Spoiler din titlul raportului: „Utilizarea autentificării puternice crește din cauza amenințării cu noi riscuri și cerințe de reglementare.”
Compania de cercetare „Javelin Strategy & Research” a publicat raportul „The State of Strong Authentication 2019” (). Acest raport spune: ce procent din companiile americane și europene folosesc parole (și de ce puțini oameni folosesc parolele acum); de ce utilizarea autentificării cu doi factori bazată pe jetoane criptografice crește atât de repede; De ce codurile unice trimise prin SMS nu sunt sigure.
Oricine este interesat de prezentul, trecutul și viitorul autentificării în întreprinderi și aplicații pentru consumatori este binevenit.
De la traducător
Din păcate, limba în care este scris acest raport este destul de „seci” și formală. Și utilizarea de cinci ori a cuvântului „autentificare” într-o propoziție scurtă nu este mâinile strâmbe (sau creierul) traducătorului, ci capriciul autorilor. Când traduc din două opțiuni - pentru a oferi cititorilor un text mai apropiat de original, sau unul mai interesant, am ales uneori pe prima, iar alteori pe a doua. Dar aveți răbdare, dragi cititori, conținutul raportului merită.
Au fost eliminate câteva piese neimportante și inutile pentru poveste, altfel majoritatea nu ar fi putut trece prin întregul text. Cei care doresc să citească raportul „netăiat” pot face acest lucru în limba originală, accesând linkul.
Din păcate, autorii nu sunt întotdeauna atenți la terminologie. Astfel, parolele unice (One Time Password - OTP) sunt uneori numite „parole”, iar uneori „coduri”. Este și mai rău cu metodele de autentificare. Nu este întotdeauna ușor pentru cititorul neinstruit să ghicească că „autentificarea folosind chei criptografice” și „autentificarea puternică” sunt același lucru. Am încercat să unific termenii cât mai mult posibil, iar în raportul în sine există un fragment cu descrierea lor.
Cu toate acestea, raportul este o lectură foarte recomandată, deoarece conține rezultate unice ale cercetării și concluzii corecte.
Toate cifrele și faptele sunt prezentate fără cele mai mici modificări, iar dacă nu sunteți de acord cu ele, atunci este mai bine să vă certați nu cu traducătorul, ci cu autorii raportului. Și iată comentariile mele (prezentate sub formă de citate și marcate în text Italiană) sunt judecata mea de valoare și voi fi bucuros să argumentez asupra fiecăreia dintre ele (precum și asupra calității traducerii).
Revizuire
În zilele noastre, canalele digitale de comunicare cu clienții sunt mai importante ca niciodată pentru afaceri. Și în cadrul companiei, comunicările dintre angajați sunt mai orientate digital decât oricând. Și cât de sigure vor fi aceste interacțiuni depinde de metoda aleasă de autentificare a utilizatorului. Atacatorii folosesc autentificare slabă pentru a pirata masiv conturile de utilizator. Ca răspuns, autoritățile de reglementare înăsprește standardele pentru a forța companiile să protejeze mai bine conturile și datele utilizatorilor.
Amenințările legate de autentificare se extind dincolo de aplicațiile consumatorilor; atacatorii pot, de asemenea, să obțină acces la aplicațiile care rulează în interiorul întreprinderii. Această operațiune le permite să uzurpare identitatea utilizatorilor corporativi. Atacatorii care folosesc puncte de acces cu autentificare slabă pot fura date și pot efectua alte activități frauduloase. Din fericire, există măsuri pentru a combate acest lucru. Autentificarea puternică va ajuta la reducerea semnificativă a riscului de atac al unui atacator, atât asupra aplicațiilor de consum, cât și asupra sistemelor de afaceri ale întreprinderilor.
Acest studiu examinează: modul în care întreprinderile implementează autentificarea pentru a proteja aplicațiile utilizatorilor finali și sistemele de afaceri ale întreprinderii; factorii pe care ii iau in considerare atunci cand aleg o solutie de autentificare; rolul pe care îl joacă autentificarea puternică în organizațiile lor; beneficiile pe care le primesc aceste organizații.
