Khasaare ka soo jeeda cinwaanka warbixinta: "Isticmaalka xaqiijinta xooggan ayaa kordheysa sababtoo ah khatarta khataraha cusub iyo shuruudaha sharciyeynta."
Shirkadda cilmi-baarista "Javelin Strategy & Research" ayaa daabacday warbixinta "Xaaladda Xaqiijinta Xoogga leh 2019" (). Warbixintani waxa ay leedahay: imisa boqolkiiba shirkadaha Maraykanka iyo Yurub ayaa isticmaala furaha sirta ah (iyo sababta ay dad tiro yar u isticmaalaan furaha sirta ah); sababta isticmaalka xaqiijinta laba-factor ee ku salaysan calaamadaha cryptographic ayaa si dhakhso ah u koraya; Waa maxay sababta furaha hal mar lagu soo diro SMS aanay ammaan u ahayn.
Qof kasta oo xiisaynaya hadda, hore, iyo mustaqbalka xaqiijinta shirkadaha iyo codsiyada macaamiisha waa la soo dhawaynayaa.
Ka turjubaanka
Hoog, luqadda warbixintan lagu qoray waa mid "qalalan" oo rasmi ah. Shanta jeer ee ereyga "xaqiijinta" lagu isticmaalo hal jumlad gaaban maaha gacmaha qalloocan (ama maskaxda) tarjumaha, laakiin waa rabitaanka qorayaasha. Markaad ka turjumayso laba ikhtiyaar - si aad u siiso akhristayaasha qoraal u dhow asalka, ama mid aad u xiiso badan, mararka qaarkood waxaan doortay kan koowaad, marna kan labaad. Laakin dulqaata akhristayaasha sharafta leh, waxa ku jira warbixintu waa mid mudan.
Qaybo aan muhiim ahayn oo aan loo baahnayn sheekada waa laga saaray, haddii kale badi ma awoodaan in ay dhammeeyaan qoraalka oo dhan. Kuwa raba inay akhriyaan warbixinta "aan la jarin" waxay ku samayn karaan luqadda asalka ah iyagoo raacaya xiriirka.
Nasiib darro, qorayaashu had iyo jeer kama taxaddaraan ereybixinta. Haddaba, furaha sirta ah ee hal mar ah (One Time Password β OTP) marna waxa loo yaqaan βpasswordsβ, marna βcodesβ. Waxaa xitaa ka sii daran hababka xaqiijinta. Mar walba ma fududa akhristaha aan tababbaran in uu qiyaaso in "xaqiijinta isticmaalka furayaasha cryptographic" iyo "aqoonsiga xooggan" ay isku mid yihiin. Waxaan isku dayay in aan mideeyo ereyada intii suurtagal ah, warbixinta lafteedana waxaa ku jira qayb ka mid ah sharraxaaddooda.
Si kastaba ha ahaatee, warbixinta ayaa aad loogu talinayaa in la akhriyo sababtoo ah waxay ka kooban tahay natiijooyin cilmi baaris gaar ah iyo gabagabo sax ah.
Dhammaan tirooyinka iyo xaqiiqooyinka waxaa lagu soo bandhigaa iyada oo aan isbeddel yar, iyo haddii aadan ku raacsanayn iyaga, markaa waxa fiican inaadan la doodin turjumaanka, laakiin la leh qorayaasha warbixinta. Oo halkan waa faallooyinkeyga (oo loo dhigay sida xigasho, oo lagu calaamadeeyay qoraalka Talyaani) waa xukunkayga qiimaha leh waxaanan ku farxi doonaa inaan ku doodo mid kasta oo iyaga ka mid ah (iyo sidoo kale tayada tarjumaada).
guudmar
Maalmahan, kanaalada dhijitaalka ah ee isgaarsiinta lala yeesho macaamiisha ayaa aad uga muhimsan waligeed ganacsiyada. Iyo gudaha shirkadda, xidhiidhka ka dhexeeya shaqaaluhu waa kuwo si dijital ah u jihaysan sidii hore. Iyo sida ay is-dhexgalkaan u noqon doonaan kuwo ammaan ah waxay ku xiran tahay habka la doortay ee aqoonsiga isticmaalaha. Weeraryahanadu waxay isticmaalaan xaqiijinta daciifka ah si ay u jabsadaan xisaabaadka isticmaalaha. Iyadoo laga jawaabayo, nidaamiyayaashu waxay adkeynayaan heerarka si ay ugu qasbaan ganacsiyada inay si wanaagsan u ilaaliyaan xisaabaadka iyo xogta isticmaalaha.
Khatarta la xiriirta xaqiijinta waxay dhaafsiisan tahay codsiyada macaamiisha; weerrayaal sidoo kale waxay heli karaan codsiyada ka dhex socda ganacsiga. Hawlgalkani wuxuu u oggolaanayaa inay iska dhigaan isticmaalayaasha shirkadaha. Weeraryahannada isticmaalaya meelaha laga galo ee leh xaqiijinta daciifka ah waxay xadi karaan xogta waxayna fulin karaan hawlo kale oo been abuur ah. Nasiib wanaag, waxaa jira tallaabooyin arrintan lagula dagaalamayo. Xaqiijinta xooggani waxay si weyn u dhimi doontaa halista weerarka weeraryahan, labadaba codsiyada macaamiisha iyo nidaamyada ganacsiga ganacsiga.
