Spoiler iz naslova poročila: "Uporaba močne avtentikacije se povečuje zaradi grožnje novih tveganj in regulativnih zahtev."
Raziskovalno podjetje "Javelin Strategy & Research" je objavilo poročilo "The State of Strong Authentication 2019" (). To poročilo pravi: kolikšen odstotek ameriških in evropskih podjetij uporablja gesla (in zakaj malo ljudi zdaj uporablja gesla); zakaj uporaba dvofaktorske avtentikacije na osnovi kriptografskih žetonov tako hitro narašča; Zakaj enkratne kode, poslane prek SMS-a, niso varne.
Dobrodošli so vsi, ki jih zanima sedanjost, preteklost in prihodnost avtentikacije v podjetjih in potrošniških aplikacijah.
Od prevajalca
Žal, jezik, v katerem je napisano to poročilo, je precej »suh« in formalen. In petkratna uporaba besede "avtentikacija" v enem kratkem stavku ni krive roke (ali možgani) prevajalca, ampak muhavost avtorjev. Ko sem prevajal iz dveh možnosti - da bi bralcem dal besedilo bližje izvirniku ali bolj zanimivo, sem včasih izbral prvo, včasih drugo. Toda bodite potrpežljivi, dragi bralci, vsebina poročila je vredna tega.
Nekaj za zgodbo nepomembnih in nepotrebnih delov je bilo odstranjenih, sicer večina ne bi mogla prebroditi celotnega besedila. Kdor želi poročilo prebrati »nerezano«, lahko to stori v izvirnem jeziku na povezavi.
Žal avtorji niso vedno previdni pri terminologiji. Tako se enkratna gesla (One Time Password - OTP) včasih imenujejo "gesla", včasih pa "kode". Še huje je z metodami avtentikacije. Neizkušenemu bralcu ni vedno lahko uganiti, da sta »avtentikacija s kriptografskimi ključi« in »močna avtentikacija« ista stvar. Izraze sem poskušal čim bolj poenotiti, v samem poročilu pa je delček z njihovim opisom.
Kljub temu je poročilo zelo priporočljivo v branje, saj vsebuje edinstvene rezultate raziskav in pravilne zaključke.
Vse številke in dejstva so predstavljeni brez najmanjših sprememb, in če se z njimi ne strinjate, je bolje, da se ne prepirate s prevajalcem, temveč z avtorji poročila. In tukaj so moji komentarji (navedeni kot citati in označeni v besedilu italijanščina) so moja vrednostna sodba in o vsaki izmed njih (pa tudi o kakovosti prevoda) bom z veseljem argumentiral.
Pregled
Dandanes so digitalni kanali komuniciranja s strankami za podjetja pomembnejši kot kdaj koli prej. In znotraj podjetja je komunikacija med zaposlenimi bolj digitalno usmerjena kot kdaj koli prej. Kako varne bodo te interakcije, je odvisno od izbranega načina avtentikacije uporabnika. Napadalci uporabljajo šibko avtentikacijo za masovne vdore v uporabniške račune. V odgovor regulatorji zaostrujejo standarde, da bi podjetja prisilili k boljši zaščiti uporabniških računov in podatkov.
Grožnje, povezane z avtentifikacijo, presegajo potrošniške aplikacije; napadalci lahko pridobijo tudi dostop do aplikacij, ki se izvajajo znotraj podjetja. Ta operacija jim omogoča, da se lažno predstavljajo kot korporativni uporabniki. Napadalci, ki uporabljajo dostopne točke s šibko avtentikacijo, lahko ukradejo podatke in izvajajo druge goljufive dejavnosti. Na srečo obstajajo ukrepi za boj proti temu. Močna avtentikacija bo pomagala znatno zmanjšati tveganje napada s strani napadalca, tako na potrošniške aplikacije kot na poslovne sisteme podjetij.
Ta študija preučuje: kako podjetja izvajajo avtentikacijo za zaščito aplikacij končnih uporabnikov in poslovnih sistemov podjetij; dejavnike, ki jih upoštevajo pri izbiri rešitve za preverjanje pristnosti; vlogo, ki jo ima močna avtentikacija v njihovih organizacijah; koristi, ki jih imajo te organizacije.
