Spoiler tina judul laporan: "Pamakéan auténtikasi anu kuat ningkat kusabab ancaman résiko anyar sareng syarat pangaturan."
Perusahaan riset "Javelin Strategy & Research" nyebarkeun laporan "The State of Strong Authentication 2019" (). Laporan ieu nyebutkeun: sabaraha persén pausahaan Amérika sarta Éropa ngagunakeun kecap akses (jeung naha sababaraha urang ngagunakeun kecap akses ayeuna); naha pamakéan auténtikasi dua-faktor dumasar kana tokens cryptographic tumuwuh jadi gancang; Naha kode hiji-waktos dikirim via SMS teu aman.
Saha waé anu resep kana auténtikasi ayeuna, baheula, sareng masa depan dina perusahaan sareng aplikasi konsumen wilujeng sumping.
Ti penerjemah
Hanjakal, basa nu nulis laporan ieu rada "garing" jeung formal. Jeung lima kali pamakéan kecap "auténtikasi" dina hiji kalimah pondok teu leungeun bengkok (atawa brains) tina penerjemah, tapi whim pangarang. Nalika narjamahkeun tina dua pilihan - pikeun masihan pamiarsa téks anu langkung caket kana aslina, atanapi anu langkung narik, sakapeung kuring milih anu kahiji, sareng kadang anu kadua. Tapi sing sabar, pamiarsa, eusi laporan éta patut.
Sababaraha potongan anu teu penting sareng teu dipikabutuh pikeun carita dileungitkeun, upami henteu seuseueurna moal tiasa ngalangkungan sadayana téks. Anu hoyong maca laporan "teu dipotong" tiasa ngalakukeun dina basa aslina ku nuturkeun tautan.
Hanjakalna, pangarang henteu salawasna ati-ati dina terminologi. Ku kituna, kecap akses sakali (One Time Sandi - OTP) sok disebut "sandi", sarta kadangkala "kode". Éta langkung parah kalayan metode auténtikasi. Teu salawasna gampang pikeun maca untrained nebak yén "auténtikasi maké konci cryptographic" jeung "auténtikasi kuat" mangrupakeun hal anu sarua. Kuring diusahakeun ngahijikeun istilah saloba mungkin, sarta dina laporan sorangan aya sempalan kalawan pedaran maranéhanana.
Sanajan kitu, laporan ieu kacida dianjurkeun maca sabab ngandung hasil panalungtikan unik tur conclusions bener.
Sadaya inohong jeung fakta dibere tanpa parobahan slightest, sarta lamun teu satuju sareng aranjeunna, eta leuwih hade mun ngajawab teu kalawan penerjemah, tapi jeung pangarang laporan. Sareng ieu koméntar kuring (ditetepkeun salaku kutipan, sareng ditandaan dina téks Italia) mangrupikeun penilaian nilai kuring sareng kuring bakal resep ngabantah ngeunaan masing-masing (sareng kualitas tarjamahan).
gambaran
Kiwari, saluran komunikasi digital sareng para nasabah langkung penting tibatan kantos pikeun usaha. Sareng dina perusahaan, komunikasi antara karyawan langkung berorientasi digital tibatan sateuacanna. Sareng kumaha amanna interaksi ieu gumantung kana metode anu dipilih pikeun auténtikasi pangguna. Panyerang nganggo auténtikasi anu lemah pikeun hack akun pangguna sacara masif. Salaku réspon, régulator ngaketat standar pikeun maksa usaha pikeun ngajagaan akun sareng data pangguna anu langkung saé.
Ancaman anu aya hubunganana sareng auténtikasi ngalangkungan aplikasi konsumen; panyerang ogé tiasa nampi aksés kana aplikasi anu ngajalankeun di jero perusahaan. Operasi ieu ngamungkinkeun aranjeunna pikeun nyamar pangguna perusahaan. Penyerang anu nganggo titik aksés kalayan auténtikasi anu lemah tiasa maok data sareng ngalaksanakeun kagiatan panipuan anu sanés. Untungna, aya ukuran pikeun merangan ieu. Auténtikasi anu kuat bakal ngabantosan sacara signifikan ngirangan résiko serangan ku panyerang, boh dina aplikasi konsumen sareng sistem bisnis perusahaan.