Daraasadani waxay eegaysaa: sida shirkaduhu u hirgeliyaan xaqiijinta si loo ilaaliyo codsiyada isticmaalaha ugu dambeeya iyo nidaamyada ganacsiga ganacsiga; arrimaha ay tixgeliyaan marka ay dooranayaan xalka xaqiijinta; doorka aqoonsiga xooggani ka ciyaaro ururadooda; faa'iidooyinka ay ururadani helaan.
Soo koobid
Natiijooyinka ugu muhiimsan
Tan iyo 2017, isticmaalka xaqiijinta xooggan ayaa si aad ah u kordhay. Iyada oo tirada sii kordheysa ee dayacanka ee saameeya xalalka aqoonsiga dhaqameed, ururradu waxay xoojinayaan awooddooda xaqiijinta iyagoo leh aqoonsi xooggan. Tirada hay'adaha isticmaalaya aqoonsiga-factor multi-cryptographic (MFA) ayaa saddex jibaarmay tan iyo 2017 ee codsiyada macaamiisha waxaana kordhay ku dhawaad ββ50% codsiyada ganacsiga. Kobaca ugu dhaqsaha badan ayaa lagu arkaa aqoonsiga moobilka sababtoo ah helitaanka sii kordhaya ee aqoonsiga biometric.
Halkan waxaan ku aragnaa tusaale ahaan odhaahdii ahayd "Illaa onkodku ku dhufto, ninku isma tallaabsado." Markii ay khubaradu ka digeen ammaan-darrada furaha sirta ah, qofna kuma degdegin inuu hirgeliyo xaqiijinta laba arrimood. Isla markii ay tuugadu bilaabeen inay xadaan furaha sirta ah, dadku waxay bilaabeen inay hirgeliyaan xaqiijinta laba arrimood ah.
Run, shakhsiyaadka ayaa aad ugu firfircoon fulinta 2FA. Marka hore, way u fududahay inay dejiyaan cabsidooda iyaga oo ku tiirsan aqoonsiga biometric ee lagu dhisay taleefannada casriga ah, taas oo runtii ah mid aan la isku halleyn karin. Ururadu waxay u baahan yihiin inay lacag ku bixiyaan iibsashada calaamadaha oo ay qabtaan shaqo (run ahaantii, aad u fudud) si loo hirgeliyo. Marka labaadna, dadka caajiska ah kaliya kama aysan qorin wax ku saabsan sirta sirta ah ee laga soo daadiyo adeegyada sida Facebook iyo Dropbox, laakiin xaaladna ma jirto CIO-yada ururadan lama wadaagi doonaan sheekooyin ku saabsan sida furaha sirta ah loo xado (iyo wixii ku xigay) ururada.
Kuwa aan isticmaalin aqoonsi xooggan waxay dhayalsanayaan khatarta ganacsigooda iyo macaamiishooda. Qaar ka mid ah ururada aan hadda isticmaalin aqoonsiga xooggan waxay u muuqdaan inay u arkaan gelitaanka iyo furaha sirta ah inay yihiin mid ka mid ah hababka ugu waxtarka badan uguna fudud ee loo isticmaali karo aqoonsiga isticmaalaha. Kuwa kale ma arkaan qiimaha hantida dhijitaalka ah ee ay iyagu leeyihiin. Ka dib oo dhan, waxaa habboon in la tixgeliyo in cybercriminals ay xiiseynayaan macaamil kasta iyo macluumaadka ganacsiga. Saddex meelood labo meel shirkadaha isticmaala furaha sirta ah ee shaqaalahooda ayaa sidaas sameeya sababtoo ah waxay aaminsan yihiin in furaha sirta ah uu ku filan yahay nooca macluumaadka ay ilaalinayaan.
Si kastaba ha ahaatee, furaha sirta ah ayaa ku sii socda qabriga. Ku-tiirsanaanta erayga sirta ah ayaa si weyn hoos ugu dhacay sannadkii la soo dhaafay macaamiisha iyo codsiyada ganacsiga labadaba (laga bilaabo 44% ilaa 31%, iyo min 56% ilaa 47%, siday u kala horreeyaan) iyadoo ururradu ay kordhiyeen isticmaalkooda MFA-dhaqameedka iyo xaqiijinta xooggan.
Laakiin haddii aan eegno xaaladda guud ahaan, hababka xaqiijinta nugul ayaa weli jira. Xaqiijinta isticmaalaha, qiyaastii rubuc ka mid ah ururada ayaa isticmaala SMS OTP (password hal mar) oo ay la socdaan su'aalaha amniga. Natiijo ahaan, waa in lafuliyaa tillaabooyin amni oo dheeri ah si looga hortago dayacanka, taas oo kordhisa kharashaadka. Isticmaalka hababka xaqiijinta ee aad u aaminka ah, sida furayaasha xargaha xargaha, ayaa si aad u yar loo isticmaalo, qiyaastii 5% ururada.