Povzetek
Ključne ugotovitve
Od leta 2017 se je uporaba močne avtentikacije močno povečala. Z vedno večjim številom ranljivosti, ki vplivajo na tradicionalne rešitve za preverjanje pristnosti, organizacije krepijo svoje zmožnosti preverjanja pristnosti z močno avtentikacijo. Število organizacij, ki uporabljajo kriptografsko večfaktorsko avtentikacijo (MFA), se je od leta 2017 potrojilo za potrošniške aplikacije in povečalo za skoraj 50 % za poslovne aplikacije. Najhitreje raste mobilna avtentikacija zaradi vedno večje razpoložljivosti biometrične avtentikacije.
Tukaj vidimo ilustracijo izreka »dokler ne udari grom, se človek ne pokriža«. Ko so strokovnjaki opozarjali na nevarnost gesel, se nikomur ni mudilo uvesti dvofaktorsko avtentikacijo. Takoj ko so hekerji začeli krasti gesla, so ljudje začeli izvajati dvostopenjsko avtentikacijo.
Res je, posamezniki veliko bolj aktivno uvajajo 2FA. Prvič, lažje pomirijo svoje strahove, če se zanesejo na biometrično avtentikacijo, vgrajeno v pametne telefone, ki je v resnici zelo nezanesljiva. Organizacije morajo porabiti denar za nakup žetonov in opraviti delo (pravzaprav zelo preprosto) za njihovo izvajanje. In drugič, samo leni ljudje niso pisali o uhajanju gesel iz storitev, kot sta Facebook in Dropbox, vendar direktorji informatike teh organizacij pod nobenim pogojem ne bodo delili zgodb o tem, kako so bila gesla ukradena (in kaj se je potem zgodilo) v organizacijah.
Tisti, ki ne uporabljajo močne avtentikacije, podcenjujejo tveganje za svoje podjetje in stranke. Nekatere organizacije, ki trenutno ne uporabljajo močnega preverjanja pristnosti, gledajo na prijave in gesla kot na enega najučinkovitejših in najpreprostejših načinov preverjanja pristnosti uporabnikov. Drugi ne vidijo vrednosti digitalnih sredstev, ki jih imajo v lasti. Navsezadnje je vredno upoštevati, da kibernetske kriminalce zanimajo vse informacije o potrošnikih in podjetju. Dve tretjini podjetij, ki za preverjanje pristnosti svojih zaposlenih uporabljajo samo gesla, to storita zato, ker menita, da so gesla dovolj dobra za vrsto informacij, ki jih varujejo.
Vendar so gesla na poti v grob. Odvisnost od gesel se je v preteklem letu občutno zmanjšala tako za potrošniške kot za poslovne aplikacije (s 44 % na 31 % oziroma s 56 % na 47 %), saj organizacije povečujejo uporabo tradicionalnih MFA in močne avtentikacije.
Toda če pogledamo situacijo kot celoto, še vedno prevladujejo ranljive metode avtentikacije. Za avtentikacijo uporabnikov približno četrtina organizacij uporablja SMS OTP (enkratno geslo) skupaj z varnostnimi vprašanji. Posledično je treba izvesti dodatne varnostne ukrepe za zaščito pred ranljivostjo, kar poveča stroške. Uporaba veliko bolj varnih metod avtentikacije, kot so strojni kriptografski ključi, se uporablja veliko redkeje, v približno 5 % organizacij.
Razvijajoče se regulativno okolje obljublja, da bo pospešilo sprejetje močne avtentikacije za potrošniške aplikacije. Z uvedbo PSD2 in novih pravil o varstvu podatkov v EU in več ameriških zveznih državah, kot je Kalifornija, podjetja čutijo vročino. Skoraj 70 % podjetij se strinja, da se soočajo z močnim regulativnim pritiskom, da svojim strankam zagotovijo močno avtentikacijo. Več kot polovica podjetij meni, da v nekaj letih njihove metode avtentikacije ne bodo zadostovale za izpolnjevanje regulativnih standardov.
Jasno je vidna razlika v pristopih ruskega in ameriško-evropskega zakonodajalca do varstva osebnih podatkov uporabnikov programov in storitev. Rusi pravijo: dragi serviserji, delajte, kar hočete in kakor hočete, če pa vaš admin zlije bazo, vas bomo kaznovali. V tujini pravijo: treba je izvesti nabor ukrepov, ki ne bo dovolil odcedite osnovo. Zato se tam izvajajo zahteve za strogo dvofaktorsko avtentikacijo.
