Spoiler kutoka kwa kichwa cha ripoti: "Matumizi ya uthibitishaji thabiti huongezeka kwa sababu ya tishio la hatari mpya na mahitaji ya udhibiti."
Kampuni ya utafiti ya "Javelin Strategy & Research" ilichapisha ripoti "Hali ya Uthibitishaji Nguvu 2019" () Ripoti hii inasema: ni asilimia ngapi ya makampuni ya Marekani na Ulaya yanatumia nywila (na kwa nini watu wachache wanatumia nywila sasa); kwa nini matumizi ya uthibitishaji wa sababu mbili kulingana na ishara za cryptographic inakua haraka sana; Kwa nini misimbo ya mara moja inayotumwa kupitia SMS si salama.
Yeyote anayevutiwa na wakati uliopo, uliopita na ujao wa uthibitishaji katika biashara na maombi ya watumiaji anakaribishwa.
Kutoka kwa mfasiri
Ole, lugha ambayo ripoti hii imeandikwa ni "kavu" kabisa na rasmi. Na matumizi ya mara tano ya neno "uthibitishaji" katika sentensi moja fupi sio mikono iliyopotoka (au akili) ya mfasiri, lakini hamu ya waandishi. Wakati wa kutafsiri kutoka kwa chaguo mbili - kuwapa wasomaji maandishi karibu na ya awali, au ya kuvutia zaidi, wakati mwingine nilichagua ya kwanza, na wakati mwingine ya pili. Lakini kuwa na subira, wasomaji wapenzi, yaliyomo katika ripoti ni ya thamani yake.
Baadhi ya vipande visivyo muhimu na visivyo vya lazima vya hadithi viliondolewa, vinginevyo wengi hawangeweza kupitia maandishi yote. Wale wanaotaka kusoma ripoti "isiyokatwa" wanaweza kufanya hivyo katika lugha asili kwa kufuata kiungo.
Kwa bahati mbaya, waandishi sio waangalifu kila wakati na istilahi. Kwa hivyo, nywila za wakati mmoja (Nenosiri la Wakati Mmoja - OTP) wakati mwingine huitwa "nenosiri", na wakati mwingine "misimbo". Ni mbaya zaidi na njia za uthibitishaji. Si rahisi kila wakati kwa msomaji ambaye hajafunzwa kukisia kuwa "uthibitishaji kwa kutumia vitufe vya kriptografia" na "uthibitishaji thabiti" ni kitu kimoja. Nilijaribu kuunganisha masharti iwezekanavyo, na katika ripoti yenyewe kuna kipande na maelezo yao.
Hata hivyo, ripoti inapendekezwa sana kusoma kwa sababu ina matokeo ya kipekee ya utafiti na hitimisho sahihi.
Takwimu zote na ukweli zinawasilishwa bila mabadiliko kidogo, na ikiwa haukubaliani nao, basi ni bora kubishana sio na mtafsiri, bali na waandishi wa ripoti hiyo. Na hapa kuna maoni yangu (yamewekwa kama nukuu, na alama katika maandishi Kiitaliano) ni hukumu yangu ya thamani na nitafurahi kubishana juu ya kila moja yao (na vile vile juu ya ubora wa tafsiri).
Pitia
Siku hizi, njia za kidijitali za mawasiliano na wateja ni muhimu zaidi kuliko hapo awali kwa biashara. Na ndani ya kampuni, mawasiliano kati ya wafanyikazi yana mwelekeo wa kidijitali zaidi kuliko hapo awali. Na jinsi mwingiliano huu utakuwa salama inategemea njia iliyochaguliwa ya uthibitishaji wa mtumiaji. Wavamizi hutumia uthibitishaji hafifu ili kudukua kwa kiasi kikubwa akaunti za watumiaji. Kwa kujibu, wadhibiti wanaimarisha viwango ili kulazimisha biashara kulinda vyema akaunti na data ya watumiaji.
Vitisho vinavyohusiana na uthibitishaji vinaenea zaidi ya programu za watumiaji; wavamizi wanaweza pia kufikia programu zinazoendeshwa ndani ya biashara. Operesheni hii inawaruhusu kuiga watumiaji wa shirika. Wavamizi wanaotumia sehemu za ufikiaji zilizo na uthibitishaji dhaifu wanaweza kuiba data na kutekeleza shughuli zingine za ulaghai. Kwa bahati nzuri, kuna hatua za kupambana na hili. Uthibitishaji thabiti utasaidia kupunguza kwa kiasi kikubwa hatari ya kushambuliwa na mshambuliaji, kwenye maombi ya watumiaji na kwenye mifumo ya biashara ya biashara.