Bay'adda sharciyeynta ee kobcaysa waxay ballan qaadaysaa inay dardargeliso qaadashada xaqiijinta xooggan ee codsiyada macaamiisha. Markii la hirgeliyay PSD2, iyo sidoo kale xeerar cusub oo ilaalinta xogta ee EU iyo dhowr gobol oo Mareykanka ah sida California, shirkaduhu waxay dareemayaan kulayl. Ku dhawaad ββ70% shirkaduhu waxay ku heshiiyaan inay la kulmaan cadaadis sharciyeed oo xoogan si ay u siiyaan aqoonsi adag macaamiishooda. In ka badan kala bar ganacsiyada ayaa aaminsan in dhowr sano gudahood hababka xaqiijinta aysan ku filneyn inay la kulmaan heerarka sharciyeed.
Farqiga u dhexeeya hababka sharci-dejiyeyaasha Ruushka iyo Ameerika-Yurub ee ilaalinta xogta shakhsi ahaaneed ee isticmaalayaasha barnaamijyada iyo adeegyada ayaa si cad u muuqda. Ruushku waxay yiraahdaan: milkiilayaasha adeegga qaaliga ah, samee waxaad rabto iyo sidaad rabto, laakiin haddii maamulkaagu isku daro xogta, waan ku ciqaabi doonaa. Waxay yiraahdeen dibadda: waa inaad fulisaa go'an tallaabooyin ah ma oggolaan doono daadi saldhiga. Taasi waa sababta shuruudaha xaqiijinta adag ee laba-geesoodka ah halkaas looga hirgelinayo.
Run ahaantii, way ka fog tahay xaqiiqda ah in mishiinkeena sharci-dejintu aanu maalin maalmaha ka mid ah soo laaban doonin oo uu tixgelin doono waayo-aragnimada reer galbeedka. Kadibna waxay soo baxday in qof kastaa u baahan yahay inuu hirgeliyo 2FA, kaas oo u hoggaansamaya heerarka Ruushka ee cryptographic, iyo si degdeg ah.
Samaynta qaab-dhismeed xaqiijineed oo xooggan ayaa u oggolaanaysa shirkadaha inay ka beddelaan diiraddooda inay buuxiyaan shuruudaha sharciyeynta si ay u daboolaan baahiyaha macaamiisha. Ururada weli isticmaalaya furaha sirta ah ee fudud ama ku helaya koodka SMS-ka, waxa ugu muhiimsan marka la dooranayo habka xaqiijinta waxay noqon doontaa u hoggaansanaanta shuruudaha sharciyeynta. Laakiin shirkadahaas oo horey u isticmaalay aqoonsi xooggan waxay diiradda saari karaan doorashada hababka xaqiijinta ee kordhinaya daacadnimada macaamiisha.
Markaad dooranayso habka xaqiijinta shirkada gudaha shirkada, shuruudaha sharciyeynta hadda ma ahan arin muhiim ah. Xaaladdan oo kale, fududaynta isdhexgalka (32%) iyo kharashka (26%) ayaa aad uga muhiimsan.
Xilligii phishing-ka, weeraryahanadu waxay isticmaali karaan iimaylka shirkadda si ay u khiyaaneeyaan inuu si khiyaano ah u helo xogta, xisaabaadka (oo leh xuquuq gelitaan ku habboon), iyo xitaa inuu ku qanciyo shaqaalaha inay lacag u xawilaan akoonkiisa. Sidaa darteed, iimaylka shirkadda iyo akoonnada xabkaha waa in si gaar ah loo ilaaliyo.
Google ayaa xoojisay ammaankeeda iyada oo hirgelisay xaqiijin xooggan. In ka badan laba sano ka hor, Google ayaa daabacday warbixin ku saabsan hirgelinta xaqiijinta laba-geesood ah oo ku salaysan furayaasha amniga cryptographic iyadoo la adeegsanayo heerka FIDO U2F, ka warbixinta natiijooyin cajiib ah. Sida laga soo xigtay shirkadu, ma jiro hal weerar oo phishing ah oo lagu qaaday in ka badan 85 oo shaqaale ah.
talooyinka
Hirgelinta xaqiijinta adag ee moobilka iyo barnaamijyada internetka. Xaqiijinta arrimo badan oo ku salaysan furayaasha cryptographic waxay si aad uga wanaagsan ka ilaalisaa jabsiga hababka MFA ee caadiga ah. Intaa waxaa dheer, isticmaalka furayaasha sirta ah ayaa aad uga sahlan sababtoo ah looma baahna in la isticmaalo oo lagu wareejiyo macluumaad dheeraad ah - ereyada sirta ah, ereyada hal mar ah ama xogta biometric ee qalabka isticmaalaha ilaa server-ka aqoonsiga. Intaa waxaa dheer, jaangooyooyinka hab-maamuusyada xaqiijinta waxay aad u fududaynaysaa hirgelinta hababka xaqiijinta cusub marka ay diyaar noqdaan, yaraynta kharashaadka hirgelinta iyo ilaalinta qorshayaasha khiyaanada casriga ah.