Panaliti ieu nalungtik: kumaha perusahaan ngalaksanakeun auténtikasi pikeun ngajagi aplikasi pangguna akhir sareng sistem bisnis perusahaan; faktor anu aranjeunna anggap nalika milih solusi auténtikasi; peran anu auténtikasi kuat muterkeun dina organisasi maranéhna; mangpaat organisasi ieu narima.
singgetan
Pamanggihan utama
Kusabab 2017, pamakéan auténtikasi kuat geus ngaronjat sharply. Kalayan ningkatna jumlah kerentanan anu mangaruhan solusi auténtikasi tradisional, organisasi nguatkeun kamampuan auténtikasina kalayan auténtikasi anu kuat. Jumlah organisasi anu ngagunakeun auténtikasi multi-faktor cryptographic (MFA) parantos tilu kali lipat ti saprak 2017 pikeun aplikasi konsumen sareng ningkat ampir 50% pikeun aplikasi perusahaan. Tumuwuhna panggancangna katingali dina auténtikasi sélulér kusabab paningkatan kasadiaan auténtikasi biometrik.
Di dieu urang ningali ilustrasi paribasa "nepi ka guludug, lalaki moal nyebrang dirina." Nalika para ahli ngingetkeun ngeunaan kerawanan kecap akses, teu aya anu buru-buru ngalaksanakeun auténtikasi dua faktor. Pas peretas mimiti maok kecap akses, jalma mimiti nerapkeun auténtikasi dua faktor.
Leres, individu langkung aktip ngalaksanakeun 2FA. Anu mimiti, langkung gampang pikeun aranjeunna nenangkeun kasieunana ku ngandelkeun auténtikasi biometrik anu diwangun dina smartphone, anu kanyataanna teu tiasa dipercaya. Organisasi kedah nyéépkeun artos kanggo mésér token sareng ngalaksanakeun padamelan (saleresna, saderhana pisan) pikeun ngalaksanakeunana. Sareng kadua, ngan ukur jalma anu teu puguh anu henteu nyerat ngeunaan bocor sandi tina jasa sapertos Facebook sareng Dropbox, tapi dina kaayaan naon waé CIO organisasi ieu bakal ngabagi carita ngeunaan kumaha kecap akses dipaling (sareng naon anu kajantenan salajengna) dina organisasi.
Jalma anu teu ngagunakeun auténtikasi kuat anu underestimating resiko maranéhna pikeun bisnis jeung konsumén maranéhanana. Sababaraha organisasi anu ayeuna henteu nganggo auténtikasi anu kuat condong ningali login sareng kecap akses salaku salah sahiji metodeu auténtikasi pangguna anu paling efektif sareng gampang dianggo. Anu sanés henteu ningali nilai aset digital anu aranjeunna gaduh. Barina ogé, éta patut mertimbangkeun yén cybercriminals museurkeun sagala informasi konsumen na bisnis. Dua per tilu perusahaan anu ngan ukur nganggo kecap akses pikeun ngabuktoskeun kaaslianana karyawanna ngalakukeunana kusabab aranjeunna yakin kecap konci éta cekap pikeun jinis inpormasi anu dilindungan.
Tapi, kecap akses nuju ka kuburan. Katergantungan sandi parantos turun sacara signifikan dina taun katukang pikeun aplikasi konsumen sareng perusahaan (tina 44% dugi ka 31%, sareng tina 56% dugi ka 47% masing-masing) nalika organisasi ningkatkeun panggunaan MFA tradisional sareng auténtikasi anu kuat.
Tapi lamun urang nempo kaayaan sakabéhna, métode auténtikasi rentan masih lumaku. Pikeun auténtikasi pangguna, sakitar saparapat organisasi nganggo SMS OTP (sandi sakali) sareng patarosan kaamanan. Hasilna, ukuran kaamanan tambahan kedah dilaksanakeun pikeun nangtayungan tina kerentanan, anu ningkatkeun biaya. Pamakéan metode auténtikasi anu langkung aman, sapertos konci kriptografi hardware, dianggo langkung jarang, dina sakitar 5% organisasi.
