen (waarbij het slachtoffer wordt misleid om zijn wachtwoord te onthullen). Bovendien weet de eigenaar van het wachtwoord niets van de diefstal. Traditionele MFA (inclusief OTP-codes, koppeling aan een smartphone of simkaart) kan ook vrij eenvoudig worden gehackt, omdat deze niet is gebaseerd op cryptografie met openbare sleutels (Er zijn trouwens veel voorbeelden waarin oplichters, met behulp van dezelfde social engineering-technieken, gebruikers overhaalden om hen een eenmalig wachtwoord te geven).
Gelukkig wint het gebruik van sterke authenticatie en traditionele MFA sinds vorig jaar aan populariteit in zowel consumenten- als bedrijfsapplicaties. Vooral het gebruik van sterke authenticatie in consumententoepassingen is snel gegroeid. Als in 2017 nog maar 5% van de bedrijven er gebruik van maakte, dan was dat in 2018 al drie keer zoveel: 16%. Dit kan worden verklaard door de toegenomen beschikbaarheid van tokens die Public Key Cryptography (PKC)-algoritmen ondersteunen. Bovendien heeft de toegenomen druk van Europese toezichthouders na de goedkeuring van nieuwe gegevensbeschermingsregels zoals PSD2 en GDPR zelfs buiten Europa een sterk effect gehad (ook in Rusland).
Laten we deze cijfers eens nader bekijken. Zoals we kunnen zien, is het percentage particulieren dat meervoudige authenticatie gebruikt het afgelopen jaar met maar liefst 11% gegroeid. En dit gebeurde duidelijk ten koste van wachtwoordliefhebbers, aangezien het aantal mensen dat gelooft in de veiligheid van pushmeldingen, sms en biometrie niet is veranderd.
Maar met tweefactorauthenticatie voor zakelijk gebruik zijn de zaken niet zo goed. Ten eerste is volgens het rapport slechts 5% van de werknemers overgestapt van wachtwoordauthenticatie naar tokens. En ten tweede is het aantal mensen dat alternatieve MFB-opties gebruikt in een bedrijfsomgeving met 4% toegenomen.
Ik zal proberen analist te spelen en mijn interpretatie te geven. Centraal in de digitale wereld van individuele gebruikers staat de smartphone. Het is daarom geen wonder dat de meerderheid gebruik maakt van de mogelijkheden die het apparaat hen biedt: biometrische authenticatie, sms- en pushmeldingen, evenals eenmalige wachtwoorden die worden gegenereerd door applicaties op de smartphone zelf. Mensen denken meestal niet aan veiligheid en betrouwbaarheid bij het gebruik van de tools die ze gewend zijn.
Dit is de reden waarom het percentage gebruikers van primitieve ‘traditionele’ authenticatiefactoren onveranderd blijft. Maar degenen die eerder wachtwoorden hebben gebruikt, begrijpen hoeveel risico ze lopen, en bij het kiezen van een nieuwe authenticatiefactor kiezen ze voor de nieuwste en veiligste optie: een cryptografisch token.
Wat de zakelijke markt betreft, is het belangrijk om te begrijpen in welke systeemauthenticatie wordt uitgevoerd. Als inloggen op een Windows-domein is geïmplementeerd, worden cryptografische tokens gebruikt. De mogelijkheden om ze voor 2FA te gebruiken zijn al ingebouwd in zowel Windows als Linux, maar alternatieve opties zijn lang en moeilijk te implementeren. Tot zover de migratie van 5% van wachtwoorden naar tokens.
En de implementatie van 2FA in een bedrijfsinformatiesysteem hangt sterk af van de kwalificaties van de ontwikkelaars. En het is voor ontwikkelaars veel gemakkelijker om kant-en-klare modules te gebruiken voor het genereren van eenmalige wachtwoorden dan om de werking van cryptografische algoritmen te begrijpen. En als gevolg daarvan gebruiken zelfs ongelooflijk veiligheidskritische applicaties zoals Single Sign-On of Privileged Access Management-systemen OTP als een tweede factor.
Veel kwetsbaarheden in traditionele authenticatiemethoden
Hoewel veel organisaties afhankelijk blijven van verouderde single-factor-systemen, worden kwetsbaarheden in traditionele multi-factor authenticatie steeds duidelijker. Eenmalige wachtwoorden, doorgaans zes tot acht tekens lang, afgeleverd via sms, blijven de meest gebruikelijke vorm van authenticatie (afgezien van de wachtwoordfactor uiteraard). En wanneer de woorden ‘tweefactorauthenticatie’ of ‘tweestapsverificatie’ in de populaire pers worden genoemd, verwijzen ze vrijwel altijd naar eenmalige sms-wachtwoordauthenticatie.
Hier vergist de auteur zich een beetje. Het afleveren van eenmalige wachtwoorden via sms is nog nooit een tweefactorauthenticatie geweest. Dit is in zijn puurste vorm de tweede fase van tweestapsauthenticatie, waarbij de eerste fase het invoeren van uw gebruikersnaam en wachtwoord is.