Utafiti huu unachunguza: jinsi makampuni ya biashara yanavyotekeleza uthibitishaji ili kulinda maombi ya watumiaji wa mwisho na mifumo ya biashara ya biashara; mambo wanayozingatia wakati wa kuchagua suluhisho la uthibitishaji; jukumu ambalo uthibitishaji mkubwa unacheza katika mashirika yao; faida ambazo mashirika haya yanapata.
Muhtasari
Matokeo Muhimu
Tangu 2017, matumizi ya uthibitishaji wa nguvu yameongezeka kwa kasi. Kwa kuongezeka kwa idadi ya udhaifu unaoathiri suluhu za kitamaduni za uthibitishaji, mashirika yanaimarisha uwezo wao wa uthibitishaji kwa uthibitishaji thabiti. Idadi ya mashirika yanayotumia uthibitishaji wa vipengele vingi vya kriptografia (MFA) imeongezeka mara tatu tangu 2017 kwa maombi ya watumiaji na imeongezeka kwa karibu 50% kwa maombi ya biashara. Ukuaji wa haraka zaidi unaonekana katika uthibitishaji wa simu kutokana na kuongezeka kwa upatikanaji wa uthibitishaji wa kibayometriki.
Hapa tunaona kielelezo cha msemo βmpaka ngurumo itakapopiga, mtu hatajivuka mwenyewe.β Wakati wataalam walionya juu ya ukosefu wa usalama wa nywila, hakuna mtu aliyekuwa na haraka ya kutekeleza uthibitishaji wa mambo mawili. Mara tu wadukuzi walipoanza kuiba nywila, watu walianza kutekeleza uthibitishaji wa mambo mawili.
Kweli, watu binafsi wanatekeleza kikamilifu 2FA. Kwanza, ni rahisi kwao kutuliza hofu zao kwa kutegemea uthibitishaji wa kibayometriki uliojengwa ndani ya simu mahiri, ambayo kwa kweli haiwezi kutegemewa sana. Mashirika yanahitaji kutumia pesa kwa ununuzi wa ishara na kufanya kazi (kwa kweli, rahisi sana) kutekeleza. Na pili, ni watu wavivu tu ambao hawajaandika kuhusu uvujaji wa nenosiri kutoka kwa huduma kama vile Facebook na Dropbox, lakini chini ya hali yoyote CIOs za mashirika haya zitashiriki hadithi kuhusu jinsi nywila ziliibiwa (na nini kilifanyika baadaye) katika mashirika.
Wale ambao hawatumii uthibitishaji thabiti wanadharau hatari yao kwa biashara na wateja wao. Baadhi ya mashirika ambayo kwa sasa hayatumii uthibitishaji thabiti huwa na mtazamo wa kuingia na nenosiri kama mojawapo ya mbinu bora zaidi na rahisi kutumia za uthibitishaji wa mtumiaji. Wengine hawaoni thamani ya mali za kidijitali wanazomiliki. Baada ya yote, inafaa kuzingatia kwamba wahalifu wa mtandao wanavutiwa na habari yoyote ya watumiaji na biashara. Theluthi mbili ya makampuni yanayotumia nenosiri pekee ili kuthibitisha wafanyakazi wao hufanya hivyo kwa sababu wanaamini kuwa manenosiri yanatosha kwa aina ya maelezo wanayolinda.
Hata hivyo, nywila ziko njiani kuelekea kaburini. Utegemezi wa nenosiri umepungua kwa kiasi kikubwa katika mwaka uliopita kwa matumizi ya watumiaji na biashara (kutoka 44% hadi 31%, na kutoka 56% hadi 47% mtawalia) kwani mashirika yanaongeza matumizi yao ya MFA ya jadi na uthibitishaji thabiti.
Lakini ikiwa tunaangalia hali hiyo kwa ujumla, mbinu za uthibitishaji hatari bado zinashinda. Kwa uthibitishaji wa mtumiaji, takriban robo ya mashirika hutumia SMS OTP (nenosiri la mara moja) pamoja na maswali ya usalama. Kwa hiyo, hatua za ziada za usalama lazima zitekelezwe ili kulinda dhidi ya mazingira magumu, ambayo huongeza gharama. Matumizi ya mbinu salama zaidi za uthibitishaji, kama vile funguo za maunzi za maandishi, hutumiwa mara chache sana, katika takriban 5% ya mashirika.