Res je, še zdaleč ni dejstvo, da se naš zakonodajni stroj nekega dne ne bo spametoval in upošteval zahodne izkušnje. Potem se izkaže, da morajo vsi implementirati 2FA, ki je v skladu z ruskimi kriptografskimi standardi, in to nujno.
Vzpostavitev močnega okvira za preverjanje pristnosti omogoča podjetjem, da se osredotočijo z izpolnjevanja zakonskih zahtev na izpolnjevanje potreb strank. Za tiste organizacije, ki še vedno uporabljajo preprosta gesla ali prejemajo kode prek SMS-a, bo najpomembnejši dejavnik pri izbiri metode avtentikacije skladnost z regulativnimi zahtevami. Toda tista podjetja, ki že uporabljajo močno avtentikacijo, se lahko osredotočijo na izbiro tistih metod avtentikacije, ki povečajo zvestobo strank.
Pri izbiri metode korporativne avtentikacije v podjetju regulativne zahteve niso več pomemben dejavnik. V tem primeru sta veliko pomembnejša enostavnost integracije (32 %) in cena (26 %).
V dobi lažnega predstavljanja lahko napadalci za prevare uporabijo poslovno e-pošto na goljufiv način pridobiti dostop do podatkov, računov (z ustreznimi dostopnimi pravicami) in celo prepričati zaposlene, da nakažejo denar na njegov račun. Zato morajo biti korporativna e-pošta in računi portala še posebej dobro zaščiteni.
Google je okrepil svojo varnost z implementacijo močne avtentikacije. Pred več kot dvema letoma je Google objavil poročilo o implementaciji dvofaktorske avtentikacije na podlagi kriptografskih varnostnih ključev z uporabo standarda FIDO U2F, v katerem poroča o impresivnih rezultatih. Po navedbah podjetja ni bil izveden niti en lažni napad na več kot 85 zaposlenih.
Priporočila
Izvedite močno avtentikacijo za mobilne in spletne aplikacije. Večfaktorska avtentikacija na podlagi kriptografskih ključev zagotavlja veliko boljšo zaščito pred vdori kot tradicionalne metode MFA. Poleg tega je uporaba kriptografskih ključev veliko bolj priročna, saj ni potrebe po uporabi in prenosu dodatnih informacij - gesel, enkratnih gesel ali biometričnih podatkov iz uporabnikove naprave na strežnik za preverjanje pristnosti. Poleg tega standardizacija protokolov za preverjanje pristnosti omogoča veliko lažjo implementacijo novih metod preverjanja pristnosti, ko so na voljo, kar zmanjšuje stroške izvajanja in ščiti pred bolj izpopolnjenimi shemami goljufij.
Pripravite se na propad enkratnih gesel (OTP). Ranljivosti, ki so del OTP-jev, postajajo vse bolj očitne, saj kibernetski kriminalci uporabljajo socialni inženiring, kloniranje pametnih telefonov in zlonamerno programsko opremo, da ogrozijo ta sredstva preverjanja pristnosti. In če imajo OTP v nekaterih primerih določene prednosti, potem samo z vidika univerzalne dostopnosti za vse uporabnike, ne pa tudi z vidika varnosti.
Nemogoče je ne opaziti, da je prejemanje kod prek SMS ali Push obvestil, kot tudi generiranje kod s programi za pametne telefone, uporaba istih enkratnih gesel (OTP), za katera se moramo pripraviti na upad. S tehničnega vidika je rešitev zelo pravilna, saj gre za redkega prevaranta, ki enkratnega gesla ne poskuša izvedeti od lahkovernega uporabnika. Mislim pa, da se bodo proizvajalci takih sistemov do zadnjega oklepali umirajoče tehnologije.
Uporabite močno avtentikacijo kot marketinško orodje za povečanje zaupanja strank. Močna avtentikacija lahko naredi več kot le izboljša dejansko varnost vašega podjetja. Obveščanje strank, da vaše podjetje uporablja močno avtentikacijo, lahko okrepi javno dojemanje varnosti tega podjetja – pomemben dejavnik, ko obstaja veliko povpraševanje strank po močnih metodah avtentikacije.
Izvedite temeljit popis in oceno kritičnosti podatkov podjetja ter jih zaščitite glede na pomembnost. Tudi podatki z nizkim tveganjem, kot so kontaktni podatki strank (ne, res, v poročilu piše "nizko tveganje", zelo nenavadno je, da podcenjujejo pomen teh informacij), lahko prinese veliko vrednost goljufom in povzroči težave podjetju.
