ProHoster > بلاګ > انټرنیټ خبرونه > د تصدیق او پاسورډونو سره به څه پیښ شي؟ د تبصرو سره د جیولین راپور "د قوي تصدیق حالت" ژباړه

د تصدیق او پاسورډونو سره به څه پیښ شي؟ د تبصرو سره د جیولین راپور "د قوي تصدیق حالت" ژباړه

د تصدیق او پاسورډونو سره به څه پیښ شي؟ د تبصرو سره د جیولین راپور "د قوي تصدیق حالت" ژباړه

د راپور له سرلیک څخه سپوئلر: "د قوي تصدیق کارول د نوي خطرونو او تنظیمي اړتیاو د ګواښ له امله ډیریږي."
څیړنیز شرکت "جاولین ستراتیژی او څیړنه" راپور خپور کړ چې "د قوي تصدیق 2019 حالت" ( اصلي په pdf بڼه دلته ډاونلوډ کیدی شي). دا راپور وايي: څومره سلنه امریکايي او اروپايي شرکتونه پاسورډونه کاروي (او اوس ولې لږ خلک پاسورډونه کاروي)؛ ولې د کریپټوګرافیک توکیو پراساس د دوه فاکتور تصدیق کارول په چټکۍ سره وده کوي؛ ولې د SMS له لارې لیږل شوي یو ځل کوډونه خوندي ندي.

هرڅوک چې په تصدیو او مصرف کونکو غوښتنلیکونو کې د تصدیق اوسني ، تیر او راتلونکي سره علاقه لري ښه راغلاست دی.

د ژباړونکي څخه

افسوس، په هغه ژبه چې دا راپور لیکل شوی دی خورا "وچ" او رسمي دی. او په یوه لنډه جمله کې د "تصدیق" کلمه پنځه ځله کارول د ژباړونکي کږه لاسونه (یا مغز) ندي ، بلکه د لیکوالانو لیونۍ ده. کله چې د دوو اختیارونو څخه ژباړه کول - لوستونکو ته د اصلي متن سره نږدې، یا یو ډیر په زړه پورې متن وړاندې کولو لپاره، ما ځینې وختونه لومړی او ځینې وختونه دویمه غوره کړه. خو ګرانو لوستونکو صبر وکړئ، د راپور منځپانګه د ارزښت وړ ده.

د کیسې لپاره ځینې غیر ضروري او غیر ضروري ټوټې لرې شوي، که نه نو اکثریت به د ټول متن له لارې نه وي رسیدلی. هغه څوک چې غواړي راپور "نه پرې شوی" ولولي کولی شي دا د لینک په تعقیب په اصلي ژبه کې وکړي.

له بده مرغه، لیکوالان تل د اصطلاحاتو سره احتیاط نه کوي. په دې توګه، یو وخت پاسورډونه (یو وخت پاسورډ - OTP) ځینې وختونه د "پاسورډ" په نوم یادیږي، او ځینې وختونه "کوډونه". دا د تصدیق کولو میتودونو سره حتی خراب دی. د غیر روزل شوي لوستونکي لپاره دا تل اسانه نه وي چې اټکل وکړي چې "د کریپټوګرافیک کیلي په کارولو سره تصدیق" او "قوی تصدیق" یو شی دی. ما هڅه وکړه چې شرایط د امکان تر حده یوځای کړم، او پخپله راپور کې د دوی د توضیحاتو سره یوه ټوټه شتون لري.

په هرصورت، راپور د لوستلو خورا سپارښتنه کیږي ځکه چې دا د ځانګړي څیړنې پایلې او سمې پایلې لري.

ټول ارقام او حقایق پرته له کوم لږ بدلون څخه وړاندې کیږي، او که تاسو ورسره موافق نه یاست، نو دا به غوره وي چې د ژباړونکي سره نه، مګر د راپور لیکوالانو سره بحث وکړئ. او دلته زما نظرونه دي (د نرخونو په توګه ایښودل شوي، او په متن کې نښه شوي ایټالیوي) زما د ارزښت قضاوت دی او زه به خوشحاله شم چې د دوی په هر یو باندې بحث وکړم (او همدارنګه د ژباړې کیفیت).

عمومي کتنه

نن ورځ، د پیرودونکو سره د اړیکو ډیجیټل چینلونه د سوداګرۍ لپاره د هرکله څخه ډیر مهم دي. او د شرکت دننه، د کارمندانو ترمنځ ارتباط د پخوا په پرتله ډیر ډیجیټل متمرکز دي. او دا تعامل به څومره خوندي وي د کارونکي تصدیق کولو غوره شوي میتود پورې اړه لري. برید کوونکي په پراخه کچه د کاروونکو حسابونو هیک کولو لپاره ضعیف تصدیق کاروي. په ځواب کې، تنظیم کونکي معیارونه سختوي ترڅو سوداګرۍ مجبور کړي چې د کاروونکو حسابونو او معلوماتو ښه ساتنه وکړي.