Rezumat
Principalele constatări
Din 2017, utilizarea autentificării puternice a crescut brusc. Odată cu creșterea numărului de vulnerabilități care afectează soluțiile tradiționale de autentificare, organizațiile își consolidează capacitățile de autentificare cu o autentificare puternică. Numărul de organizații care utilizează autentificarea criptografică multifactor (MFA) s-a triplat din 2017 pentru aplicațiile de consum și a crescut cu aproape 50% pentru aplicațiile de întreprindere. Cea mai rapidă creștere se observă în autentificarea mobilă datorită disponibilității tot mai mari a autentificării biometrice.
Aici vedem o ilustrare a zicalului „până când tunetul va da un tunet, omul nu se va cruci”. Când experții au avertizat despre insecuritatea parolelor, nimeni nu s-a grăbit să implementeze autentificarea cu doi factori. De îndată ce hackerii au început să fure parole, oamenii au început să implementeze autentificarea cu doi factori.
Adevărat, indivizii implementează mult mai activ 2FA. În primul rând, le este mai ușor să-și calmeze temerile bazându-se pe autentificarea biometrică încorporată în smartphone-uri, care este de fapt foarte nesigură. Organizațiile trebuie să cheltuiască bani pentru achiziționarea de jetoane și să efectueze lucrări (de fapt, foarte simple) pentru a le implementa. Și în al doilea rând, doar leneșii nu au scris despre scurgerile de parole de la servicii precum Facebook și Dropbox, dar în niciun caz directorii CIO ai acestor organizații nu vor împărtăși povești despre cum au fost furate parolele (și ce s-a întâmplat apoi) în organizații.
Cei care nu folosesc autentificarea puternică își subestimează riscul pentru afaceri și clienți. Unele organizații care nu folosesc în prezent autentificarea puternică tind să vadă autentificarea și parolele ca una dintre cele mai eficiente și ușor de utilizat metode de autentificare a utilizatorilor. Alții nu văd valoarea activelor digitale pe care le dețin. La urma urmei, merită să luăm în considerare faptul că infractorii cibernetici sunt interesați de orice informații despre consumatori și despre afaceri. Două treimi dintre companiile care folosesc doar parole pentru a-și autentifica angajații o fac pentru că consideră că parolele sunt suficient de bune pentru tipul de informații pe care le protejează.
Cu toate acestea, parolele sunt în drum spre mormânt. Dependența de parole a scăzut semnificativ în ultimul an atât pentru aplicațiile de consum, cât și pentru întreprinderi (de la 44% la 31% și, respectiv, de la 56% la 47%), pe măsură ce organizațiile își sporesc utilizarea MFA tradițională și autentificarea puternică.
Dar dacă privim situația în ansamblu, metodele de autentificare vulnerabile încă prevalează. Pentru autentificarea utilizatorilor, aproximativ un sfert dintre organizații folosesc SMS OTP (parolă unică) împreună cu întrebări de securitate. Ca urmare, trebuie implementate măsuri suplimentare de securitate pentru a proteja împotriva vulnerabilității, care crește costurile. Utilizarea unor metode de autentificare mult mai sigure, cum ar fi cheile criptografice hardware, este folosită mult mai rar, în aproximativ 5% dintre organizații.
Mediul de reglementare în evoluție promite să accelereze adoptarea autentificării puternice pentru aplicațiile consumatorilor. Odată cu introducerea PSD2, precum și noile reguli de protecție a datelor în UE și mai multe state din SUA, precum California, companiile simt căldura. Aproape 70% dintre companii sunt de acord că se confruntă cu o presiune puternică de reglementare pentru a oferi clienților o autentificare puternică. Mai mult de jumătate dintre întreprinderi consideră că în câțiva ani metodele lor de autentificare nu vor fi suficiente pentru a îndeplini standardele de reglementare.
Diferența dintre abordările legiuitorilor ruși și americani-europeni cu privire la protecția datelor personale ale utilizatorilor de programe și servicii este clar vizibilă. Rușii spun: dragi proprietari de servicii, faceți ce doriți și cum vreți, dar dacă administratorul dvs. unește baza de date, vă vom pedepsi. Se spune în străinătate: trebuie să implementezi un set de măsuri care nu va permite scurgeți baza. De aceea, cerințele pentru autentificarea strictă cu doi factori sunt implementate acolo.
