Spoiler nga titulli i raportit: "Përdorimi i vërtetimit të fortë rritet për shkak të kërcënimit të rreziqeve të reja dhe kërkesave rregullatore."
Kompania kërkimore "Javelin Strategy & Research" publikoi raportin "Gjendja e Autentifikimit të Fortë 2019" (). Ky raport thotë: sa përqind e kompanive amerikane dhe evropiane përdorin fjalëkalime (dhe pse pak njerëz përdorin fjalëkalime tani); pse përdorimi i vërtetimit me dy faktorë bazuar në argumentet kriptografike po rritet kaq shpejt; Pse kodet një herë të dërguar me SMS nuk janë të sigurta.
Kushdo që është i interesuar për të tashmen, të kaluarën dhe të ardhmen e vërtetimit në ndërmarrje dhe aplikacione konsumatore është i mirëpritur.
Nga përkthyesi
Mjerisht, gjuha në të cilën është shkruar ky raport është mjaft "e thatë" dhe formale. Dhe përdorimi pesë herë i fjalës "autentifikim" në një fjali të shkurtër nuk është duart (ose truri) shtrembër i përkthyesit, por teka e autorëve. Kur përkthej nga dy opsione - për t'u dhënë lexuesve një tekst më afër origjinalit, ose një më interesant, ndonjëherë zgjodha të parën, ndonjëherë të dytën. Por jini të durueshëm, të dashur lexues, përmbajtja e raportit ia vlen.
Disa pjesë të parëndësishme dhe të panevojshme për tregimin u hoqën, përndryshe shumica nuk do të kishte mundur të kalonte në të gjithë tekstin. Ata që dëshirojnë të lexojnë raportin “të paprerë” mund ta bëjnë këtë në gjuhën origjinale duke ndjekur lidhjen.
Fatkeqësisht, autorët nuk janë gjithmonë të kujdesshëm me terminologjinë. Kështu, fjalëkalimet një herë (One Time Password - OTP) quhen ndonjëherë "fjalëkalime", dhe nganjëherë "kode". Është edhe më keq me metodat e vërtetimit. Nuk është gjithmonë e lehtë për lexuesin e pa trajnuar të hamendësojë se "autentifikimi duke përdorur çelësa kriptografikë" dhe "autentifikimi i fortë" janë e njëjta gjë. Jam munduar t'i unifikoj sa më shumë termat dhe në vetë raportin ka një fragment me përshkrimin e tyre.
Megjithatë, raporti rekomandohet shumë të lexohet sepse përmban rezultate unike kërkimore dhe përfundime të sakta.
Të gjitha shifrat dhe faktet paraqiten pa ndryshimet më të vogla, dhe nëse nuk jeni dakord me to, atëherë është më mirë të debatoni jo me përkthyesin, por me autorët e raportit. Dhe këtu janë komentet e mia (të paraqitura si citime dhe të shënuara në tekst italisht) janë gjykimi im i vlerës dhe do të jem i lumtur të argumentoj për secilën prej tyre (si dhe për cilësinë e përkthimit).
Rishikimi
Në ditët e sotme, kanalet dixhitale të komunikimit me klientët janë më të rëndësishme se kurrë për bizneset. Dhe brenda kompanisë, komunikimet midis punonjësve janë më të orientuara në mënyrë dixhitale se kurrë më parë. Dhe sa të sigurta do të jenë këto ndërveprime varet nga metoda e zgjedhur e vërtetimit të përdoruesit. Sulmuesit përdorin vërtetim të dobët për të hakuar masivisht llogaritë e përdoruesve. Si përgjigje, rregullatorët po shtrëngojnë standardet për të detyruar bizneset të mbrojnë më mirë llogaritë dhe të dhënat e përdoruesve.
Kërcënimet e lidhura me vërtetimin shtrihen përtej aplikacioneve të konsumatorëve; sulmuesit gjithashtu mund të kenë akses në aplikacionet që funksionojnë brenda ndërmarrjes. Ky operacion u lejon atyre të imitojnë përdoruesit e korporatës. Sulmuesit që përdorin pikat e hyrjes me vërtetim të dobët mund të vjedhin të dhëna dhe të kryejnë aktivitete të tjera mashtruese. Për fat të mirë, ka masa për ta luftuar këtë. Autentifikimi i fortë do të ndihmojë në uljen e ndjeshme të rrezikut të sulmit nga një sulmues, si në aplikacionet e konsumatorit ashtu edhe në sistemet e biznesit të ndërmarrjeve.