Lingkungan pangaturan anu ngembang janji bakal ngagancangkeun nyoko kana auténtikasi anu kuat pikeun aplikasi konsumen. Kalayan ngenalkeun PSD2, ogé aturan panyalindungan data anyar di EU sareng sababaraha nagara bagian AS sapertos California, perusahaan karasa panas. Ampir 70% pausahaan satuju yén maranéhna nyanghareupan tekanan pangaturan kuat pikeun nyadiakeun auténtikasi kuat ka konsumén maranéhanana. Langkung ti satengah perusahaan yakin yén dina sababaraha taun metode auténtikasina moal cekap pikeun nyumponan standar pangaturan.
Bédana dina pendekatan anggota DPRD Rusia sareng Amérika-Éropa pikeun ngajagaan data pribadi pangguna program sareng jasa jelas katingali. Urang Rusia nyarios: pamilik jasa anu dipikacinta, lakukeun naon anu anjeun pikahoyong sareng kumaha anu anjeun pikahoyong, tapi upami admin anjeun ngahijikeun pangkalan data, kami bakal ngahukum anjeun. Aranjeunna nyarios ka luar negeri: anjeun kedah ngalaksanakeun sakumpulan ukuran éta moal ngijinkeun solokan dasarna. Éta sababna syarat pikeun auténtikasi dua faktor anu ketat dilaksanakeun di dinya.
Leres, éta tebih tina kanyataan yén mesin législatif urang hiji poé moal datang ka itungan sarta tumut kana akun pangalaman Kulon. Lajeng tétéla yén dulur kudu nerapkeun 2FA, nu sasuai jeung standar cryptographic Rusia, sarta urgently.
Ngadegkeun kerangka auténtikasi anu kuat ngamungkinkeun perusahaan pikeun mindahkeun fokusna tina nyumponan syarat pangaturan pikeun nyumponan kabutuhan palanggan. Pikeun organisasi anu masih ngagunakeun kecap akses basajan atanapi nampi kode via SMS, faktor anu paling penting nalika milih metode auténtikasi nyaéta patuh kana syarat pangaturan. Tapi perusahaan anu parantos nganggo auténtikasi anu kuat tiasa difokuskeun milih metode auténtikasi anu ningkatkeun kasatiaan pelanggan.
Nalika milih metode auténtikasi perusahaan dina perusahaan, syarat pangaturan henteu janten faktor anu penting. Dina hal ieu, betah integrasi (32%) sareng biaya (26%) langkung penting.
Dina jaman phishing, panyerang tiasa nganggo email perusahaan pikeun scam mun fraudulently meunang aksés ka data, rekening (kalawan hak aksés luyu), komo ngayakinkeun pagawé sangkan mindahkeun duit kana rekening na. Ku alatan éta, email perusahaan sareng akun portal kedah dijagi sacara khusus.
Google geus strengthened kaamanan na ku ngalaksanakeun auténtikasi kuat. Langkung ti dua taun ka pengker, Google nyebarkeun laporan ngeunaan palaksanaan auténtikasi dua faktor dumasar kana konci kaamanan kriptografi nganggo standar FIDO U2F, ngalaporkeun hasil anu pikaresepeun. Numutkeun perusahaan, teu aya serangan phishing tunggal anu dilakukeun ngalawan langkung ti 85 karyawan.
saran
Nerapkeun auténtikasi anu kuat pikeun aplikasi mobile sareng online. Auténtikasi multi-faktor dumasar kana konci kriptografi nyayogikeun panyalindungan anu langkung saé ngalawan peretasan tibatan metode MFA tradisional. Salaku tambahan, pamakean konci kriptografi langkung merenah sabab teu kedah nganggo sareng nransper inpormasi tambahan - kecap akses, kecap akses sakali atanapi data biometrik tina alat pangguna ka server auténtikasi. Salaku tambahan, standarisasi protokol auténtikasi ngagampangkeun pikeun nerapkeun metodeu auténtikasi énggal nalika sayogi, ngirangan biaya palaksanaan sareng ngajagi tina skéma panipuan anu langkung canggih.