Adevărat, este departe de a fi un fapt că mașina noastră legislativă nu își va veni într-o zi în fire și nu va ține cont de experiența occidentală. Apoi se dovedește că toată lumea trebuie să implementeze 2FA, care respectă standardele criptografice rusești, și urgent.
Stabilirea unui cadru de autentificare puternic permite companiilor să-și schimbe atenția de la îndeplinirea cerințelor de reglementare la satisfacerea nevoilor clienților. Pentru acele organizații care încă folosesc parole simple sau primesc coduri prin SMS, cel mai important factor în alegerea unei metode de autentificare va fi respectarea cerințelor de reglementare. Dar acele companii care folosesc deja autentificarea puternică se pot concentra pe alegerea acelor metode de autentificare care sporesc loialitatea clienților.
Atunci când alegeți o metodă de autentificare corporativă în cadrul unei întreprinderi, cerințele de reglementare nu mai sunt un factor semnificativ. În acest caz, ușurința de integrare (32%) și costul (26%) sunt mult mai importante.
În era phishing-ului, atacatorii pot folosi e-mailul corporativ pentru a înșela pentru a obține în mod fraudulos acces la date, conturi (cu drepturi de acces corespunzătoare) și chiar pentru a convinge angajații să facă un transfer de bani în contul său. Prin urmare, e-mailul corporativ și conturile de portal trebuie să fie deosebit de bine protejate.
Google și-a consolidat securitatea prin implementarea unei autentificări puternice. În urmă cu mai bine de doi ani, Google a publicat un raport privind implementarea autentificării cu doi factori bazat pe chei de securitate criptografice folosind standardul FIDO U2F, raportând rezultate impresionante. Potrivit companiei, nici un atac de phishing nu a fost efectuat împotriva a peste 85 de angajați.
Recomandări
Implementați o autentificare puternică pentru aplicațiile mobile și online. Autentificarea cu mai mulți factori bazată pe chei criptografice oferă o protecție mult mai bună împotriva hacking-ului decât metodele MFA tradiționale. În plus, utilizarea cheilor criptografice este mult mai convenabilă, deoarece nu este nevoie să utilizați și să transferați informații suplimentare - parole, parole unice sau date biometrice de pe dispozitivul utilizatorului pe serverul de autentificare. În plus, standardizarea protocoalelor de autentificare face mult mai ușoară implementarea noilor metode de autentificare pe măsură ce acestea devin disponibile, reducând costurile de implementare și protejând împotriva schemelor de fraudă mai sofisticate.
Pregătiți-vă pentru dispariția parolelor unice (OTP). Vulnerabilitățile inerente OTP-urilor devin din ce în ce mai evidente pe măsură ce infractorii cibernetici folosesc ingineria socială, clonarea smartphone-urilor și programele malware pentru a compromite aceste mijloace de autentificare. Și dacă OTP-urile în unele cazuri au anumite avantaje, atunci numai din punct de vedere al disponibilității universale pentru toți utilizatorii, dar nu și din punct de vedere al securității.
Este imposibil să nu observăm că primirea codurilor prin SMS sau notificări Push, precum și generarea de coduri folosind programe pentru smartphone-uri, este utilizarea acelorași parole unice (OTP) pentru care ni se cere să ne pregătim pentru declin. Din punct de vedere tehnic, soluția este foarte corectă, deoarece este un fraudator rar care nu încearcă să afle parola unică de la un utilizator credul. Dar cred că producătorii de astfel de sisteme se vor agăța până la ultimul de tehnologia pe moarte.
Utilizați autentificarea puternică ca instrument de marketing pentru a crește încrederea clienților. Autentificarea puternică poate face mai mult decât să îmbunătățească securitatea reală a afacerii dvs. Informarea clienților că afacerea dvs. utilizează o autentificare puternică poate întări percepția publicului asupra securității acelei afaceri - un factor important atunci când există o cerere semnificativă a clienților pentru metode de autentificare puternică.
Efectuați un inventar amănunțit și o evaluare a criticității datelor corporative și protejați-le în funcție de importanță. Chiar și date cu risc scăzut, cum ar fi informațiile de contact ale clienților (nu, într-adevăr, raportul spune „risc scăzut”, este foarte ciudat că subestimează importanța acestor informații), poate aduce o valoare semnificativă fraudătorilor și poate cauza probleme companiei.