Mazingira ya udhibiti yanayoendelea yanaahidi kuharakisha upitishaji wa uthibitishaji thabiti kwa maombi ya watumiaji. Kwa kuanzishwa kwa PSD2, pamoja na sheria mpya za ulinzi wa data katika Umoja wa Ulaya na majimbo kadhaa ya Marekani kama vile California, makampuni yanahisi joto. Takriban 70% ya makampuni yanakubali kwamba yanakabiliwa na shinikizo kali la udhibiti ili kutoa uthibitishaji wa nguvu kwa wateja wao. Zaidi ya nusu ya makampuni ya biashara yanaamini kuwa ndani ya miaka michache mbinu zao za uthibitishaji hazitatosha kufikia viwango vya udhibiti.
Tofauti katika mbinu za wabunge wa Kirusi na Amerika-Ulaya kwa ulinzi wa data ya kibinafsi ya watumiaji wa programu na huduma inaonekana wazi. Warusi wanasema: wamiliki wa huduma wapendwa, fanya unachotaka na jinsi unavyotaka, lakini ikiwa msimamizi wako ataunganisha hifadhidata, tutakuadhibu. Wanasema nje ya nchi: lazima utekeleze seti ya hatua ambazo haitaruhusu kukimbia msingi. Ndio maana mahitaji ya uthibitishaji mkali wa sababu mbili yanatekelezwa huko.
Kweli, ni mbali na ukweli kwamba mashine yetu ya kutunga sheria siku moja haitapata fahamu zake na kuzingatia uzoefu wa Magharibi. Kisha inageuka kuwa kila mtu anahitaji kutekeleza 2FA, ambayo inaambatana na viwango vya Kirusi vya cryptographic, na kwa haraka.
Kuanzisha mfumo dhabiti wa uthibitishaji huruhusu kampuni kubadilisha mwelekeo wao kutoka kwa kukidhi mahitaji ya udhibiti hadi kukidhi mahitaji ya wateja. Kwa mashirika hayo ambayo bado yanatumia nenosiri rahisi au kupokea misimbo kupitia SMS, jambo muhimu zaidi wakati wa kuchagua njia ya uthibitishaji itakuwa kufuata mahitaji ya udhibiti. Lakini makampuni hayo ambayo tayari yanatumia uthibitishaji thabiti yanaweza kuzingatia kuchagua njia hizo za uthibitishaji ambazo huongeza uaminifu wa wateja.
Wakati wa kuchagua njia ya uthibitishaji wa shirika ndani ya biashara, mahitaji ya udhibiti sio jambo muhimu tena. Katika kesi hiyo, urahisi wa ushirikiano (32%) na gharama (26%) ni muhimu zaidi.
Katika enzi ya kuhadaa ili kupata maelezo ya kibinafsi, wavamizi wanaweza kutumia barua pepe za shirika ili kulaghai kupata ufikiaji wa data kwa ulaghai, akaunti (zilizo na haki zinazofaa za ufikiaji), na hata kuwashawishi wafanyikazi kufanya uhamishaji wa pesa kwa akaunti yake. Kwa hivyo, barua pepe za kampuni na akaunti za tovuti lazima zilindwe vyema.
Google imeimarisha usalama wake kwa kutekeleza uthibitishaji thabiti. Zaidi ya miaka miwili iliyopita, Google ilichapisha ripoti kuhusu utekelezaji wa uthibitishaji wa vipengele viwili kulingana na funguo za usalama za kriptografia kwa kutumia kiwango cha FIDO U2F, kuripoti matokeo ya kuvutia. Kulingana na kampuni hiyo, hakuna shambulio hata moja la hadaa lililotekelezwa dhidi ya wafanyikazi zaidi ya 85.
Mapendekezo
Tekeleza uthibitishaji dhabiti kwa programu za rununu na mkondoni. Uthibitishaji wa vipengele vingi kulingana na funguo za siri hutoa ulinzi bora zaidi dhidi ya udukuzi kuliko mbinu za jadi za MFA. Kwa kuongezea, utumiaji wa funguo za kriptografia ni rahisi zaidi kwa sababu hakuna haja ya kutumia na kuhamisha maelezo ya ziada - nywila, nywila za wakati mmoja au data ya kibayometriki kutoka kwa kifaa cha mtumiaji hadi seva ya uthibitishaji. Zaidi ya hayo, kusanifisha itifaki za uthibitishaji hurahisisha zaidi kutekeleza mbinu mpya za uthibitishaji kadiri zinavyopatikana, kupunguza gharama za utekelezaji na kulinda dhidi ya mipango ya ulaghai ya kisasa zaidi.
