Spoiler z tytułu raportu: „Wzrasta wykorzystanie silnego uwierzytelniania ze względu na zagrożenie nowymi zagrożeniami i wymogami regulacyjnymi”.
Firma badawcza „Javelin Strategy & Research” opublikowała raport „Stan silnego uwierzytelniania 2019” (). Raport ten mówi: jaki procent amerykańskich i europejskich firm używa haseł (i dlaczego obecnie niewiele osób używa haseł); dlaczego tak szybko rośnie wykorzystanie uwierzytelniania dwuskładnikowego w oparciu o tokeny kryptograficzne; Dlaczego jednorazowe kody wysyłane SMS-em nie są bezpieczne.
Zapraszamy wszystkich zainteresowanych teraźniejszością, przeszłością i przyszłością uwierzytelniania w przedsiębiorstwach i zastosowaniach konsumenckich.
Od tłumacza
Niestety, język, w jakim napisano ten raport, jest dość „suchy” i formalny. A pięciokrotne użycie słowa „uwierzytelnienie” w jednym krótkim zdaniu nie jest wynikiem krzywych rąk (lub mózgu) tłumacza, ale kaprysu autorów. Tłumacząc z dwóch opcji – aby dać czytelnikom tekst bliższy oryginałowi lub ciekawszy, czasami wybierałem pierwszą, a czasami drugą. Ale bądźcie cierpliwi, drodzy czytelnicy, zawartość raportu jest tego warta.
Usunięto niektóre nieistotne i niepotrzebne fragmenty fabuły, w przeciwnym razie większość nie byłaby w stanie przebrnąć przez cały tekst. Ci, którzy chcą przeczytać raport w wersji „nieoszlifowanej”, mogą to zrobić w języku oryginalnym, klikając link.
Niestety autorzy nie zawsze dbają o terminologię. Dlatego hasła jednorazowe (One Time Password - OTP) nazywane są czasem „hasłami”, a czasem „kodami”. Jeszcze gorzej jest z metodami uwierzytelniania. Niewprawnemu czytelnikowi nie zawsze łatwo jest odgadnąć, że „uwierzytelnianie przy użyciu kluczy kryptograficznych” i „silne uwierzytelnianie” to to samo. Starałem się jak najbardziej ujednolicić pojęcia, a w samym raporcie znalazł się fragment z ich opisem.
Niemniej jednak warto przeczytać raport, ponieważ zawiera unikalne wyniki badań i trafne wnioski.
Wszystkie liczby i fakty przedstawiono bez najmniejszych zmian, a jeśli się z nimi nie zgadzasz, lepiej kłócić się nie z tłumaczem, ale z autorami raportu. A oto moje uwagi (umieszczone w cudzysłowie i zaznaczone w tekście Włoski) to mój ocena wartości i chętnie podejmę dyskusję na temat każdego z nich (a także jakości tłumaczenia).
Przegląd
Cyfrowe kanały komunikacji z klientami są obecnie dla przedsiębiorstw ważniejsze niż kiedykolwiek wcześniej. W firmie komunikacja między pracownikami jest bardziej cyfrowa niż kiedykolwiek wcześniej. Stopień bezpieczeństwa tych interakcji zależy od wybranej metody uwierzytelniania użytkownika. Atakujący wykorzystują słabe uwierzytelnianie, aby masowo włamywać się na konta użytkowników. W odpowiedzi organy regulacyjne zaostrzają standardy, aby zmusić firmy do lepszej ochrony kont i danych użytkowników.
Zagrożenia związane z uwierzytelnianiem wykraczają poza aplikacje konsumenckie; osoby atakujące mogą również uzyskać dostęp do aplikacji działających wewnątrz przedsiębiorstwa. Ta operacja pozwala im podszywać się pod użytkowników korporacyjnych. Osoby atakujące korzystające z punktów dostępu ze słabym uwierzytelnianiem mogą kraść dane i wykonywać inne oszukańcze działania. Na szczęście istnieją środki, aby temu zaradzić. Silne uwierzytelnianie pomoże znacząco zmniejszyć ryzyko ataku atakującego, zarówno na aplikacje konsumenckie, jak i na systemy biznesowe przedsiębiorstw.