U diyaari dhimista furaha sirta ah ee hal mar ah (OTP). Nuglaanshaha ka dhex jira OTP-yada ayaa si isa soo taraysa u muuqda iyadoo dembiilayaasha internetka ay isticmaalaan injineernimada bulshada, casriga casriga ah iyo malware si ay u waxyeeleeyaan hababkan xaqiijinta. Iyo haddii OTP-yada xaaladaha qaarkood ay leeyihiin faa'iidooyin gaar ah, ka dibna kaliya laga soo bilaabo aragtida helitaanka caalamiga ah ee dhammaan isticmaalayaasha, laakiin maaha dhinaca aragtida amniga.
Suurtagal maaha in la ogaado in helitaanka koodhadhka SMS ama ogeysiisyada riix, iyo sidoo kale abuurista koodhadhka iyadoo la adeegsanayo barnaamijyada taleefannada casriga ah, waa isticmaalka ereyada sirta ah ee hal mar ah (OTP) kaas oo nala weydiisto inaan u diyaarino hoos u dhaca. Marka la eego dhinaca farsamada, xalku aad buu u saxan yahay, sababtoo ah waa khiyaamo naadir ah oo aan isku dayin in uu helo erayga sirta ah ee hal mar ah isticmaale macquul ah. Laakiin waxaan qabaa in soosaarayaasha nidaamyadan oo kale ay ku dhegganaan doonaan tignoolajiyada dhimanaysa ilaa ugu dambeeya.
Isticmaal xaqiijin xooggan oo ah qalab suuqgeyn si aad u kordhiso kalsoonida macaamiisha. Xaqiijinta adag waxay sameyn kartaa wax ka badan kaliya hagaajinta amniga dhabta ah ee ganacsigaaga. Ogaysiisinta macaamiisha in ganacsigaagu isticmaalo xaqiijinta adag waxay xoojin kartaa aragtida dadwaynaha ee amniga ganacsigaas - arin muhiim ah marka ay jirto baahi weyn oo macaamiisha ah ee hababka xaqiijinta adag.
Samee xisaabin dhamaystiran iyo qiimaynta muhiimka ah ee xogta shirkadda oo ilaali sida ay muhiimka u tahay. Xataa xogta khatarta yar sida macluumaadka xidhiidhka macmiilka (maya, runtii, warbixintu waxay leedahay "khatar yar", waa wax aad loola yaabo in ay dhayalsadeen muhiimada macluumaadkan.), waxay qiimo weyn u keeni kartaa khayaanada waxayna dhibaato u keeni kartaa shirkadda.
Isticmaal aqoonsi ganacsi oo xooggan. Nidaamyo dhowr ah ayaa ah bartilmaameedyada ugu soo jiidashada badan ee dambiilayaasha. Kuwaas waxaa ka mid ah nidaamyada gudaha iyo internetka ku xiran sida barnaamijka xisaabinta ama bakhaarka xogta shirkadaha. Xaqiijinta adag waxay ka hortagtaa weeraryahannada inay galaan gal aan la oggolayn, waxayna sidoo kale suurtogal ka dhigtaa in si sax ah loo go'aamiyo shaqaalaha galay hawsha xaasidnimada ah.
Waa maxay Xaqiijinta Xoogan?
Marka la isticmaalayo xaqiijinta xooggan, dhowr habab ama arrimo ayaa la isticmaalaa si loo xaqiijiyo runnimada isticmaalaha:
- Qodobka aqoonta: sirta ay wadaagaan isticmaalaha iyo mawduuca la xaqiijiyay isticmaaluhu (sida furaha sirta ah, jawaabaha su'aalaha amniga, iwm.)
- Qodobka lahaanshaha: Aalad uu haysto kaliya isticmaaluhu (tusaale, mobaylka, furaha cryptographic, iwm.)
- Qodobka daacadnimada: sifooyinka jireed (inta badan biometric) ee isticmaalaha (tusaale, faraha, qaabka iris, codka, dhaqanka, iwm.)
Baahida loo qabo in la jabsado arrimo badan waxay si weyn u kordhinaysaa suurtagalnimada guul-darrida kuwa wax weeraraya, maadaama la dhaafo ama la khiyaaneeyo arrimo kala duwan waxay u baahan tahay adeegsiga noocyo badan oo xeelado jabsi ah, arrin kasta si gooni ah.
Tusaale ahaan, 2FA "password + casriga", weeraryahanku wuxuu samayn karaa xaqiijinta isagoo eegaya erayga sirta ah ee isticmaalaha oo sameeyo nuqul software sax ah ee taleefankiisa casriga ah. Waxayna tani aad uga dhib badan tahay inaad si fudud u xado furaha sirta ah.
Laakiin haddii erayga sirta ah iyo calaamadda cryptographic loo isticmaalo 2FA, markaa ikhtiyaarka nuqulku kuma shaqeynayo halkan - suurtagal maaha in la nuqulo calaamadda. Khayaanada ayaa u baahan doona inuu si qarsoodi ah u xado calaamada isticmaalaha. Haddii isticmaaluhu uu ogaado khasaaraha wakhtiga oo uu ogeysiiyo maamulaha, calaamadda waa la xannibi doonaa oo dadaalka khiyaanada ayaa noqon doona mid aan waxba tarayn. Tani waa sababta qodobka lahaanshaha ugu baahan yahay isticmaalka aaladaha gaarka ah ee sugan (calaamadaha) halkii ay ka ahaan lahaayeen aaladaha ujeeddooyinka guud (smartphones).
