Spoiler fra tittelen på rapporten: "Bruk av sterk autentisering øker på grunn av trusselen om nye risikoer og regulatoriske krav."
Forskningsselskapet "Javelin Strategy & Research" publiserte rapporten "The State of Strong Authentication 2019" (). Denne rapporten sier: hvor stor prosentandel av amerikanske og europeiske selskaper bruker passord (og hvorfor få mennesker bruker passord nå); hvorfor bruken av tofaktorautentisering basert på kryptografiske tokens vokser så raskt; Hvorfor engangskoder sendt via SMS ikke er sikre.
Alle som er interessert i nåtid, fortid og fremtid for autentisering i bedrifter og forbrukerapplikasjoner er velkomne.
Fra oversetteren
Akk, språket som denne rapporten er skrevet på er ganske "tørt" og formelt. Og den fem ganger bruken av ordet "autentisering" i en kort setning er ikke oversetterens skjeve hender (eller hjerner), men forfatternes innfall. Når jeg oversatte fra to alternativer - for å gi leserne en tekst nærmere originalen, eller en mer interessant, valgte jeg noen ganger den første, og noen ganger den andre. Men vær tålmodig, kjære lesere, innholdet i rapporten er verdt det.
Noen uviktige og unødvendige biter til historien ble fjernet, ellers hadde ikke flertallet klart å komme gjennom hele teksten. De som ønsker å lese rapporten «uklippet» kan gjøre det på originalspråket ved å følge lenken.
Dessverre er ikke forfattere alltid nøye med terminologi. Dermed kalles engangspassord (One Time Password - OTP) noen ganger "passord", og noen ganger "koder". Det er enda verre med autentiseringsmetoder. Det er ikke alltid lett for den utrente leseren å gjette at "autentisering ved hjelp av kryptografiske nøkler" og "sterk autentisering" er det samme. Jeg prøvde å forene begrepene så mye som mulig, og i selve rapporten er det et fragment med beskrivelsen deres.
Likevel er rapporten sterkt anbefalt lesning fordi den inneholder unike forskningsresultater og korrekte konklusjoner.
Alle tall og fakta presenteres uten de minste endringer, og hvis du ikke er enig med dem, er det bedre å argumentere ikke med oversetteren, men med forfatterne av rapporten. Og her er mine kommentarer (lagt ut som sitater, og markert i teksten italiensk) er min verdivurdering, og jeg vil gjerne argumentere om hver av dem (så vel som om kvaliteten på oversettelsen).
Gjennomgå
I dag er digitale kommunikasjonskanaler med kunder viktigere enn noen gang for bedrifter. Og internt i selskapet er kommunikasjonen mellom ansatte mer digitalt orientert enn noen gang før. Og hvor sikre disse interaksjonene vil være, avhenger av den valgte metoden for brukerautentisering. Angripere bruker svak autentisering for å hacke brukerkontoer massivt. Som svar strammer regulatorer inn standardene for å tvinge bedrifter til å beskytte brukerkontoer og data bedre.
Autentiseringsrelaterte trusler strekker seg utover forbrukerapplikasjoner; angripere kan også få tilgang til applikasjoner som kjører i bedriften. Denne operasjonen lar dem utgi seg for bedriftsbrukere. Angripere som bruker tilgangspunkter med svak autentisering kan stjele data og utføre andre uredelige aktiviteter. Heldigvis finnes det tiltak for å bekjempe dette. Sterk autentisering vil bidra betydelig til å redusere risikoen for angrep fra en angriper, både på forbrukerapplikasjoner og på bedriftssystemer.
Denne studien undersøker: hvordan bedrifter implementerer autentisering for å beskytte sluttbrukerapplikasjoner og bedriftsforretningssystemer; faktorer de vurderer når de velger en autentiseringsløsning; rollen som sterk autentisering spiller i deres organisasjoner; fordelene disse organisasjonene mottar.