Nyiapkeun pikeun pupusna kecap akses hiji-waktos (OTP). Kerentanan anu aya dina OTP janten langkung jelas nalika penjahat cyber nganggo rékayasa sosial, kloning smartphone sareng malware pikeun kompromi cara auténtikasi ieu. Sareng upami OTP dina sababaraha kasus gaduh kaunggulan anu tangtu, maka ngan ukur tina sudut pandang kasadiaan universal pikeun sadaya pangguna, tapi henteu tina sudut pandang kaamanan.
Mustahil henteu perhatikeun yén nampi kodeu via SMS atanapi bewara Push, ogé ngahasilkeun kode nganggo program pikeun smartphone, nyaéta panggunaan kecap konci anu sami (OTP) anu kami dipénta pikeun nyiapkeun turunna. Tina sudut pandang téknis, solusina leres pisan, sabab éta mangrupikeun panipuan anu jarang anu henteu nyobian milarian kecap konci hiji-waktos ti pangguna anu gampang katipu. Tapi kuring nyangka yén produsén sistem sapertos kitu bakal nempel kana téknologi maot dugi ka terakhir.
Anggo auténtikasi anu kuat salaku alat pamasaran pikeun ningkatkeun kapercayaan pelanggan. Auténtikasi anu kuat tiasa ngalakukeun langkung ti ngan ukur ningkatkeun kaamanan bisnis anjeun. Ngawartosan ka konsumén yén bisnis anjeun nganggo auténtikasi anu kuat tiasa nguatkeun persepsi masarakat ngeunaan kaamanan bisnis éta-faktor anu penting nalika aya paménta palanggan anu signifikan pikeun metode auténtikasi anu kuat.
Ngalaksanakeun inventaris lengkep sareng penilaian kritis data perusahaan sareng ngajagi dumasar kana pentingna. Malah data-resiko rendah sapertos inpormasi kontak palanggan (teu, nyaan, laporan nyebutkeun "resiko low", éta pisan aneh yén maranéhna underestimate pentingna informasi ieu.), bisa mawa nilai signifikan pikeun fraudsters sarta ngabalukarkeun masalah pikeun pausahaan.
Anggo auténtikasi perusahaan anu kuat. Sajumlah sistem mangrupikeun target anu paling pikaresepeun pikeun penjahat. Ieu kalebet sistem internal sareng anu nyambung ka Internét sapertos program akuntansi atanapi gudang data perusahaan. Auténtikasi anu kuat nyegah panyerang tina aksés anu henteu sah, sareng ogé ngamungkinkeun pikeun sacara akurat nangtukeun karyawan mana anu ngalakukeun kagiatan jahat.
Naon auténtikasi anu kuat?
Nalika nganggo auténtikasi anu kuat, sababaraha metode atanapi faktor dianggo pikeun pariksa kaaslian pangguna:
- Faktor pangaweruh: Rahasia dibagikeun antara pangguna sareng subjek anu dioténtikasi pangguna (sapertos kecap akses, jawaban kana patarosan kaamanan, jsb.)
- Faktor kapamilikan: alat nu ngan pamaké boga (contona, alat mobile, konci cryptographic, jsb)
- Faktor integritas: ciri fisik (sering biometrik) pangguna (contona, sidik, pola iris, sora, paripolah, jsb.)
Kabutuhan pikeun hack sababaraha faktor greatly ngaronjatkeun likelihood kagagalan pikeun panyerang, saprak bypassing atawa deceiving rupa faktor merlukeun ngagunakeun sababaraha jenis taktik Hacking, pikeun tiap faktor misah.
Salaku conto, kalayan 2FA "sandi + smartphone," panyerang tiasa ngalakukeun auténtikasi ku ningali kecap akses pangguna sareng ngadamel salinan parangkat lunak anu tepat tina smartphone na. Sareng ieu langkung hese tibatan ngan saukur maok kecap konci.