Ky studim shqyrton: si ndërmarrjet zbatojnë vërtetimin për të mbrojtur aplikacionet e përdoruesve fundorë dhe sistemet e biznesit të ndërmarrjeve; faktorët që ata marrin parasysh kur zgjedhin një zgjidhje vërtetimi; rolin që luan vërtetimi i fortë në organizatat e tyre; përfitimet që marrin këto organizata.
Përmbledhje
Gjetjet kryesore
Që nga viti 2017, përdorimi i vërtetimit të fortë është rritur ndjeshëm. Me rritjen e numrit të dobësive që prekin zgjidhjet tradicionale të vërtetimit, organizatat po forcojnë aftësitë e tyre të vërtetimit me vërtetim të fortë. Numri i organizatave që përdorin vërtetimin kriptografik me shumë faktorë (MFA) është trefishuar që nga viti 2017 për aplikacionet e konsumatorëve dhe është rritur me gati 50% për aplikacionet e ndërmarrjeve. Rritja më e shpejtë shihet në vërtetimin celular për shkak të disponueshmërisë në rritje të vërtetimit biometrik.
Këtu shohim një ilustrim të thënies "derisa të godasë bubullima, njeriu nuk do të kryqëzohet". Kur ekspertët paralajmëruan për pasigurinë e fjalëkalimeve, askush nuk nxitonte të zbatonte vërtetimin me dy faktorë. Sapo hakerat filluan të vidhnin fjalëkalime, njerëzit filluan të zbatojnë vërtetimin me dy faktorë.
Vërtetë, individët po zbatojnë shumë më aktivisht 2FA. Së pari, është më e lehtë për ta të qetësojnë frikën e tyre duke u mbështetur në vërtetimin biometrik të integruar në telefonat inteligjentë, i cili në fakt është shumë i pabesueshëm. Organizatat duhet të shpenzojnë para për blerjen e argumenteve dhe të kryejnë punë (në fakt, shumë e thjeshtë) për t'i zbatuar ato. Dhe së dyti, vetëm njerëzit dembelë nuk kanë shkruar për rrjedhjet e fjalëkalimeve nga shërbime si Facebook dhe Dropbox, por në asnjë rrethanë CIO-të e këtyre organizatave nuk do të ndajnë histori se si u vodhën fjalëkalimet (dhe çfarë ndodhi më pas) në organizata.
Ata që nuk përdorin vërtetim të fortë po nënvlerësojnë rrezikun e tyre për biznesin dhe klientët e tyre. Disa organizata që aktualisht nuk përdorin vërtetim të fortë kanë tendencë t'i shohin hyrjet dhe fjalëkalimet si një nga metodat më efektive dhe më të lehta për t'u përdorur të vërtetimit të përdoruesit. Të tjerët nuk e shohin vlerën e aseteve dixhitale që zotërojnë. Në fund të fundit, ia vlen të merret parasysh që kriminelët kibernetikë janë të interesuar për çdo informacion të konsumatorit dhe biznesit. Dy të tretat e kompanive që përdorin vetëm fjalëkalime për të vërtetuar punonjësit e tyre e bëjnë këtë sepse besojnë se fjalëkalimet janë mjaft të mira për llojin e informacionit që mbrojnë.
Megjithatë, fjalëkalimet janë në rrugën e tyre drejt varrit. Varësia e fjalëkalimit ka rënë ndjeshëm gjatë vitit të kaluar si për aplikacionet e konsumatorit ashtu edhe për ato të ndërmarrjeve (nga 44% në 31%, dhe nga 56% në 47%, përkatësisht) pasi organizatat rrisin përdorimin e tyre të MFA-së tradicionale dhe vërtetimin e fortë.
Por nëse e shikojmë situatën në tërësi, metodat e cenueshme të vërtetimit ende mbizotërojnë. Për vërtetimin e përdoruesit, rreth një e katërta e organizatave përdorin SMS OTP (fjalëkalim një herë) së bashku me pyetjet e sigurisë. Si rezultat, duhet të zbatohen masa shtesë sigurie për t'u mbrojtur nga cenueshmëria, e cila rrit kostot. Përdorimi i metodave shumë më të sigurta të vërtetimit, siç janë çelësat kriptografikë harduerikë, përdoret shumë më rrallë, në afërsisht 5% të organizatave.
