Spoiler z názvu správy: „Používanie silnej autentifikácie sa zvyšuje v dôsledku hrozby nových rizík a regulačných požiadaviek.“
Výskumná spoločnosť „Javelin Strategy & Research“ zverejnila správu „The State of Strong Authentication 2019“ (). Táto správa hovorí: aké percento amerických a európskych spoločností používa heslá (a prečo teraz heslá používa len málo ľudí); prečo tak rýchlo rastie používanie dvojfaktorovej autentifikácie založenej na kryptografických tokenoch; Prečo nie sú jednorazové kódy odoslané prostredníctvom SMS bezpečné.
Každý, kto sa zaujíma o súčasnosť, minulosť a budúcnosť autentifikácie v podnikoch a spotrebiteľských aplikáciách, je vítaný.
Od prekladateľa
Žiaľ, jazyk, v ktorom je táto správa napísaná, je dosť „suchý“ a formálny. A päťkrát použitie slova „autentifikácia“ v jednej krátkej vete nie je pokrivené ruky (alebo mozog) prekladateľa, ale rozmar autorov. Pri preklade z dvoch možností – dať čitateľom text bližší originálu, prípadne zaujímavejší, som si niekedy vybral prvú, inokedy druhú. Buďte však trpezliví, milí čitatelia, obsah správy stojí za to.
Niektoré nepodstatné a pre príbeh nepotrebné kúsky boli odstránené, inak by sa väčšina nedokázala preniesť cez celý text. Tí, ktorí si chcú prečítať správu „nezostrihanú“, tak môžu urobiť v pôvodnom jazyku kliknutím na odkaz.
Bohužiaľ, autori nie sú vždy opatrní s terminológiou. Jednorazové heslá (jednorazové heslo - OTP) sa teda niekedy nazývajú „heslá“ a niekedy „kódy“. Ešte horšie je to s metódami autentifikácie. Pre netrénovaného čitateľa nie je vždy ľahké uhádnuť, že „overenie pomocou kryptografických kľúčov“ a „silné overenie“ sú to isté. Pojmy som sa snažil čo najviac zjednotiť a v samotnej správe je fragment s ich popisom.
Napriek tomu sa správa veľmi odporúča na čítanie, pretože obsahuje jedinečné výsledky výskumu a správne závery.
Všetky čísla a fakty sú uvedené bez najmenších zmien a ak s nimi nesúhlasíte, je lepšie sa hádať nie s prekladateľom, ale s autormi správy. A tu sú moje komentáre (uvedené ako citácie a označené v texte taliansky) sú mojím hodnotovým úsudkom a o každom z nich (ako aj o kvalite prekladu) rád polemizujem.
Recenzia
Digitálne kanály komunikácie so zákazníkmi sú v súčasnosti pre podniky dôležitejšie ako kedykoľvek predtým. A v rámci spoločnosti je komunikácia medzi zamestnancami viac digitálne orientovaná ako kedykoľvek predtým. A ako budú tieto interakcie bezpečné, závisí od zvoleného spôsobu overovania používateľa. Útočníci využívajú slabú autentifikáciu na masívne hackovanie používateľských účtov. Regulačné orgány v reakcii na to sprísňujú normy, aby prinútili podniky lepšie chrániť používateľské účty a údaje.
Hrozby súvisiace s autentifikáciou presahujú spotrebiteľské aplikácie; útočníci môžu tiež získať prístup k aplikáciám bežiacim vo vnútri podniku. Táto operácia im umožňuje vydávať sa za podnikových používateľov. Útočníci používajúci prístupové body so slabou autentifikáciou môžu kradnúť dáta a vykonávať ďalšie podvodné aktivity. Našťastie existujú opatrenia na boj proti tomu. Silná autentifikácia pomôže výrazne znížiť riziko útoku zo strany útočníka, a to ako na spotrebiteľské aplikácie, tak aj na podnikové podnikové systémy.