Jitayarishe kwa kutoweka kwa nywila za wakati mmoja (OTP). Udhaifu uliopo katika OTP unazidi kuonekana kwani wahalifu wa mtandao hutumia uhandisi wa kijamii, uundaji wa simu mahiri na programu hasidi ili kuhatarisha njia hizi za uthibitishaji. Na ikiwa OTP katika baadhi ya matukio yana faida fulani, basi tu kutoka kwa mtazamo wa upatikanaji wa wote kwa watumiaji wote, lakini si kutoka kwa mtazamo wa usalama.
Haiwezekani usitambue kwamba kupokea misimbo kupitia arifa za SMS au Push, pamoja na kutengeneza misimbo kwa kutumia programu za simu mahiri, ni matumizi ya manenosiri yale yale ya wakati mmoja (OTP) ambayo tunaombwa kujiandaa kwa kupungua. Kutoka kwa mtazamo wa kiufundi, suluhisho ni sahihi sana, kwa sababu ni mdanganyifu wa nadra ambaye hajaribu kujua nenosiri la wakati mmoja kutoka kwa mtumiaji anayeweza kubadilika. Lakini nadhani watengenezaji wa mifumo kama hii watashikilia teknolojia ya kufa hadi mwisho.
Tumia uthibitishaji thabiti kama zana ya uuzaji ili kuongeza uaminifu wa wateja. Uthibitishaji thabiti unaweza kufanya zaidi ya kuboresha usalama halisi wa biashara yako. Kufahamisha wateja kuwa biashara yako inatumia uthibitishaji thabiti kunaweza kuimarisha mtazamo wa umma wa usalama wa biashara hiyoβjambo muhimu kunapokuwa na mahitaji makubwa ya wateja ya mbinu dhabiti za uthibitishaji.
Fanya tathmini kamili ya hesabu na umuhimu wa data ya shirika na uilinde kulingana na umuhimu. Hata data ya hatari kidogo kama vile maelezo ya mawasiliano ya mteja (hapana, kwa kweli, ripoti inasema "hatari ndogo", ni ajabu sana kwamba wanadharau umuhimu wa habari hii.), inaweza kuleta thamani kubwa kwa walaghai na kusababisha matatizo kwa kampuni.
Tumia uthibitishaji thabiti wa biashara. Mifumo kadhaa ndiyo inayolengwa zaidi na wahalifu. Hizi ni pamoja na mifumo ya ndani na iliyounganishwa na Mtandao kama vile mpango wa uhasibu au ghala la data la shirika. Uthibitishaji thabiti huzuia washambuliaji kupata ufikiaji ambao haujaidhinishwa, na pia hufanya iwezekanavyo kubainisha kwa usahihi ni mfanyakazi gani aliyefanya shughuli mbaya.
Uthibitishaji Wenye Nguvu ni Nini?
Wakati wa kutumia uthibitishaji thabiti, mbinu au vipengele kadhaa hutumiwa kuthibitisha uhalisi wa mtumiaji:
- Kipengele cha Maarifa: siri iliyoshirikiwa kati ya mtumiaji na somo lililothibitishwa la mtumiaji (kama vile manenosiri, majibu ya maswali ya usalama, n.k.)
- Sababu ya umiliki: kifaa ambacho mtumiaji pekee anacho (kwa mfano, kifaa cha mkononi, ufunguo wa kriptografia, n.k.)
- Kipengele cha uadilifu: sifa za kimwili (mara nyingi za kibayometriki) za mtumiaji (kwa mfano, alama za vidole, muundo wa iris, sauti, tabia, n.k.)
Haja ya kudukua vipengele vingi huongeza kwa kiasi kikubwa uwezekano wa kushindwa kwa washambuliaji, kwa kuwa kukwepa au kudanganya vipengele mbalimbali kunahitaji kutumia aina nyingi za mbinu za udukuzi, kwa kila kipengele kivyake.
Kwa mfano, kwa 2FA "nenosiri + simu mahiri," mshambulizi anaweza kutekeleza uthibitishaji kwa kuangalia nenosiri la mtumiaji na kutengeneza nakala halisi ya programu ya simu yake mahiri. Na hii ni ngumu zaidi kuliko kuiba tu nywila.