Mjedisi rregullator në zhvillim premton të përshpejtojë miratimin e vërtetimit të fortë për aplikacionet e konsumatorëve. Me prezantimin e PSD2, si dhe rregulla të reja për mbrojtjen e të dhënave në BE dhe disa shtete të SHBA-së si Kalifornia, kompanitë po ndjejnë nxehtësinë. Gati 70% e kompanive pajtohen se përballen me presion të fortë rregullator për të siguruar vërtetim të fortë për klientët e tyre. Më shumë se gjysma e ndërmarrjeve besojnë se brenda pak vitesh metodat e tyre të vërtetimit nuk do të jenë të mjaftueshme për të përmbushur standardet rregullatore.
Dallimi në qasjet e ligjvënësve rusë dhe amerikano-evropianë për mbrojtjen e të dhënave personale të përdoruesve të programeve dhe shërbimeve është qartë i dukshëm. Rusët thonë: të dashur pronarë të shërbimeve, bëni çfarë të doni dhe si dëshironi, por nëse administratori juaj bashkon bazën e të dhënave, ne do t'ju ndëshkojmë. Ata thonë jashtë vendit: duhet të zbatoni një sërë masash që nuk do të lejojë kulloni bazën. Kjo është arsyeja pse kërkesat për vërtetim të rreptë me dy faktorë po zbatohen atje.
Vërtetë, është larg nga fakti që makina jonë legjislative një ditë nuk do të vijë në vete dhe nuk do të marrë parasysh përvojën perëndimore. Pastaj rezulton se të gjithë duhet të zbatojnë 2FA, e cila përputhet me standardet kriptografike ruse, dhe urgjentisht.
Krijimi i një kuadri të fortë vërtetimi i lejon kompanitë të zhvendosin fokusin e tyre nga përmbushja e kërkesave rregullatore në përmbushjen e nevojave të klientëve. Për ato organizata që ende përdorin fjalëkalime të thjeshta ose marrin kode përmes SMS, faktori më i rëndësishëm kur zgjedh një metodë vërtetimi do të jetë pajtueshmëria me kërkesat rregullatore. Por ato kompani që tashmë përdorin vërtetim të fortë mund të përqendrohen në zgjedhjen e atyre metodave të vërtetimit që rrisin besnikërinë e klientit.
Kur zgjidhni një metodë të vërtetimit të korporatës brenda një ndërmarrje, kërkesat rregullatore nuk janë më një faktor i rëndësishëm. Në këtë rast, lehtësia e integrimit (32%) dhe kostoja (26%) janë shumë më të rëndësishme.
Në epokën e phishing, sulmuesit mund të përdorin emailin e korporatës për të mashtruar për të fituar me mashtrim akses në të dhëna, llogari (me të drejta të përshtatshme aksesi), madje edhe për të bindur punonjësit që të bëjnë një transferim parash në llogarinë e tij. Prandaj, llogaritë e postës elektronike të korporatës dhe portaleve duhet të mbrohen veçanërisht mirë.
Google ka forcuar sigurinë e saj duke zbatuar vërtetim të fortë. Më shumë se dy vjet më parë, Google publikoi një raport mbi zbatimin e vërtetimit me dy faktorë bazuar në çelësat e sigurisë kriptografike duke përdorur standardin FIDO U2F, duke raportuar rezultate mbresëlënëse. Sipas kompanisë, asnjë sulm i vetëm phishing nuk është kryer kundër më shumë se 85 punonjësve.
Rekomandime
Zbatoni vërtetim të fortë për aplikacionet celulare dhe online. Autentifikimi me shumë faktorë i bazuar në çelësat kriptografikë ofron mbrojtje shumë më të mirë kundër hakimit sesa metodat tradicionale të MPJ. Për më tepër, përdorimi i çelësave kriptografikë është shumë më i përshtatshëm sepse nuk ka nevojë të përdorni dhe transferoni informacion shtesë - fjalëkalime, fjalëkalime një herë ose të dhëna biometrike nga pajisja e përdoruesit në serverin e vërtetimit. Për më tepër, standardizimi i protokolleve të vërtetimit e bën shumë më të lehtë zbatimin e metodave të reja të vërtetimit kur ato bëhen të disponueshme, duke ulur kostot e zbatimit dhe duke mbrojtur kundër skemave më të sofistikuara të mashtrimit.