Isticmaalka dhammaan saddexda arrimood waxay ka dhigi doontaa habkan xaqiijinta mid qaali ah in la hirgeliyo oo aan ku habboonayn isticmaalka. Sidaa darteed, saddexdii arrimoodba laba ayaa inta badan la adeegsadaa.
Mabaadi'da xaqiijinta laba-factor waxaa lagu sifeeyay si faahfaahsan , ee ku jira block "Sidee laba-factor sugida u shaqayso".
Waxaa muhiim ah in la ogaado in ugu yaraan mid ka mid ah qodobbada xaqiijinta ee loo isticmaalo xaqiijinta xooggan ay tahay in ay isticmaalaan sirta guud ee muhiimka ah.
Xaqiijinta adag waxay bixisaa ilaalin aad uga xoog badan marka loo eego xaqiijinta hal-arji oo ku salaysan furayaasha sirta ah ee caadiga ah iyo MFA-dhaqameedka. Erayada sirta ah waa la basaasin karaa ama waa la dhex gelin karaa iyadoo la isticmaalayo keyloggers, sites phishing, ama weerarrada injineernimada bulshada (halkaas oo dhibbanaha lagu khiyaaneeyo inuu muujiyo furaha sirta ah). Waxaa intaa dheer, milkiilaha erayga sirta ah waxba kama ogaan doono xatooyada. MFA-dhaqameedka (oo ay ku jiraan koodka OTP, ku xidhida talefanka casriga ah ama kaarka SIM) sidoo kale si fudud ayaa loo jabsan karaa, maadaama aanay ku salaysnayn xog-ururinta furaha dadweynahaJid ahaan, waxaa jira tusaalooyin badan marka, iyagoo isticmaalaya farsamooyinka injineernimada bulshada ee isku midka ah, khiyaameeyayaashu waxay ku qanciyeen isticmaalayaasha inay siiyaan erayga sirta ah ee hal mar ah.).
Nasiib wanaag, isticmaalka xaqiijinta xooggan iyo MFA-dhaqameedka ayaa ku soo jiidanayay macaamiisha iyo codsiyada ganacsiga labadaba tan iyo sannadkii hore. Isticmaalka xaqiijinta xooggan ee codsiyada macaamilka ayaa si gaar ah u koray si degdeg ah. Haddii 2017 kaliya 5% shirkadaha ayaa isticmaalay, ka dibna 2018 waxay horeyba u ahayd saddex jeer oo dheeraad ah - 16%. Tan waxaa lagu macnayn karaa korodhka helitaanka calaamado taageera algorithmsyada muhiimka ah ee Cryptography (PKC). Intaa waxaa dheer, cadaadiska kordhay ee ka imanaya xeer-nidaamiyeyaasha Yurub ka dib qaadashada xeerarka ilaalinta xogta cusub sida PSD2 iyo GDPR ayaa saameyn xooggan ku yeeshay xitaa meel ka baxsan Yurub (oo ay ku jiraan Ruushka).
Aynu si qoto dheer u eegno tirooyinkan. Sida aan arki karno, boqolleyda shakhsiyaadka gaarka ah ee isticmaalaya xaqiijinta arrimo badan ayaa kordhay 11% sanadka gudihiisa. Oo tani waxay si cad u dhacday kharashka kuwa jecel erayga sirta ah, tan iyo tirada kuwa aaminsan amniga ogeysiisyada riixista, SMS iyo biometrics ma isbeddelin.
Laakin iyada oo la adeegsanayo xaqiijinta laba arrimood ee isticmaalka shirkadda, arrimuhu aad uma fiicna. Marka hore, sida lagu sheegay warbixinta, kaliya 5% shaqaalaha ayaa laga wareejiyay aqoonsiga sirta ah ilaa calaamado. Marka labaadna, tirada kuwa isticmaala dookhyada MFA kale ee jawiga shirkadeed ayaa kordhay 4%.
Waxaan isku dayi doonaa inaan ciyaaro falanqeeye oo aan fasiraad ka bixiyo. Xarunta dhexe ee adduunka dhijitaalka ah ee isticmaalayaasha gaarka ah waa taleefanka casriga ah. Sidaa darteed, la yaab ma leh in badidoodu ay isticmaalaan awoodaha ay qalabku ku siinayaan - xaqiijinta biometric, SMS iyo ogeysiisyada riix, iyo sidoo kale ereyada sirta ah ee hal mar ah ee ay soo saareen codsiyada casriga ah laftiisa. Dadku inta badan kama fikiraan badbaadada iyo isku halaynta marka ay isticmaalayaan agabkii ay isticmaali jireen.
Tani waa sababta boqolleyda isticmaalayaasha ee qodobbada xaqiijinta "caadiga ah" ee asaasiga ah aysan isbeddelin. Laakiin kuwa hore u isticmaalay furaha sirta ah waxay fahmaan inta ay le'eg yihiin khatarta, iyo marka ay dooranayaan arrin cusub oo xaqiijin ah, waxay doortaan ikhtiyaarka ugu cusub uguna badbaado leh - calaamad cryptographic.