Oppsummering
Hovedfunn
Siden 2017 har bruken av sterk autentisering økt kraftig. Med det økende antallet sårbarheter som påvirker tradisjonelle autentiseringsløsninger, styrker organisasjoner sine autentiseringsevner med sterk autentisering. Antall organisasjoner som bruker kryptografisk multifaktorautentisering (MFA) har tredoblet seg siden 2017 for forbrukerapplikasjoner og økt med nesten 50 % for bedriftsapplikasjoner. Den raskeste veksten ses innen mobilautentisering på grunn av den økende tilgjengeligheten av biometrisk autentisering.
Her ser vi en illustrasjon av ordtaket "inntil torden slår, vil en mann ikke korse seg." Da eksperter advarte om usikkerheten til passord, var det ingen som hadde det travelt med å implementere tofaktorautentisering. Så snart hackere begynte å stjele passord, begynte folk å implementere tofaktorautentisering.
Det er sant at enkeltpersoner implementerer 2FA mye mer aktivt. For det første er det lettere for dem å roe frykten ved å stole på den biometriske autentiseringen innebygd i smarttelefoner, som faktisk er veldig upålitelig. Organisasjoner må bruke penger på å kjøpe tokens og utføre arbeid (faktisk veldig enkelt) for å implementere dem. Og for det andre er det bare late mennesker som ikke har skrevet om passordlekkasjer fra tjenester som Facebook og Dropbox, men under ingen omstendigheter vil CIOene til disse organisasjonene dele historier om hvordan passord ble stjålet (og hva som skjedde videre) i organisasjoner.
De som ikke bruker sterk autentisering undervurderer risikoen for deres virksomhet og kunder. Noen organisasjoner som for øyeblikket ikke bruker sterk autentisering har en tendens til å se på pålogginger og passord som en av de mest effektive og brukervennlige metodene for brukerautentisering. Andre ser ikke verdien av de digitale eiendelene de eier. Tross alt er det verdt å vurdere at nettkriminelle er interessert i all forbruker- og forretningsinformasjon. To tredjedeler av bedrifter som kun bruker passord for å autentisere sine ansatte, gjør det fordi de mener passordene er gode nok for den typen informasjon de beskytter.
Passord er imidlertid på vei til graven. Passordavhengigheten har falt betydelig det siste året for både forbruker- og bedriftsapplikasjoner (fra henholdsvis 44 % til 31 % og fra 56 % til 47 %) ettersom organisasjoner øker bruken av tradisjonell MFA og sterk autentisering.
Men hvis vi ser på situasjonen under ett, er det fortsatt sårbare autentiseringsmetoder som råder. For brukerautentisering bruker omtrent en fjerdedel av organisasjonene SMS OTP (engangspassord) sammen med sikkerhetsspørsmål. Som et resultat må det iverksettes ytterligere sikkerhetstiltak for å beskytte mot sårbarheten, noe som øker kostnadene. Bruken av mye sikrere autentiseringsmetoder, for eksempel kryptografiske maskinvarenøkler, brukes mye sjeldnere, i omtrent 5 % av organisasjonene.
Det utviklende regulatoriske miljøet lover å akselerere bruken av sterk autentisering for forbrukerapplikasjoner. Med introduksjonen av PSD2, samt nye databeskyttelsesregler i EU og flere amerikanske stater som California, kjenner bedrifter på varmen. Nesten 70 % av selskapene er enige om at de møter sterkt regulatorisk press for å gi sterk autentisering til kundene sine. Mer enn halvparten av foretakene mener at autentiseringsmetodene deres i løpet av få år ikke vil være tilstrekkelige til å oppfylle regulatoriske standarder.
Forskjellen i tilnærmingene til russiske og amerikansk-europeiske lovgivere til beskyttelse av personopplysninger til brukere av programmer og tjenester er tydelig synlig. Russerne sier: kjære tjenesteeiere, gjør hva du vil og hvordan du vil, men hvis administratoren din slår sammen databasen, vil vi straffe deg. De sier i utlandet: du må gjennomføre et sett med tiltak som vil ikke tillate drener basen. Derfor implementeres krav til streng tofaktorautentisering der.