Përgatituni për zhdukjen e fjalëkalimeve një herë (OTP). Dobësitë e natyrshme në OTP po bëhen gjithnjë e më të dukshme pasi kriminelët kibernetikë përdorin inxhinierinë sociale, klonimin e smartfonëve dhe malware për të komprometuar këto mjete vërtetimi. Dhe nëse OTP-të në disa raste kanë avantazhe të caktuara, atëherë vetëm nga pikëpamja e disponueshmërisë universale për të gjithë përdoruesit, por jo nga pikëpamja e sigurisë.
Është e pamundur të mos vërehet se marrja e kodeve përmes SMS ose njoftimeve Push, si dhe gjenerimi i kodeve duke përdorur programe për telefonat inteligjentë, është përdorimi i atyre fjalëkalimeve të njëhershme (OTP) për të cilat na kërkohet të përgatitemi për rënien. Nga pikëpamja teknike, zgjidhja është shumë e saktë, sepse është një mashtrues i rrallë që nuk përpiqet të zbulojë fjalëkalimin një herë nga një përdorues sylesh. Por unë mendoj se prodhuesit e sistemeve të tilla do t'i përmbahen teknologjisë së fundit deri në fund.
Përdorni vërtetimin e fortë si një mjet marketingu për të rritur besimin e klientit. Autentifikimi i fortë mund të bëjë më shumë sesa thjesht të përmirësojë sigurinë aktuale të biznesit tuaj. Informimi i klientëve se biznesi juaj përdor vërtetim të fortë mund të forcojë perceptimin publik për sigurinë e atij biznesi—një faktor i rëndësishëm kur ka kërkesa të konsiderueshme të klientëve për metoda të forta vërtetimi.
Kryeni një inventar të plotë dhe vlerësim kritik të të dhënave të korporatës dhe mbrojeni ato sipas rëndësisë. Edhe të dhënat me rrezik të ulët si informacioni i kontaktit të klientit (jo, vërtet, raporti thotë "me rrezik të ulët", është shumë e çuditshme që ata nënvlerësojnë rëndësinë e këtij informacioni), mund të sjellë vlera të konsiderueshme për mashtruesit dhe të shkaktojë probleme për kompaninë.
Përdorni vërtetim të fortë të ndërmarrjes. Një numër sistemesh janë objektivat më tërheqës për kriminelët. Këto përfshijnë sisteme të brendshme dhe të lidhura me internetin si një program kontabiliteti ose një depo të dhënash të korporatës. Autentifikimi i fortë parandalon sulmuesit të fitojnë akses të paautorizuar, dhe gjithashtu bën të mundur përcaktimin e saktë se cili punonjës ka kryer aktivitetin keqdashës.
Çfarë është Autentifikimi i fortë?
Kur përdorni vërtetim të fortë, përdoren disa metoda ose faktorë për të verifikuar autenticitetin e përdoruesit:
- Faktori i njohurive: sekret i përbashkët ndërmjet përdoruesit dhe subjektit të vërtetuar të përdoruesit (siç janë fjalëkalimet, përgjigjet për pyetjet e sigurisë, etj.)
- Faktori i pronësisë: një pajisje që ka vetëm përdoruesi (për shembull, një pajisje celulare, një çelës kriptografik, etj.)
- Faktori i integritetit: karakteristikat fizike (shpesh biometrike) të përdoruesit (për shembull, gjurmët e gishtave, modeli i irisit, zëri, sjellja, etj.)
Nevoja për të hakuar faktorë të shumtë rrit shumë gjasat e dështimit për sulmuesit, pasi anashkalimi ose mashtrimi i faktorëve të ndryshëm kërkon përdorimin e llojeve të shumta të taktikave të hakerimit, për secilin faktor veç e veç.
Për shembull, me 2FA "password + smartphone", një sulmues mund të kryejë vërtetimin duke parë fjalëkalimin e përdoruesit dhe duke bërë një kopje të saktë të softuerit të smartfonit të tij. Dhe kjo është shumë më e vështirë sesa thjesht vjedhja e një fjalëkalimi.
Por nëse një fjalëkalim dhe një shenjë kriptografike përdoren për 2FA, atëherë opsioni i kopjimit nuk funksionon këtu - është e pamundur të kopjoni shenjën. Mashtruesi do të duhet të vjedhë në mënyrë të fshehtë kodin nga përdoruesi. Nëse përdoruesi vëren humbjen në kohë dhe njofton administratorin, token do të bllokohet dhe përpjekjet e mashtruesit do të jenë të kota. Kjo është arsyeja pse faktori i pronësisë kërkon përdorimin e pajisjeve të specializuara të sigurta (tokenet) në vend të pajisjeve për qëllime të përgjithshme (smartphone).
