Spoiler från rubriken på rapporten: "Användningen av stark autentisering ökar på grund av hot om nya risker och regulatoriska krav."
Forskningsföretaget "Javelin Strategy & Research" publicerade rapporten "The State of Strong Authentication 2019" (). Denna rapport säger: hur stor andel av amerikanska och europeiska företag använder lösenord (och varför få människor använder lösenord nu); varför användningen av tvåfaktorsautentisering baserad på kryptografiska tokens växer så snabbt; Varför engångskoder som skickas via SMS inte är säkra.
Alla som är intresserade av nutid, förflutna och framtid för autentisering i företag och konsumentapplikationer är välkomna.
Från översättaren
Tyvärr, språket som denna rapport är skriven på är ganska "torrt" och formellt. Och fem gångers användning av ordet "autentisering" i en kort mening är inte översättarens krokiga händer (eller hjärnor), utan författarnas infall. När jag översatte från två alternativ - för att ge läsarna en text närmare originalet, eller en mer intressant, valde jag ibland det första och ibland det andra. Men ha tålamod, kära läsare, innehållet i rapporten är värt det.
En del oviktiga och onödiga bitar för berättelsen togs bort, annars hade majoriteten inte kunnat ta sig igenom hela texten. De som vill läsa rapporten "oklippt" kan göra det på originalspråket genom att följa länken.
Tyvärr är författare inte alltid noggranna med terminologi. Således kallas engångslösenord (One Time Password - OTP) ibland "lösenord" och ibland "koder". Det är ännu värre med autentiseringsmetoder. Det är inte alltid lätt för den otränade läsaren att gissa att "autentisering med kryptografiska nycklar" och "stark autentisering" är samma sak. Jag försökte förena termerna så mycket som möjligt, och i själva rapporten finns ett fragment med deras beskrivning.
Ändå rekommenderas rapporten starkt att läsa eftersom den innehåller unika forskningsresultat och korrekta slutsatser.
Alla siffror och fakta presenteras utan de minsta förändringar, och om du inte håller med dem, är det bättre att inte argumentera med översättaren, utan med rapportens författare. Och här är mina kommentarer (utlagda som citat och markerade i texten italienska) är min värdebedömning och jag kommer gärna att argumentera om var och en av dem (liksom om kvaliteten på översättningen).
Обзор
Nuförtiden är digitala kommunikationskanaler med kunder viktigare än någonsin för företag. Och inom företaget är kommunikationen mellan anställda mer digitalt orienterad än någonsin tidigare. Och hur säkra dessa interaktioner kommer att vara beror på den valda metoden för användarautentisering. Angripare använder svag autentisering för att massivt hacka användarkonton. Som svar skärper tillsynsmyndigheter standarderna för att tvinga företag att bättre skydda användarkonton och data.
Autentiseringsrelaterade hot sträcker sig bortom konsumentapplikationer; angripare kan också få tillgång till applikationer som körs inom företaget. Denna operation tillåter dem att utge sig för företagsanvändare. Angripare som använder åtkomstpunkter med svag autentisering kan stjäla data och utföra andra bedrägliga aktiviteter. Lyckligtvis finns det åtgärder för att bekämpa detta. Stark autentisering kommer att avsevärt minska risken för attacker från en angripare, både på konsumentapplikationer och på företagssystem.
Denna studie undersöker: hur företag implementerar autentisering för att skydda slutanvändarapplikationer och företags affärssystem; faktorer som de beaktar när de väljer en autentiseringslösning; den roll som stark autentisering spelar i deras organisationer; fördelarna dessa organisationer får.
Sammanfattning
Huvudresultat
Sedan 2017 har användningen av stark autentisering ökat kraftigt. Med det ökande antalet sårbarheter som påverkar traditionella autentiseringslösningar, stärker organisationer sina autentiseringsmöjligheter med stark autentisering. Antalet organisationer som använder kryptografisk multifaktorautentisering (MFA) har tredubblats sedan 2017 för konsumentapplikationer och ökat med nästan 50 % för företagsapplikationer. Den snabbaste tillväxten ses inom mobil autentisering på grund av den ökande tillgängligheten av biometrisk autentisering.