Dhanka suuqa shirkadaha, waxaa muhiim ah in la fahmo nidaamka xaqiijinta ee la fuliyo. Haddii galitaanka xayndaabka Windows la hirgeliyo, markaa calaamadaha cryptographic ayaa la isticmaalaa. Suurtagalnimada in iyaga loogu isticmaalo 2FA waxay horeba ugu dhex dhismeen Windows iyo Linux labadaba, laakiin xulashooyinka beddelka ah ayaa dheer oo adag in la hirgeliyo. Si aad u badan oo loogu guurayo 5% laga bilaabo furaha sirta ah ilaa calaamado.
Iyo hirgelinta 2FA ee nidaamka macluumaadka shirkadaha aad ayey ugu xiran tahay shahaadooyinka horumariyeyaasha. Waxayna aad ugu fududahay horumariyayaashu inay qaataan cutubyo diyaarsan oo loogu talagalay abuurista ereyada sirta ah ee hal mar ah halkii ay fahmi lahaayeen hawlgalka algorithms cryptographic. Natiijo ahaan, xitaa codsiyada amniga-muhiimka u ah sida Single Sign-On ama nidaamyada Maareynta Helitaanka Mudnaanta leh waxay OTP u adeegsadaan qodob labaad.
Nuglaanshaha badan ee hababka xaqiijinta dhaqanka
Iyadoo ururo badani ay weli ku tiirsan yihiin nidaamyada hal-abuurka ah ee dhaxalka ah, dayacanka ku jira xaqiijinta arrimo badan oo soo jireen ah ayaa si isa soo taraysa u muuqda. Furaha sirta ah ee hal mar ah, sida caadiga ah lix ilaa siddeed xaraf oo dherer ah, oo lagu soo diro SMS, ayaa ah qaabka ugu caansan ee xaqiijinta (marka laga reebo qodobka sirta ah, dabcan). Oo marka ereyada "xaqiijinta laba-factor" ama "xaqiijinta laba-tallaabo" lagu sheego saxaafadda caanka ah, waxay had iyo jeer tixraacaan SMS-ka hal mar aqoonsiga sirta ah.
Halkan qoraagu wuu yara qaldamay. Ku gudbinta furaha sirta ah ee hal mar ah ee SMS-na waligeed ma noqon xaqiijin laba-geesood ah. Tani waa qaabkeeda ugu saafiga ah marxaladda labaad ee xaqiijinta laba-tallaabo, halkaas oo marxaladda koowaad ay gelayso gelitaankaaga iyo eraygaaga sirta ah.
2016, Machadka Qaranka ee Heerarka iyo Tignoolajiyada (NIST) ayaa cusbooneysiiyay xeerarkiisa xaqiijinta si loo baabi'iyo isticmaalka furaha sirta ah ee hal mar ah ee lagu soo diro SMS. Si kastaba ha ahaatee, xeerarkan ayaa si weyn loo debciyay ka dib mudaharaadyadii warshadaha.
Haddaba, aan raacno sheekada. Xakamaynta Maraykanku waxay si sax ah u aqoonsan tahay in tignoolajiyada duugowday aanay awood u lahayn inay hubiso badbaadada isticmaalaha oo ay soo bandhigto heerar cusub. Heerarka loo qaabeeyey si loo ilaaliyo isticmaalayaasha codsiyada khadka tooska ah iyo mobilada (ay ku jiraan kuwa bangiyada). Warshaduhu waxay xisaabinayaan inta lacag ah ee ay ku bixin doonto iibsashada calaamado sirdoon oo dhab ah oo la isku halayn karo, dib-u-qaabaynta codsiyada, geynta kaabayaasha muhiimka ah ee dadweynaha, waxayna "ku kacaysaa lugaha dambe." Dhinaca kale, isticmaalayaashu waxay ku qanceen isku halaynta lambarada sirta ah ee hal mar ah, dhinaca kale, waxaa jiray weeraro NIST. Natiijo ahaan, heerka ayaa la jilciyay, iyo tirada jabsiga iyo xatooyada furaha sirta ah (iyo lacagta codsiyada bangiyada) ayaa si aad ah u kordhay. Laakiin warshaduhu maaha inay lacag bixiyaan.
Tan iyo markaas, daciifnimada asalka ah ee SMS OTP ayaa sii muuqda. Khayaanada ayaa isticmaala habab kala duwan si ay u dhimaan fariimaha SMS-ka:
- Duubista SIM-ka. Weeraryahanadu waxay abuuraan nuqul SIM ah (iyada oo la kaashanayo shaqaalaha mobilada, ama si madax banaan, adoo isticmaalaya software iyo hardware gaar ah). Natiijo ahaan, weeraryahanku wuxuu helayaa SMS oo wata furaha hal mar ah. Mid ka mid ah kiis gaar ah oo caan ah, haakarisku waxay xitaa awoodeen inay carqaladeeyaan xisaabaadka AT&T ee maalgeliyaha cryptocurrency Michael Turpin, oo ay xadaan ku dhawaad ββββ$ 24 milyan ee cryptocurrencies. Natiijadu waxay tahay, Turpin wuxuu sheegay in AT&T ay khalad ahayd iyadoo ay ugu wacan tahay tillaabooyinka xaqiijinta daciifka ah ee horseeday ku-noqoshada SIM-kaarka.