Përdorimi i të tre faktorëve do ta bëjë këtë metodë vërtetimi mjaft të shtrenjtë për t'u zbatuar dhe mjaft të papërshtatshme për t'u përdorur. Prandaj, zakonisht përdoren dy nga tre faktorë.
Parimet e vërtetimit me dy faktorë janë përshkruar më në detaje , në bllokun "Si funksionon vërtetimi me dy faktorë".
Është e rëndësishme të theksohet se të paktën një nga faktorët e vërtetimit të përdorur në vërtetimin e fortë duhet të përdorë kriptografinë e çelësit publik.
Vërtetimi i fortë siguron mbrojtje shumë më të fortë se vërtetimi me një faktor i bazuar në fjalëkalime klasike dhe MFA tradicionale. Fjalëkalimet mund të spiunohen ose përgjohen duke përdorur keyloggers, faqe phishing ose sulme të inxhinierisë sociale (ku viktima mashtrohet për të zbuluar fjalëkalimin e saj). Për më tepër, pronari i fjalëkalimit nuk do të dijë asgjë për vjedhjen. MPJ tradicionale (përfshirë kodet OTP, lidhjen me një smartphone ose kartën SIM) gjithashtu mund të hakohet mjaft lehtë, pasi nuk bazohet në kriptografinë e çelësit publik (Nga rruga, ka shumë shembuj kur, duke përdorur të njëjtat teknika të inxhinierisë sociale, mashtruesit i bindën përdoruesit t'u jepnin atyre një fjalëkalim një herë.).
Për fat të mirë, përdorimi i vërtetimit të fortë dhe MFA tradicionale ka fituar tërheqje si në aplikacionet e konsumatorit ashtu edhe në ato të ndërmarrjeve që nga viti i kaluar. Përdorimi i vërtetimit të fortë në aplikacionet e konsumatorëve është rritur veçanërisht me shpejtësi. Nëse në vitin 2017 vetëm 5% e kompanive e përdorën atë, atëherë në 2018 ishte tashmë tre herë më shumë - 16%. Kjo mund të shpjegohet me rritjen e disponueshmërisë së argumenteve që mbështesin algoritmet e kriptografisë me çelës publik (PKC). Për më tepër, presioni i shtuar nga rregullatorët evropianë pas miratimit të rregullave të reja të mbrojtjes së të dhënave si PSD2 dhe GDPR ka pasur një efekt të fortë edhe jashtë Evropës.përfshirë edhe në Rusi).
Le t'i hedhim një vështrim më të afërt këtyre numrave. Siç mund ta shohim, përqindja e individëve privatë që përdorin vërtetimin me shumë faktorë është rritur me 11% mbresëlënëse gjatë vitit. Dhe kjo ndodhi qartë në kurriz të adhuruesve të fjalëkalimeve, pasi nuk kanë ndryshuar numrat e atyre që besojnë në sigurinë e njoftimeve Push, SMS dhe biometrike.
Por me vërtetimin me dy faktorë për përdorim të korporatës, gjërat nuk janë aq të mira. Së pari, sipas raportit, vetëm 5% e punonjësve u transferuan nga vërtetimi i fjalëkalimit në token. Dhe së dyti, numri i atyre që përdorin opsionet alternative të MPJ-së në një mjedis korporativ është rritur me 4%.
Do të përpiqem të luaj si analist dhe të jap interpretimin tim. Në qendër të botës dixhitale të përdoruesve individualë është telefoni inteligjent. Prandaj, nuk është çudi që shumica përdorin aftësitë që u ofron pajisja - vërtetim biometrik, njoftime SMS dhe Push, si dhe fjalëkalime një herë të krijuar nga aplikacionet në vetë smartphone. Njerëzit zakonisht nuk mendojnë për sigurinë dhe besueshmërinë kur përdorin mjetet me të cilat janë mësuar.
Kjo është arsyeja pse përqindja e përdoruesve të faktorëve primitivë "tradicionalë" të vërtetimit mbetet e pandryshuar. Por ata që kanë përdorur më parë fjalëkalime e kuptojnë se sa rrezikojnë, dhe kur zgjedhin një faktor të ri të vërtetimit, ata zgjedhin opsionin më të ri dhe më të sigurt - një shenjë kriptografike.