د تصدیق پورې اړوند ګواښونه د مصرف کونکي غوښتنلیکونو هاخوا پراخیږي؛ برید کونکي کولی شي د تصدۍ دننه غوښتنلیکونو ته هم لاسرسی ومومي. دا عملیات دوی ته اجازه ورکوي چې د کارپوریټ کاروونکو تقلید وکړي. برید کونکي د ضعیف تصدیق سره د لاسرسي نقطې کاروي کولی شي ډیټا غلا کړي او نور جعلي فعالیتونه ترسره کړي. خوشبختانه، د دې سره د مبارزې لپاره اقدامات شتون لري. قوي تصدیق به د برید کونکي لخوا د برید خطر کمولو کې د پام وړ مرسته وکړي ، دواړه د مصرف کونکي غوښتنلیکونو او د سوداګرۍ سوداګرۍ سیسټمونو کې.

دا څیړنه معاینه کوي: څنګه تصدۍ د پای کارونکي غوښتنلیکونو او د سوداګرۍ سوداګرۍ سیسټمونو ساتلو لپاره تصدیق پلي کوي؛ هغه عوامل چې دوی یې په پام کې نیسي کله چې د تصدیق حل غوره کوي؛ هغه رول چې قوي تصدیق د دوی په سازمانونو کې لوبوي؛ هغه ګټې چې دا سازمانونه ترلاسه کوي.

لنډیز

کلیدي موندنې

د 2017 راهیسې، د قوي تصدیق کارول په چټکۍ سره زیات شوي. د زیان منونکو شمیر مخ په ډیریدو سره د دودیز تصدیق کولو حلونو اغیزه کوي ، سازمانونه د قوي تصدیق سره د دوی د تصدیق وړتیا پیاوړي کوي. د هغو سازمانونو شمیر چې د کریپټوګرافیک ملټي فکتور تصدیق (MFA) کاروي د مصرف کونکي غوښتنلیکونو لپاره له 2017 راهیسې درې چنده شوی او د تصدۍ غوښتنلیکونو لپاره نږدې 50٪ ډیر شوی. د بایومیټریک تصدیق زیاتوالي له امله په ګرځنده تصدیق کې ترټولو ګړندۍ وده لیدل کیږي.

دلته موږ د دې وینا یوه بیلګه ګورو چې "تر څو چې تندر نه وي، یو سړی به له ځانه نه تیریږي." کله چې متخصصینو د پاسورډونو د ناامنۍ په اړه خبرداری ورکړ، هیڅوک د دوه فاکتور تصدیق پلي کولو کې بېړه نه وه. هرڅومره ژر چې هیکرانو د پاسورډونو غلا کول پیل کړل ، خلکو د دوه فاکتور تصدیق پلي کول پیل کړل.

ریښتیا، اشخاص ډیر په فعاله توګه 2FA پلي کوي. لومړی، دا د دوی لپاره اسانه ده چې په سمارټ فونونو کې جوړ شوي بایومیټریک تصدیق باندې تکیه کولو سره خپلې ویره ارامه کړي، کوم چې په حقیقت کې خورا بې اعتباره دی. سازمانونه باید د ټوکن پیرود لپاره پیسې مصرف کړي او د پلي کولو لپاره کار وکړي (په حقیقت کې خورا ساده). او دوهم، یوازې سست خلکو د فیسبوک او ډراپ باکس په څیر خدماتو څخه د پټنوم لیکونو په اړه ندي لیکلي، مګر په هیڅ حالت کې به د دې سازمانونو CIOs پدې اړه کیسې شریکې نه کړي چې څنګه پاسورډونه غلا شوي (او وروسته څه پیښ شوي) په سازمانونو کې.

هغه څوک چې قوي تصدیق نه کاروي د دوی سوداګرۍ او پیرودونکو ته د دوی خطر کم اټکل کوي. ځینې ​​​​سازمانونه چې دا مهال قوي تصدیق نه کاروي د کارونکي تصدیق کولو ترټولو مؤثره او د کارولو اسانه میتودونو څخه د ننوتلو او پاسورډونو په توګه ګوري. نور د ډیجیټل شتمنیو ارزښت نه ګوري چې دوی یې لري. په هرصورت، دا په پام کې نیولو سره ارزښت لري چې سایبر جنایتکاران د هر مصرف کونکي او سوداګرۍ معلوماتو سره علاقه لري. دوه پر دریمه برخه شرکتونه چې یوازې د خپلو کارمندانو تصدیق کولو لپاره پاسورډونه کاروي دا کار کوي ځکه چې دوی باور لري پاسورډونه د معلوماتو ډول لپاره کافي ښه دي چې دوی یې ساتي.

په هرصورت، پاسورډونه د قبر په لور روان دي. د پاسورډ انحصار په تیر کال کې د مصرف کونکي او تصدۍ غوښتنلیکونو لپاره د پام وړ راټیټ شوی (له 44٪ څخه تر 31٪ او په ترتیب سره له 56٪ څخه 47٪ ته) ځکه چې سازمانونه د دودیز MFA او قوي تصدیق کارول زیاتوي.
مګر که موږ وضعیت په ټولیز ډول وګورو، د اعتبار وړ زیانمنونکي میتودونه لاهم غالب دي. د کارونکي تصدیق لپاره، شاوخوا څلورمه برخه سازمانونه د امنیتي پوښتنو سره د SMS OTP (یو وخت پټنوم) کاروي. د پایلې په توګه، اضافي امنیتي تدابیر باید د زیان مننې په وړاندې د ساتنې لپاره پلي شي، کوم چې لګښتونه زیاتوي. د خورا خوندي تصدیق کولو میتودونو کارول ، لکه د هارډویر کریپټوګرافیک کیلي ، په نږدې 5٪ سازمانونو کې خورا لږ کارول کیږي.