Folosiți o autentificare puternică pentru întreprindere. O serie de sisteme sunt cele mai atractive ținte pentru criminali. Acestea includ sisteme interne și conectate la Internet, cum ar fi un program de contabilitate sau un depozit de date corporative. Autentificarea puternică împiedică atacatorii să obțină acces neautorizat și, de asemenea, face posibilă determinarea cu exactitate care angajat a comis activitatea rău intenționată.
Ce este autentificarea puternică?
Când utilizați autentificarea puternică, sunt utilizați mai multe metode sau factori pentru a verifica autenticitatea utilizatorului:
- Factorul de cunoaștere: secret partajat între utilizator și subiectul autentificat al utilizatorului (cum ar fi parolele, răspunsurile la întrebări de securitate etc.)
- Factorul de proprietate: un dispozitiv pe care îl are numai utilizatorul (de exemplu, un dispozitiv mobil, o cheie criptografică etc.)
- Factorul de integritate: caracteristicile fizice (adesea biometrice) ale utilizatorului (de exemplu, amprenta digitală, modelul irisului, vocea, comportamentul etc.)
Necesitatea de a pirata mai mulți factori crește foarte mult probabilitatea de eșec pentru atacatori, deoarece ocolirea sau înșelarea diferiților factori necesită utilizarea mai multor tipuri de tactici de hacking, pentru fiecare factor separat.
De exemplu, cu 2FA „parolă + smartphone”, un atacator poate efectua autentificare analizând parola utilizatorului și făcând o copie software exactă a smartphone-ului său. Și acest lucru este mult mai dificil decât pur și simplu furtul unei parole.
Dar dacă o parolă și un token criptografic sunt folosite pentru 2FA, atunci opțiunea de copiere nu funcționează aici - este imposibil să duplicați simbolul. Escrocul va trebui să fure pe furiș jetonul de la utilizator. Dacă utilizatorul observă pierderea la timp și anunță administratorul, jetonul va fi blocat și eforturile fraudatorului vor fi zadarnice. Acesta este motivul pentru care factorul de proprietate necesită utilizarea de dispozitive securizate specializate (jetoane) mai degrabă decât dispozitive de uz general (smartphones).
Folosirea tuturor celor trei factori va face ca această metodă de autentificare să fie destul de costisitoare de implementat și destul de incomod de utilizat. Prin urmare, doi din trei factori sunt utilizați de obicei.
Principiile autentificării cu doi factori sunt descrise mai detaliat , în blocul „Cum funcționează autentificarea cu doi factori”.
Este important de reținut că cel puțin unul dintre factorii de autentificare utilizați în autentificarea puternică trebuie să utilizeze criptografia cu cheie publică.
Autentificarea puternică oferă o protecție mult mai puternică decât autentificarea cu un singur factor bazată pe parole clasice și MFA tradițional. Parolele pot fi spionate sau interceptate folosind keylogger, site-uri de phishing sau atacuri de inginerie socială (unde victima este păcălită să-și dezvăluie parola). Mai mult, proprietarul parolei nu va ști nimic despre furt. MFA tradițional (inclusiv coduri OTP, legarea la un smartphone sau un card SIM) poate fi, de asemenea, piratat destul de ușor, deoarece nu se bazează pe criptografia cu cheie publică (Apropo, există multe exemple când, folosind aceleași tehnici de inginerie socială, escrocii au convins utilizatorii să le dea o parolă unică.).
Din fericire, utilizarea autentificării puternice și a MFA tradițional a câștigat acțiune atât în aplicațiile de consum, cât și în aplicațiile de întreprindere încă de anul trecut. Utilizarea autentificării puternice în aplicațiile consumatorilor a crescut deosebit de rapid. Dacă în 2017 doar 5% dintre companii l-au folosit, atunci în 2018 a fost deja de trei ori mai mult – 16%. Acest lucru poate fi explicat prin disponibilitatea crescută a token-urilor care acceptă algoritmii Public Key Cryptography (PKC). În plus, presiunea crescută din partea autorităților de reglementare europene în urma adoptării noilor reguli de protecție a datelor, cum ar fi PSD2 și GDPR, a avut un efect puternic chiar și în afara Europei (inclusiv în Rusia).