Táto štúdia skúma: ako podniky implementujú autentifikáciu na ochranu aplikácií koncových používateľov a podnikových obchodných systémov; faktory, ktoré berú do úvahy pri výbere autentifikačného riešenia; úlohu, ktorú v ich organizáciách zohráva silná autentifikácia; výhody, ktoré tieto organizácie dostávajú.
Zhrnutie
Kľúčové zistenia
Od roku 2017 sa výrazne zvýšilo používanie silnej autentifikácie. S rastúcim počtom zraniteľností ovplyvňujúcich tradičné riešenia autentifikácie organizácie posilňujú svoje autentifikačné schopnosti silnou autentifikáciou. Počet organizácií používajúcich kryptografickú viacfaktorovú autentifikáciu (MFA) sa od roku 2017 strojnásobil v prípade spotrebiteľských aplikácií a zvýšil sa takmer o 50 % v prípade podnikových aplikácií. Najrýchlejší rast zaznamenáva mobilná autentifikácia v dôsledku zvyšujúcej sa dostupnosti biometrickej autentifikácie.
Tu vidíme príklad príslovia „kým neudrie hrom, človek sa nepokríži“. Keď experti varovali pred nedostatočnou bezpečnosťou hesiel, nikto sa s implementáciou dvojfaktorovej autentifikácie neponáhľal. Hneď ako hackeri začali kradnúť heslá, ľudia začali implementovať dvojfaktorovú autentifikáciu.
Je pravda, že jednotlivci oveľa aktívnejšie implementujú 2FA. Po prvé, je pre nich jednoduchšie upokojiť svoje obavy spoliehaním sa na biometrické overenie zabudované v smartfónoch, ktoré je v skutočnosti veľmi nespoľahlivé. Organizácie musia míňať peniaze na nákup tokenov a vykonávať prácu (v skutočnosti veľmi jednoduchú) na ich implementáciu. A po druhé, len leniví ľudia nepísali o úniku hesiel zo služieb ako Facebook a Dropbox, ale za žiadnych okolností nebudú CIO týchto organizácií zdieľať príbehy o tom, ako boli heslá ukradnuté (a čo sa stalo potom) v organizáciách.
Tí, ktorí nepoužívajú silnú autentifikáciu, podceňujú svoje riziko pre svoje podnikanie a zákazníkov. Niektoré organizácie, ktoré v súčasnosti nepoužívajú silnú autentifikáciu, majú tendenciu vnímať prihlasovacie mená a heslá ako jednu z najefektívnejších a ľahko použiteľných metód autentifikácie používateľov. Iní nevidia hodnotu digitálnych aktív, ktoré vlastnia. Koniec koncov, stojí za zváženie, že kyberzločinci sa zaujímajú o akékoľvek spotrebiteľské a obchodné informácie. Dve tretiny spoločností, ktoré na autentifikáciu svojich zamestnancov používajú iba heslá, to robia preto, lebo veria, že heslá sú dostatočne dobré pre typ informácií, ktoré chránia.
Heslá sú však na ceste do hrobu. Závislosť od hesiel za posledný rok výrazne klesla pre spotrebiteľské aj podnikové aplikácie (zo 44 % na 31 % a z 56 % na 47 %), keďže organizácie čoraz viac využívajú tradičné MFA a silnú autentifikáciu.
Ale ak sa pozrieme na situáciu ako celok, stále prevládajú zraniteľné metódy autentifikácie. Na autentifikáciu používateľov asi štvrtina organizácií používa SMS OTP (jednorazové heslo) spolu s bezpečnostnými otázkami. V dôsledku toho je potrebné zaviesť dodatočné bezpečnostné opatrenia na ochranu pred zraniteľnosťou, čo zvyšuje náklady. Používanie oveľa bezpečnejších metód autentifikácie, ako sú hardvérové kryptografické kľúče, sa používa oveľa menej často, približne v 5 % organizácií.