Riktignok er det langt fra et faktum at vår lovgivende maskin en dag ikke vil komme til fornuft og ta hensyn til vestlig erfaring. Så viser det seg at alle trenger å implementere 2FA, som overholder russiske kryptografiske standarder, og det haster.
Etablering av et sterkt autentiseringsrammeverk lar bedrifter flytte fokus fra å møte regulatoriske krav til å møte kundenes behov. For de organisasjonene som fortsatt bruker enkle passord eller mottar koder via SMS, vil den viktigste faktoren ved valg av autentiseringsmetode være overholdelse av regulatoriske krav. Men de selskapene som allerede bruker sterk autentisering kan fokusere på å velge de autentiseringsmetodene som øker kundelojaliteten.
Når du velger en bedriftsautentiseringsmetode i en bedrift, er ikke lenger regulatoriske krav en vesentlig faktor. I dette tilfellet er enkel integrering (32%) og kostnad (26%) mye viktigere.
I en tid med phishing kan angripere bruke bedriftens e-post til å svindle å få tilgang til data, kontoer (med passende tilgangsrettigheter), og til og med å overbevise ansatte om å foreta en pengeoverføring til kontoen hans. Derfor må bedriftens e-post- og portalkontoer være spesielt godt beskyttet.
Google har styrket sikkerheten ved å implementere sterk autentisering. For mer enn to år siden publiserte Google en rapport om implementering av tofaktorautentisering basert på kryptografiske sikkerhetsnøkler ved bruk av FIDO U2F-standarden, og rapporterte imponerende resultater. Ifølge selskapet ble det ikke utført et eneste phishing-angrep mot mer enn 85 000 ansatte.
anbefalinger
Implementer sterk autentisering for mobil- og nettapplikasjoner. Multifaktorautentisering basert på kryptografiske nøkler gir mye bedre beskyttelse mot hacking enn tradisjonelle MFA-metoder. I tillegg er bruken av kryptografiske nøkler mye mer praktisk fordi det ikke er nødvendig å bruke og overføre tilleggsinformasjon - passord, engangspassord eller biometriske data fra brukerens enhet til autentiseringsserveren. I tillegg gjør standardisering av autentiseringsprotokoller det mye enklere å implementere nye autentiseringsmetoder etter hvert som de blir tilgjengelige, noe som reduserer implementeringskostnadene og beskytter mot mer sofistikerte svindelopplegg.
Forbered deg på bortfallet av engangspassord (OTP). Sikkerhetene som ligger i OTP-er blir stadig mer tydelige ettersom nettkriminelle bruker sosial ingeniørkunst, smarttelefonkloning og skadelig programvare for å kompromittere disse autentiseringsmetodene. Og hvis OTP-er i noen tilfeller har visse fordeler, så bare fra synspunktet om universell tilgjengelighet for alle brukere, men ikke fra et sikkerhetssynspunkt.
Det er umulig å ikke legge merke til at mottak av koder via SMS eller Push-varsler, samt generering av koder ved hjelp av programmer for smarttelefoner, er bruken av de samme engangspassordene (OTP) som vi blir bedt om å forberede oss på nedgangen for. Fra et teknisk synspunkt er løsningen veldig riktig, fordi det er en sjelden bedrager som ikke prøver å finne ut engangspassordet fra en godtroende bruker. Men jeg tror at produsenter av slike systemer vil klamre seg til døende teknologi til det siste.
Bruk sterk autentisering som et markedsføringsverktøy for å øke kundenes tillit. Sterk autentisering kan gjøre mer enn bare å forbedre den faktiske sikkerheten til virksomheten din. Å informere kunder om at virksomheten din bruker sterk autentisering kan styrke offentlig oppfatning av sikkerheten til den virksomheten – en viktig faktor når det er betydelig kundeetterspørsel etter sterke autentiseringsmetoder.
Gjennomfør en grundig inventar og kritikalitetsvurdering av bedriftsdata og beskytt dem i henhold til viktighet. Selv lavrisikodata som kundekontaktinformasjon (nei, egentlig, rapporten sier "lavrisiko", det er veldig rart at de undervurderer viktigheten av denne informasjonen), kan gi svindlere betydelig verdi og forårsake problemer for selskapet.