Här ser vi en illustration av talesättet "förrän åskan slår till kommer en man inte korsa sig." När experter varnade för osäkerheten hos lösenord hade ingen bråttom att implementera tvåfaktorsautentisering. Så fort hackare började stjäla lösenord började folk implementera tvåfaktorsautentisering.
Det är sant att individer implementerar 2FA mycket mer aktivt. För det första är det lättare för dem att lugna sina rädslor genom att förlita sig på den biometriska autentiseringen inbyggd i smartphones, vilket faktiskt är väldigt opålitligt. Organisationer måste spendera pengar på att köpa tokens och utföra arbete (i själva verket mycket enkelt) för att implementera dem. Och för det andra, bara lata människor har inte skrivit om lösenordsläckor från tjänster som Facebook och Dropbox, men under inga omständigheter kommer dessa organisationers CIO:er att dela historier om hur lösenord stals (och vad som hände sedan) i organisationer.
De som inte använder stark autentisering underskattar sin risk för sin verksamhet och sina kunder. Vissa organisationer som för närvarande inte använder stark autentisering tenderar att se inloggningar och lösenord som en av de mest effektiva och lättanvända metoderna för användarautentisering. Andra ser inte värdet av de digitala tillgångar de äger. När allt kommer omkring är det värt att tänka på att cyberbrottslingar är intresserade av all konsument- och affärsinformation. Två tredjedelar av företag som enbart använder lösenord för att autentisera sina anställda gör det för att de anser att lösenorden är tillräckligt bra för den typ av information de skyddar.
Lösenord är dock på väg till graven. Lösenordsberoendet har minskat avsevärt under det senaste året för både konsument- och företagsapplikationer (från 44 % till 31 % respektive från 56 % till 47 %) i takt med att organisationer ökar sin användning av traditionell MFA och stark autentisering.
Men om vi ser på situationen som helhet råder fortfarande sårbara autentiseringsmetoder. För användarautentisering använder ungefär en fjärdedel av organisationerna SMS OTP (engångslösenord) tillsammans med säkerhetsfrågor. Som ett resultat måste ytterligare säkerhetsåtgärder implementeras för att skydda mot sårbarheten, vilket ökar kostnaderna. Användningen av mycket säkrare autentiseringsmetoder, som krypteringsnycklar för hårdvara, används mycket mindre frekvent, i cirka 5 % av organisationerna.
Den föränderliga regulatoriska miljön lovar att påskynda antagandet av stark autentisering för konsumentapplikationer. Med införandet av PSD2, samt nya dataskyddsregler i EU och flera amerikanska delstater som Kalifornien, känner företag av värmen. Nästan 70 % av företagen håller med om att de står inför ett starkt regulatoriskt tryck att tillhandahålla stark autentisering till sina kunder. Mer än hälften av företagen tror att deras autentiseringsmetoder inom några år inte kommer att vara tillräckliga för att uppfylla regulatoriska standarder.
Skillnaden mellan ryska och amerikansk-europeiska lagstiftares tillvägagångssätt för skydd av personuppgifter för användare av program och tjänster är tydligt synlig. Ryssarna säger: kära tjänsteägare, gör vad du vill och hur du vill, men om din administratör slår samman databasen kommer vi att straffa dig. De säger utomlands: du måste genomföra en rad åtgärder som kommer inte att tillåta dränera basen. Det är därför krav på strikt tvåfaktorsautentisering implementeras där.
Det är sant att det är långt ifrån ett faktum att vår lagstiftningsmaskin en dag inte kommer till besinning och tar hänsyn till västerländsk erfarenhet. Sedan visar det sig att alla måste implementera 2FA, som uppfyller ryska kryptografiska standarder, och det snarast.