Vyvíjajúce sa regulačné prostredie sľubuje urýchlenie prijatia silnej autentifikácie pre spotrebiteľské aplikácie. So zavedením PSD2, ako aj s novými pravidlami ochrany údajov v EÚ a niekoľkých štátoch USA, ako je Kalifornia, spoločnosti pociťujú teplo. Takmer 70 % spoločností súhlasí s tým, že čelia silnému regulačnému tlaku na poskytovanie silnej autentifikácie svojim zákazníkom. Viac ako polovica podnikov sa domnieva, že v priebehu niekoľkých rokov nebudú ich metódy overovania postačovať na splnenie regulačných noriem.
Rozdiel v prístupoch ruských a americko-európskych zákonodarcov k ochrane osobných údajov používateľov programov a služieb je jasne viditeľný. Rusi hovoria: milí majitelia služieb, robte si čo chcete a ako chcete, ale ak váš admin zlúči databázu, potrestáme vás. V zahraničí hovoria: musíte zaviesť súbor opatrení, ktoré nedovolí vypustite základňu. Preto sa tam zavádzajú požiadavky na prísnu dvojfaktorovú autentifikáciu.
Pravda, zďaleka neplatí, že naša legislatívna mašinéria sa jedného dňa nespamätá a nezohľadní západné skúsenosti. Potom sa ukáže, že každý musí urýchlene implementovať 2FA, ktorý je v súlade s ruskými kryptografickými štandardmi.
Vytvorenie silného rámca autentifikácie umožňuje spoločnostiam posunúť svoje zameranie od plnenia regulačných požiadaviek na uspokojovanie potrieb zákazníkov. Pre organizácie, ktoré stále používajú jednoduché heslá alebo prijímajú kódy prostredníctvom SMS, bude najdôležitejším faktorom pri výbere metódy overenia súlad s regulačnými požiadavkami. Ale tie spoločnosti, ktoré už používajú silnú autentifikáciu, sa môžu zamerať na výber tých metód autentifikácie, ktoré zvyšujú lojalitu zákazníkov.
Pri výbere metódy podnikovej autentifikácie v rámci podniku už regulačné požiadavky nie sú dôležitým faktorom. V tomto prípade je oveľa dôležitejšia jednoduchosť integrácie (32 %) a cena (26 %).
V ére phishingu môžu útočníci použiť firemný e-mail na podvody podvodne získať prístup k údajom, účtom (s príslušnými prístupovými právami) a dokonca presvedčiť zamestnancov, aby uskutočnili prevod peňazí na jeho účet. Firemné e-mailové a portálové účty preto musia byť obzvlášť dobre chránené.
Google posilnil svoju bezpečnosť implementáciou silnej autentifikácie. Pred viac ako dvoma rokmi spoločnosť Google zverejnila správu o implementácii dvojfaktorovej autentifikácie založenej na kryptografických bezpečnostných kľúčoch pomocou štandardu FIDO U2F, ktorá prináša pôsobivé výsledky. Podľa spoločnosti nebol vykonaný ani jeden phishingový útok proti viac ako 85 000 zamestnancom.
Odporúčanie
Implementujte silnú autentifikáciu pre mobilné a online aplikácie. Viacfaktorová autentifikácia založená na kryptografických kľúčoch poskytuje oveľa lepšiu ochranu pred hackermi ako tradičné metódy MFA. Okrem toho je použitie kryptografických kľúčov oveľa pohodlnejšie, pretože nie je potrebné používať a prenášať ďalšie informácie - heslá, jednorazové heslá alebo biometrické údaje zo zariadenia používateľa na autentifikačný server. Okrem toho štandardizácia autentifikačných protokolov výrazne uľahčuje implementáciu nových metód autentifikácie, keď budú k dispozícii, čím sa znížia náklady na implementáciu a ochránia sa pred sofistikovanejšími schémami podvodov.