Să aruncăm o privire mai atentă la aceste numere. După cum putem vedea, procentul de persoane private care folosesc autentificarea multifactorială a crescut cu 11% de-a lungul anului. Și acest lucru s-a întâmplat în mod clar în detrimentul iubitorilor de parole, deoarece numărul celor care cred în securitatea notificărilor Push, SMS-urilor și biometriei nu s-au schimbat.
Dar cu autentificarea cu doi factori pentru uz corporativ, lucrurile nu sunt atât de bune. În primul rând, conform raportului, doar 5% dintre angajați au fost transferați de la autentificarea cu parolă la token-uri. Și în al doilea rând, numărul celor care folosesc opțiuni alternative de MFA într-un mediu corporativ a crescut cu 4%.
Voi încerca să joc un analist și să-mi dau interpretarea. În centrul lumii digitale a utilizatorilor individuali se află smartphone-ul. Prin urmare, nu este de mirare că majoritatea folosesc capabilitățile pe care le oferă dispozitivul - autentificare biometrică, notificări prin SMS și Push, precum și parole unice generate de aplicațiile de pe smartphone-ul propriu-zis. De obicei, oamenii nu se gândesc la siguranță și fiabilitate atunci când folosesc instrumentele cu care sunt obișnuiți.
Acesta este motivul pentru care procentul de utilizatori ai factorilor de autentificare „tradiționali” primitivi rămâne neschimbat. Dar cei care au folosit anterior parole înțeleg cât de mult riscă, iar atunci când aleg un nou factor de autentificare, optează pentru cea mai nouă și mai sigură opțiune - un token criptografic.
În ceea ce privește piața corporativă, este important să înțelegem în ce sistem se realizează autentificarea. Dacă este implementată autentificarea la un domeniu Windows, atunci se folosesc jetoane criptografice. Posibilitățile de utilizare a acestora pentru 2FA sunt deja încorporate atât în Windows, cât și în Linux, dar opțiunile alternative sunt lungi și greu de implementat. Atât pentru migrarea a 5% de la parole la token-uri.
Iar implementarea 2FA într-un sistem de informații corporative depinde foarte mult de calificările dezvoltatorilor. Și este mult mai ușor pentru dezvoltatori să ia module gata făcute pentru a genera parole unice decât să înțeleagă funcționarea algoritmilor criptografici. Și, ca rezultat, chiar și aplicațiile incredibil de critice pentru securitate, cum ar fi sistemele Single Sign-On sau Privileged Access Management, folosesc OTP ca al doilea factor.
Multe vulnerabilități în metodele tradiționale de autentificare
În timp ce multe organizații continuă să se bazeze pe sistemele moștenite cu un singur factor, vulnerabilitățile în autentificarea tradițională cu mai mulți factori devin din ce în ce mai evidente. Parolele unice, de obicei de șase până la opt caractere, livrate prin SMS, rămân cea mai comună formă de autentificare (pe lângă factorul de parolă, desigur). Și când cuvintele „autentificare în doi factori” sau „verificare în doi pași” sunt menționate în presa populară, ele se referă aproape întotdeauna la autentificarea cu parolă unică prin SMS.
Aici autorul se înșală puțin. Livrarea parolelor unice prin SMS nu a fost niciodată o autentificare cu doi factori. Aceasta este, în forma sa cea mai pură, a doua etapă a autentificării în doi pași, în care prima etapă este introducerea numelui de utilizator și a parolei.
În 2016, Institutul Național de Standarde și Tehnologie (NIST) și-a actualizat regulile de autentificare pentru a elimina utilizarea parolelor unice trimise prin SMS. Cu toate acestea, aceste reguli au fost relaxate în mod semnificativ în urma protestelor din industrie.
Deci, haideți să urmărim complotul. Autoritatea de reglementare americană recunoaște pe bună dreptate că tehnologia învechită nu este capabilă să asigure siguranța utilizatorilor și introduce noi standarde. Standarde concepute pentru a proteja utilizatorii aplicațiilor online și mobile (inclusiv cele bancare). Industria calculează câți bani va trebui să cheltuiască pentru achiziționarea de token-uri criptografice cu adevărat fiabile, reproiectarea aplicațiilor, implementarea unei infrastructuri cu chei publice și „se ridică pe picioarele din spate”. Pe de o parte, utilizatorii erau convinși de fiabilitatea parolelor unice, iar pe de altă parte, au existat atacuri asupra NIST. Ca urmare, standardul a fost atenuat, iar numărul de hack-uri și furturi de parole (și bani din aplicațiile bancare) a crescut brusc. Dar industria nu a trebuit să plătească bani.