W badaniu tym zbadano: w jaki sposób przedsiębiorstwa wdrażają uwierzytelnianie w celu ochrony aplikacji użytkowników końcowych i systemów biznesowych przedsiębiorstwa; czynniki, które biorą pod uwagę przy wyborze rozwiązania uwierzytelniającego; rolę, jaką odgrywa silne uwierzytelnianie w ich organizacjach; korzyści, jakie te organizacje uzyskują.
Streszczenie
Kluczowe ustalenia
Od 2017 r. gwałtownie wzrosło wykorzystanie silnego uwierzytelniania. Wraz ze wzrostem liczby luk w zabezpieczeniach tradycyjnych rozwiązań uwierzytelniających organizacje wzmacniają swoje możliwości uwierzytelniania za pomocą silnego uwierzytelniania. Liczba organizacji korzystających z kryptograficznego uwierzytelniania wieloskładnikowego (MFA) potroiła się od 2017 r. w przypadku aplikacji konsumenckich i wzrosła o prawie 50% w przypadku aplikacji dla przedsiębiorstw. Najszybszy rozwój obserwuje się w uwierzytelnianiu mobilnym ze względu na rosnącą dostępność uwierzytelniania biometrycznego.
Widzimy tu ilustrację powiedzenia: „Dopóki nie uderzy grzmot, człowiek nie przeżegna się”. Kiedy eksperci ostrzegali o niepewności haseł, nikt nie spieszył się z wdrożeniem uwierzytelniania dwuskładnikowego. Gdy tylko hakerzy zaczęli kraść hasła, ludzie zaczęli wdrażać uwierzytelnianie dwuskładnikowe.
To prawda, że jednostki znacznie aktywniej wdrażają 2FA. Po pierwsze, łatwiej jest im uspokoić swoje obawy, opierając się na uwierzytelnianiu biometrycznym wbudowanym w smartfony, na którym tak naprawdę nie można polegać. Organizacje muszą wydawać pieniądze na zakup tokenów i wykonywać prace (właściwie bardzo proste), aby je wdrożyć. Po drugie, tylko leniwi ludzie nie pisali o wyciekach haseł z serwisów takich jak Facebook i Dropbox, ale pod żadnym pozorem CIO tych organizacji nie będą dzielić się historiami o tym, jak kradzieży haseł (i co potem się wydarzyło) w organizacjach.
Ci, którzy nie korzystają z silnego uwierzytelniania, nie doceniają ryzyka, jakie narażają swoją firmę i klientów. Niektóre organizacje, które obecnie nie korzystają z silnego uwierzytelniania, postrzegają loginy i hasła jako jedną z najskuteczniejszych i najłatwiejszych w użyciu metod uwierzytelniania użytkowników. Inni nie dostrzegają wartości posiadanych zasobów cyfrowych. W końcu warto wziąć pod uwagę, że cyberprzestępców interesują wszelkie informacje konsumenckie i biznesowe. Dwie trzecie firm, które do uwierzytelniania swoich pracowników używają wyłącznie haseł, robi tak, ponieważ uważają, że hasła są wystarczająco dobre dla rodzaju informacji, które chronią.
Hasła jednak idą do grobu. W ciągu ostatniego roku znacznie spadła zależność od haseł, zarówno w przypadku aplikacji konsumenckich, jak i korporacyjnych (odpowiednio z 44% do 31% i z 56% do 47%), ponieważ organizacje coraz częściej korzystają z tradycyjnej usługi MFA i silnego uwierzytelniania.
Jeśli jednak spojrzymy na sytuację jako całość, nadal przeważają podatne na ataki metody uwierzytelniania. Do uwierzytelniania użytkowników około jedna czwarta organizacji korzysta z SMS OTP (hasło jednorazowe) wraz z pytaniami zabezpieczającymi. W rezultacie należy wdrożyć dodatkowe środki bezpieczeństwa w celu ochrony przed podatnością, co zwiększa koszty. Znacznie rzadziej, bo w około 5% organizacji, stosowane są znacznie bezpieczniejsze metody uwierzytelniania, takie jak sprzętowe klucze kryptograficzne.