پرمختللی تنظیمي چاپیریال ژمنه کوي چې د مصرف کونکو غوښتنلیکونو لپاره د قوي تصدیق پلي کول ګړندي کړي. د PSD2 معرفي کولو سره ، په بیله بیا په EU او د متحده ایالاتو ډیری ایالتونو لکه کالیفورنیا کې د معلوماتو محافظت نوي مقررات ، شرکتونه د تودوخې احساس کوي. نږدې 70٪ شرکتونه موافق دي چې دوی د قوي تنظیمي فشار سره مخ دي ترڅو خپلو پیرودونکو ته قوي تصدیق چمتو کړي. له نیمایي څخه ډیر شرکتونه پدې باور دي چې په څو کلونو کې به د دوی د تصدیق کولو میتودونه د تنظیمي معیارونو پوره کولو لپاره کافي نه وي.

د پروګرامونو او خدماتو د کاروونکو د شخصي معلوماتو د ساتنې لپاره د روسیې او امریکایي-اروپایي قانون جوړونکو په چلند کې توپیر په ښکاره ډول لیدل کیږي. روسان وايي: ګرانو خدمتګارانو، هغه څه وکړئ چې تاسو یې غواړئ او څنګه یې غواړئ، مګر که ستاسو اداره ډیټابیس سره یوځای کړي، موږ به تاسو ته سزا درکړو. دوی په بهر کې وايي: تاسو باید یو لړ اقدامات پلي کړئ اجازه نه ورکوي بنسټ وچ کړئ. له همدې امله د سخت دوه فکتور تصدیق کولو اړتیاوې هلته پلي کیږي.
ریښتیا، دا له حقیقت څخه لیرې ده چې زموږ مقننه ماشین به یوه ورځ خپل هوش ته راشي او د لویدیځ تجربې په پام کې ونیسي. بیا دا معلومه شوه چې هرڅوک د 2FA پلي کولو ته اړتیا لري، کوم چې د روسیې کریپټوګرافیک معیارونو سره سمون لري، او په چټکۍ سره.

د قوي تصدیق کولو چوکاټ رامینځته کول شرکتونو ته اجازه ورکوي چې خپل تمرکز د تنظیمي اړتیاو پوره کولو څخه د پیرودونکو اړتیاو پوره کولو ته واړوي. د هغو سازمانونو لپاره چې لاهم ساده پاسورډونه کاروي یا د SMS له لارې کوډونه ترلاسه کوي ، ترټولو مهم فاکتور کله چې د تصدیق میتود غوره کول به د تنظیمي اړتیاو سره مطابقت وي. مګر هغه شرکتونه چې دمخه قوي تصدیق کاروي کولی شي د دې تصدیق کولو میتودونو غوره کولو باندې تمرکز وکړي چې د پیرودونکي وفاداري زیاتوي.

کله چې په یوه تصدۍ کې د کارپوریټ تصدیق کولو میتود غوره کړئ ، تنظیمي اړتیاوې نور د پام وړ فاکتور ندي. په دې حالت کې، د ادغام اسانتیا (32٪) او لګښت (26٪) خورا مهم دي.

د فشینګ په دوره کې، برید کونکي کولی شي د درغلۍ لپاره کارپوریټ بریښنالیک وکاروي په درغلۍ سره ډیټا، حسابونو (د مناسب لاسرسي حقونو سره) ته لاسرسی ترلاسه کول، او حتی د کارمندانو قانع کول چې د هغه حساب ته د پیسو لیږد وکړي. نو ځکه، د کارپوریټ بریښنالیک او پورټل حسابونه باید په ځانګړې توګه ښه خوندي شي.

ګوګل د قوي تصدیق پلي کولو سره خپل امنیت پیاوړی کړی. دوه کاله دمخه ، ګوګل د FIDO U2F معیار په کارولو سره د کریپټوګرافیک امنیت کیلي پراساس د دوه فاکتور تصدیق پلي کولو په اړه راپور خپور کړ ، د اغیزمنو پایلو راپور ورکول. د شرکت په وینا، د 85 څخه زیاتو کارمندانو په وړاندې یو فشینګ برید ندی ترسره شوی.

سپارښتنې

د ګرځنده او آنلاین غوښتنلیکونو لپاره قوي تصدیق پلي کړئ. د کریپټوګرافیک کیلي پراساس څو فکتور تصدیق کول د دودیزو MFA میتودونو په پرتله د هیکینګ پروړاندې خورا ښه محافظت چمتو کوي. سربیره پردې ، د کریپټوګرافیک کیلي کارول خورا اسانه دي ځکه چې د اضافي معلوماتو کارولو او لیږدولو ته اړتیا نشته - پاسورډونه ، یو ځل پاسورډونه یا د کارونکي وسیله څخه د تصدیق سرور ته بایومتریک ډیټا. برسیره پردې، د تصدیق کولو پروتوکولونو معیاري کول د نوي تصدیق میتودونو پلي کول خورا اسانه کوي ځکه چې دوی شتون لري، د پلي کولو لګښتونه کموي او د ډیرو پیچلي درغلیو سکیمونو په وړاندې ساتنه کوي.