Bruk sterk bedriftsautentisering. En rekke systemer er de mest attraktive målene for kriminelle. Disse inkluderer interne og Internett-tilkoblede systemer som et regnskapsprogram eller et bedriftsdatavarehus. Sterk autentisering hindrer angripere i å få uautorisert tilgang, og gjør det også mulig å nøyaktig fastslå hvilken ansatt som har utført den ondsinnede aktiviteten.
Hva er sterk autentisering?
Når du bruker sterk autentisering, brukes flere metoder eller faktorer for å verifisere brukerens autentisitet:
- Kunnskapsfaktor: delt hemmelighet mellom brukeren og brukerens autentiserte emne (som passord, svar på sikkerhetsspørsmål osv.)
- Eierskapsfaktor: en enhet som bare brukeren har (for eksempel en mobilenhet, en kryptografisk nøkkel osv.)
- Integritetsfaktor: fysiske (ofte biometriske) egenskaper til brukeren (for eksempel fingeravtrykk, irismønster, stemme, atferd osv.)
Behovet for å hacke flere faktorer øker sannsynligheten for feil for angripere, siden å omgå eller lure ulike faktorer krever bruk av flere typer hacking-taktikker, for hver faktor separat.
For eksempel, med 2FA "passord + smarttelefon", kan en angriper utføre autentisering ved å se på brukerens passord og lage en nøyaktig programvarekopi av smarttelefonen. Og dette er mye vanskeligere enn å bare stjele et passord.
Men hvis et passord og et kryptografisk token brukes for 2FA, fungerer ikke kopieringsalternativet her - det er umulig å duplisere tokenet. Svindleren må stjele tokenet fra brukeren. Hvis brukeren merker tapet i tide og varsler administratoren, vil tokenet bli blokkert og svindlerens innsats vil være forgjeves. Dette er grunnen til at eierskapsfaktoren krever bruk av spesialiserte sikre enheter (tokens) i stedet for generelle enheter (smarttelefoner).
Å bruke alle tre faktorene vil gjøre denne autentiseringsmetoden ganske dyr å implementere og ganske upraktisk å bruke. Derfor brukes vanligvis to av tre faktorer.
Prinsippene for tofaktorautentisering er beskrevet mer detaljert , i «Hvordan tofaktorautentisering fungerer»-blokken.
Det er viktig å merke seg at minst én av autentiseringsfaktorene som brukes i sterk autentisering må bruke offentlig nøkkelkryptering.
Sterk autentisering gir mye sterkere beskyttelse enn enkeltfaktorautentisering basert på klassiske passord og tradisjonell MFA. Passord kan spioneres på eller avskjæres ved hjelp av keyloggere, phishing-nettsteder eller sosiale ingeniørangrep (hvor offeret blir lurt til å avsløre passordet sitt). Dessuten vil ikke eieren av passordet vite noe om tyveriet. Tradisjonell MFA (inkludert OTP-koder, binding til en smarttelefon eller SIM-kort) kan også hackes ganske enkelt, siden den ikke er basert på offentlig nøkkelkryptering (Forresten, det er mange eksempler på at svindlere ved å bruke de samme sosiale ingeniørteknikkene overtalte brukere til å gi dem et engangspassord).
Heldigvis har bruken av sterk autentisering og tradisjonell MFA fått større innpass i både forbruker- og bedriftsapplikasjoner siden i fjor. Bruken av sterk autentisering i forbrukerapplikasjoner har vokst spesielt raskt. Hvis i 2017 bare 5% av selskapene brukte det, så var det allerede tre ganger mer i 2018 - 16%. Dette kan forklares med den økte tilgjengeligheten av tokens som støtter Public Key Cryptography (PKC) algoritmer. I tillegg har økt press fra europeiske regulatorer etter innføringen av nye databeskyttelsesregler som PSD2 og GDPR hatt en sterk effekt også utenfor Europa (inkludert i Russland).