Zmieniające się otoczenie regulacyjne obiecuje przyspieszyć przyjęcie silnego uwierzytelniania w aplikacjach konsumenckich. Wraz z wprowadzeniem PSD2, a także nowych przepisów o ochronie danych w UE i kilku stanach USA, takich jak Kalifornia, w firmach zrobiło się gorąco. Prawie 70% firm zgadza się, że stoją przed silną presją regulacyjną, aby zapewnić swoim klientom silne uwierzytelnianie. Ponad połowa przedsiębiorstw uważa, że w ciągu kilku lat stosowane przez nich metody uwierzytelniania nie będą wystarczające, aby spełniać standardy regulacyjne.
Wyraźnie widoczna jest różnica w podejściu legislatorów rosyjskich i amerykańsko-europejskich do ochrony danych osobowych użytkowników programów i usług. Rosjanie mówią: drodzy właściciele serwisów, róbcie co chcecie i jak chcecie, ale jeśli wasz administrator połączy bazę danych, to was ukarzemy. Za granicą mówią: trzeba wprowadzić zestaw środków, które nie pozwoli opróżnij bazę. Dlatego wdrażane są tam wymagania dotyczące ścisłego uwierzytelniania dwuskładnikowego.
To prawda, że nie jest wcale prawdą, że pewnego dnia nasza machina legislacyjna nie opamięta się i nie uwzględni zachodnich doświadczeń. Potem okazuje się, że każdy musi wdrożyć 2FA, które jest zgodne z rosyjskimi standardami kryptograficznymi, i to pilnie.
Ustanowienie silnych ram uwierzytelniania pozwala firmom przenieść swoją uwagę ze spełniania wymogów prawnych na zaspokajanie potrzeb klientów. Dla tych organizacji, które nadal korzystają z prostych haseł lub otrzymują kody za pośrednictwem wiadomości SMS, najważniejszym czynnikiem przy wyborze metody uwierzytelniania będzie zgodność z wymogami regulacyjnymi. Jednak te firmy, które już korzystają z silnego uwierzytelniania, mogą skupić się na wyborze takich metod uwierzytelniania, które zwiększają lojalność klientów.
Przy wyborze korporacyjnej metody uwierzytelniania w przedsiębiorstwie wymagania regulacyjne nie są już istotnym czynnikiem. W tym przypadku znacznie ważniejsza jest łatwość integracji (32%) i koszt (26%).
W dobie phishingu napastnicy mogą wykorzystywać firmową pocztę e-mail do oszustw w celu wyłudzenia dostępu do danych, rachunków (z odpowiednimi uprawnieniami), a nawet nakłonienia pracowników do wykonania przelewu na jego konto. Dlatego firmowe konta e-mail i portale muszą być szczególnie dobrze chronione.
Google wzmocniło swoje bezpieczeństwo wdrażając silne uwierzytelnianie. Ponad dwa lata temu Google opublikował raport na temat wdrożenia uwierzytelniania dwuskładnikowego w oparciu o kryptograficzne klucze bezpieczeństwa z wykorzystaniem standardu FIDO U2F, odnotowując imponujące rezultaty. Według firmy nie przeprowadzono ani jednego ataku phishingowego na ponad 85 000 pracowników.
zalecenia
Wdrażaj silne uwierzytelnianie w aplikacjach mobilnych i internetowych. Uwierzytelnianie wieloczynnikowe oparte na kluczach kryptograficznych zapewnia znacznie lepszą ochronę przed włamaniami niż tradycyjne metody MFA. Ponadto korzystanie z kluczy kryptograficznych jest znacznie wygodniejsze, ponieważ nie ma konieczności wykorzystywania i przesyłania dodatkowych informacji – haseł, haseł jednorazowych czy danych biometrycznych z urządzenia użytkownika do serwera uwierzytelniającego. Ponadto standaryzacja protokołów uwierzytelniania znacznie ułatwia wdrażanie nowych metod uwierzytelniania, gdy tylko staną się one dostępne, redukując koszty wdrożenia i chroniąc przed bardziej wyrafinowanymi schematami oszustw.