Pripravte sa na zánik jednorazových hesiel (OTP). Zraniteľnosť spojená s OTP je čoraz zreteľnejšia, pretože kyberzločinci používajú sociálne inžinierstvo, klonovanie smartfónov a malvér na kompromitáciu týchto autentifikačných opatrení. A ak majú OTP v niektorých prípadoch určité výhody, tak iba z hľadiska univerzálnej dostupnosti pre všetkých používateľov, ale nie z hľadiska bezpečnosti.
Nie je možné si nevšimnúť, že prijímanie kódov prostredníctvom SMS alebo Push notifikácií, ako aj generovanie kódov pomocou programov pre smartfóny, je použitie tých istých jednorazových hesiel (OTP), na ktoré sa od nás žiada pripraviť sa na odmietnutie. Z technického hľadiska je riešenie veľmi správne, pretože ide o ojedinelého podvodníka, ktorý sa nesnaží zistiť jednorazové heslo od dôverčivého používateľa. Ale myslím si, že výrobcovia takýchto systémov budú lipnúť na umierajúcej technológii až do posledného.
Použite silnú autentifikáciu ako marketingový nástroj na zvýšenie dôvery zákazníkov. Silná autentifikácia dokáže viac než len zlepšiť skutočnú bezpečnosť vášho podnikania. Informovanie zákazníkov o tom, že vaša firma používa silnú autentifikáciu, môže posilniť vnímanie bezpečnosti danej firmy verejnosťou – čo je dôležitý faktor, keď existuje výrazný dopyt zákazníkov po silných metódach autentifikácie.
Vykonajte dôkladnú inventarizáciu a posúdenie kritickosti podnikových údajov a chráňte ich podľa dôležitosti. Dokonca aj údaje s nízkym rizikom, ako sú kontaktné informácie zákazníka (nie, naozaj, správa hovorí „nízke riziko“, je veľmi zvláštne, že podceňujú dôležitosť týchto informácií), môže priniesť podvodníkom významnú hodnotu a spôsobiť spoločnosti problémy.
Používajte silnú podnikovú autentifikáciu. Množstvo systémov je pre zločincov najatraktívnejším cieľom. Patria sem interné a na internet prepojené systémy ako účtovný program alebo podnikový dátový sklad. Silná autentifikácia zabraňuje útočníkom získať neoprávnený prístup a tiež umožňuje presne určiť, ktorý zamestnanec sa dopustil škodlivej činnosti.
Čo je silná autentifikácia?
Pri použití silnej autentifikácie sa na overenie pravosti používateľa používa niekoľko metód alebo faktorov:
- Faktor vedomostí: zdieľané tajomstvo medzi používateľom a subjektom overeným používateľom (ako sú heslá, odpovede na bezpečnostné otázky atď.)
- Faktor vlastníctva: zariadenie, ktoré má iba používateľ (napríklad mobilné zariadenie, kryptografický kľúč atď.)
- Faktor integrity: fyzické (často biometrické) charakteristiky používateľa (napríklad odtlačok prsta, vzor dúhovky, hlas, správanie atď.)
Potreba hackovania viacerých faktorov výrazne zvyšuje pravdepodobnosť zlyhania útočníkov, pretože obchádzanie alebo oklamanie rôznych faktorov si vyžaduje použitie viacerých typov hackerských taktík, pre každý faktor zvlášť.
Napríklad pomocou 2FA „heslo + smartfón“ môže útočník vykonať autentifikáciu pohľadom na heslo používateľa a vytvorením presnej softvérovej kópie jeho smartfónu. A to je oveľa ťažšie, ako jednoducho ukradnúť heslo.
Ak sa však pre 2FA používa heslo a kryptografický token, potom tu možnosť kopírovania nefunguje - nie je možné duplikovať token. Podvodník bude musieť používateľovi tajne ukradnúť token. Ak si používateľ všimne stratu včas a upozorní správcu, token bude zablokovaný a podvodníkovo úsilie bude márne. To je dôvod, prečo faktor vlastníctva vyžaduje použitie špecializovaných bezpečných zariadení (tokenov) a nie zariadení na všeobecné použitie (smartfóny).