La oss se nærmere på disse tallene. Som vi kan se, har andelen privatpersoner som bruker multifaktorautentisering vokst med imponerende 11 % i løpet av året. Og dette skjedde tydeligvis på bekostning av passordelskere, siden tallene til de som tror på sikkerheten til Push-varsler, SMS og biometri ikke har endret seg.
Men med tofaktorautentisering for bedriftsbruk er ting ikke så bra. For det første, ifølge rapporten, ble bare 5 % av de ansatte overført fra passordautentisering til tokens. Og for det andre har antallet som bruker alternative MFA-alternativer i et bedriftsmiljø økt med 4 %.
Jeg skal prøve å spille analytiker og gi min tolkning. I sentrum av den digitale verdenen til individuelle brukere er smarttelefonen. Derfor er det ikke rart at flertallet bruker mulighetene som enheten gir dem – biometrisk autentisering, SMS- og Push-varsler, samt engangspassord generert av applikasjoner på selve smarttelefonen. Folk tenker vanligvis ikke på sikkerhet og pålitelighet når de bruker verktøyene de er vant til.
Dette er grunnen til at prosentandelen av brukere av primitive "tradisjonelle" autentiseringsfaktorer forblir uendret. Men de som tidligere har brukt passord forstår hvor mye de risikerer, og når de velger en ny autentiseringsfaktor, velger de det nyeste og sikreste alternativet – et kryptografisk token.
Når det gjelder bedriftsmarkedet, er det viktig å forstå i hvilket system autentisering utføres. Hvis pålogging til et Windows-domene er implementert, brukes kryptografiske tokens. Mulighetene for å bruke dem for 2FA er allerede innebygd i både Windows og Linux, men alternative alternativer er lange og vanskelige å implementere. Så mye for migreringen på 5 % fra passord til tokens.
Og implementeringen av 2FA i et bedriftsinformasjonssystem avhenger veldig av kvalifikasjonene til utviklerne. Og det er mye lettere for utviklere å ta ferdige moduler for å generere engangspassord enn å forstå driften av kryptografiske algoritmer. Og som et resultat bruker selv utrolig sikkerhetskritiske applikasjoner som Single Sign-On eller Privileged Access Management-systemer OTP som en annen faktor.
Mange sårbarheter i tradisjonelle autentiseringsmetoder
Mens mange organisasjoner fortsatt er avhengige av eldre enkeltfaktorsystemer, blir sårbarheter i tradisjonell multifaktorautentisering stadig tydeligere. Engangspassord, vanligvis seks til åtte tegn lange, levert via SMS, er fortsatt den vanligste formen for autentisering (foruten passordfaktoren, selvfølgelig). Og når ordene "to-faktor autentisering" eller "to-trinns bekreftelse" nevnes i populærpressen, refererer de nesten alltid til SMS engangspassordautentisering.
Her tar forfatteren litt feil. Å levere engangspassord via SMS har aldri vært tofaktorautentisering. Dette er i sin reneste form det andre trinnet av totrinnsautentisering, hvor det første trinnet er å skrive inn brukernavn og passord.
I 2016 oppdaterte National Institute of Standards and Technology (NIST) sine autentiseringsregler for å eliminere bruken av engangspassord sendt via SMS. Imidlertid ble disse reglene betydelig lempet etter industriprotester.
Så la oss følge handlingen. Den amerikanske regulatoren erkjenner med rette at utdatert teknologi ikke er i stand til å sikre brukersikkerhet og introduserer nye standarder. Standarder utviklet for å beskytte brukere av nett- og mobilapplikasjoner (inkludert banktjenester). Industrien beregner hvor mye penger den vil måtte bruke på å kjøpe virkelig pålitelige kryptografiske tokens, redesigne applikasjoner, distribuere en offentlig nøkkelinfrastruktur, og "reiser seg på bakbeina." På den ene siden var brukerne overbevist om påliteligheten til engangspassord, og på den andre siden var det angrep på NIST. Som et resultat ble standarden myket opp, og antallet hack og tyveri av passord (og penger fra bankapplikasjoner) økte kraftig. Men bransjen trengte ikke å punge ut med penger.