Caqli yaabka leh. Markaa runtii waa khalad AT&T oo keliya? Maya, shaki la'aan waa khaladka uu leeyahay talefanka gacanta in dadka wax iibinaya ee dukaanka isgaarsiintu ay siiyeen SIM kaar nuqul ah. Ka warran nidaamka xaqiijinta sarrifka cryptocurrency? Maxay u isticmaali waayeen calaamado qarsoodi ah oo xooggan? Ma waxay ahayd wax laga xumaado in lacag lagu bixiyo hirgelinta? Miyaan Michael qudhiisu eedda lahayn? Muxuusan ugu adkeysan waayay inuu bedelo habka aqoonsiga ama uu isticmaalo kaliya kuwa is dhaafsiga ah ee hirgeliya xaqiijinta laba-geesoodka ah ee ku saleysan calaamada cryptographic?
Soo bandhigida hababka xaqiijinta dhabta ah ee la isku halayn karo si sax ah ayaa loo daahiyay sababtoo ah isticmaalayaashu waxay muujinayaan taxadar la'aan la yaab leh ka hor inta aan la jabin, ka dibna waxay ku eedeeyaan dhibaatooyinkooda qof kasta iyo wax kasta oo aan ahayn tignoolajiyada qadiimiga ah iyo "leaky"
- Malware. Mid ka mid ah hawlaha ugu horreeya ee malware-ka moobiilka ayaa ahaa inuu dhexgalo oo u gudbiyo fariimaha qoraalka ah ee weerarka. Sidoo kale, nin-ku-dhex-yaalka-browser-ka iyo weerarrada dhex-dhexaadka ah waxay dhex-geli karaan ereyada sirta ah ee hal mar ah marka la geliyo laptop-yada cudurka qaba ama aaladaha desktop-ka.
Marka codsiga Sberbank ee taleefankaaga casriga ah uu biligleeyo calaamad cagaaran oo ku taal barta xaaladda, waxay sidoo kale ka raadineysaa "malware" taleefankaaga. Hadafka dhacdadani waa in loo rogo deegaanka fulinta aan la aamini karin ee casriga caadiga ah, ugu yaraan si uun, mid la aamini karo.
By habka, casriga ah, sida qalab gebi ahaanba aan la aamini karin oo wax la samayn karo, waa sabab kale oo loo isticmaalo si loo xaqiijiyo calaamadaha qalabka kaliya, kuwaas oo la ilaaliyo oo aan lahayn fayrasyada iyo Trojans. - injineernimada bulshada. Markay khiyaamo-yaqaanadu ogaadaan in dhibbanuhu uu OTP-yada u sahlay SMS-ka, waxay si toos ah ula xidhiidhi karaan dhibbanaha, iyaga oo iska dhigaya urur la aamini karo sida bangigooda ama ururka deymaha, si ay dhibbanaha ugu khiyaameeyaan koodka uu hadda helay.
Waxaan shakhsi ahaan la kulmay khiyaanada noocan oo kale ah marar badan, tusaale ahaan, marka aan isku dayo inaan wax ku iibiyo suuqa caanka ah ee internetka. Aniga qudhaydu waxaan ku majaajilooday dabadhilifgii isku dayay inuu i khiyaaneeyo si uu qalbigayga ugu qanco. Laakiin hoogtay, waxaan si joogto ah u akhriyay warka sida weli dhibbanaha kale ee khayaanada "ma u malaynaynin," waxay siiyeen code xaqiijinta oo lumay lacag badan. Oo waxaas oo dhan waa sababta oo ah bangigu si fudud ma rabo inuu wax ka qabto hirgelinta calaamadaha cryptographic ee codsiyadiisa. Ka dib oo dhan, haddii ay wax dhacaan, macaamiishu "laftooda ayay eedeeyaan."
Iyadoo hababka kale ee gudbinta OTP laga yaabo inay yareeyaan qaar ka mid ah dayacanka habkan xaqiijinta, dayacanka kale ayaa weli ah. Codsiyada curinta koodhka taagan ayaa ah ilaalinta ugu fiican ee ka hortagga dhageysiga, maadaama xitaa malware uu si dhib leh ula macaamili karo koronto dhaliyahasi dhab ah? Qoraaga warbixinta miyuu iloobay kaantaroolka fogaanta?), laakiin OTP-yada wali waa la joojin karaa marka la geliyo browserka (tusaale ahaan adigoo isticmaalaya keylogger), iyada oo la adeegsanayo codsi mobile ah oo la jabsaday; iyo sidoo kale waxaa si toos ah looga heli karaa isticmaalaha isticmaalaya injineernimada bulshada.
Adeegsiga aaladaha qiimaynta khatarta badan sida aqoonsiga aaladdaogaanshaha isku dayga lagu sameeyo wax kala iibsiga ee qalabka aan ka tirsanayn isticmaale sharci ah), deegaan (Isticmaale hadda ku sugnaa Moscow ayaa isku dayay inuu qaliin ka sameeyo Novosibirsk) iyo falanqaynta habdhaqanku waxay muhiim u tahay wax ka qabashada dayacanka, laakiin xalna ma aha dawo. Xaalad kasta iyo nooca xogta, waxaa lagama maarmaan ah in si taxadar leh loo qiimeeyo khataraha oo la doorto tignoolajiyada xaqiijinta ee loo baahan yahay in la isticmaalo.