Przygotuj się na upadek haseł jednorazowych (OTP). Luki w zabezpieczeniach OTP stają się coraz bardziej widoczne, ponieważ cyberprzestępcy korzystają z inżynierii społecznej, klonowania smartfonów i złośliwego oprogramowania, aby naruszyć te sposoby uwierzytelniania. A jeśli OTP w niektórych przypadkach mają pewne zalety, to tylko z punktu widzenia powszechnej dostępności dla wszystkich użytkowników, ale nie z punktu widzenia bezpieczeństwa.
Nie sposób nie zauważyć, że otrzymywanie kodów poprzez SMS czy powiadomienia Push, a także generowanie kodów za pomocą programów na smartfony, to korzystanie z tych samych haseł jednorazowych (OTP), na które jesteśmy proszeni o przygotowanie się na spadek. Z technicznego punktu widzenia rozwiązanie jest bardzo poprawne, ponieważ jest to rzadki przypadek oszusta, który nie próbuje poznać hasła jednorazowego od naiwnego użytkownika. Myślę jednak, że producenci takich systemów do końca będą się kurczowo trzymać umierającej technologii.
Użyj silnego uwierzytelniania jako narzędzia marketingowego, aby zwiększyć zaufanie klientów. Silne uwierzytelnianie może zdziałać więcej niż tylko poprawić rzeczywiste bezpieczeństwo Twojej firmy. Informowanie klientów, że Twoja firma korzysta z silnego uwierzytelniania, może wzmocnić opinię publiczną na temat bezpieczeństwa tej firmy – jest to ważny czynnik, gdy istnieje duże zapotrzebowanie klientów na metody silnego uwierzytelniania.
Przeprowadź dokładną inwentaryzację i ocenę krytyczności danych korporacyjnych i chroń je według ważności. Nawet dane niskiego ryzyka, takie jak dane kontaktowe klienta (nie, naprawdę, w raporcie jest napisane „niskie ryzyko”, to bardzo dziwne, że nie doceniają znaczenia tej informacji), może wnieść znaczną wartość dla oszustów i spowodować problemy dla firmy.
Użyj silnego uwierzytelniania korporacyjnego. Najbardziej atrakcyjnymi celami dla przestępców jest wiele systemów. Należą do nich systemy wewnętrzne i połączone z Internetem, takie jak program księgowy lub korporacyjna hurtownia danych. Silne uwierzytelnianie uniemożliwia atakującym uzyskanie nieautoryzowanego dostępu, a także umożliwia dokładne określenie, który pracownik dopuścił się szkodliwego działania.
Co to jest silne uwierzytelnianie?
W przypadku stosowania silnego uwierzytelniania stosuje się kilka metod lub czynników w celu sprawdzenia autentyczności użytkownika:
- Czynnik wiedzy: wspólny sekret między użytkownikiem a uwierzytelnionym podmiotem użytkownika (taki jak hasła, odpowiedzi na pytania zabezpieczające itp.)
- Współczynnik własności: urządzenie, które posiada tylko użytkownik (na przykład urządzenie mobilne, klucz kryptograficzny itp.)
- Współczynnik integralności: cechy fizyczne (często biometryczne) użytkownika (na przykład odcisk palca, wzór tęczówki, głos, zachowanie itp.)
Konieczność zhakowania wielu czynników znacznie zwiększa prawdopodobieństwo porażki atakujących, ponieważ ominięcie lub oszukanie różnych czynników wymaga zastosowania wielu rodzajów taktyk hakerskich, dla każdego czynnika z osobna.
Na przykład w przypadku 2FA „hasło + smartfon” osoba atakująca może przeprowadzić uwierzytelnienie, sprawdzając hasło użytkownika i wykonując dokładną kopię oprogramowania jego smartfona. Jest to o wiele trudniejsze niż zwykła kradzież hasła.
Ale jeśli w 2FA używane jest hasło i token kryptograficzny, to opcja kopiowania tutaj nie działa - nie da się zduplikować tokena. Oszust będzie musiał potajemnie ukraść token użytkownikowi. Jeśli użytkownik zauważy stratę w czasie i powiadomi administratora, token zostanie zablokowany, a wysiłki oszusta pójdą na marne. Dlatego też czynnik własności wymaga stosowania wyspecjalizowanych bezpiecznych urządzeń (tokenów), a nie urządzeń ogólnego przeznaczenia (smartfonów).