Siden den gang har de iboende svakhetene ved SMS OTP blitt tydeligere. Svindlere bruker ulike metoder for å kompromittere SMS-meldinger:
- Duplisering av SIM-kort. Angripere lager en kopi av SIM-kortet (ved hjelp av mobiloperatøransatte, eller uavhengig, ved hjelp av spesiell programvare og maskinvare). Som et resultat mottar angriperen en SMS med et engangspassord. I et spesielt kjent tilfelle var hackere til og med i stand til å kompromittere AT&T-kontoen til kryptovaluta-investor Michael Turpin, og stjele nesten 24 millioner dollar i kryptovaluta. Som et resultat uttalte Turpin at AT&T hadde feil på grunn av svake verifiseringstiltak som førte til duplisering av SIM-kort.
Utrolig logikk. Så det er egentlig bare AT&T sin feil? Nei, det er utvilsomt mobiloperatørens feil at selgerne i kommunikasjonsbutikken utstedte et duplikat SIM-kort. Hva med autentiseringssystemet for kryptovalutautveksling? Hvorfor brukte de ikke sterke kryptografiske tokens? Var det synd å bruke penger på gjennomføring? Har ikke Michael selv skylden? Hvorfor insisterte han ikke på å endre autentiseringsmekanismen eller bare bruke de børsene som implementerer tofaktorautentisering basert på kryptografiske tokens?
Innføringen av virkelig pålitelige autentiseringsmetoder blir forsinket nettopp fordi brukere viser utrolig uforsiktighet før hacking, og etterpå skylder de problemene sine på alle og alt annet enn eldgamle og "lekke" autentiseringsteknologier
- Skadevare. En av de tidligste funksjonene til mobil malware var å avskjære og videresende tekstmeldinger til angripere. Mann-i-nettleseren og mann-i-midten-angrep kan også fange opp engangspassord når de skrives inn på infiserte bærbare datamaskiner eller stasjonære enheter.
Når Sberbank-applikasjonen på smarttelefonen din blinker med et grønt ikon i statuslinjen, ser den også etter "skadelig programvare" på telefonen. Målet med denne begivenheten er å gjøre det uklarerte utførelsesmiljøet til en typisk smarttelefon til, i det minste på en eller annen måte, et pålitelig miljø.
Forresten, en smarttelefon, som en fullstendig upålitelig enhet der alt kan gjøres, er en annen grunn til å bruke den til autentisering bare maskinvare-tokens, som er beskyttet og fri for virus og trojanere. - Sosial ingeniørkunst. Når svindlere vet at et offer har OTP-er aktivert via SMS, kan de kontakte offeret direkte, og utgi seg for å være en pålitelig organisasjon som banken eller kredittforeningen for å lure offeret til å oppgi koden de nettopp mottok.
Jeg har personlig møtt denne typen svindel mange ganger, for eksempel når jeg prøver å selge noe på et populært loppemarked på nett. Selv gjorde jeg narr av svindleren som prøvde å lure meg til mitt hjerte. Men dessverre, jeg leste jevnlig i nyhetene hvordan enda et offer for svindlere «ikke tenkte», ga bekreftelseskoden og tapte en stor sum. Og alt dette er fordi banken rett og slett ikke ønsker å håndtere implementeringen av kryptografiske tokens i sine applikasjoner. Tross alt, hvis noe skjer, har klientene seg selv å skylde på.
Mens alternative OTP-leveringsmetoder kan redusere noen av sårbarhetene i denne autentiseringsmetoden, gjenstår andre sårbarheter. Frittstående kodegenereringsapplikasjoner er den beste beskyttelsen mot avlytting, siden selv skadelig programvare knapt kan samhandle direkte med kodegeneratoren (alvor? Glemte forfatteren av rapporten fjernkontroll?), men OTP-er kan fortsatt bli fanget opp når de legges inn i nettleseren (for eksempel ved å bruke en keylogger), gjennom en hacket mobilapplikasjon; og kan også fås direkte fra brukeren ved hjelp av social engineering.