In 2016 heeft het National Institute of Standards and Technology (NIST) zijn authenticatieregels bijgewerkt om het gebruik van eenmalige wachtwoorden die via sms worden verzonden, te elimineren. Deze regels werden echter aanzienlijk versoepeld na protesten uit de industrie.
Laten we dus de plot volgen. De Amerikaanse toezichthouder onderkent terecht dat verouderde technologie de veiligheid van de gebruiker niet kan garanderen en introduceert nieuwe standaarden. Normen die zijn ontworpen om gebruikers van online en mobiele applicaties (inclusief bankapplicaties) te beschermen. De industrie is aan het berekenen hoeveel geld ze zal moeten uitgeven aan de aanschaf van werkelijk betrouwbare cryptografische tokens, het opnieuw ontwerpen van applicaties, het inzetten van een publieke sleutelinfrastructuur, en ‘staat op haar achterpoten’. Aan de ene kant waren gebruikers overtuigd van de betrouwbaarheid van eenmalige wachtwoorden, aan de andere kant waren er aanvallen op NIST. Als gevolg hiervan werd de standaard verzacht en nam het aantal hacks en diefstal van wachtwoorden (en geld uit bankapplicaties) sterk toe. Maar de industrie hoefde geen geld uit te geven.
Sindsdien zijn de inherente zwakheden van SMS OTP duidelijker geworden. Fraudeurs gebruiken verschillende methoden om sms-berichten te compromitteren:
- Duplicatie van simkaart. Aanvallers maken een kopie van de simkaart (met de hulp van medewerkers van de mobiele operator, of zelfstandig, met behulp van speciale software en hardware). Als gevolg hiervan ontvangt de aanvaller een sms met een eenmalig wachtwoord. In een bijzonder beroemd geval waren hackers zelfs in staat het AT&T-account van cryptocurrency-investeerder Michael Turpin te compromitteren en bijna $24 miljoen aan cryptocurrencies te stelen. Als gevolg hiervan verklaarde Turpin dat AT&T schuldig was vanwege zwakke verificatiemaatregelen die leidden tot duplicatie van simkaarten.
Verbazingwekkende logica. Dus het is echt alleen de schuld van AT&T? Nee, het is ongetwijfeld de schuld van de mobiele operator dat de verkopers in de communicatiewinkel een dubbele simkaart hebben uitgegeven. Hoe zit het met het authenticatiesysteem voor cryptocurrency-uitwisseling? Waarom gebruikten ze geen sterke cryptografische tokens? Was het zonde om geld uit te geven aan de implementatie? Is Michael niet zelf de schuldige? Waarom stond hij er niet op om het authenticatiemechanisme te veranderen of alleen die uitwisselingen te gebruiken die tweefactorauthenticatie implementeren op basis van cryptografische tokens?
De introductie van echt betrouwbare authenticatiemethoden wordt uitgesteld, juist omdat gebruikers verbazingwekkende onzorgvuldigheid tonen voordat ze hacken, en daarna hun problemen aan iedereen en alles anders de schuld geven dan oude en ‘lekkende’ authenticatietechnologieën.
- Malware. Een van de eerste functies van mobiele malware was het onderscheppen en doorsturen van sms-berichten naar aanvallers. Ook kunnen man-in-the-browser- en man-in-the-middle-aanvallen eenmalige wachtwoorden onderscheppen wanneer deze worden ingevoerd op geïnfecteerde laptops of desktopapparaten.
Wanneer de Sberbank-applicatie op uw smartphone een groen pictogram in de statusbalk laat knipperen, zoekt deze ook naar “malware” op uw telefoon. Het doel van dit evenement is om de niet-vertrouwde uitvoeringsomgeving van een typische smartphone, althans op de een of andere manier, te veranderen in een vertrouwde.
Overigens is een smartphone, als totaal onbetrouwbaar apparaat waarop alles kan, nog een reden om hem te gebruiken voor authenticatie alleen hardwaretokens, die beschermd zijn en vrij zijn van virussen en Trojaanse paarden. - Social engineering. Wanneer oplichters weten dat een slachtoffer via sms OTP's heeft ingeschakeld, kunnen ze rechtstreeks contact opnemen met het slachtoffer, waarbij ze zich voordoen als een vertrouwde organisatie zoals hun bank of kredietvereniging, om het slachtoffer te misleiden zodat hij de code doorgeeft die ze zojuist hebben ontvangen.
Persoonlijk ben ik dit soort fraude vaak tegengekomen, bijvoorbeeld toen ik iets probeerde te verkopen op een populaire online vlooienmarkt. Zelf heb ik de spot gedreven met de oplichter die mij naar hartenlust voor de gek probeerde te houden. Maar helaas las ik regelmatig in het nieuws hoe weer een ander slachtoffer van oplichters “niet nadacht”, de bevestigingscode gaf en een groot bedrag verloor. En dit alles komt omdat de bank simpelweg geen zin heeft in de implementatie van cryptografische tokens in haar applicaties. Als er iets gebeurt, hebben de cliënten immers ‘hun schuld’.