Sa i përket tregut të korporatës, është e rëndësishme të kuptohet se në cilin sistem kryhet vërtetimi. Nëse identifikimi në një domen të Windows zbatohet, atëherë përdoren shenjat kriptografike. Mundësitë për përdorimin e tyre për 2FA janë tashmë të integruara si në Windows ashtu edhe në Linux, por opsionet alternative janë të gjata dhe të vështira për t'u zbatuar. Kaq shumë për migrimin e 5% nga fjalëkalimet në token.
Dhe zbatimi i 2FA në një sistem informacioni të korporatës varet shumë nga kualifikimet e zhvilluesve. Dhe është shumë më e lehtë për zhvilluesit të marrin module të gatshme për gjenerimin e fjalëkalimeve një herë sesa të kuptojnë funksionimin e algoritmeve kriptografike. Dhe si rezultat, edhe aplikacionet tepër kritike për sigurinë si Single Sign-On ose sistemet e menaxhimit të aksesit të privilegjuar përdorin OTP si një faktor të dytë.
Shumë dobësi në metodat tradicionale të vërtetimit
Ndërsa shumë organizata mbeten të varura nga sistemet e vjetra me një faktor, dobësitë në vërtetimin tradicional me shumë faktorë po bëhen gjithnjë e më të dukshme. Fjalëkalimet e njëhershme, zakonisht me gjatësi prej gjashtë deri në tetë karaktere, të dorëzuara me SMS, mbeten forma më e zakonshme e vërtetimit (përveç faktorit të fjalëkalimit, natyrisht). Dhe kur fjalët "autentifikimi me dy faktorë" ose "verifikimi me dy hapa" përmenden në shtypin popullor, ato pothuajse gjithmonë i referohen vërtetimit të fjalëkalimit një herë SMS.
Këtu autori gabon pak. Dorëzimi i fjalëkalimeve një herë përmes SMS nuk ka qenë kurrë vërtetim me dy faktorë. Kjo është në formën e saj më të pastër faza e dytë e vërtetimit me dy hapa, ku faza e parë është futja e hyrjes dhe fjalëkalimit tuaj.
Në vitin 2016, Instituti Kombëtar i Standardeve dhe Teknologjisë (NIST) përditësoi rregullat e tij të vërtetimit për të eliminuar përdorimin e fjalëkalimeve një herë të dërguar përmes SMS. Megjithatë, këto rregulla u lehtësuan ndjeshëm pas protestave të industrisë.
Pra, le të ndjekim komplotin. Rregullatori amerikan me të drejtë pranon se teknologjia e vjetëruar nuk është në gjendje të garantojë sigurinë e përdoruesit dhe po prezanton standarde të reja. Standarde të dizajnuara për të mbrojtur përdoruesit e aplikacioneve në internet dhe celular (përfshirë ato bankare). Industria po llogarit se sa para do të duhet të shpenzojë për blerjen e shenjave vërtet të besueshme kriptografike, ridizajnimin e aplikacioneve, vendosjen e një infrastrukture të çelësit publik dhe "po ngrihet në këmbët e pasme". Nga njëra anë, përdoruesit ishin të bindur për besueshmërinë e fjalëkalimeve një herë, dhe nga ana tjetër, pati sulme ndaj NIST. Si rezultat, standardi u zbut dhe numri i hakimeve dhe vjedhjeve të fjalëkalimeve (dhe parave nga aplikacionet bankare) u rrit ndjeshëm. Por industria nuk duhej të derdhte para.
Që atëherë, dobësitë e qenësishme të SMS OTP janë bërë më të dukshme. Mashtruesit përdorin metoda të ndryshme për të kompromentuar mesazhet SMS:
- Dyfishimi i kartës SIM. Sulmuesit krijojnë një kopje të kartës SIM (me ndihmën e punonjësve të operatorit celular, ose në mënyrë të pavarur, duke përdorur softuer dhe pajisje speciale). Si rezultat, sulmuesi merr një SMS me një fjalëkalim një herë. Në një rast veçanërisht të famshëm, hakerët madje ishin në gjendje të komprometonin llogarinë AT&T të investitorit të kriptomonedhave Michael Turpin dhe të vidhnin gati 24 milionë dollarë në kriptomonedha. Si rezultat, Turpin deklaroi se AT&T ishte fajtor për shkak të masave të dobëta të verifikimit që çuan në dyfishimin e kartës SIM.