Uporabite močno avtentikacijo podjetja. Številni sistemi so najbolj privlačne tarče za kriminalce. Sem spadajo notranji in z internetom povezani sistemi, kot je računovodski program ali skladišče podatkov podjetja. Močna avtentikacija preprečuje napadalcem nepooblaščen dostop in omogoča tudi natančno določitev, kateri zaposleni je zagrešil zlonamerno aktivnost.
Kaj je močna avtentikacija?
Pri uporabi močne avtentikacije se za preverjanje pristnosti uporabnika uporabi več metod ali dejavnikov:
- Faktor znanja: deljena skrivnost med uporabnikom in overjenim predmetom uporabnika (kot so gesla, odgovori na varnostna vprašanja itd.)
- Faktor lastništva: naprava, ki jo ima samo uporabnik (na primer mobilna naprava, kriptografski ključ itd.)
- Faktor integritete: fizične (pogosto biometrične) lastnosti uporabnika (na primer prstni odtis, vzorec šarenice, glas, vedenje itd.)
Potreba po vdoru v več dejavnikov močno poveča verjetnost neuspeha za napadalce, saj zaobiti ali zavajati različne dejavnike zahteva uporabo več vrst taktik vdiranja za vsak dejavnik posebej.
Na primer, z 2FA »geslo + pametni telefon« lahko napadalec izvede avtentikacijo tako, da pogleda uporabnikovo geslo in naredi natančno kopijo programske opreme svojega pametnega telefona. In to je veliko težje kot preprosto krajo gesla.
Če pa se za 2FA uporabljata geslo in kriptografski žeton, potem možnost kopiranja tukaj ne deluje - žetona ni mogoče podvojiti. Goljuf bo moral uporabniku prikrito ukrasti žeton. Če uporabnik pravočasno opazi izgubo in o tem obvesti skrbnika, bo žeton blokiran in goljufov trud bo zaman. Zato dejavnik lastništva zahteva uporabo specializiranih varnih naprav (žetonov) namesto naprav za splošno uporabo (pametnih telefonov).
Zaradi uporabe vseh treh dejavnikov bo ta metoda preverjanja pristnosti precej draga za izvedbo in precej neprijetna za uporabo. Zato se običajno uporabljata dva od treh faktorjev.
Podrobneje so opisani principi dvofaktorske avtentikacije , v bloku »Kako deluje dvofaktorska avtentikacija«.
Pomembno je omeniti, da mora vsaj eden od dejavnikov avtentikacije, ki se uporablja pri močni avtentikaciji, uporabljati kriptografijo javnega ključa.
Močna avtentikacija zagotavlja veliko močnejšo zaščito kot enofaktorska avtentikacija, ki temelji na klasičnih geslih in tradicionalnem MFA. Za gesli je mogoče vohuniti ali jih prestreči z uporabo keyloggerjev, spletnih strani z lažnim predstavljanjem ali napadov socialnega inženiringa (pri katerih je žrtev zavedena, da razkrije svoje geslo). Poleg tega lastnik gesla ne bo vedel ničesar o kraji. Tradicionalno MFA (vključno s kodami OTP, vezavo na pametni telefon ali kartico SIM) je prav tako mogoče zlahka vdreti, saj ne temelji na kriptografiji z javnimi ključi (Mimogrede, obstaja veliko primerov, ko so prevaranti z istimi tehnikami socialnega inženiringa prepričali uporabnike, da jim dajo enkratno geslo.).
Na srečo se uporaba močne avtentikacije in tradicionalnega MFA od lanskega leta vse bolj uveljavlja tako v potrošniških kot poslovnih aplikacijah. Uporaba močne avtentikacije v potrošniških aplikacijah je še posebej hitro narasla. Če ga je leta 2017 uporabljalo le 5 % podjetij, je bilo leta 2018 že trikrat več – 16 %. To je mogoče pojasniti s povečano razpoložljivostjo žetonov, ki podpirajo algoritme kriptografije javnega ključa (PKC). Poleg tega je imel povečan pritisk evropskih regulatorjev po sprejetju novih pravil o varstvu podatkov, kot sta PSD2 in GDPR, močan učinek tudi zunaj Evrope (tudi v Rusiji).