Tapi upami kecap akses sareng token kriptografi dianggo pikeun 2FA, maka pilihan nyalin henteu tiasa dianggo di dieu - mustahil pikeun nyalin token. Penipu kedah nyolong siluman token ti pangguna. Lamun pamaké notices leungitna dina waktu jeung ngabéjaan admin, token bakal diblokir jeung usaha fraudster bakal sia. Ieu naha faktor kapamilikan merlukeun pamakéan alat aman husus (token) tinimbang alat tujuan umum (smartphone).
Ngagunakeun sakabeh tilu faktor bakal nyieun metoda auténtikasi ieu rada mahal pikeun nerapkeun sarta rada merenah ngagunakeun. Ku alatan éta, dua ti tilu faktor biasana dipaké.
Prinsip auténtikasi dua faktor dijelaskeun sacara langkung rinci , dina blok "Kumaha gawéna auténtikasi dua-faktor".
Kadé dicatet yén sahenteuna salah sahiji faktor auténtikasi dipaké dina auténtikasi kuat kudu ngagunakeun kriptografi konci publik.
Auténtikasi anu kuat nyayogikeun panyalindungan anu langkung kuat tibatan auténtikasi faktor tunggal dumasar kana kecap akses klasik sareng MFA tradisional. Kecap akses bisa spied on atawa disadap maké keyloggers, situs phishing, atawa serangan rékayasa sosial (dimana korban téh tricked kana nembongkeun sandi maranéhna). Leuwih ti éta, nu boga sandi moal nyaho nanaon tentang maling. MFA tradisional (kaasup kode OTP, ngariung ka smartphone atawa kartu SIM) ogé bisa gampang hacked, sabab teu dumasar kana kriptografi konci publik (Ku jalan kitu, aya seueur conto nalika, ngagunakeun téknik rékayasa sosial anu sami, scammers ngabujuk pangguna pikeun masihan kecap konci sakali.).
Untungna, pamakéan auténtikasi kuat sarta MFA tradisional geus gaining traction dina duanana aplikasi konsumen na perusahaan saprak taun ka tukang. Pamakéan auténtikasi anu kuat dina aplikasi konsumen parantos ningkat sacara gancang. Upami dina 2017 ngan ukur 5% perusahaan anu nganggo éta, maka dina 2018 éta parantos tilu kali langkung seueur - 16%. Ieu bisa dipedar ku ngaronjat kasadiaan tokens nu ngarojong algoritma Kriptografi Key Public (PKC). Sajaba ti éta, ngaronjat tekanan ti régulator Éropa sanggeus nyoko aturan panyalindungan data anyar kayaning PSD2 na GDPR geus miboga éfék kuat malah di luar Éropa (kaasup di Rusia).
Hayu urang nempo leuwih deukeut angka ieu. Sakumaha anu urang tingali, persentase individu swasta anu nganggo auténtikasi multi-faktor parantos ningkat ku 11% anu pikaresepeun dina sataun. Sareng ieu jelas kajantenan kalayan biaya anu resep kecap konci, sabab jumlah jalma anu percanten kana kaamanan bewara Push, SMS sareng biometrik henteu robih.
Tapi kalayan auténtikasi dua-faktor pikeun panggunaan perusahaan, hal-hal henteu saé. Firstly, nurutkeun laporan, ngan 5% karyawan anu ditransfer ti auténtikasi sandi mun tokens. Sareng kadua, jumlah jalma anu ngagunakeun pilihan MFA alternatif di lingkungan perusahaan parantos ningkat ku 4%.
Kuring bakal nyobian maén analis sareng masihan interpretasi kuring. Di tengah dunya digital pangguna individu nyaéta smartphone. Ku alatan éta, teu anéh yén mayoritas ngagunakeun kamampuhan anu disadiakeun ku alat - auténtikasi biometrik, SMS jeung bewara Push, kitu ogé kecap akses hiji-waktos dihasilkeun ku aplikasi dina smartphone sorangan. Jalma-jalma biasana henteu mikirkeun kasalametan sareng kabébasan nalika ngagunakeun alat anu biasa.