Logjikë e mahnitshme. Pra, është me të vërtetë vetëm faji i AT&T? Jo, është padyshim faji i operatorit celular që shitësit në dyqanin e komunikimit kanë lëshuar një kartë SIM dublikatë. Po në lidhje me sistemin e vërtetimit të shkëmbimit të kriptomonedhave? Pse nuk përdorën argumente të forta kriptografike? Ishte për të ardhur keq të shpenzosh para për zbatimin? A nuk është vetë Michael fajtor? Pse ai nuk insistoi në ndryshimin e mekanizmit të vërtetimit ose të përdorte vetëm ato shkëmbime që zbatojnë vërtetimin me dy faktorë bazuar në argumentet kriptografike?
Prezantimi i metodave vërtet të besueshme të vërtetimit është vonuar pikërisht sepse përdoruesit tregojnë pakujdesi të mahnitshme përpara se të hakojnë, dhe më pas ata fajësojnë problemet e tyre te këdo dhe çdo gjë tjetër përveç teknologjive të vjetra dhe "të rrjedhura" të vërtetimit.
- Malware. Një nga funksionet më të hershme të malware celular ishte përgjimi dhe përcjellja e mesazheve me tekst te sulmuesit. Gjithashtu, sulmet njeri në shfletues dhe njeriu në mes mund të përgjojnë fjalëkalime një herë kur ato futen në laptopë ose pajisje desktop të infektuar.
Kur aplikacioni Sberbank në smartphone tuaj pulson një ikonë jeshile në shiritin e statusit, ai gjithashtu kërkon "malware" në telefonin tuaj. Qëllimi i kësaj ngjarjeje është të kthejë mjedisin e ekzekutimit të pabesueshëm të një smartphone tipik, të paktën në një farë mënyre, në një të besuar.
Nga rruga, një smartphone, si një pajisje plotësisht e pabesueshme në të cilën mund të bëhet gjithçka, është një arsye tjetër për ta përdorur atë për vërtetim. vetëm argumentet harduerike, të cilat janë të mbrojtura dhe pa viruse dhe trojanë. - Inxhinieri sociale. Kur mashtruesit e dinë se një viktimë ka OTP-të të aktivizuara përmes SMS, ata mund të kontaktojnë drejtpërdrejt viktimën, duke u paraqitur si një organizatë e besuar si banka e tyre ose bashkimi i kreditit, për ta mashtruar viktimën për të dhënë kodin që sapo ka marrë.
Unë personalisht jam ndeshur me këtë lloj mashtrimi shumë herë, për shembull, kur përpiqem të shes diçka në një treg të njohur online të pleshtave. Unë vetë tallesha me mashtruesin që u përpoq të më mashtronte me kënaqësinë time. Por mjerisht, lexoja rregullisht në lajme se si një viktimë tjetër e mashtruesve "nuk mendoi", dha kodin e konfirmimit dhe humbi një shumë të madhe. Dhe e gjithë kjo ndodh sepse banka thjesht nuk dëshiron të merret me zbatimin e shenjave kriptografike në aplikacionet e saj. Në fund të fundit, nëse ndodh diçka, klientët "duhet të fajësojnë veten".
Ndërsa metodat alternative të ofrimit të OTP mund të zbusin disa nga dobësitë në këtë metodë vërtetimi, dobësi të tjera mbeten. Aplikacionet e pavarura të gjenerimit të kodit janë mbrojtja më e mirë kundër përgjimit, pasi edhe malware vështirë se mund të ndërveprojë drejtpërdrejt me gjeneruesin e kodit (seriozisht? A e harroi autori i raportit telekomandën?), por OTP-të ende mund të përgjohen kur futen në shfletues (për shembull duke përdorur një keylogger), përmes një aplikacioni celular të hakuar; dhe gjithashtu mund të merret direkt nga përdoruesi duke përdorur inxhinierinë sociale.
Përdorimi i mjeteve të shumta të vlerësimit të rrezikut si njohja e pajisjes (zbulimi i përpjekjeve për të kryer transaksione nga pajisje që nuk i përkasin një përdoruesi të ligjshëm), gjeolokacioni (një përdorues që sapo ka qenë në Moskë përpiqet të kryejë një operacion nga Novosibirsk) dhe analitika e sjelljes janë të rëndësishme për adresimin e dobësive, por asnjëra zgjidhje nuk është ilaç. Për çdo situatë dhe lloj të dhënash, është e nevojshme të vlerësohen me kujdes rreziqet dhe të zgjidhet se cila teknologji e vërtetimit duhet të përdoret.