Lakini ikiwa nenosiri na ishara ya cryptographic hutumiwa kwa 2FA, basi chaguo la kunakili haifanyi kazi hapa - haiwezekani kurudia ishara. Tapeli atahitaji kuiba ishara kutoka kwa mtumiaji kwa siri. Ikiwa mtumiaji ataona upotezaji kwa wakati na kumjulisha msimamizi, tokeni itazuiwa na juhudi za mlaghai zitakuwa bure. Hii ndiyo sababu kipengele cha umiliki kinahitaji matumizi ya vifaa maalum vilivyo salama (tokeni) badala ya vifaa vya madhumuni ya jumla (simu mahiri).
Kutumia vipengele vyote vitatu kutafanya njia hii ya uthibitishaji kuwa ghali sana kutekeleza na kuwa ngumu kutumia. Kwa hiyo, sababu mbili kati ya tatu hutumiwa kwa kawaida.
Kanuni za uthibitishaji wa sababu mbili zinaelezwa kwa undani zaidi , katika kizuizi cha "Jinsi uthibitishaji wa vipengele viwili unavyofanya kazi".
Ni muhimu kutambua kwamba angalau mojawapo ya sababu za uthibitishaji zinazotumiwa katika uthibitishaji thabiti lazima zitumie kriptografia ya ufunguo wa umma.
Uthibitishaji thabiti hutoa ulinzi mkali zaidi kuliko uthibitishaji wa kipengele kimoja kulingana na nenosiri la kawaida na MFA ya jadi. Manenosiri yanaweza kuchunguzwa au kuzuiwa kwa kutumia viweka kumbukumbu, tovuti za kuhadaa ili kupata maelezo ya kibinafsi, au mashambulizi ya uhandisi wa kijamii (ambapo mwathiriwa anadanganywa ili kufichua nenosiri lake). Aidha, mmiliki wa nenosiri hatajua chochote kuhusu wizi. MFA ya kitamaduni (pamoja na misimbo ya OTP, inayofunga kwa simu mahiri au SIM kadi) inaweza pia kudukuliwa kwa urahisi kabisa, kwani haitokani na ufunguo wa ufunguo wa umma (Kwa njia, kuna mifano mingi wakati, kwa kutumia mbinu sawa za uhandisi wa kijamii, walaghai waliwashawishi watumiaji kuwapa nenosiri la wakati mmoja.).
Kwa bahati nzuri, utumiaji wa uthibitishaji dhabiti na MFA wa kitamaduni umekuwa ukipata nguvu katika matumizi ya watumiaji na biashara tangu mwaka jana. Matumizi ya uthibitishaji dhabiti katika programu za watumiaji yamekua haraka sana. Ikiwa mwaka 2017 tu 5% ya makampuni yalitumia, basi mwaka 2018 ilikuwa tayari mara tatu zaidi - 16%. Hii inaweza kuelezewa na ongezeko la upatikanaji wa tokeni zinazotumia algoriti za Ufunguo wa Umma wa Cryptography (PKC). Kwa kuongezea, shinikizo lililoongezeka kutoka kwa wadhibiti wa Uropa kufuatia kupitishwa kwa sheria mpya za ulinzi wa data kama vile PSD2 na GDPR imekuwa na athari kubwa hata nje ya Uropa (ikiwa ni pamoja na nchini Urusi).
Wacha tuangalie kwa karibu nambari hizi. Kama tunavyoona, asilimia ya watu binafsi wanaotumia uthibitishaji wa vipengele vingi imeongezeka kwa 11% ya kuvutia zaidi ya mwaka. Na hii ilitokea wazi kwa gharama ya wapenzi wa nenosiri, kwani nambari za wale wanaoamini usalama wa arifa za Push, SMS na biometriska hazijabadilika.
Lakini kwa uthibitishaji wa mambo mawili kwa matumizi ya shirika, mambo si mazuri sana. Kwanza, kulingana na ripoti hiyo, ni 5% tu ya wafanyikazi waliohamishwa kutoka kwa uthibitishaji wa nenosiri hadi ishara. Na pili, idadi ya wale wanaotumia chaguzi mbadala za MFA katika mazingira ya ushirika imeongezeka kwa 4%.