Použitie všetkých troch faktorov spôsobí, že implementácia tejto metódy autentifikácie bude dosť nákladná a jej použitie bude dosť nepohodlné. Preto sa zvyčajne používajú dva z troch faktorov.
Podrobnejšie sú popísané princípy dvojfaktorovej autentifikácie , v bloku „Ako funguje dvojfaktorová autentifikácia“.
Je dôležité poznamenať, že aspoň jeden z autentifikačných faktorov používaných pri silnej autentifikácii musí používať kryptografiu s verejným kľúčom.
Silná autentifikácia poskytuje oveľa silnejšiu ochranu ako jednofaktorová autentifikácia založená na klasických heslách a tradičných MFA. Heslá môžu byť sledované alebo zachytené pomocou keyloggerov, phishingových stránok alebo útokov sociálneho inžinierstva (kde je obeť oklamaná, aby prezradila svoje heslo). Majiteľ hesla sa navyše o krádeži nič nedozvie. Tradičné MFA (vrátane OTP kódov, naviazanie na smartfón alebo SIM kartu) je tiež možné pomerne ľahko hacknúť, keďže nie je založené na kryptografii s verejným kľúčom (Mimochodom, existuje veľa príkladov, keď podvodníci pomocou rovnakých techník sociálneho inžinierstva presvedčili používateľov, aby im dali jednorazové heslo).
Našťastie, používanie silnej autentifikácie a tradičného MFA sa od minulého roka dostáva do popredia v spotrebiteľských aj podnikových aplikáciách. Obzvlášť rýchlo vzrástlo používanie silnej autentifikácie v spotrebiteľských aplikáciách. Ak ho v roku 2017 využívalo len 5 % firiem, tak v roku 2018 to už bolo trojnásobne viac – 16 %. To možno vysvetliť zvýšenou dostupnosťou tokenov, ktoré podporujú algoritmy kryptografie s verejným kľúčom (PKC). Okrem toho zvýšený tlak zo strany európskych regulačných orgánov po prijatí nových pravidiel ochrany údajov, ako sú PSD2 a GDPR, mal silný vplyv aj mimo Európy (vrátane Ruska).
Poďme sa na tieto čísla pozrieť bližšie. Ako vidíme, percento súkromných osôb využívajúcich viacfaktorovú autentifikáciu vzrástlo v priebehu roka o pôsobivých 11 %. A to sa jednoznačne stalo na úkor milovníkov hesiel, keďže počet tých, ktorí veria v bezpečnosť Push notifikácií, SMS a biometrie, sa nezmenil.
Ale s dvojfaktorovou autentifikáciou pre firemné použitie to nie je také dobré. Po prvé, podľa správy len 5 % zamestnancov prešlo z overovania hesla na tokeny. A po druhé, počet tých, ktorí využívajú alternatívne možnosti MFA v podnikovom prostredí, sa zvýšil o 4 %.
Pokúsim sa hrať na analytika a podať svoj výklad. V centre digitálneho sveta jednotlivých používateľov je smartfón. Preto niet divu, že väčšina využíva možnosti, ktoré im zariadenie poskytuje – biometrické overovanie, SMS a Push notifikácie, ale aj jednorazové heslá generované aplikáciami v samotnom smartfóne. Ľudia zvyčajne nemyslia na bezpečnosť a spoľahlivosť pri používaní nástrojov, na ktoré sú zvyknutí.
To je dôvod, prečo percento používateľov primitívnych „tradičných“ autentifikačných faktorov zostáva nezmenené. Ale tí, ktorí predtým používali heslá, chápu, koľko riskujú, a pri výbere nového autentifikačného faktora sa rozhodnú pre najnovšiu a najbezpečnejšiu možnosť - kryptografický token.
Pokiaľ ide o firemný trh, je dôležité pochopiť, v ktorom systéme sa autentifikácia vykonáva. Ak je implementované prihlásenie do domény Windows, použijú sa kryptografické tokeny. Možnosti ich použitia pre 2FA sú už zabudované do Windows aj Linuxu, ale alternatívne možnosti sú dlhé a ťažko realizovateľné. Toľko k migrácii 5 % z hesiel na tokeny.