Bruke flere risikovurderingsverktøy som enhetsgjenkjenning (oppdagelse av forsøk på å utføre transaksjoner fra enheter som ikke tilhører en lovlig bruker), geolokalisering (en bruker som nettopp har vært i Moskva prøver å utføre en operasjon fra Novosibirsk) og atferdsanalyse er viktig for å adressere sårbarheter, men ingen av løsningene er et universalmiddel. For hver situasjon og type data er det nødvendig å nøye vurdere risikoene og velge hvilken autentiseringsteknologi som skal brukes.
Ingen autentiseringsløsning er et universalmiddel
Figur 2. Tabell for autentiseringsalternativer
| Autentisering | Faktor | beskrivelse | Nøkkelsårbarheter |
| Passord eller PIN-kode | Kunnskap | Fast verdi, som kan inneholde bokstaver, tall og en rekke andre tegn | Kan bli fanget opp, spionert på, stjålet, plukket opp eller hacket |
| Kunnskapsbasert autentisering | Kunnskap | Stiller spørsmål ved svarene som bare en lovlig bruker kan vite | Kan avskjæres, plukkes opp, fås ved hjelp av sosiale ingeniørmetoder |
| Maskinvare OTP () | Besittelse | En spesiell enhet som genererer engangspassord | Koden kan bli fanget opp og gjentatt, eller enheten kan bli stjålet |
| OTP-er for programvare | Besittelse | En applikasjon (mobil, tilgjengelig via en nettleser eller sender koder via e-post) som genererer engangspassord | Koden kan bli fanget opp og gjentatt, eller enheten kan bli stjålet |
| SMS OTP | Besittelse | Engangspassord levert via SMS | Koden kan bli fanget opp og gjentatt, eller smarttelefonen eller SIM-kortet kan bli stjålet, eller SIM-kortet kan dupliseres |
| Smartkort () | Besittelse | Et kort som inneholder en kryptografisk brikke og et sikkert nøkkelminne som bruker en offentlig nøkkelinfrastruktur for autentisering | Kan være fysisk stjålet (men en angriper vil ikke kunne bruke enheten uten å kjenne PIN-koden; ved flere feil inntastingsforsøk vil enheten bli blokkert) |
| Sikkerhetsnøkler - tokens (, ) | Besittelse | En USB-enhet som inneholder en kryptografisk brikke og et sikkert nøkkelminne som bruker en offentlig nøkkelinfrastruktur for autentisering | Kan bli fysisk stjålet (men en angriper vil ikke kunne bruke enheten uten å kjenne PIN-koden; i tilfelle flere feil inntastingsforsøk vil enheten bli blokkert) |
| Kobling til en enhet | Besittelse | Prosessen som oppretter en profil, ofte ved hjelp av JavaScript, eller bruker markører som informasjonskapsler og Flash Shared Objects for å sikre at en bestemt enhet brukes | Tokens kan stjeles (kopieres), og egenskapene til en lovlig enhet kan imiteres av en angriper på enheten hans |
| oppførsel | Inherens | Analyserer hvordan brukeren samhandler med en enhet eller et program | Atferd kan imiteres |
| Fingeravtrykk | Inherens | Lagrede fingeravtrykk sammenlignes med de som fanges optisk eller elektronisk | Bildet kan stjeles og brukes til autentisering |
| Øyeskanning | Inherens | Sammenligner øyeegenskaper, som irismønster, med nye optiske skanninger | Bildet kan stjeles og brukes til autentisering |
| Ansiktsgjenkjenning | Inherens | Ansiktsegenskaper sammenlignes med nye optiske skanninger | Bildet kan stjeles og brukes til autentisering |
| Stemme gjenkjenning | Inherens | Egenskapene til den innspilte stemmeprøven sammenlignes med nye prøver | Posten kan stjeles og brukes til autentisering, eller emuleres |
I den andre delen av publikasjonen venter de deiligste tingene på oss - tall og fakta, som konklusjonene og anbefalingene gitt i den første delen er basert på. Autentisering i brukerapplikasjoner og i bedriftssystemer vil bli diskutert separat.
Se deg der!
Kilde: www.habr.com