Xalka xaqiijinta ma jiro daawo
Jaantuska 2. Shaxda ikhtiyaarka xaqiijinta
| Xaqiijinta | Curiye | Description | Nuglaanta muhiimka ah |
| Password ama PIN | Aqoon | Qiimaha go'an, oo ay ku jiri karaan xarfo, nambaro iyo tiro xarfo kale ah | Waa la qaban karaa, waa la basaasin karaa, waa la xadi karaa, la qaadi karaa ama waa la jabsan karaa |
| Xaqiijinta aqoonta ku saleysan | Aqoon | Su'aalo jawaabaha kuwaas oo kaliya isticmaala sharciga ah ogaan karo | Waa la dhexgelin karaa, la qaadi karaa, lagu heli karaa iyadoo la adeegsanayo hababka injineernimada bulshada |
| Hardware OTP () | Lahaanshaha | Qalab gaar ah oo soo saara furaha sirta ah ee hal mar ah | Koodhka ayaa laga yaabaa in la dhex galo oo lagu celiyo, ama waxa laga yaabaa in qalabka la xado |
| Software-ka OTP-yada | Lahaanshaha | Codsi (mobile, laga heli karo browser-ka, ama diritaanka koodka e-mailka) kaas oo soo saara furaha sirta ah ee hal mar ah | Koodhka ayaa laga yaabaa in la dhex galo oo lagu celiyo, ama waxa laga yaabaa in qalabka la xado |
| SMS OTP | Lahaanshaha | Furaha sirta ah ee hal mar ah oo lagu soo diro fariin qoraal ah oo SMS ah | Koodhka ayaa laga yaabaa in la dhex galo oo lagu celiyo, ama waxaa laga yaabaa in la xado casriga ah ama kaarka SIM-ka, ama kaarka SIM-ka ayaa laga yaabaa in la nuqulo. |
| Kaararka casriga ah () | Lahaanshaha | Kaarka uu ku jiro chip-ka-cryptographic-ka iyo xusuusta muhiimka ah ee sugan oo adeegsata kaabayaasha muhiimka ah ee dadweynaha si loo xaqiijiyo | Waxaa laga yaabaa in jir ahaan la xado (laakiin weeraryahanku ma awoodi doono inuu isticmaalo aaladda isagoon garanayn lambarka sirta ah; haddii ay dhacdo dhowr isku day oo khalad ah, aaladda waa la xannibi doonaa) |
| Furayaasha amniga - calaamadaha (, ) | Lahaanshaha | Aalad USB ah oo ka kooban chip-ka-qarsoodi iyo xusuusta fure oo sugan oo adeegsata kaabayaasha muhiimka ah ee dadweynaha si loo xaqiijiyo | Jir ahaan waa la xadi karaa (laakin weeraryahan ma awoodi doono inuu isticmaalo aaladda isagoon ogeyn lambarka sirta ah; haddii ay dhacdo dhowr isku day oo khalad ah, aaladda waa la xannibi doonaa) |
| Ku xidhidhiyaha aalad | Lahaanshaha | Habka abuura profile, inta badan isticmaalaya JavaScript, ama isticmaalaya calamadaha sida cookies iyo Flash Walxaha la wadaago si loo hubiyo in qalab gaar ah la isticmaalayo. | Calaamadaha waa la xadi karaa (la koobiyeeyay), sifooyinka aaladda sharciga ah waxaa ku dayan kara weeraryahan qalabkiisa |
| Dabeecadda | Asal ahaan | Wuxuu falanqeeyaa sida isticmaaluhu ula falgalo aalad ama barnaamij | Dhaqanka waa lagu daydaa |
| Sawirada faraha | Asal ahaan | Sawirada faraha la kaydiyay ayaa la barbardhigay kuwa si muuqaal ah ama elegtroonig ah lagu qabtay | Sawirka waa la xadi karaa oo loo isticmaali karaa xaqiijinta |
| Sawirka indhaha | Asal ahaan | Isbarbardhigga sifooyinka indhaha, sida qaabka iris, oo leh sawirro indho-indhayn oo cusub | Sawirka waa la xadi karaa oo loo isticmaali karaa xaqiijinta |
| Aqoonsiga wajiga | Asal ahaan | Astaamaha wejiga ayaa la barbar dhigayaa baarista indhaha ee cusub | Sawirka waa la xadi karaa oo loo isticmaali karaa xaqiijinta |
| Aqoonsiga codka | Asal ahaan | Sifooyinka muunada codka la duubay ayaa la barbardhigay muunado cusub | Diiwaanka waa la xadi karaa oo loo isticmaali karaa xaqiijinta, ama lagu daydo |
Qaybta labaad ee daabacaadda, waxyaabaha ugu macaan ayaa na sugaya - tirooyin iyo xaqiiqooyin, kuwaas oo gabagabada iyo talooyinka lagu bixiyay qaybta hore ay ku saleysan yihiin. Xaqiijinta codsiyada isticmaalaha iyo nidaamka shirkadaha si gaar ah ayaa looga hadli doonaa.
Si dhakhso ah u arag!
Source: www.habr.com