Asnjë zgjidhje vërtetimi nuk është një ilaç
Figura 2. Tabela e opsioneve të vërtetimit
| vërtetim | Faktori | Përshkrim | Dobësitë kryesore |
| Fjalëkalimi ose PIN | njohuri | Vlera fikse, e cila mund të përfshijë shkronja, numra dhe një numër karakteresh të tjera | Mund të përgjohet, spiunohet, vidhet, merret ose hakerohet |
| Autentifikimi i bazuar në njohuri | njohuri | Pyet përgjigjet për të cilat vetëm një përdorues ligjor mund t'i dijë | Mund të përgjohet, të merret, të merret duke përdorur metoda të inxhinierisë sociale |
| OTP e harduerit () | Posedim | Një pajisje e veçantë që gjeneron fjalëkalime një herë | Kodi mund të kapet dhe përsëritet, ose pajisja mund të vidhet |
| OTP-të e softuerit | Posedim | Një aplikacion (celular, i aksesueshëm përmes një shfletuesi ose dërgimi i kodeve me e-mail) që gjeneron fjalëkalime një herë | Kodi mund të kapet dhe përsëritet, ose pajisja mund të vidhet |
| SMS OTP | Posedim | Fjalëkalimi një herë i dorëzuar përmes mesazhit me tekst SMS | Kodi mund të kapet dhe përsëritet, ose telefoni inteligjent ose karta SIM mund të vidhet, ose karta SIM mund të dyfishohet |
| Kartat inteligjente () | Posedim | Një kartë që përmban një çip kriptografik dhe një memorie të sigurt çelësi që përdor një infrastrukturë të çelësit publik për vërtetim | Mund të vidhet fizikisht (por një sulmues nuk do të jetë në gjendje të përdorë pajisjen pa e ditur kodin PIN; në rast të disa përpjekjeve të gabuara të hyrjes, pajisja do të bllokohet) |
| Çelësat e sigurisë - shenjat (, ) | Posedim | Një pajisje USB që përmban një çip kriptografik dhe memorie të sigurt çelësi që përdor një infrastrukturë të çelësit publik për vërtetim | Mund të vidhet fizikisht (por një sulmues nuk do të jetë në gjendje të përdorë pajisjen pa e ditur kodin PIN; në rast të disa përpjekjeve të pasakta të hyrjes, pajisja do të bllokohet) |
| Lidhja me një pajisje | Posedim | Procesi që krijon një profil, shpesh duke përdorur JavaScript, ose duke përdorur shënues të tillë si cookies dhe Flash Shared Objects për të siguruar që një pajisje specifike po përdoret | Shenjat mund të vidhen (kopjohen) dhe karakteristikat e një pajisjeje legale mund të imitohen nga një sulmues në pajisjen e tij |
| sjellje | Inherence | Analizon se si përdoruesi ndërvepron me një pajisje ose program | Sjellja mund të imitohet |
| Gjurmët e gishtërinjve | Inherence | Gjurmët e gishtave të ruajtura krahasohen me ato të kapura në mënyrë optike ose elektronike | Imazhi mund të vidhet dhe të përdoret për vërtetim |
| Skanimi i syve | Inherence | Krahason karakteristikat e syve, të tilla si modeli i irisit, me skanimet e reja optike | Imazhi mund të vidhet dhe të përdoret për vërtetim |
| Njohja e fytyrës | Inherence | Karakteristikat e fytyrës krahasohen me skanimet e reja optike | Imazhi mund të vidhet dhe të përdoret për vërtetim |
| Njohja e zërit | Inherence | Karakteristikat e mostrës së zërit të regjistruar krahasohen me mostrat e reja | Regjistrimi mund të vidhet dhe të përdoret për vërtetim, ose të imitohet |
Në pjesën e dytë të botimit na presin gjërat më të shijshme – numra dhe fakte, mbi të cilat bazohen përfundimet dhe rekomandimet e dhëna në pjesën e parë. Autentifikimi në aplikacionet e përdoruesve dhe në sistemet e korporatave do të diskutohet veçmas.
Shihemi së shpejti!
Burimi: www.habr.com