د یو وخت پاسورډونو (OTP) له مینځه وړو لپاره چمتو کړئ. په OTPs کې موجود زیانونه په زیاتیدونکې توګه څرګندیږي ځکه چې سایبر مجرمین د دې تصدیق کولو وسیلو سره موافقت کولو لپاره ټولنیز انجینري ، سمارټ فون کلونینګ او مالویر کاروي. او که په ځینو مواردو کې OTPs ځینې ګټې ولري، نو یوازې د ټولو کاروونکو لپاره د نړیوال شتون له نظره، مګر د امنیت له نظره نه.

دا ناشونې ده چې په یاد ولرئ چې د SMS یا Push خبرتیاو له لارې د کوډونو ترلاسه کول ، او همدارنګه د سمارټ فونونو لپاره د برنامو په کارولو سره د کوډونو رامینځته کول ، د ورته یو وخت پاسورډونو (OTP) کارول دي چې موږ یې د کمیدو لپاره چمتو کولو غوښتنه کوو. له تخنیکي پلوه، حل خورا سم دی، ځکه چې دا یو نادر فریب کونکی دی چې هڅه نه کوي چې د یو وخت پټنوم د یو غلط کارونکي څخه ومومي. مګر زه فکر کوم چې د داسې سیسټمونو جوړونکي به تر وروستي پورې د مړینې ټیکنالوژۍ سره ودریږي.

د پیرودونکو باور زیاتولو لپاره د بازار موندنې وسیلې په توګه قوي تصدیق وکاروئ. قوي تصدیق کولی شي ستاسو د سوداګرۍ اصلي امنیت ته وده ورکولو څخه ډیر څه وکړي. پیرودونکو ته خبر ورکول چې ستاسو سوداګرۍ قوي تصدیق کاروي کولی شي د دې سوداګرۍ امنیت په اړه عامه پوهاوی پیاوړی کړي - یو مهم فکتور کله چې د قوي تصدیق میتودونو لپاره د پیرودونکو پام وړ غوښتنې شتون ولري.

د کارپوریټ ډیټا بشپړ لیست او انتقادي ارزونه ترسره کړئ او د اهمیت سره سم یې خوندي کړئ. حتی د ټیټ خطر ډیټا لکه د پیرودونکي اړیکې معلومات (نه، واقعیا، راپور وايي "ټیټ خطر"، دا خورا عجیب دی چې دوی د دې معلوماتو اهمیت کموي)، کولی شي درغلۍ کونکو ته د پام وړ ارزښت راوړي او د شرکت لپاره ستونزې رامینځته کړي.

د قوي تصدۍ تصدیق وکاروئ. یو شمیر سیسټمونه د مجرمینو لپاره خورا زړه راښکونکي هدفونه دي. پدې کې داخلي او انټرنیټ پورې تړلي سیسټمونه شامل دي لکه د محاسبې برنامه یا د کارپوریټ ډیټا ګودام. قوي تصدیق د برید کونکو څخه د غیر مجاز لاسرسي څخه مخنیوی کوي، او دا هم ممکنه کوي چې په سمه توګه معلومه کړي چې کوم کارمند ناوړه فعالیت کړی.

قوي تصدیق څه شی دی؟

کله چې قوي تصدیق وکاروئ ، د کارونکي اعتبار تصدیق کولو لپاره ډیری میتودونه یا فکتورونه کارول کیږي:

  • د پوهې عامل: د کارونکي او د کارونکي تصدیق شوي موضوع (لکه پاسورډونه، د امنیتي پوښتنو ځوابونه، او نور) ترمنځ شریک راز.
  • د مالکیت عامل: یوه وسیله چې یوازې کارونکي لري (د مثال په توګه، یو ګرځنده وسیله، یو کریپټوګرافیک کیلي، او نور)
  • د صداقت عامل: د کارونکي فزیکي (اکثرا بایومتریک) ځانګړتیاوې (د بیلګې په توګه، د ګوتو نښان، د ایرس بڼه، غږ، چلند، او نور)

د ډیری فکتورونو هیک کولو اړتیا د برید کونکو لپاره د ناکامۍ احتمال خورا ډیر کوي ، ځکه چې د مختلف فاکتورونو څخه تیریدل یا غولول د هر فکتور لپاره په جلا توګه د ډیری ډوله هیکینګ تاکتیکونو کارولو ته اړتیا لري.

د مثال په توګه ، د 2FA "پاسورډ + سمارټ فون" سره ، برید کونکی کولی شي د کارونکي پاسورډ په کتلو او د هغه د سمارټ فون دقیق سافټویر کاپي کولو سره تصدیق ترسره کړي. او دا په ساده ډول د پټنوم غلا کولو په پرتله خورا ستونزمن دی.