Ieu naha persentase pamaké primitif "tradisional" faktor auténtikasi tetep unchanged. Tapi jalma anu saacanna nganggo kecap akses ngartos sabaraha aranjeunna résiko, sareng nalika milih faktor auténtikasi énggal, aranjeunna milih pilihan anu paling énggal sareng paling aman - token kriptografi.
Sedengkeun pikeun pasar perusahaan, hal anu penting pikeun ngarti kana mana auténtikasi sistem dilaksanakeun. Upami login ka domain Windows dilaksanakeun, token kriptografi dianggo. Kamungkinan pikeun ngagunakeunana pikeun 2FA parantos diwangun kana Windows sareng Linux, tapi pilihan alternatif panjang sareng sesah dilaksanakeun. Janten seueur pikeun migrasi 5% tina kecap konci ka token.
Sareng palaksanaan 2FA dina sistem inpormasi perusahaan gumantung pisan kana kualifikasi para pamekar. Sareng langkung gampang pikeun pamekar nyandak modul anu siap-siap pikeun ngahasilkeun kecap konci sakali tibatan ngartos operasi algoritma kriptografi. Salaku hasilna, malah aplikasi luar biasa-kritis kaamanan kawas Single Sign-On atawa Sistem Manajemén Aksés Privileged ngagunakeun OTP salaku faktor kadua.
Seueur kerentanan dina metode auténtikasi tradisional
Sanaos seueur organisasi tetep ngandelkeun sistem faktor tunggal warisan, kerentanan dina auténtikasi multi-faktor tradisional beuki katingali. Sandi sakali, biasana genep dugi ka dalapan karakter panjangna, dikirimkeun via SMS, tetep janten bentuk auténtikasi anu paling umum (salain faktor sandi, tangtosna). Sareng nalika kecap "auténtikasi dua faktor" atanapi "verifikasi dua léngkah" disebatkeun dina pencét populér, aranjeunna ampir sok ngarujuk kana auténtikasi kecap akses SMS sakali.
Di dieu panulis rada salah. Nganteurkeun kecap akses hiji-waktos liwat SMS henteu kantos janten auténtikasi dua faktor. Ieu dina bentuk anu paling murni nyaéta tahap kadua auténtikasi dua léngkah, dimana tahap kahiji ngalebetkeun login sareng kecap akses anjeun.
Dina 2016, National Institute of Standards and Technology (NIST) ngamutahirkeun aturan auténtikasi na pikeun ngaleungitkeun pamakean kecap akses hiji-waktos anu dikirim via SMS. Tapi, aturan ieu sacara signifikan santai saatos protés industri.
Ku kituna, hayu urang nuturkeun plot. Régulator Amérika leres-leres ngakuan yén téknologi luntur teu tiasa mastikeun kasalametan pangguna sareng ngenalkeun standar anyar. Standar dirancang pikeun ngajaga pamaké tina aplikasi online tur mobile (kaasup perbankan). Industri ngitung sabaraha artos anu kedah dibalanjakeun pikeun mésér token kriptografi anu leres-leres dipercaya, ngadesain ulang aplikasi, nyebarkeun infrastruktur konci umum, sareng "naék dina suku tukangna." Di hiji sisi, pamaké éta yakin kana reliabiliti kecap akses hiji-waktos, sarta di sisi séjén, aya serangan on NIST. Hasilna, standar ieu softened, sarta jumlah hacks sarta maling kecap akses (jeung duit tina aplikasi perbankan) ngaronjat sharply. Tapi industri henteu kedah ngaluarkeun artos.
Ti saprak éta, kalemahan alamiah SMS OTP parantos langkung jelas. Penipu ngagunakeun sababaraha cara pikeun kompromi pesen SMS:
- duplikasi kartu SIM. Panyerang nyieun salinan SIM (kalayan bantosan karyawan operator seluler, atanapi sacara mandiri, nganggo parangkat lunak sareng hardware khusus). Hasilna, panyerang nampi SMS sareng kecap akses sakali. Dina hiji kasus utamana kawentar, hacker éta malah bisa kompromi dina AT&T akun investor cryptocurrency Michael Turpin, sarta maok ampir $24 juta dina cryptocurrencies. Hasilna, Turpin nyatakeun yén AT&T lepat kusabab ukuran verifikasi anu lemah anu nyababkeun duplikasi kartu SIM.