Genom att etablera ett starkt autentiseringsramverk kan företag flytta fokus från att uppfylla regulatoriska krav till att möta kundernas behov. För de organisationer som fortfarande använder enkla lösenord eller tar emot koder via SMS, kommer den viktigaste faktorn vid val av autentiseringsmetod att vara efterlevnad av myndighetskrav. Men de företag som redan använder stark autentisering kan fokusera på att välja de autentiseringsmetoder som ökar kundlojaliteten.
När man väljer en företagsautentiseringsmetod inom ett företag är regulatoriska krav inte längre en viktig faktor. I det här fallet är enkel integration (32%) och kostnad (26%) mycket viktigare.
I nätfiskets tidevarv kan angripare använda företagets e-post för att bedrägera att bedrägligt få tillgång till data, konton (med lämpliga åtkomsträttigheter), och till och med för att övertyga anställda att göra en överföring av pengar till hans konto. Därför måste företags e-post- och portalkonton vara särskilt väl skyddade.
Google har stärkt sin säkerhet genom att implementera stark autentisering. För mer än två år sedan publicerade Google en rapport om implementeringen av tvåfaktorsautentisering baserad på kryptografiska säkerhetsnycklar med hjälp av FIDO U2F-standarden, vilket rapporterade imponerande resultat. Enligt företaget genomfördes inte en enda nätfiskeattack mot mer än 85 000 anställda.
Rekommendationer
Implementera stark autentisering för mobila och onlineapplikationer. Multifaktorautentisering baserad på kryptografiska nycklar ger mycket bättre skydd mot hackning än traditionella MFA-metoder. Dessutom är användningen av kryptografiska nycklar mycket bekvämare eftersom det inte finns något behov av att använda och överföra ytterligare information - lösenord, engångslösenord eller biometriska data från användarens enhet till autentiseringsservern. Dessutom gör standardisering av autentiseringsprotokoll det mycket lättare att implementera nya autentiseringsmetoder när de blir tillgängliga, vilket minskar implementeringskostnaderna och skyddar mot mer sofistikerade bedrägerisystem.
Förbered dig på att engångslösenord (OTP) försvinner. Sårbarheterna som är inneboende i OTP:er blir alltmer uppenbara när cyberkriminella använder social ingenjörskonst, kloning av smarttelefoner och skadlig programvara för att äventyra dessa metoder för autentisering. Och om OTP:er i vissa fall har vissa fördelar, då bara ur synvinkeln av universell tillgänglighet för alla användare, men inte ur säkerhetssynpunkt.
Det är omöjligt att inte märka att att ta emot koder via SMS eller push-aviseringar, såväl som att generera koder med hjälp av program för smartphones, är användningen av samma engångslösenord (OTP) som vi ombeds förbereda oss för nedgången. Ur teknisk synvinkel är lösningen mycket korrekt, eftersom det är en sällsynt bedragare som inte försöker ta reda på engångslösenordet från en godtrogen användare. Men jag tror att tillverkare av sådana system kommer att hålla fast vid utdöende teknologi till det sista.
Använd stark autentisering som ett marknadsföringsverktyg för att öka kundernas förtroende. Stark autentisering kan göra mer än att bara förbättra den faktiska säkerheten för ditt företag. Att informera kunder om att ditt företag använder stark autentisering kan stärka allmänhetens uppfattning om säkerheten för den verksamheten – en viktig faktor när det finns en betydande kundefterfrågan på starka autentiseringsmetoder.
Genomför en grundlig inventering och kriticitetsbedömning av företagsdata och skydda den efter vikt. Även lågriskdata som kundkontaktinformation (nej, verkligen, rapporten säger "låg risk", det är väldigt konstigt att de underskattar vikten av denna information), kan tillföra bedragare ett betydande värde och orsaka problem för företaget.