مګر که چیرې د 2FA لپاره پاسورډ او کریپټوګرافیک نښه وکارول شي ، نو د کاپي کولو اختیار دلته کار نه کوي - د ټوکن نقل کول ناممکن دي. جعل کونکی به اړتیا ولري چې په پټه توګه د کارونکي څخه نښه غلا کړي. که چیرې کاروونکي په وخت کې زیان خبر کړي او مدیر ته خبر ورکړي، نښه به بنده شي او د درغلۍ هڅې به بې ګټې وي. له همدې امله د ملکیت فکتور د عمومي هدف وسیلو (سمارټ فونونو) پرځای د ځانګړي خوندي وسیلو (ټوکنونو) کارولو ته اړتیا لري.

د ټولو دریو فاکتورونو کارول به د دې تصدیق کولو میتود پلي کولو لپاره خورا ګران او د کارولو لپاره خورا ګران کړي. له همدې امله، له دریو څخه دوه فکتورونه معمولا کارول کیږي.

د دوه فکتور تصدیق کولو اصول په ډیر تفصیل سره تشریح شوي دلتهد "دوه فکتور تصدیق څنګه کار کوي" بلاک کې.

دا مهمه ده چې په یاد ولرئ چې لږترلږه یو د تصدیق کولو فکتورونو څخه چې په قوي تصدیق کې کارول کیږي باید د عامه کلیدي کریپټوګرافي څخه کار واخلي.

قوي تصدیق د کلاسیک پاسورډونو او دودیز MFA پراساس د واحد فکتور تصدیق کولو څخه خورا قوي محافظت چمتو کوي. پاسورډونه د کیلوګرز، فشینګ سایټونو، یا ټولنیز انجینري بریدونو په کارولو سره جاسوس یا مداخله کیدی شي (چیرې چې قرباني د دوی د پټنوم په ښکاره کولو کې دوکه کیږي). سربیره پردې ، د پټنوم مالک به د غلا په اړه هیڅ نه پوهیږي. دودیز MFA (د OTP کوډونو په شمول، د سمارټ فون یا سیم کارت سره تړلی) هم په اسانۍ سره هیک کیدی شي، ځکه چې دا د عامه کلیدي کریپټوګرافي پر بنسټ ندي (په هرصورت، ډیری مثالونه شتون لري کله چې د ورته ټولنیز انجینرۍ تخنیکونو په کارولو سره، سکیمر کاروونکي وهڅول چې دوی ته یو ځل پاسورډ ورکړي.).

خوشبختانه ، د قوي تصدیق او دودیز MFA کارول د تیر کال راهیسې د مصرف کونکي او تصدۍ غوښتنلیکونو کې جذب ترلاسه کوي. د مصرف کونکي غوښتنلیکونو کې د قوي تصدیق کارول په ځانګړي توګه په چټکۍ سره وده کړې. که په 2017 کې یوازې 5٪ شرکتونو دا کارولې، نو په 2018 کې دا دمخه درې چنده ډیر و - 16٪. دا د ټوکنونو د زیاتوالي له لارې تشریح کیدی شي چې د عامه کلیدي کریپټوګرافي (PKC) الګوریتم ملاتړ کوي. برسېره پردې، د ډیټا محافظت نوي مقرراتو لکه PSD2 او GDPR د منلو وروسته د اروپا تنظیم کونکو لخوا فشار ډیر شوی حتی د اروپا څخه بهر قوي اغیزه درلوده (په روسیه کې په شمول).

د تصدیق او پاسورډونو سره به څه پیښ شي؟ د تبصرو سره د جیولین راپور "د قوي تصدیق حالت" ژباړه

راځئ چې دې شمیرو ته نږدې وګورو. لکه څنګه چې موږ لیدلی شو، د خصوصي اشخاصو سلنه چې د څو فکتور تصدیق کاروي د کال په اوږدو کې د اغیزمن 11٪ لخوا وده شوې. او دا په څرګنده توګه د پاسورډ مینه والو په لګښت کې پیښ شوي، ځکه چې د هغو کسانو شمیر چې د پش خبرتیاو، SMS او بایومیټریکونو په امنیت باور لري بدلون نه دی راغلی.

مګر د کارپوریټ کارونې لپاره د دوه فاکتور تصدیق سره ، شیان دومره ښه ندي. لومړی، د راپور په وینا، یوازې 5٪ کارمندان د پاسورډ تصدیق کولو څخه ټوکن ته لیږدول شوي. او دوهم، د هغو کسانو شمیر چې په کارپوریټ چاپیریال کې د MFA بدیل اختیارونه کاروي 4٪ زیاتوالی موندلی.

زه به هڅه وکړم چې شنونکی ولوبوم او خپل تفسیر وړاندې کړم. د انفرادي کاروونکو ډیجیټل نړۍ په مرکز کې سمارټ فون دی. له همدې امله، دا د حیرانتیا خبره نه ده چې اکثریت هغه وړتیاوې کاروي چې وسیله ورته چمتو کوي - د بایومیټریک تصدیق، SMS او Push خبرتیاوې، او همدارنګه په سمارټ فونټ کې د غوښتنلیکونو لخوا تولید شوي یو ځل پاسورډونه. خلک معمولا د خوندیتوب او اعتبار په اړه فکر نه کوي کله چې هغه وسایل کاروي چې دوی یې کاروي.