Hoewel alternatieve OTP-leveringsmethoden sommige van de kwetsbaarheden in deze authenticatiemethode kunnen verzachten, blijven er andere kwetsbaarheden bestaan. Standalone applicaties voor het genereren van code bieden de beste bescherming tegen afluisteren, omdat zelfs malware nauwelijks rechtstreeks met de codegenerator kan communiceren (ernstig? Heeft de auteur van het rapport de afstandsbediening vergeten?), maar OTP's kunnen nog steeds worden onderschept wanneer ze in de browser worden ingevoerd (bijvoorbeeld met behulp van een keylogger), via een gehackte mobiele applicatie; en kunnen ook rechtstreeks van de gebruiker worden verkregen via social engineering.
Het gebruik van meerdere risicobeoordelingsinstrumenten, zoals apparaatherkenning (detectie van pogingen om transacties uit te voeren vanaf apparaten die niet het eigendom zijn van een legale gebruiker), geolocatie (een gebruiker die net in Moskou is geweest, probeert een operatie uit te voeren vanuit Novosibirsk) en gedragsanalyses zijn belangrijk voor het aanpakken van kwetsbaarheden, maar geen van beide oplossingen is een wondermiddel. Voor elke situatie en type data is het noodzakelijk om de risico’s goed in kaart te brengen en te kiezen welke authenticatietechnologie gebruikt moet worden.
Geen enkele authenticatieoplossing is een wondermiddel
Figuur 2. Tabel met authenticatieopties
| authenticatie | Factor | beschrijving | Belangrijkste kwetsbaarheden |
| Wachtwoord of pincode | De kennis | Vaste waarde, die letters, cijfers en een aantal andere tekens kan bevatten | Kan worden onderschept, bespioneerd, gestolen, opgepakt of gehackt |
| Op kennis gebaseerde authenticatie | De kennis | Stelt vragen waarvan de antwoorden alleen een legale gebruiker kan weten | Kan worden onderschept, opgepakt en verkregen met behulp van social engineering-methoden |
| Hardware-OTP () | Bezit | Een speciaal apparaat dat eenmalige wachtwoorden genereert | De code kan worden onderschept en herhaald, of het apparaat kan worden gestolen |
| Software-OTP's | Bezit | Een applicatie (mobiel, toegankelijk via een browser of codes verzenden per e-mail) die eenmalige wachtwoorden genereert | De code kan worden onderschept en herhaald, of het apparaat kan worden gestolen |
| SMS-OTP | Bezit | Eenmalig wachtwoord geleverd via sms-bericht | De code kan worden onderschept en herhaald, of de smartphone of simkaart kan worden gestolen, of de simkaart kan worden gedupliceerd |
| Smartcards () | Bezit | Een kaart die een cryptografische chip bevat en een beveiligd sleutelgeheugen dat gebruikmaakt van een openbare sleutelinfrastructuur voor authenticatie | Kan fysiek worden gestolen (maar een aanvaller kan het apparaat niet gebruiken zonder de pincode te kennen; bij meerdere onjuiste invoerpogingen wordt het apparaat geblokkeerd) |
| Beveiligingssleutels - tokens (, ) | Bezit | Een USB-apparaat dat een cryptografische chip en een beveiligd sleutelgeheugen bevat dat gebruikmaakt van een openbare sleutelinfrastructuur voor authenticatie | Kan fysiek worden gestolen (maar een aanvaller kan het apparaat niet gebruiken zonder de pincode te kennen; bij meerdere onjuiste toegangspogingen wordt het apparaat geblokkeerd) |
| Koppelen aan een apparaat | Bezit | Het proces dat een profiel aanmaakt, vaak met behulp van JavaScript, of met behulp van markeringen zoals cookies en Flash Shared Objects om ervoor te zorgen dat een specifiek apparaat wordt gebruikt | Tokens kunnen worden gestolen (gekopieerd) en de kenmerken van een legaal apparaat kunnen door een aanvaller op zijn apparaat worden nagebootst |
| gedrag | Inherentie | Analyseert hoe de gebruiker omgaat met een apparaat of programma | Gedrag kan worden nagebootst |
| vingerafdrukken | Inherentie | Opgeslagen vingerafdrukken worden vergeleken met vingerafdrukken die optisch of elektronisch zijn vastgelegd | De afbeelding kan worden gestolen en gebruikt voor authenticatie |
| Oogscan | Inherentie | Vergelijkt oogkenmerken, zoals irispatroon, met nieuwe optische scans | De afbeelding kan worden gestolen en gebruikt voor authenticatie |
| Gezichtsherkenning | Inherentie | Gezichtskenmerken worden vergeleken met nieuwe optische scans | De afbeelding kan worden gestolen en gebruikt voor authenticatie |
| Spraakherkenning | Inherentie | De kenmerken van de opgenomen stemsample worden vergeleken met nieuwe samples | Het record kan worden gestolen en gebruikt voor authenticatie, of worden geëmuleerd |
In het tweede deel van de publicatie wachten ons de lekkerste dingen: cijfers en feiten, waarop de conclusies en aanbevelingen uit het eerste deel zijn gebaseerd. Authenticatie in gebruikersapplicaties en in bedrijfssystemen wordt afzonderlijk besproken.
Tot snel!
Bron: www.habr.com