Użycie wszystkich trzech czynników sprawi, że ta metoda uwierzytelniania będzie dość kosztowna we wdrożeniu i dość niewygodna w użyciu. Dlatego zwykle stosuje się dwa z trzech czynników.
Bardziej szczegółowo opisano zasady uwierzytelniania dwuskładnikowego , w bloku „Jak działa uwierzytelnianie dwuskładnikowe”.
Należy zauważyć, że co najmniej jeden z czynników uwierzytelniających stosowanych w silnym uwierzytelnianiu musi wykorzystywać kryptografię klucza publicznego.
Silne uwierzytelnianie zapewnia znacznie silniejszą ochronę niż uwierzytelnianie jednoskładnikowe oparte na klasycznych hasłach i tradycyjnym MFA. Hasła można szpiegować lub przechwytywać za pomocą programów rejestrujących naciśnięcia klawiszy, witryn phishingowych lub ataków socjotechnicznych (w przypadku których ofiara zostaje nakłoniona do ujawnienia hasła). Co więcej, właściciel hasła nie będzie wiedział nic o kradzieży. Tradycyjne MFA (w tym kody OTP powiązane ze smartfonem lub kartą SIM) również można dość łatwo zhakować, ponieważ nie opiera się na kryptografii klucza publicznego (Swoją drogą przykładów jest wiele, gdy wykorzystując te same techniki socjotechniki, oszuści namawiali użytkowników do podania im hasła jednorazowego).
Na szczęście od zeszłego roku stosowanie silnego uwierzytelniania i tradycyjnej usługi MFA zyskuje na popularności zarówno w aplikacjach konsumenckich, jak i korporacyjnych. Szczególnie szybko wzrosło wykorzystanie silnego uwierzytelniania w aplikacjach konsumenckich. O ile w 2017 r. korzystało z niego jedynie 5% firm, to w 2018 r. było to już trzykrotnie więcej – 16%. Można to wytłumaczyć zwiększoną dostępnością tokenów obsługujących algorytmy kryptografii klucza publicznego (PKC). Ponadto zwiększona presja ze strony europejskich organów regulacyjnych w następstwie przyjęcia nowych przepisów o ochronie danych, takich jak PSD2 i RODO, wywarła silny wpływ nawet poza Europą (w tym w Rosji).
Przyjrzyjmy się bliżej tym liczbom. Jak widzimy, odsetek osób prywatnych korzystających z uwierzytelniania wieloskładnikowego wzrósł w ciągu roku o imponujące 11%. I to najwyraźniej odbyło się kosztem miłośników haseł, ponieważ liczba tych, którzy wierzą w bezpieczeństwo powiadomień Push, SMS-ów i biometrii, nie uległa zmianie.
Jednak w przypadku uwierzytelniania dwuskładnikowego do użytku korporacyjnego sytuacja nie wygląda już tak dobrze. Po pierwsze, jak wynika z raportu, jedynie 5% pracowników zostało przeniesionych z uwierzytelniania hasłem na tokeny. Po drugie, liczba osób korzystających z alternatywnych opcji MFA w środowisku korporacyjnym wzrosła o 4%.
Spróbuję pobawić się w analityka i przedstawić swoją interpretację. W centrum cyfrowego świata indywidualnych użytkowników znajduje się smartfon. Nic więc dziwnego, że większość korzysta z możliwości, jakie zapewnia im urządzenie – uwierzytelniania biometrycznego, powiadomień SMS i Push, a także haseł jednorazowych generowanych przez aplikacje na samym smartfonie. Ludzie zazwyczaj nie myślą o bezpieczeństwie i niezawodności podczas korzystania z narzędzi, do których są przyzwyczajeni.
Dlatego też odsetek użytkowników prymitywnych „tradycyjnych” czynników uwierzytelniających pozostaje niezmienny. Jednak ci, którzy już korzystali z haseł, rozumieją, ile ryzykują, i wybierając nowy czynnik uwierzytelniający, wybierają najnowszą i najbezpieczniejszą opcję - token kryptograficzny.