Oglejmo si te številke pobližje. Kot lahko vidimo, se je odstotek posameznikov, ki uporabljajo večfaktorsko avtentikacijo, v letu dni povečal za impresivnih 11 %. In to se je očitno zgodilo na račun ljubiteljev gesel, saj se število tistih, ki verjamejo v varnost potisnih obvestil, SMS-ov in biometrije, ni spremenilo.
Toda z dvostopenjsko avtentikacijo za korporativno uporabo stvari niso tako dobre. Prvič, glede na poročilo je bilo le 5 % zaposlenih prenesenih s preverjanja pristnosti z geslom na žetone. In drugič, število tistih, ki uporabljajo alternativne možnosti MFA v podjetniškem okolju, se je povečalo za 4 %.
Poskušal bom igrati analitika in podati svojo interpretacijo. V središču digitalnega sveta posameznih uporabnikov je pametni telefon. Zato ni čudno, da večina uporablja zmožnosti, ki jim jih naprava omogoča – biometrično avtentikacijo, SMS in Push obvestila ter enkratna gesla, ki jih generirajo aplikacije na samem pametnem telefonu. Ljudje običajno ne razmišljajo o varnosti in zanesljivosti pri uporabi orodij, ki so jih vajeni.
Zato odstotek uporabnikov primitivnih »tradicionalnih« faktorjev avtentikacije ostaja nespremenjen. Toda tisti, ki so že uporabljali gesla, se zavedajo, koliko tvegajo, in se pri izbiri novega faktorja avtentikacije odločijo za najnovejšo in najvarnejšo možnost - kriptografski žeton.
Kar zadeva podjetniški trg, je pomembno razumeti, v katerem sistemu se izvaja avtentikacija. Če je implementirana prijava v domeno Windows, se uporabljajo kriptografski žetoni. Možnosti za njihovo uporabo za 2FA so že vgrajene v Windows in Linux, vendar so alternativne možnosti dolge in jih je težko izvesti. Toliko o selitvi 5 % z gesel na žetone.
Implementacija 2FA v korporativnem informacijskem sistemu je zelo odvisna od usposobljenosti razvijalcev. In razvijalcem je veliko lažje vzeti že pripravljene module za generiranje enkratnih gesel kot razumeti delovanje kriptografskih algoritmov. In kot rezultat, celo varnostno izjemno kritične aplikacije, kot so enotna prijava ali sistemi za upravljanje privilegiranega dostopa, uporabljajo OTP kot drugi dejavnik.
Številne ranljivosti v tradicionalnih metodah preverjanja pristnosti
Medtem ko je veliko organizacij še vedno odvisnih od podedovanih enofaktorskih sistemov, postajajo ranljivosti v tradicionalni večfaktorski avtentikaciji vse bolj očitne. Enkratna gesla, običajno dolga šest do osem znakov, poslana prek SMS-a, ostajajo najpogostejša oblika preverjanja pristnosti (seveda poleg faktorja gesla). In ko se v popularnem tisku omenjata besedi »avtentikacija v dveh korakih« ali »preverjanje v dveh korakih«, se skoraj vedno nanašata na avtentikacijo z enkratnim geslom SMS.
Tukaj se avtor malo moti. Dostava enkratnih gesel prek SMS še nikoli ni bila dvostopenjska avtentikacija. To je v najčistejši obliki druga stopnja dvostopenjske avtentikacije, kjer je prva stopnja vnos vaše prijave in gesla.
Leta 2016 je Nacionalni inštitut za standarde in tehnologijo (NIST) posodobil svoja pravila za preverjanje pristnosti, da bi odstranil uporabo enkratnih gesel, poslanih prek SMS-a. Vendar pa so bila ta pravila po protestih industrije znatno omilila.
Torej, sledimo zapletu. Ameriški regulator upravičeno priznava, da zastarela tehnologija ni sposobna zagotoviti varnosti uporabnikov in uvaja nove standarde. Standardi za zaščito uporabnikov spletnih in mobilnih aplikacij (vključno z bančnimi). Industrija izračunava, koliko denarja bo morala porabiti za nakup resnično zanesljivih kriptografskih žetonov, preoblikovanje aplikacij, uvajanje infrastrukture javnih ključev in se »dviguje na zadnje noge«. Na eni strani so bili uporabniki prepričani o zanesljivosti enkratnih gesel, na drugi strani pa so se vrstili napadi na NIST. Zaradi tega je bil standard omehčan, število vdorov in kraj gesel (in denarja iz bančnih aplikacij) pa se je močno povečalo. Toda industriji ni bilo treba odšteti denarja.