Använd stark företagsautentisering. Ett antal system är de mest attraktiva målen för kriminella. Dessa inkluderar interna och internetanslutna system som ett bokföringsprogram eller ett företagsdatalager. Stark autentisering förhindrar angripare från att få obehörig åtkomst, och gör det också möjligt att exakt bestämma vilken anställd som begick den skadliga aktiviteten.
Vad är stark autentisering?
När du använder stark autentisering används flera metoder eller faktorer för att verifiera användarens äkthet:
- Kunskapsfaktor: delad hemlighet mellan användaren och användarens autentiserade ämne (som lösenord, svar på säkerhetsfrågor etc.)
- Ägarfaktor: en enhet som bara användaren har (till exempel en mobil enhet, en kryptografisk nyckel, etc.)
- Integritetsfaktor: fysiska (ofta biometriska) egenskaper hos användaren (till exempel fingeravtryck, irismönster, röst, beteende, etc.)
Behovet av att hacka flera faktorer ökar avsevärt sannolikheten för misslyckande för angripare, eftersom att kringgå eller lura olika faktorer kräver användning av flera typer av hackingtaktik, för varje faktor separat.
Till exempel, med 2FA "lösenord + smartphone" kan en angripare utföra autentisering genom att titta på användarens lösenord och göra en exakt mjukvarukopia av sin smartphone. Och det här är mycket svårare än att bara stjäla ett lösenord.
Men om ett lösenord och en kryptografisk token används för 2FA, fungerar inte kopieringsalternativet här - det är omöjligt att duplicera token. Bedragaren måste i smyg stjäla token från användaren. Om användaren märker förlusten i tid och meddelar administratören, kommer token att blockeras och bedragarens ansträngningar kommer att vara förgäves. Det är därför som ägandefaktorn kräver användning av specialiserade säkra enheter (tokens) snarare än enheter för allmänna ändamål (smartphones).
Att använda alla tre faktorerna kommer att göra denna autentiseringsmetod ganska dyr att implementera och ganska obekväm att använda. Därför brukar två av tre faktorer användas.
Principerna för tvåfaktorsautentisering beskrivs mer i detalj , i blocket "Hur tvåfaktorsautentisering fungerar".
Det är viktigt att notera att minst en av autentiseringsfaktorerna som används vid stark autentisering måste använda kryptering med publik nyckel.
Stark autentisering ger mycket starkare skydd än enfaktorautentisering baserad på klassiska lösenord och traditionell MFA. Lösenord kan spioneras på eller fångas upp med hjälp av keyloggers, nätfiskewebbplatser eller sociala ingenjörsattacker (där offret luras att avslöja sitt lösenord). Dessutom kommer ägaren av lösenordet inte att veta något om stölden. Traditionell MFA (inklusive OTP-koder, bindning till en smartphone eller SIM-kort) kan också hackas ganska enkelt, eftersom den inte är baserad på publik nyckelkryptering (Förresten, det finns många exempel när bedragare, med samma sociala ingenjörstekniker, övertalade användare att ge dem ett engångslösenord).
Lyckligtvis har användningen av stark autentisering och traditionellt MFA tagit fart i både konsument- och företagsapplikationer sedan förra året. Användningen av stark autentisering i konsumentapplikationer har vuxit särskilt snabbt. Om 2017 bara 5% av företagen använde det, så var det redan 2018 tre gånger fler - 16%. Detta kan förklaras av den ökade tillgängligheten av tokens som stöder PKC-algoritmer (Public Key Cryptography). Dessutom har ökat tryck från europeiska tillsynsmyndigheter efter antagandet av nya dataskyddsregler som PSD2 och GDPR haft en stark effekt även utanför Europa (inklusive i Ryssland).
Låt oss ta en närmare titt på dessa siffror. Som vi kan se har andelen privatpersoner som använder multifaktorautentisering ökat med imponerande 11 % under året. Och detta hände helt klart på bekostnad av lösenordsälskare, eftersom antalet personer som tror på säkerheten för push-meddelanden, SMS och biometri inte har förändrats.