Jeśli chodzi o rynek korporacyjny, ważne jest, aby zrozumieć, w którym systemie przeprowadzane jest uwierzytelnianie. Jeżeli zaimplementowano logowanie do domeny Windows, wykorzystywane są tokeny kryptograficzne. Możliwości wykorzystania ich w 2FA są już wbudowane zarówno w Windows, jak i Linux, ale alternatywne opcje są długie i trudne do wdrożenia. To tyle, jeśli chodzi o migrację 5% z haseł na tokeny.
A wdrożenie 2FA w korporacyjnym systemie informacyjnym w dużej mierze zależy od kwalifikacji programistów. A programistom znacznie łatwiej jest wziąć gotowe moduły do generowania haseł jednorazowych, niż zrozumieć działanie algorytmów kryptograficznych. W rezultacie nawet aplikacje o niezwykle krytycznym znaczeniu dla bezpieczeństwa, takie jak pojedyncze logowanie lub systemy zarządzania dostępem uprzywilejowanym, wykorzystują OTP jako drugi czynnik.
Wiele luk w tradycyjnych metodach uwierzytelniania
Chociaż wiele organizacji w dalszym ciągu polega na starszych systemach jednoskładnikowych, luki w zabezpieczeniach tradycyjnego uwierzytelniania wieloskładnikowego stają się coraz bardziej widoczne. Hasła jednorazowe, zwykle o długości od sześciu do ośmiu znaków, dostarczane za pośrednictwem wiadomości SMS, pozostają najpowszechniejszą formą uwierzytelnienia (oczywiście oprócz hasła). A kiedy w prasie popularnej pojawiają się słowa „uwierzytelnianie dwuskładnikowe” lub „weryfikacja dwuetapowa”, prawie zawsze odnoszą się one do uwierzytelniania za pomocą jednorazowego hasła SMS.
Tutaj autor trochę się myli. Dostarczanie haseł jednorazowych za pośrednictwem wiadomości SMS nigdy nie było uwierzytelnianiem dwuskładnikowym. Jest to w najczystszej formie drugi etap dwuetapowego uwierzytelniania, gdzie pierwszym etapem jest podanie loginu i hasła.
W 2016 roku Narodowy Instytut Standardów i Technologii (NIST) zaktualizował swoje zasady uwierzytelniania, aby wyeliminować stosowanie haseł jednorazowych wysyłanych SMS-em. Jednakże zasady te zostały znacznie złagodzone po protestach branży.
Zatem podążajmy za fabułą. Amerykański regulator słusznie uznaje, że przestarzała technologia nie jest w stanie zapewnić bezpieczeństwa użytkownikom i wprowadza nowe standardy. Standardy mające na celu ochronę użytkowników aplikacji internetowych i mobilnych (w tym bankowych). Branża oblicza, ile pieniędzy będzie musiała wydać na zakup naprawdę niezawodnych tokenów kryptograficznych, przeprojektowanie aplikacji, wdrożenie infrastruktury klucza publicznego i „wspina się na nogi”. Z jednej strony użytkownicy byli przekonani o wiarygodności haseł jednorazowych, z drugiej strony dochodziło do ataków na NIST. W rezultacie standard został złagodzony, a liczba włamań i kradzieży haseł (oraz pieniędzy z aplikacji bankowych) gwałtownie wzrosła. Ale branża nie musiała wydawać pieniędzy.
Od tego czasu nieodłączne słabości SMS OTP stały się bardziej widoczne. Oszuści wykorzystują różne metody w celu naruszenia bezpieczeństwa wiadomości SMS:
- Duplikacja karty SIM. Atakujący tworzą kopię karty SIM (przy pomocy pracowników operatora komórkowego lub samodzielnie, przy użyciu specjalnego oprogramowania i sprzętu). W efekcie atakujący otrzymuje SMS-a z jednorazowym hasłem. W jednym szczególnie znanym przypadku hakerom udało się nawet włamać na konto AT&T inwestora kryptowalut Michaela Turpina i ukraść kryptowaluty o wartości prawie 24 milionów dolarów. W rezultacie Turpin stwierdził, że wina leży po stronie AT&T ze względu na słabe środki weryfikacyjne, które doprowadziły do duplikowania kart SIM.