Od takrat so slabosti SMS OTP postale bolj očitne. Prevaranti uporabljajo različne metode za ogrožanje sporočil SMS:
- Podvajanje kartice SIM. Napadalci ustvarijo kopijo kartice SIM (s pomočjo zaposlenih v mobilnem operaterju ali samostojno z uporabo posebne programske in strojne opreme). Posledično napadalec prejme SMS z enkratnim geslom. V enem posebej znanem primeru je hekerjem uspelo celo ogroziti račun AT&T vlagatelja v kriptovalute Michaela Turpina in ukrasti skoraj 24 milijonov dolarjev v kriptovalutah. Posledično je Turpin izjavil, da je AT&T kriv zaradi šibkih ukrepov preverjanja, ki so vodili do podvajanja kartice SIM.
Neverjetna logika. Torej je res kriv samo AT&T? Ne, nedvomno je krivda mobilnega operaterja, da so prodajalci v komunikacijski trgovini izdali dvojnik SIM kartice. Kaj pa sistem za preverjanje pristnosti menjalnice kriptovalut? Zakaj niso uporabili močnih kriptografskih žetonov? Je bilo škoda porabiti denar za izvedbo? Ali ni Michael sam kriv? Zakaj ni vztrajal pri spremembi avtentikacijskega mehanizma oziroma uporabil le tiste borze, ki izvajajo dvofaktorsko avtentikacijo na podlagi kriptografskih žetonov?
Uvedba zares zanesljivih metod avtentikacije zamuja prav zato, ker uporabniki pokažejo neverjetno malomarnost pred vdorom, nato pa za svoje težave krivijo kogarkoli in karkoli drugega kot starodavne in »puščajoče« tehnologije avtentikacije.
- Zlonamerna programska oprema. Ena od prvih funkcij mobilne zlonamerne programske opreme je bilo prestrezanje in posredovanje besedilnih sporočil napadalcem. Poleg tega lahko napadi človek v brskalniku in človek v sredini prestrežejo enkratna gesla, ko so vnesena v okužene prenosne ali namizne naprave.
Ko aplikacija Sberbank na vašem pametnem telefonu utripa zeleno ikono v statusni vrstici, išče tudi »zlonamerno programsko opremo« na vašem telefonu. Cilj tega dogodka je spremeniti nezaupljivo izvajalno okolje tipičnega pametnega telefona vsaj na nek način v zaupanja vredno.
Mimogrede, pametni telefon, kot povsem nezaupljiva naprava, na kateri je mogoče početi karkoli, je dodaten razlog, da ga uporabimo za avtentikacijo samo žetoni strojne opreme, ki so zaščiteni in brez virusov in trojancev. - Socialni inženiring. Ko prevaranti izvedo, da ima žrtev omogočeno enkratno geslo prek SMS-a, se lahko neposredno obrnejo na žrtev in se predstavljajo kot zaupanja vredna organizacija, kot je njihova banka ali kreditna zadruga, da žrtev preslepijo, da jim posreduje kodo, ki so jo pravkar prejeli.
Osebno sem se večkrat srečal s tovrstno goljufijo, na primer, ko sem poskušal nekaj prodati na priljubljenem spletnem bolšjem sejmu. Tudi sam sem se na srce norčeval iz goljufa, ki me je skušal preslepiti. A žal, v novicah redno berem, kako še ena žrtev prevarantov »ni pomislila«, dala potrditveno kodo in izgubila veliko vsoto. In vse to zato, ker se banka enostavno ne želi ukvarjati z implementacijo kriptografskih žetonov v svoje aplikacije. Konec koncev, če se kaj zgodi, so si stranke »krive same«.
Čeprav lahko alternativni načini dostave OTP ublažijo nekatere ranljivosti v tej metodi preverjanja pristnosti, druge ranljivosti ostajajo. Samostojne aplikacije za generiranje kode so najboljša zaščita pred prisluškovanjem, saj tudi zlonamerna programska oprema težko neposredno komunicira z generatorjem kode (resno? Je avtor reportaže pozabil na daljinsko upravljanje?), vendar je OTP še vedno mogoče prestreči, ko jih vnesete v brskalnik (na primer z uporabo keyloggerja), prek vdrte mobilne aplikacije; in jih je mogoče pridobiti tudi neposredno od uporabnika s pomočjo socialnega inženiringa.