Logika endah pisan. Janten leres-leres ngan lepat AT&T? Henteu, éta pasti lepat operator sélulér yén para penjual di toko komunikasi ngaluarkeun kartu SIM duplikat. Kumaha upami sistem auténtikasi bursa cryptocurrency? Naha aranjeunna henteu nganggo token cryptographic anu kuat? Éta karunya méakkeun duit dina palaksanaan? Naha Michael henteu nyalahkeun dirina? Naha anjeunna henteu keukeuh ngarobih mékanisme auténtikasi atanapi ngan ukur nganggo séntral anu ngalaksanakeun auténtikasi dua faktor dumasar kana token kriptografi?
Perkenalan metode auténtikasi anu leres-leres dipercaya ditunda persis sabab pangguna nunjukkeun kalemahan anu luar biasa sateuacan hacking, sareng saatosna aranjeunna nyalahkeun masalahna ka saha waé sareng naon waé sanés téknologi auténtikasi kuno sareng "bocor"
- Malware. Salah sahiji fungsi pangheubeulna tina malware mobile nya éta pikeun intercept jeung neraskeun pesen téks ka panyerang. Ogé, serangan man-in-the-browser sareng man-in-the-middle tiasa nyegat kecap akses sakali-waktos nalika diasupkeun kana laptop atanapi alat desktop anu kainféksi.
Nalika aplikasi Sberbank dina smartphone Anjeun blinks ikon héjo dina bar status, éta ogé néangan "malware" dina telepon Anjeun. Tujuan tina acara ieu nyaéta pikeun ngarobah lingkungan palaksanaan anu teu dipercaya tina smartphone biasa janten, sahenteuna dina sababaraha cara, anu dipercaya.
Ngomong-ngomong, smartphone, salaku alat anu teu dipercaya pikeun ngalakukeun naon waé, mangrupikeun alesan sanés pikeun ngagunakeun éta pikeun auténtikasi. token hardware wungkul, nu ditangtayungan tur bébas tina virus jeung Trojans. - Rékayasa sosial. Nalika scammers nyaho yén hiji korban geus OTPs diaktipkeun via SMS, aranjeunna tiasa ngahubungan korban langsung, posing salaku organisasi dipercaya kayaning bank atawa kiridit union maranéhna, pikeun trik korban kana nyadiakeun kode maranéhna ngan narima.
Kuring geus pribadi encountered tipe ieu panipuan sababaraha kali, contona, nalika nyoba ngajual hal on pasar loak online populér. Kuring sorangan nyieun olok tina swindler anu nyoba fool kuring pikeun eusi haté kuring. Tapi Alas, Kuring rutin maca dina warta kumaha acan korban sejen tina scammers "teu sangka," masihan kodeu konfirmasi sarta leungit jumlah badag. Sarta sakabeh ieu kusabab bank saukur teu hayang nungkulan palaksanaan tokens cryptographic dina aplikasi na. Barina ogé, upami aya kajadian, para klien "kudu nyalahkeun diri."
Sanaos metode pangiriman OTP alternatif tiasa ngirangan sababaraha kerentanan dina metode auténtikasi ieu, kerentanan sanésna tetep. Aplikasi ngahasilkeun kode mandiri mangrupikeun panyalindungan pangsaéna tina nguping, sabab bahkan malware boro tiasa berinteraksi langsung sareng generator kode (serius? Naha panulis laporan hilap ngeunaan kadali jauh?), tapi OTP masih tiasa dicegat nalika diasupkeun kana browser (contona ngagunakeun keylogger), ngaliwatan hiji aplikasi mobile hacked; sarta ogé bisa diala langsung ti pamaké ngagunakeun rékayasa sosial.
Ngagunakeun sababaraha alat penilaian résiko sapertos pangakuan alat (deteksi usaha pikeun ngalakukeun transaksi ti alat nu teu milik pamaké légal), geolokasi (pamaké nu karék di Moscow nyoba ngalakukeun operasi ti Novosibirsk) sarta analytics behavioral penting pikeun alamat vulnerabilities, tapi teu solusi anu panacea a. Pikeun unggal kaayaan sareng jinis data, anjeun kedah ati-ati meunteun résiko sareng milih téknologi auténtikasi mana anu kedah dianggo.