Men med tvåfaktorsautentisering för företagsbruk är det inte så bra. För det första, enligt rapporten, överfördes endast 5 % av de anställda från lösenordsautentisering till tokens. Och för det andra har antalet personer som använder alternativa MFA-alternativ i en företagsmiljö ökat med 4 %.
Jag ska försöka spela analytiker och ge min tolkning. I centrum för enskilda användares digitala värld är smarttelefonen. Därför är det inte konstigt att majoriteten använder de funktioner som enheten förser dem med - biometrisk autentisering, SMS och Push-meddelanden, samt engångslösenord som genereras av applikationer på själva smartphonen. Människor tänker vanligtvis inte på säkerhet och tillförlitlighet när de använder de verktyg de är vana vid.
Det är därför andelen användare av primitiva "traditionella" autentiseringsfaktorer förblir oförändrad. Men de som tidigare har använt lösenord förstår hur mycket de riskerar, och när de väljer en ny autentiseringsfaktor väljer de det nyaste och säkraste alternativet - en kryptografisk token.
När det gäller företagsmarknaden är det viktigt att förstå i vilket system autentisering utförs. Om inloggning till en Windows-domän implementeras, används kryptografiska tokens. Möjligheterna att använda dem för 2FA är redan inbyggda i både Windows och Linux, men alternativa alternativ är långa och svåra att implementera. Så mycket för migreringen av 5 % från lösenord till tokens.
Och implementeringen av 2FA i ett företagsinformationssystem beror mycket på utvecklarnas kvalifikationer. Och det är mycket lättare för utvecklare att ta färdiga moduler för att generera engångslösenord än att förstå hur kryptografiska algoritmer fungerar. Och som ett resultat använder även otroligt säkerhetskritiska applikationer som enkel inloggning eller privilegierad åtkomsthantering OTP som en andra faktor.
Många sårbarheter i traditionella autentiseringsmetoder
Medan många organisationer fortfarande är beroende av äldre enfaktorsystem, blir sårbarheter i traditionell multifaktorautentisering alltmer uppenbara. Engångslösenord, vanligtvis sex till åtta tecken långa, levererade via SMS, förblir den vanligaste formen av autentisering (förutom lösenordsfaktorn förstås). Och när orden "tvåfaktorsautentisering" eller "tvåstegsverifiering" nämns i populärpressen hänvisar de nästan alltid till engångslösenordsautentisering via SMS.
Här har författaren lite fel. Att leverera engångslösenord via SMS har aldrig varit tvåfaktorsautentisering. Detta är i sin renaste form det andra steget av tvåstegsautentisering, där det första steget är att ange ditt användarnamn och lösenord.
Under 2016 uppdaterade National Institute of Standards and Technology (NIST) sina autentiseringsregler för att eliminera användningen av engångslösenord som skickas via SMS. Dessa regler mildrades dock avsevärt efter protester från industrin.
Så låt oss följa handlingen. Den amerikanska tillsynsmyndigheten inser med rätta att föråldrad teknik inte kan garantera användarsäkerhet och introducerar nya standarder. Standarder utformade för att skydda användare av online- och mobilapplikationer (inklusive banktjänster). Branschen beräknar hur mycket pengar den kommer att behöva spendera på att köpa verkligt pålitliga kryptografiska tokens, designa om applikationer, distribuera en infrastruktur för offentlig nyckel och "reser sig på bakbenen." Å ena sidan var användarna övertygade om tillförlitligheten hos engångslösenord, och å andra sidan var det attacker mot NIST. Som ett resultat mjukades standarden upp och antalet hackningar och stöld av lösenord (och pengar från bankapplikationer) ökade kraftigt. Men branschen behövde inte punga ut med pengar.