A implementácia 2FA do podnikového informačného systému veľmi závisí od kvalifikácie vývojárov. A pre vývojárov je oveľa jednoduchšie vziať si hotové moduly na generovanie jednorazových hesiel, ako pochopiť fungovanie kryptografických algoritmov. Výsledkom je, že dokonca aj neuveriteľne kritické aplikácie, ako sú systémy Single Sign-On alebo Privileged Access Management, používajú OTP ako druhý faktor.
Mnoho zraniteľností v tradičných metódach autentifikácie
Zatiaľ čo mnohé organizácie sú stále odkázané na staršie jednofaktorové systémy, zraniteľné miesta v tradičnej viacfaktorovej autentifikácii sú čoraz zreteľnejšie. Jednorazové heslá, zvyčajne v dĺžke šesť až osem znakov, doručené prostredníctvom SMS, zostávajú najbežnejšou formou autentifikácie (samozrejme okrem faktora hesla). A keď sa v populárnej tlači spomínajú slová „dvojfaktorové overenie“ alebo „dvojstupňové overenie“, takmer vždy sa vzťahujú na overenie SMS jednorazovým heslom.
Tu sa autor trochu mýli. Doručovanie jednorazových hesiel prostredníctvom SMS nikdy nebolo dvojfaktorovou autentifikáciou. Toto je vo svojej najčistejšej podobe druhá fáza dvojstupňovej autentifikácie, kde prvou fázou je zadanie vášho prihlasovacieho mena a hesla.
V roku 2016 Národný inštitút pre štandardy a technológie (NIST) aktualizoval svoje pravidlá overovania, aby sa eliminovalo používanie jednorazových hesiel odosielaných prostredníctvom SMS. Tieto pravidlá sa však po protestoch priemyslu výrazne zmiernili.
Poďme teda podľa zápletky. Americký regulátor správne uznáva, že zastaraná technológia nie je schopná zaistiť bezpečnosť používateľov a zavádza nové štandardy. Štandardy určené na ochranu používateľov online a mobilných aplikácií (vrátane bankových). Priemysel počíta, koľko peňazí bude musieť minúť na nákup skutočne spoľahlivých kryptografických tokenov, prepracovanie aplikácií, nasadenie infraštruktúry verejného kľúča a „vstáva na zadných nohách“. Na jednej strane sa používatelia presvedčili o spoľahlivosti jednorazových hesiel a na druhej strane došlo k útokom na NIST. V dôsledku toho došlo k zmierneniu štandardu a prudko vzrástol počet hacknutí a krádeží hesiel (a peňazí z bankových aplikácií). Priemysel však nemusel dávať peniaze.
Odvtedy sa základné slabiny SMS OTP stali zjavnejšie. Podvodníci používajú rôzne metódy na kompromitáciu SMS správ:
- duplikácia SIM karty. Útočníci vytvoria kópiu SIM karty (s pomocou zamestnancov mobilného operátora alebo samostatne, pomocou špeciálneho softvéru a hardvéru). Výsledkom je, že útočník dostane SMS s jednorazovým heslom. V jednom obzvlášť slávnom prípade boli hackeri dokonca schopní kompromitovať účet AT&T investora do kryptomien Michaela Turpina a ukradnúť takmer 24 miliónov dolárov v kryptomenách. V dôsledku toho Turpin uviedol, že AT&T bola na vine kvôli slabým overovacím opatreniam, ktoré viedli k duplikácii SIM karty.
Úžasná logika. Takže je to naozaj len chyba AT&T? Nie, je to nepochybne chyba mobilného operátora, že predavači v komunikačnom obchode vydali duplikát SIM karty. Ako je to s autentifikačným systémom výmeny kryptomien? Prečo nepoužili silné kryptografické tokeny? Bola škoda minúť peniaze na realizáciu? Nie je na vine sám Michael? Prečo netrval na zmene autentifikačného mechanizmu alebo nepoužíval len tie burzy, ktoré implementujú dvojfaktorovú autentifikáciu založenú na kryptografických tokenoch?