Uporaba več orodij za oceno tveganja, kot je prepoznavanje naprave (zaznavanje poskusov izvajanja transakcij z naprav, ki niso last zakonitega uporabnika), geolokacija (uporabnik, ki je bil pravkar v Moskvi, poskuša opraviti operacijo iz Novosibirska) in vedenjska analitika sta pomembni za obravnavo ranljivosti, vendar nobena rešitev ni rešitev. Za vsako situacijo in vrsto podatkov je treba natančno oceniti tveganja in izbrati, katero tehnologijo avtentikacije uporabiti.
Nobena rešitev za preverjanje pristnosti ni zdravilo
Slika 2. Tabela možnosti avtentikacije
| Preverjanje pristnosti | Faktor | Opis | Ključne ranljivosti |
| Geslo ali PIN | Znanje | Fiksna vrednost, ki lahko vključuje črke, številke in številne druge znake | Lahko ga prestrežejo, vohunijo, ukradejo, poberejo ali vdrejo |
| Preverjanje pristnosti na podlagi znanja | Znanje | Vprašanja, na katera lahko pozna odgovore le zakoniti uporabniki | Lahko jih prestrežemo, poberemo, pridobimo z metodami socialnega inženiringa |
| OTP strojne opreme () | Posest | Posebna naprava, ki generira enkratna gesla | Kodo lahko prestrežejo in ponovijo ali pa napravo ukradejo |
| OTP programske opreme | Posest | Aplikacija (mobilna, dostopna prek brskalnika ali pošiljanje kod po e-pošti), ki generira enkratna gesla | Kodo lahko prestrežejo in ponovijo ali pa napravo ukradejo |
| SMS OTP | Posest | Enkratno geslo, dostavljeno v SMS sporočilu | Kodo lahko prestrežejo in ponovijo, pametni telefon ali kartico SIM lahko ukradejo ali pa kartico SIM podvojijo |
| Pametne kartice () | Posest | Kartica, ki vsebuje kriptografski čip in pomnilnik varnega ključa, ki za preverjanje pristnosti uporablja infrastrukturo javnih ključev | Lahko fizično ukraden (vendar napadalec ne bo mogel uporabljati naprave, ne da bi poznal kodo PIN; v primeru večkratnih nepravilnih poskusov vnosa bo naprava blokirana) |
| Varnostni ključi - žetoni (, ) | Posest | Naprava USB, ki vsebuje kriptografski čip in pomnilnik varnega ključa, ki za preverjanje pristnosti uporablja infrastrukturo javnega ključa | Lahko se jih fizično ukrade (vendar napadalec ne bo mogel uporabljati naprave, ne da bi poznal kodo PIN; v primeru več napačnih poskusov vnosa bo naprava blokirana) |
| Povezovanje z napravo | Posest | Postopek, ki ustvari profil, pogosto z uporabo JavaScripta ali z uporabo označevalcev, kot so piškotki in Flash Shared Objects, da se zagotovi, da se uporablja določena naprava | Žetone je mogoče ukrasti (kopirati), lastnosti legalne naprave pa lahko napadalec posnema na svoji napravi. |
| Vedenje | Inherentnost | Analizira, kako uporabnik komunicira z napravo ali programom | Vedenje je mogoče posnemati |
| Prstni odtisi | Inherentnost | Shranjene prstne odtise primerjamo z optično ali elektronsko zajetimi | Sliko je mogoče ukrasti in uporabiti za avtentikacijo |
| Skeniranje oči | Inherentnost | Primerja značilnosti oči, kot je vzorec šarenice, z novimi optičnimi pregledi | Sliko je mogoče ukrasti in uporabiti za avtentikacijo |
| Prepoznavanje obraza | Inherentnost | Karakteristike obraza se primerjajo z novimi optičnimi skeniranji | Sliko je mogoče ukrasti in uporabiti za avtentikacijo |
| Prepoznavanje glasu | Inherentnost | Lastnosti posnetega glasovnega vzorca primerjamo z novimi vzorci | Zapis je mogoče ukrasti in uporabiti za avtentikacijo ali posnemati |
V drugem delu publikacije nas čaka najbolj slastno – številke in dejstva, na katerih temeljijo zaključki in priporočila, podani v prvem delu. Avtentikacija v uporabniških aplikacijah in v sistemih podjetij bo obravnavana ločeno.
Do srečanja!
Vir: www.habr.com