De atunci, slăbiciunile inerente ale SMS OTP au devenit mai evidente. Escrocii folosesc diverse metode pentru a compromite mesajele SMS:
- Dublarea cartelei SIM. Atacatorii creează o copie a cartelei SIM (cu ajutorul angajaților operatorului de telefonie mobilă sau independent, folosind software și hardware special). Drept urmare, atacatorul primește un SMS cu o parolă unică. Într-un caz deosebit de faimos, hackerii au putut chiar să compromită contul AT&T al investitorului în criptomonede Michael Turpin și să fure aproape 24 de milioane de dolari în criptomonede. Drept urmare, Turpin a declarat că AT&T a fost de vină din cauza măsurilor slabe de verificare care au dus la duplicarea cartelei SIM.
O logica uimitoare. Deci e doar vina AT&T? Nu, este, fără îndoială, vina operatorului de telefonie mobilă că vânzătorii din magazinul de comunicații au emis o cartelă SIM duplicată. Dar sistemul de autentificare a schimbului de criptomonede? De ce nu au folosit jetoane criptografice puternice? A fost păcat să cheltuiești bani pentru implementare? Nu este Michael însuși de vină? De ce nu a insistat să schimbe mecanismul de autentificare sau să folosească doar acele schimburi care implementează autentificarea cu doi factori bazată pe token-uri criptografice?
Introducerea metodelor de autentificare cu adevărat fiabile este întârziată tocmai pentru că utilizatorii manifestă o neglijență uimitoare înainte de piratare, iar după aceea își învinuiesc problemele pe oricine și orice altceva decât tehnologiile de autentificare antice și „scurătoare”.
- Programe malware. Una dintre cele mai timpurii funcții ale malware-ului mobil a fost interceptarea și transmiterea mesajelor text către atacatori. De asemenea, atacurile man-in-the-browser și man-in-the-middle pot intercepta parole unice atunci când sunt introduse pe laptop-uri sau dispozitive desktop infectate.
Când aplicația Sberbank de pe smartphone-ul tău clipește o pictogramă verde în bara de stare, se caută și „malware” pe telefon. Scopul acestui eveniment este de a transforma mediul de execuție nesigur al unui smartphone tipic într-unul de încredere, cel puțin într-un fel.
Apropo, un smartphone, ca un dispozitiv complet neîncrezat pe care se poate face orice, este un alt motiv pentru a-l folosi pentru autentificare numai jetoane hardware, care sunt protejate și lipsite de viruși și troieni. - Inginerie sociala. Când escrocii știu că o victimă are OTP activate prin SMS, ei o pot contacta direct, dându-se drept o organizație de încredere, cum ar fi banca sau uniunea lor de credit, pentru a păcăli victima să furnizeze codul pe care tocmai l-au primit.
Am întâlnit personal acest tip de fraudă de multe ori, de exemplu, când încercam să vând ceva pe o piață de vechituri online populară. Eu însumi mi-am luat joc de escrocul care a încercat să mă păcălească după bunul meu suflet. Dar, din păcate, citesc în mod regulat în știri cum o altă victimă a escrocilor „nu s-a gândit”, a dat codul de confirmare și a pierdut o sumă mare. Și toate acestea se datorează faptului că banca pur și simplu nu vrea să se ocupe de implementarea jetoanelor criptografice în aplicațiile sale. La urma urmei, dacă se întâmplă ceva, clienții „au ei înșiși de vină”.
În timp ce metodele alternative de livrare OTP pot atenua unele dintre vulnerabilitățile acestei metode de autentificare, rămân alte vulnerabilități. Aplicațiile de generare de cod autonome sunt cea mai bună protecție împotriva interceptării, deoarece chiar și programele malware pot interacționa cu greu direct cu generatorul de cod (Serios? Autorul raportului a uitat de telecomandă?), dar OTP-urile pot fi în continuare interceptate atunci când sunt introduse în browser (de exemplu folosind un keylogger), printr-o aplicație mobilă piratată; și poate fi, de asemenea, obținut direct de la utilizator folosind inginerie socială.