Niesamowita logika. Więc to naprawdę tylko wina AT&T? Nie, niewątpliwie jest to wina operatora komórkowego, że sprzedawcy w sklepie komunikacyjnym wydali duplikat karty SIM. A co z systemem uwierzytelniania giełd kryptowalut? Dlaczego nie użyli silnych tokenów kryptograficznych? Czy szkoda było wydawać pieniądze na wdrożenie? Czy sam Michael nie jest winien? Dlaczego nie nalegał na zmianę mechanizmu uwierzytelniania lub skorzystał tylko z tych giełd, które implementują uwierzytelnianie dwuskładnikowe w oparciu o tokeny kryptograficzne?
Wprowadzenie naprawdę niezawodnych metod uwierzytelniania jest opóźnione właśnie dlatego, że użytkownicy wykazują niesamowitą nieostrożność przed włamaniem, a potem zrzucają winę za swoje problemy na kogokolwiek i na wszystko inne niż przestarzałe i „nieszczelne” technologie uwierzytelniania
- Złośliwe oprogramowanie. Jedną z najwcześniejszych funkcji mobilnego szkodliwego oprogramowania było przechwytywanie i przesyłanie wiadomości tekstowych do atakujących. Ponadto ataki typu man-in-the-browser i man-in-the-middle mogą przechwytywać hasła jednorazowe wprowadzane na zainfekowanych laptopach lub urządzeniach stacjonarnych.
Kiedy aplikacja Sberbank na Twoim smartfonie miga zieloną ikoną na pasku stanu, szuka również „złośliwego oprogramowania” w Twoim telefonie. Celem tego wydarzenia jest przekształcenie niezaufanego środowiska wykonawczego typowego smartfona w, przynajmniej w jakiś sposób, zaufane.
Swoją drogą smartfon, jako całkowicie niezaufane urządzenie, na którym można zrobić wszystko, to kolejny powód, aby używać go do uwierzytelniania tylko tokeny sprzętowe, które są chronione i wolne od wirusów i trojanów. - Inżynieria społeczna. Gdy oszuści dowiedzą się, że ofiara ma włączone hasła jednorazowe za pośrednictwem wiadomości SMS, mogą skontaktować się z nią bezpośrednio, podając się za zaufaną organizację, taką jak jej bank lub kasa oszczędnościowo-kredytowa, aby nakłonić ofiarę do podania właśnie otrzymanego kodu.
Osobiście wielokrotnie spotkałem się z tego typu oszustwami, np. próbując coś sprzedać na popularnym internetowym pchlim targu. Sam naśmiewałem się z oszusta, który próbował mnie oszukać do woli. Ale niestety regularnie czytam w wiadomościach, jak kolejna ofiara oszustów „nie pomyślała”, podała kod potwierdzający i straciła dużą sumę. A wszystko dlatego, że bank po prostu nie chce zajmować się wdrażaniem tokenów kryptograficznych w swoich aplikacjach. W końcu, jeśli coś się stanie, klienci „sami są sobie winni”.
Chociaż alternatywne metody dostarczania OTP mogą złagodzić niektóre luki w zabezpieczeniach tej metody uwierzytelniania, inne luki pozostają. Samodzielne aplikacje do generowania kodu stanowią najlepszą ochronę przed podsłuchiwaniem, ponieważ nawet złośliwe oprogramowanie nie może bezpośrednio wchodzić w interakcję z generatorem kodu (poważnie? Czy autor raportu zapomniał o zdalnym sterowaniu?), ale hasła jednorazowe mogą nadal zostać przechwycone po wprowadzeniu do przeglądarki (na przykład za pomocą keyloggera), poprzez zhakowaną aplikację mobilną; i można je również uzyskać bezpośrednio od użytkownika za pomocą socjotechniki.
Korzystanie z wielu narzędzi oceny ryzyka, takich jak rozpoznawanie urządzenia (wykrywanie prób dokonania transakcji z urządzeń nienależących do legalnego użytkownika), geolokalizacja (użytkownik, który właśnie był w Moskwie, próbuje przeprowadzić operację z Nowosybirska) i analityka behawioralna są ważne w usuwaniu luk w zabezpieczeniach, ale żadne z rozwiązań nie jest panaceum. Dla każdej sytuacji i rodzaju danych należy dokładnie ocenić ryzyko i wybrać, jaką technologię uwierzytelniania należy zastosować.