له همدې امله د لومړني "دودیز" تصدیق کولو فکتورونو کاروونکو سلنه بدله پاتې ده. مګر هغه څوک چې دمخه یې پاسورډونه کارولي دي پدې پوهیږي چې دوی څومره خطر لري ، او کله چې د نوي تصدیق فکتور غوره کوي ، نو دوی ترټولو نوي او خوندي اختیار غوره کوي - یو کریپټوګرافیک نښه.

لکه څنګه چې د کارپوریټ بازار لپاره، دا مهمه ده چې پوه شي چې کوم سیسټم تصدیق کیږي. که چیرې د وینډوز ډومین ته ننوتنه پلي شي، نو بیا د کریپټوګرافیک ټوکن کارول کیږي. د 2FA لپاره د دوی کارولو امکانات لا دمخه په وینډوز او لینکس دواړو کې جوړ شوي، مګر بدیل اختیارونه اوږد او پلي کول ستونزمن دي. د پاسورډونو څخه ټوکن ته د 5٪ مهاجرت لپاره دومره ډیر.

او د کارپوریټ معلوماتو سیسټم کې د 2FA پلي کول خورا د پراختیا کونکو وړتیاو پورې اړه لري. او دا د پراختیا کونکو لپاره خورا اسانه دی چې د کریپټوګرافیک الګوریتمونو په عملیاتو پوهیدو په پرتله د یو وخت پاسورډونو رامینځته کولو لپاره چمتو شوي ماډلونه واخلي. او د پایلې په توګه، حتی د حیرانتیا وړ امنیتي - مهم غوښتنلیکونه لکه واحد لاسلیک یا د لاسرسي مدیریت سیسټمونه OTP د دویم فاکتور په توګه کاروي.

د دودیز تصدیق کولو میتودونو کې ډیری زیانونه

پداسې حال کې چې ډیری سازمانونه د میراث واحد فکتور سیسټمونو باندې تکیه کوي، په دودیز څو فکتور تصدیق کې زیان منونکي په زیاتیدونکي توګه څرګندیږي. د یو وخت پاسورډونه، په ځانګړې توګه له شپږو څخه تر اتو حروفونو اوږدوالی، د SMS له لارې وړاندې کیږي، د تصدیق کولو خورا عام بڼه پاتې کیږي (البته د پټنوم فکتور سربیره). او کله چې د "دوه فاکتور تصدیق" یا "دوه مرحلې تایید" ټکي په مشهور مطبوعاتو کې ذکر شوي ، دوی نږدې تل د SMS یو ځل پاسورډ تصدیق ته مراجعه کوي.

دلته لیکوال یو څه غلط دی. د SMS له لارې د یو وخت پاسورډونو وړاندې کول هیڅکله دوه فکتور تصدیق نه دی. دا په خپل خالص شکل کې د دوه مرحلې تصدیق دوهم پړاو دی، چیرې چې لومړی مرحله ستاسو د ننوتلو او پټنوم داخلول دي.

په 2016 کې، د سټنډرډونو او ټیکنالوژۍ ملي انسټیټیوټ (NIST) د ایس ایم ایس له لارې لیږل شوي یو ځل پاسورډونو کارولو له مینځه وړو لپاره د تصدیق کولو مقررات تازه کړل. په هرصورت، دا مقررات د صنعت د لاریونونو وروسته د پام وړ آرام شوي.

نو راځئ چې پلاټ تعقیب کړو. امریکایی تنظیم کوونکی په سمه توګه پیژني چې پخوانۍ ټیکنالوژي د کارونکي خوندیتوب تضمین کولو توان نلري او نوي معیارونه معرفي کوي. معیارونه د آنلاین او ګرځنده غوښتنلیکونو کاروونکو ساتلو لپاره ډیزاین شوي (د بانکدارۍ په شمول). صنعت محاسبه کوي چې څومره پیسې به د ریښتیني معتبر کریپټوګرافیک ټوکنونو پیرودلو ، د غوښتنلیکونو له سره ډیزاین کولو ، د عامه کلیدي زیربناوو پلي کولو لپاره مصرف کړي ، او "په خپلو شاته پښو کې راپورته کیږي." له یوې خوا، کاروونکي د یو وخت پاسورډونو د اعتبار په اړه قانع شوي، او له بلې خوا، په NIST باندې بریدونه شوي. د پایلې په توګه، معیار نرم شوی، او د هکونو شمیر او د پاسورډونو غلا (او د بانکي غوښتنلیکونو څخه پیسې) په چټکۍ سره زیات شوي. مګر صنعت اړتیا نه درلوده چې پیسې مصرف کړي.

له هغه وخت راهیسې، د SMS OTP اصلي ضعفونه نور هم څرګند شوي. جعلکاران د ایس ایم ایس پیغامونو د جوړولو لپاره مختلف میتودونه کاروي:

  • د سیم کارت نقل. برید کوونکي د سیم یوه کاپي جوړوي (د ګرځنده آپریټر کارمندانو په مرسته، یا په خپلواکه توګه، د ځانګړي سافټویر او هارډویر په کارولو سره). د پایلې په توګه، برید کوونکی د یو وخت پټنوم سره یو SMS ترلاسه کوي. په یوه ځانګړې مشهوره قضیه کې، هیکرانو حتی د دې توان درلود چې د کریپټو اسعارو پانګه اچوونکي مایکل تورپین د AT&T حساب سره جوړجاړی وکړي، او په کریپټو اسعارو کې نږدې 24 ملیون ډالر غلا کړي. د پایلې په توګه، تورپین وویل چې AT&T د ضعیف تایید اقداماتو له امله غلط و چې د سیم کارت د نقل کولو لامل شو.