Utilizarea mai multor instrumente de evaluare a riscurilor, cum ar fi recunoașterea dispozitivului (detectarea încercărilor de a efectua tranzacții de pe dispozitive care nu aparțin unui utilizator legal), geolocalizare (un utilizator care tocmai a fost la Moscova încearcă să efectueze o operație de la Novosibirsk) și analiza comportamentală sunt importante pentru abordarea vulnerabilităților, dar nicio soluție nu este un panaceu. Pentru fiecare situație și tip de date, este necesar să se evalueze cu atenție riscurile și să se aleagă ce tehnologie de autentificare ar trebui utilizată.
Nicio soluție de autentificare nu este un panaceu
Figura 2. Tabelul cu opțiuni de autentificare
| autentificare | Factor | descriere | Vulnerabilitati cheie |
| Parolă sau PIN | Cunoştinţe | Valoare fixă, care poate include litere, cifre și o serie de alte caractere | Poate fi interceptat, spionat, furat, ridicat sau spart |
| Autentificare bazată pe cunoștințe | Cunoştinţe | Întrebează răspunsurile pe care doar un utilizator legal le poate ști | Poate fi interceptat, preluat, obținut folosind metode de inginerie socială |
| OTP hardware () | Deţinere | Un dispozitiv special care generează parole unice | Codul poate fi interceptat și repetat sau dispozitivul poate fi furat |
| OTP-uri software | Deţinere | O aplicație (mobilă, accesibilă printr-un browser sau care trimite coduri prin e-mail) care generează parole unice | Codul poate fi interceptat și repetat sau dispozitivul poate fi furat |
| SMS OTP | Deţinere | Parolă unică livrată prin mesaj text SMS | Codul poate fi interceptat și repetat, sau smartphone-ul sau cartela SIM poate fi furată sau cartela SIM poate fi duplicată |
| carduri inteligente () | Deţinere | Un card care conține un cip criptografic și o memorie de cheie securizată care utilizează o infrastructură de cheie publică pentru autentificare | Poate fi furat fizic (dar un atacator nu va putea folosi dispozitivul fără să cunoască codul PIN; în cazul mai multor încercări de introducere incorectă, dispozitivul va fi blocat) |
| Chei de securitate - jetoane (, ) | Deţinere | Un dispozitiv USB care conține un cip criptografic și o memorie de cheie securizată care utilizează o infrastructură de cheie publică pentru autentificare | Poate fi furat fizic (dar un atacator nu va putea folosi dispozitivul fără să cunoască codul PIN; în cazul mai multor încercări de introducere incorectă, dispozitivul va fi blocat) |
| Conectarea la un dispozitiv | Deţinere | Procesul care creează un profil, utilizând adesea JavaScript sau utilizând markeri precum cookie-uri și Flash Shared Objects pentru a se asigura că este utilizat un anumit dispozitiv | Jetoanele pot fi furate (copiate), iar caracteristicile unui dispozitiv legal pot fi imitate de un atacator pe dispozitivul său |
| comportament | Inerenta | Analizează modul în care utilizatorul interacționează cu un dispozitiv sau cu un program | Comportamentul poate fi imitat |
| Amprentele digitale | Inerenta | Amprentele stocate sunt comparate cu cele capturate optic sau electronic | Imaginea poate fi furată și folosită pentru autentificare |
| Scanarea ochilor | Inerenta | Compară caracteristicile ochilor, cum ar fi modelul irisului, cu noile scanări optice | Imaginea poate fi furată și folosită pentru autentificare |
| Recunoaștere facială | Inerenta | Caracteristicile faciale sunt comparate cu noile scanări optice | Imaginea poate fi furată și folosită pentru autentificare |
| Recunoaștere vocală | Inerenta | Caracteristicile probei de voce înregistrate sunt comparate cu mostre noi | Înregistrarea poate fi furată și utilizată pentru autentificare sau emulată |
În a doua parte a publicației ne așteaptă cele mai delicioase lucruri - cifre și fapte, pe care se bazează concluziile și recomandările date în prima parte. Autentificarea în aplicațiile utilizator și în sistemele corporative va fi discutată separat.
Te văd!
Sursa: www.habr.com