Zavedenie skutočne spoľahlivých metód autentifikácie sa oneskoruje práve preto, že používatelia prejavujú úžasnú neopatrnosť pred hackovaním a potom obviňujú svoje problémy na kohokoľvek a čokoľvek iné ako na staré a „deravé“ autentifikačné technológie.
- Malvér. Jednou z prvých funkcií mobilného malvéru bolo zachytávanie a posielanie textových správ útočníkom. Útoky typu man-in-the-browser a man-in-the-middle môžu tiež zachytiť jednorazové heslá, keď sú zadané na infikovaných prenosných počítačoch alebo stolných zariadeniach.
Keď aplikácia Sberbank na vašom smartfóne bliká zelenou ikonou v stavovom riadku, hľadá aj „malvér“ vo vašom telefóne. Cieľom tohto podujatia je premeniť nedôveryhodné exekučné prostredie typického smartfónu na, aspoň nejakým spôsobom, dôveryhodné.
Mimochodom, smartfón ako úplne nedôveryhodné zariadenie, na ktorom sa dá robiť čokoľvek, je ďalším dôvodom, prečo ho použiť na autentifikáciu iba hardvérové tokeny, ktoré sú chránené a neobsahujú vírusy a trójske kone. - Sociálne inžinierstvo. Keď podvodníci vedia, že obeť má povolené jednorazové heslo prostredníctvom SMS, môžu obeť kontaktovať priamo, pričom sa vydávajú za dôveryhodnú organizáciu, ako je ich banka alebo úverová družstvá, a oklamať obeť, aby poskytla kód, ktorý práve dostala.
Osobne som sa s týmto typom podvodu stretol mnohokrát, napríklad pri pokuse predať niečo na obľúbenom internetovom blšom trhu. Sám som si robil srandu z podvodníka, ktorý sa ma snažil oklamať do sýtosti. Ale bohužiaľ, pravidelne čítam v správach, ako ďalšia obeť podvodníkov „nemyslela“, dala potvrdzovací kód a stratila veľkú sumu. A to všetko preto, že banka jednoducho nechce riešiť implementáciu kryptografických tokenov do svojich aplikácií. Ak sa totiž niečo stane, klienti „sa za to môžu“.
Zatiaľ čo alternatívne metódy doručovania OTP môžu zmierniť niektoré zraniteľnosti tejto metódy autentifikácie, iné zraniteľnosti zostávajú. Samostatné aplikácie na generovanie kódu sú najlepšou ochranou proti odpočúvaniu, pretože aj malvér môže len ťažko interagovať priamo s generátorom kódu (vážne? Zabudol autor reportáže na diaľkové ovládanie?), ale jednorazové heslá môžu byť po zadaní do prehliadača stále zachytené (napríklad pomocou keyloggera), prostredníctvom napadnutej mobilnej aplikácie; a možno ich získať aj priamo od používateľa pomocou sociálneho inžinierstva.
Používanie viacerých nástrojov na hodnotenie rizík, ako je rozpoznávanie zariadení (detekcia pokusov o vykonanie transakcií zo zariadení, ktoré nepatria legálnemu používateľovi), geolokácia (používateľ, ktorý bol práve v Moskve, sa pokúša vykonať operáciu z Novosibirska) a behaviorálna analytika sú dôležité na riešenie slabých miest, no ani jedno z riešení nie je všeliekom. Pre každú situáciu a typ údajov je potrebné dôkladne posúdiť riziká a zvoliť, ktorá technológia autentifikácie sa má použiť.