    حیرانوونکی منطق. نو دا واقعیا یوازې د AT&T ګناه ده؟ نه، دا بې له شکه د ګرځنده چلونکي ګناه ده چې د مخابراتو پلورنځي کې پلورونکو یو نقل سیم کارت صادر کړ. د کریپټو اسعارو تبادلې تصدیق سیسټم په اړه څه؟ ولې دوی قوي کریپټوګرافیک نښې نه کاروي؟ ایا دا د افسوس خبره وه چې د پلي کولو لپاره پیسې مصرف کړئ؟ ایا مایکل پخپله ملامت ندی؟ ولې هغه د تصدیق کولو میکانیزم بدلولو ټینګار نه کاوه یا یوازې هغه تبادلې کارولې چې د کریپټوګرافیک توکیو پراساس دوه فاکتور تصدیق پلي کوي؟

    د ریښتیني معتبر تصدیق میتودونو معرفي کول دقیقا ځنډول شوي ځکه چې کارونکي د هیک کولو دمخه حیرانتیا بې احتیاطي ښیې ، او وروسته دوی د دوی ستونزې په هر چا او د پخوانیو او "لیکي" تصدیق کولو ټیکنالوژیو پرته بل څه باندې اچوي.

  • مالویر. د ګرځنده مالویر یو له لومړنیو کارونو څخه د برید کونکو ته د متن پیغامونو مداخله او لیږل و. همچنان ، په براوزر کې مین او په مینځ کې مین بریدونه کولی شي د یو وخت پاسورډونه مداخله وکړي کله چې دوی په اخته لپټاپونو یا ډیسټاپ وسیلو کې ننوځي.

    کله چې ستاسو په سمارټ فون کې د سبربینک غوښتنلیک د حالت بار کې یو شنه عکس روښانه کوي، دا ستاسو په تلیفون کې "مالویر" هم ګوري. د دې پیښې هدف دا دی چې د عادي سمارټ فون بې باوره اجرا کولو چاپیریال بدل کړي ، لږترلږه په یو ډول باوري.
    په هرصورت، یو سمارټ فون، د بشپړ باور وړ وسیلې په توګه چې هر څه ترسره کیدی شي، د تصدیق لپاره د دې کارولو بل دلیل دی. یوازې د هارډویر نښه، کوم چې د ویروسونو او Trojans څخه خوندي او پاک دي.

  • ټولنیزه انجنیري. کله چې سکیمر پوه شي چې یو قرباني د ایس ایم ایس له لارې OTPs فعال کړي، دوی کولی شي د قربانیانو سره مستقیم اړیکه ونیسي، د باور وړ سازمان په توګه لکه د دوی بانک یا کریډیټ اتحادیه، د قربانیانو سره د هغه کوډ چمتو کولو لپاره چې دوی یې ترلاسه کړي دي.

    زه په شخصي توګه ډیری وختونه د دې ډول درغلۍ سره مخ شوی یم، د بیلګې په توګه، کله چې په مشهور آنلاین فلا بازار کې د یو څه پلورلو هڅه کوم. ما پخپله د هغه غولوونکي ملنډې وهلې چې زما د زړه محتوا ته یې د غولولو هڅه وکړه. مګر افسوس، زه په منظم ډول په خبرونو کې لوستل کوم چې څنګه د سکیمرانو بل قرباني "فکر نه کاوه"، د تایید کوډ ورکړ او لویه اندازه یې له لاسه ورکړه. او دا ټول ځکه چې بانک په ساده ډول نه غواړي په خپلو غوښتنلیکونو کې د کریپټوګرافیک توکیو پلي کولو سره معامله وکړي. په هرصورت، که چیرې یو څه پیښ شي، پیرودونکي "خپل ځان ملامتوي."

پداسې حال کې چې د OTP بدیل تحویلي میتودونه ممکن د دې تصدیق کولو میتود کې ځینې زیانونه کم کړي، نورې زیانمننې پاتې دي. د سټایلون کوډ تولید غوښتنلیکونه د اوریدو پروړاندې غوره محافظت دی ، ځکه چې حتی مالویر کولی شي په سختۍ سره د کوډ جنریټر سره مستقیم اړیکه ونیسي (په جدي توګه؟ ایا د راپور لیکوال د ریموټ کنټرول په اړه هیر کړی؟)، مګر OTPs بیا هم منع کیدی شي کله چې براوزر ته ننوځي (د مثال په توګه د کیلاګر کارولد هیک شوي ګرځنده غوښتنلیک له لارې؛ او همدارنګه د ټولنیز انجینرۍ په کارولو سره مستقیم د کارونکي څخه ترلاسه کیدی شي.
د ډیری خطر ارزونې وسیلو کارول لکه د وسیلې پیژندنه (د هغو وسیلو څخه د معاملو ترسره کولو هڅې کشف کول چې د قانوني کارونکي پورې اړه نلري) جغرافیه ځای (یو کارونکی چې یوازې په مسکو کې دی هڅه کوي له نووسیبیرسک څخه عملیات ترسره کړي) او د چلند تحلیلونه د زیانونو د له منځه وړلو لپاره مهم دي، مګر هیڅ حل هم د درملنې وړ نه دی. د هر حالت او ډیټا ډولونو لپاره ، دا اړینه ده چې خطرونه په دقت سره و ارزول شي او غوره کړئ چې کوم تصدیق ټیکنالوژي باید وکارول شي.