Sedan dess har de inneboende svagheterna med SMS OTP blivit mer uppenbara. Bedragare använder olika metoder för att äventyra SMS:
- Duplicering av SIM-kort. Angripare skapar en kopia av SIM-kortet (med hjälp av mobiloperatörsanställda, eller självständigt, med hjälp av speciell mjukvara och hårdvara). Som ett resultat får angriparen ett SMS med ett engångslösenord. I ett särskilt känt fall kunde hackare till och med äventyra AT&T-kontot för kryptovalutainvesteraren Michael Turpin och stjäla nästan 24 miljoner dollar i kryptovalutor. Som ett resultat uppgav Turpin att AT&T var fel på grund av svaga verifieringsåtgärder som ledde till duplicering av SIM-kort.
Underbar logik. Så det är egentligen bara AT&T:s fel? Nej, det är utan tvekan mobiloperatörens fel att säljarna i kommunikationsbutiken utfärdat ett dubblett av SIM-kort. Hur är det med autentiseringssystemet för kryptovalutautbyte? Varför använde de inte starka kryptografiska tokens? Var det synd att lägga pengar på implementering? Är inte Michael själv skyldig? Varför insisterade han inte på att ändra autentiseringsmekanismen eller bara använda de börser som implementerar tvåfaktorsautentisering baserad på kryptografiska tokens?
Införandet av verkligt tillförlitliga autentiseringsmetoder försenas just för att användare visar fantastisk slarv innan de hackar, och efteråt skyller de sina problem på någon och allt annat än uråldriga och "läckande" autentiseringstekniker
- Skadlig programvara. En av de tidigaste funktionerna hos mobil skadlig kod var att fånga upp och vidarebefordra textmeddelanden till angripare. Man-i-webbläsaren och man-in-the-middle-attacker kan också fånga upp engångslösenord när de skrivs in på infekterade bärbara datorer eller stationära enheter.
När Sberbank-appen på din smartphone blinkar med en grön ikon i statusfältet, letar den också efter "skadlig programvara" på din telefon. Målet med detta evenemang är att förvandla den opålitliga exekveringsmiljön hos en typisk smartphone till, åtminstone på något sätt, en pålitlig miljö.
Förresten, en smartphone, som en helt opålitlig enhet på vilken allt kan göras, är en annan anledning att använda den för autentisering endast maskinvarutokens, som är skyddade och fria från virus och trojaner. - Social ingenjörskonst. När bedragare vet att ett offer har OTP:er aktiverade via SMS, kan de kontakta offret direkt, utger sig för att vara en pålitlig organisation som deras bank eller kreditförening, för att lura offret att tillhandahålla koden de just fick.
Jag har personligen stött på den här typen av bedrägerier många gånger, till exempel när jag försöker sälja något på en populär loppmarknad online. Själv gjorde jag narr av bedragaren som försökte lura mig till mitt hjärta. Men tyvärr, jag läser regelbundet i nyheterna hur ytterligare ett offer för bedragare "inte tänkte", gav bekräftelsekoden och förlorade en stor summa. Och allt detta beror på att banken helt enkelt inte vill ta itu med implementeringen av kryptografiska tokens i sina applikationer. När allt kommer omkring, om något händer, "har klienterna sig själva att skylla."
Även om alternativa OTP-leveransmetoder kan mildra några av sårbarheterna i den här autentiseringsmetoden, finns andra sårbarheter kvar. Fristående kodgenereringsapplikationer är det bästa skyddet mot avlyssning, eftersom till och med skadlig kod knappast kan interagera direkt med kodgeneratorn (allvarligt? Glömde rapportens författare bort fjärrkontrollen?), men OTP:er kan fortfarande fångas upp när de skrivs in i webbläsaren (till exempel genom att använda en keylogger), genom en hackad mobilapplikation; och kan även erhållas direkt från användaren med hjälp av social ingenjörskonst.