Henteu aya solusi auténtikasi mangrupikeun panacea
Angka 2. méja pilihan auténtikasi
| Konfirmasi | Faktor | gambaran | Kerentanan konci |
| Sandi atanapi PIN | Pangaweruh | Nilai tetep, anu tiasa kalebet hurup, angka sareng sajumlah karakter anu sanés | Bisa disadap, spied on, dipaling, nyokot atawa hacked |
| auténtikasi dumasar-pangaweruh | Pangaweruh | Patarosan waleran nu ngan bisa nyaho pamaké légal | Bisa dicegat, dipulut, diala ngagunakeun métode rékayasa sosial |
| Hardware OTP () | Ngagaduhan | Alat khusus anu ngahasilkeun kecap akses sakali | Kodeu tiasa dicegat sareng diulang, atanapi alatna tiasa dipaling |
| Software OTPs | Ngagaduhan | Aplikasi (mobile, diaksés ngaliwatan browser, atawa ngirim kode ku e-mail) nu ngahasilkeun kecap akses sakali | Kodeu tiasa dicegat sareng diulang, atanapi alatna tiasa dipaling |
| SMS OTP | Ngagaduhan | Hiji-waktos sandi dikirimkeun via pesen téks SMS | Kodeu tiasa dicegat sareng diulang, atanapi smartphone atanapi kartu SIM tiasa dipaling, atanapi kartu SIM tiasa diduplikasi. |
| Kartu pinter () | Ngagaduhan | Kartu anu ngandung chip cryptographic sarta memori konci aman anu ngagunakeun infrastruktur konci umum pikeun auténtikasi | Bisa dipaling fisik (tapi panyerang moal tiasa nganggo alat tanpa terang kodeu PIN; bisi sababaraha usaha input lepat, alat bakal diblokir) |
| Konci kaamanan - token (, ) | Ngagaduhan | Alat USB anu ngandung chip cryptographic sareng mémori konci anu aman anu ngagunakeun infrastruktur konci umum pikeun auténtikasi | Tiasa dipaling sacara fisik (tapi panyerang moal tiasa nganggo alat tanpa terang kodeu PIN; upami aya sababaraha usaha éntri anu salah, alatna bakal diblokir) |
| Numbu ka alat | Ngagaduhan | Prosés anu nyiptakeun profil, sering nganggo JavaScript, atanapi nganggo spidol sapertos cookies sareng Flash Shared Objects pikeun mastikeun yén alat khusus dianggo. | Token tiasa dipaling (disalin), sareng karakteristik alat anu sah tiasa ditiru ku panyerang dina alatna |
| tingkah laku | Katurunan | Nganalisis kumaha pamaké berinteraksi sareng alat atawa program | Kalakuanana bisa ditiru |
| Sidik ramo | Katurunan | Sidik anu disimpen dibandingkeun sareng anu dicandak sacara optik atanapi éléktronik | Gambarna tiasa dipaling sareng dianggo pikeun auténtikasi |
| Nyeken panon | Katurunan | Ngabandingkeun ciri panon, sapertos pola iris, sareng scan optik anyar | Gambarna tiasa dipaling sareng dianggo pikeun auténtikasi |
| Pangenal raray | Katurunan | Ciri raray dibandingkeun jeung scan optik anyar | Gambarna tiasa dipaling sareng dianggo pikeun auténtikasi |
| Pangenal sora | Katurunan | Karakteristik sampel sora nu dirékam dibandingkeun jeung sampel anyar | Catetan bisa dipaling sarta dipaké pikeun auténtikasi, atawa emulated |
Dina bagian kadua publikasi, hal paling nikmat ngantosan urang - angka jeung fakta, nu dumasar kana conclusions sarta rekomendasi dina bagian kahiji. Auténtikasi dina aplikasi pangguna sareng dina sistem perusahaan bakal dibahas nyalira.
О встречи!
sumber: www.habr.com