د تصدیق کولو هیڅ حل درملنه نه ده

شکل 2. د تصدیق کولو اختیارونو جدول

تصدیق کول فکتور شرح کلیدي زیانونه
پاسورډ یا PIN پوهه ثابت ارزښت، چې کېدای شي حروف، شمېرې او یو شمیر نور حروف شامل وي مداخله، جاسوسي، غلا، اخیستل یا هیک کیدی شي
د پوهې پر بنسټ تصدیق پوهه هغه پوښتنې ځوابوي چې یوازې یو قانوني کاروونکي پوهیږي د ټولنیز انجینرۍ میتودونو په کارولو سره مینځل کیدی شي ، پورته کیدی شي ، ترلاسه کیدی شي
د هارډویر OTP (مثال) ملکیت یو ځانګړی وسیله چې یو ځل پاسورډونه تولیدوي کوډ ممکن مداخله او تکرار شي، یا وسیله ممکن غلا شي
د سافټویر OTPs ملکیت یو اپلیکیشن (موبایل، د براوزر له لارې د لاسرسي وړ، یا د بریښنالیک له لارې کوډونه لیږل) چې یو ځل پاسورډونه رامینځته کوي کوډ ممکن مداخله او تکرار شي، یا وسیله ممکن غلا شي
د SMS OTP ملکیت یو ځل پاسورډ د SMS متن پیغام له لارې سپارل شوی کوډ ممکن مداخله او تکرار شي، یا سمارټ فون یا سیم کارت غلا شوی وي، یا سیم کارت ممکن نقل شوی وي
سمارټ کارتونه (مثال) ملکیت یو کارت چې یو کریپټوګرافیک چپ او خوندي کلیدي حافظه لري چې د تصدیق لپاره عامه کلیدي زیربنا کاروي کیدای شي په فزیکي توګه غلا شي (مګر برید کوونکی به د دې توان ونلري چې د PIN کوډ پوهیدو پرته وسیله وکاروي. د ډیری غلط ان پټ هڅو په صورت کې، وسیله به بنده شي)
امنیتي کیلي - نښې (مثال, بل مثال) ملکیت یو USB وسیله چې یو کریپټوګرافیک چپ او خوندي کلیدي حافظه لري چې د تصدیق لپاره عامه کلیدي زیربنا کاروي په فزیکي توګه غلا کیدی شي (مګر یو برید کونکی به نشي کولی دا وسیله وکاروي پرته لدې چې د PIN کوډ پوه شي؛ د ننوتلو د څو غلطو هڅو په صورت کې ، وسیله به بنده شي)
د وسیله سره نښلول ملکیت هغه پروسه چې یو پروفایل رامینځته کوي، ډیری وختونه د جاوا سکریپټ په کارولو سره، یا د مارکرونو لکه کوکیز او فلش شریک شوي توکي کارول ترڅو ډاډ ترلاسه کړي چې یو ځانګړی وسیله کارول کیږي ټوکن غلا کیدی شي (کاپي شوي) ، او د قانوني وسیلې ځانګړتیاوې د برید کونکي لخوا د هغه په ​​وسیله تقلید کیدی شي
چلند میراث تحلیل کوي چې څنګه کارونکي د وسیلې یا برنامه سره تعامل کوي چلند تقلید کیدی شي
د ګوتو نښې میراث ذخیره شوي د ګوتو نښې د هغو سره پرتله کیږي چې په نظري یا بریښنایی توګه نیول شوي عکس غلا کیدی شي او د تصدیق لپاره کارول کیدی شي
د سترګو سکین میراث د سترګو ځانګړتیاوې، لکه د ایرس نمونه، د نوي نظری سکینونو سره پرتله کوي عکس غلا کیدی شي او د تصدیق لپاره کارول کیدی شي
د مخ پیژندنه میراث د مخ ځانګړتیاوې د نوي نظری سکین سره پرتله کیږي عکس غلا کیدی شي او د تصدیق لپاره کارول کیدی شي
غږ پیژندنه میراث د ثبت شوي غږ نمونې ځانګړتیاوې د نوي نمونو سره پرتله کیږي ریکارډ غلا کیدی شي او د تصدیق لپاره کارول کیدی شي، یا نقل شوي

د خپرونې په دویمه برخه کې، خورا خوندور شیان زموږ په تمه دي - شمیرې او حقایق، چې په لومړۍ برخه کې ورکړل شوي پایلې او سپارښتنې پر بنسټ والړ دي. د کاروونکي غوښتنلیکونو او کارپوریټ سیسټمونو کې تصدیق به په جلا توګه بحث وشي.

встречи встречи!

سرچینه: www.habr.com

Add a comment