Använda flera riskbedömningsverktyg som enhetsigenkänning (upptäckt av försök att utföra transaktioner från enheter som inte tillhör en laglig användare), geolokalisering (en användare som precis har varit i Moskva försöker utföra en operation från Novosibirsk) och beteendeanalys är viktiga för att åtgärda sårbarheter, men ingen av lösningarna är ett universalmedel. För varje situation och typ av data är det nödvändigt att noggrant bedöma riskerna och välja vilken autentiseringsteknik som ska användas.
Ingen autentiseringslösning är ett universalmedel
Figur 2. Tabell för autentiseringsalternativ
| autentisering | Faktor | beskrivning | Viktiga sårbarheter |
| Lösenord eller PIN-kod | Kunskapen | Fast värde, som kan innehålla bokstäver, siffror och ett antal andra tecken | Kan avlyssnas, spioneras på, stjälas, plockas upp eller hackas |
| Kunskapsbaserad autentisering | Kunskapen | Ifrågasätter svaren som bara en laglig användare kan veta | Kan avlyssnas, plockas upp, erhållas med hjälp av social ingenjörskonst |
| Maskinvara OTP () | Besittning | En speciell enhet som genererar engångslösenord | Koden kan fångas upp och upprepas, eller så kan enheten bli stulen |
| OTP för programvara | Besittning | En applikation (mobil, tillgänglig via en webbläsare eller skickar koder via e-post) som genererar engångslösenord | Koden kan fångas upp och upprepas, eller så kan enheten bli stulen |
| SMS OTP | Besittning | Engångslösenord levereras via SMS | Koden kan fångas upp och upprepas, eller så kan smarttelefonen eller SIM-kortet bli stulet, eller SIM-kortet kan dupliceras |
| Smartkort () | Besittning | Ett kort som innehåller ett kryptografiskt chip och ett säkert nyckelminne som använder en offentlig nyckelinfrastruktur för autentisering | Kan vara fysiskt stulen (men en angripare kommer inte att kunna använda enheten utan att känna till PIN-koden; vid flera felaktiga inmatningsförsök kommer enheten att blockeras) |
| Säkerhetsnycklar - tokens (, ) | Besittning | En USB-enhet som innehåller ett kryptografiskt chip och ett säkert nyckelminne som använder en offentlig nyckelinfrastruktur för autentisering | Kan bli fysiskt stulen (men en angripare kommer inte att kunna använda enheten utan att känna till PIN-koden; vid flera felaktiga inträdesförsök kommer enheten att blockeras) |
| Länka till en enhet | Besittning | Processen som skapar en profil, ofta med hjälp av JavaScript, eller använder markörer som cookies och delade Flash-objekt för att säkerställa att en specifik enhet används | Tokens kan stjälas (kopieras) och egenskaperna hos en laglig enhet kan imiteras av en angripare på sin enhet |
| beteende | Inherens | Analyserar hur användaren interagerar med en enhet eller ett program | Beteende kan imiteras |
| Fingeravtryck | Inherens | Lagrade fingeravtryck jämförs med de som fångas optiskt eller elektroniskt | Bilden kan stjälas och användas för autentisering |
| Ögonskanning | Inherens | Jämför ögonegenskaper, såsom irismönster, med nya optiska skanningar | Bilden kan stjälas och användas för autentisering |
| Ansiktsigenkänning | Inherens | Ansiktsegenskaper jämförs med nya optiska skanningar | Bilden kan stjälas och användas för autentisering |
| Röstigenkänning | Inherens | Det inspelade röstsamplets egenskaper jämförs med nya samplingar | Posten kan stjälas och användas för autentisering, eller emuleras |
I den andra delen av publikationen väntar de mest utsökta sakerna på oss - siffror och fakta, på vilka slutsatserna och rekommendationerna i den första delen är baserade. Autentisering i användarapplikationer och i företagssystem kommer att diskuteras separat.
Vi ses!
Källa: will.com