Żadne rozwiązanie uwierzytelniające nie jest panaceum
Rysunek 2. Tabela opcji uwierzytelniania
| Uwierzytelnianie | Czynnik | Opis | Kluczowe luki |
| Hasło lub PIN | Wiedza | Stała wartość, która może zawierać litery, cyfry i wiele innych znaków | Może zostać przechwycony, szpiegowany, skradziony, przechwycony lub zhakowany |
| Uwierzytelnianie oparte na wiedzy | Wiedza | Pytania, na które odpowiedzi może znać tylko legalny użytkownik | Można je przechwycić, odebrać, pozyskać metodami inżynierii społecznej |
| Sprzętowe hasło jednorazowe () | Posiadanie | Specjalne urządzenie generujące hasła jednorazowe | Kod może zostać przechwycony i powtórzony lub urządzenie może zostać skradzione |
| OTP oprogramowania | Posiadanie | Aplikacja (mobilna, dostępna przez przeglądarkę lub wysyłająca kody e-mailem) generująca hasła jednorazowe | Kod może zostać przechwycony i powtórzony lub urządzenie może zostać skradzione |
| Hasło jednorazowe SMS | Posiadanie | Hasło jednorazowe dostarczane SMS-em | Kod może zostać przechwycony i powtórzony, smartfon lub karta SIM może zostać skradziona lub karta SIM może zostać zduplikowana |
| Karty inteligentne () | Posiadanie | Karta zawierająca chip kryptograficzny i bezpieczną pamięć klucza, która wykorzystuje infrastrukturę klucza publicznego do uwierzytelniania | Może zostać fizycznie skradziony (ale osoba atakująca nie będzie mogła korzystać z urządzenia bez znajomości kodu PIN; w przypadku kilku błędnych prób wprowadzenia danych urządzenie zostanie zablokowane) |
| Klucze bezpieczeństwa - tokeny (, ) | Posiadanie | Urządzenie USB zawierające chip kryptograficzny i bezpieczną pamięć klucza, które wykorzystuje infrastrukturę klucza publicznego do uwierzytelniania | Może zostać fizycznie skradziony (jednak osoba atakująca nie będzie mogła korzystać z urządzenia bez znajomości kodu PIN; w przypadku kilku błędnych prób wejścia urządzenie zostanie zablokowane) |
| Łączenie z urządzeniem | Posiadanie | Proces tworzenia profilu, często przy użyciu JavaScript lub znaczników, takich jak pliki cookie i obiekty współdzielone Flash, w celu zapewnienia, że używane jest określone urządzenie | Tokeny mogą zostać skradzione (skopiowane), a cechy legalnego urządzenia mogą zostać imitowane przez osobę atakującą na jego urządzeniu |
| Zachowanie | Obecność | Analizuje sposób interakcji użytkownika z urządzeniem lub programem | Zachowanie można naśladować |
| Odciski palców | Obecność | Przechowywane odciski palców są porównywane z tymi zarejestrowanymi optycznie lub elektronicznie | Obraz może zostać skradziony i wykorzystany do uwierzytelnienia |
| Skan oka | Obecność | Porównuje cechy oka, takie jak wzór tęczówki, z nowymi skanami optycznymi | Obraz może zostać skradziony i wykorzystany do uwierzytelnienia |
| Rozpoznawanie twarzy | Obecność | Cechy twarzy porównuje się z nowymi skanami optycznymi | Obraz może zostać skradziony i wykorzystany do uwierzytelnienia |
| Rozpoznawanie głosu | Obecność | Charakterystyka nagranej próbki głosu jest porównywana z nowymi próbkami | Rekord może zostać skradziony i użyty do uwierzytelnienia lub emulowany |
W drugiej części publikacji czekają na nas najsmaczniejsze rzeczy – liczby i fakty, na których opierają się wnioski i rekomendacje zawarte w pierwszej części. Uwierzytelnianie w aplikacjach użytkownika oraz w systemach korporacyjnych zostanie omówione osobno.
Do zobaczenia wkrótce!
Źródło: www.habr.com