Žiadne riešenie overovania nie je všeliekom
Obrázok 2. Tabuľka možností autentifikácie
| overenie pravosti | faktor | Popis | Kľúčové zraniteľnosti |
| Heslo alebo PIN | Vedomosti | Pevná hodnota, ktorá môže obsahovať písmená, čísla a množstvo ďalších znakov | Dá sa zachytiť, špehovať, ukradnúť, zdvihnúť alebo hacknúť |
| Autentifikácia založená na znalostiach | Vedomosti | Otázky odpovede, ktoré môže poznať iba legálny používateľ | Dá sa zachytiť, zachytiť, získať pomocou metód sociálneho inžinierstva |
| OTP hardvéru () | Vlastníctvo | Špeciálne zariadenie, ktoré generuje jednorazové heslá | Kód môže byť zachytený a zopakovaný alebo môže dôjsť k odcudzeniu zariadenia |
| Softvérové jednorazové heslo | Vlastníctvo | Aplikácia (mobilná, prístupná cez prehliadač alebo odosielanie kódov e-mailom), ktorá generuje jednorazové heslá | Kód môže byť zachytený a zopakovaný alebo môže dôjsť k odcudzeniu zariadenia |
| SMS jednorazové heslo | Vlastníctvo | Jednorazové heslo doručené prostredníctvom SMS správy | Kód môže byť zachytený a zopakovaný alebo môže dôjsť k odcudzeniu smartfónu alebo SIM karty alebo duplikácii SIM karty |
| Smart karty () | Vlastníctvo | Karta, ktorá obsahuje kryptografický čip a zabezpečenú pamäť kľúčov, ktorá na autentifikáciu využíva infraštruktúru verejných kľúčov | Môže byť fyzicky ukradnutý (ale útočník nebude môcť používať zariadenie bez znalosti PIN kódu; v prípade niekoľkých nesprávnych pokusov o zadanie sa zariadenie zablokuje) |
| Bezpečnostné kľúče – tokeny (, ) | Vlastníctvo | Zariadenie USB, ktoré obsahuje kryptografický čip a zabezpečenú pamäť kľúča, ktorá na overenie používa infraštruktúru verejných kľúčov | Môže byť fyzicky odcudzené (útočník však nebude môcť používať zariadenie bez znalosti PIN kódu; v prípade niekoľkých nesprávnych pokusov o zadanie bude zariadenie zablokované) |
| Prepojenie so zariadením | Vlastníctvo | Proces, ktorý vytvára profil, často pomocou JavaScriptu alebo pomocou značiek, ako sú súbory cookie a zdieľané objekty Flash, aby sa zabezpečilo, že sa používa konkrétne zariadenie | Tokeny je možné ukradnúť (skopírovať) a útočník na svojom zariadení môže napodobniť vlastnosti legálneho zariadenia |
| správanie | Inherencia | Analyzuje, ako používateľ interaguje so zariadením alebo programom | Správanie sa dá napodobňovať |
| odtlačky prstov | Inherencia | Uložené odtlačky prstov sa porovnávajú s tými, ktoré boli zachytené opticky alebo elektronicky | Obrázok môže byť ukradnutý a použitý na overenie |
| Skenovanie očí | Inherencia | Porovnáva vlastnosti oka, ako je vzor dúhovky, s novými optickými skenmi | Obrázok môže byť ukradnutý a použitý na overenie |
| Rozpoznávanie tváre | Inherencia | Charakteristiky tváre sa porovnávajú s novými optickými skenmi | Obrázok môže byť ukradnutý a použitý na overenie |
| Rozpoznávanie hlasu | Inherencia | Charakteristiky nahranej vzorky hlasu sa porovnávajú s novými vzorkami | Záznam môže byť odcudzený a použitý na autentifikáciu alebo emulovaný |
V druhej časti publikácie nás čakajú to najchutnejšie - čísla a fakty, na ktorých sú založené závery a odporúčania uvedené v prvej časti. Autentifikácia v používateľských aplikáciách a v podnikových systémoch bude diskutovaná samostatne.
Uvidíme sa čoskoro!
Zdroj: hab.com