Nitajaribu kucheza mchambuzi na kutoa tafsiri yangu. Katikati ya ulimwengu wa kidijitali wa watumiaji binafsi ni simu mahiri. Kwa hiyo, haishangazi kwamba wengi hutumia uwezo ambao kifaa huwapa - uthibitishaji wa biometriska, arifa za SMS na Push, pamoja na nywila za wakati mmoja zinazozalishwa na programu kwenye smartphone yenyewe. Kwa kawaida watu hawafikirii juu ya usalama na kutegemewa wanapotumia zana walizozoea.
Hii ndiyo sababu asilimia ya watumiaji wa vipengele vya awali vya uthibitishaji vya "jadi" bado haijabadilika. Lakini wale ambao wametumia nywila hapo awali wanaelewa ni kiasi gani wanahatarisha, na wakati wa kuchagua sababu mpya ya uthibitishaji, wanachagua chaguo jipya zaidi na salama - ishara ya cryptographic.
Kuhusu soko la ushirika, ni muhimu kuelewa ni uthibitishaji wa mfumo gani unafanywa. Ikiwa kuingia kwenye kikoa cha Windows kunatekelezwa, basi ishara za kriptografia hutumiwa. Uwezekano wa kuzitumia kwa 2FA tayari umejengwa ndani ya Windows na Linux, lakini chaguzi mbadala ni ndefu na ngumu kutekeleza. Sana kwa uhamiaji wa 5% kutoka kwa nywila hadi ishara.
Na utekelezaji wa 2FA katika mfumo wa habari wa kampuni inategemea sana sifa za watengenezaji. Na ni rahisi zaidi kwa watengenezaji kuchukua moduli zilizotengenezwa tayari za kutengeneza nywila za wakati mmoja kuliko kuelewa utendakazi wa algoriti za kriptografia. Na kwa sababu hiyo, hata programu muhimu sana za usalama kama vile Kuingia Mara Moja au Mifumo ya Usimamizi wa Ufikiaji wa Upendeleo hutumia OTP kama kipengele cha pili.
Udhaifu mwingi katika njia za jadi za uthibitishaji
Ingawa mashirika mengi yanasalia kutegemea mifumo ya urithi wa kipengele kimoja, udhaifu katika uthibitishaji wa jadi wa vipengele vingi unazidi kuonekana. Nywila za mara moja, kwa kawaida urefu wa herufi sita hadi nane, zinazowasilishwa kupitia SMS, hubakia kuwa njia ya kawaida ya uthibitishaji (kando na kipengele cha nenosiri, bila shaka). Na wakati maneno "uthibitishaji wa sababu mbili" au "uthibitishaji wa hatua mbili" yanatajwa kwenye vyombo vya habari maarufu, karibu kila mara hurejelea uthibitishaji wa nenosiri wa wakati mmoja wa SMS.
Hapa mwandishi amekosea kidogo. Kuwasilisha manenosiri ya mara moja kupitia SMS haijawahi kuwa uthibitishaji wa mambo mawili. Hii ni katika hali yake safi hatua ya pili ya uthibitishaji wa hatua mbili, ambapo hatua ya kwanza ni kuingia kuingia kwako na nenosiri.
Mnamo 2016, Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST) ilisasisha sheria zake za uthibitishaji ili kuondoa utumiaji wa manenosiri ya mara moja yaliyotumwa kupitia SMS. Walakini, sheria hizi zililegezwa kwa kiasi kikubwa kufuatia maandamano ya tasnia.
Kwa hivyo, wacha tufuate njama. Mdhibiti wa Marekani anatambua vyema kuwa teknolojia iliyopitwa na wakati haina uwezo wa kuhakikisha usalama wa mtumiaji na inaleta viwango vipya. Viwango vilivyoundwa ili kulinda watumiaji wa programu za mtandaoni na za simu (ikiwa ni pamoja na za benki). Sekta hiyo inahesabu ni kiasi gani cha pesa italazimika kutumia katika ununuzi wa ishara za siri za kuaminika, kuunda upya programu, kupeleka miundombinu muhimu ya umma, na "inapanda kwa miguu yake ya nyuma." Kwa upande mmoja, watumiaji walikuwa na hakika ya kuaminika kwa nywila za wakati mmoja, na kwa upande mwingine, kulikuwa na mashambulizi ya NIST. Matokeo yake, kiwango kilipunguzwa, na idadi ya hacks na wizi wa nywila (na pesa kutoka kwa maombi ya benki) iliongezeka kwa kasi. Lakini tasnia haikulazimika kutoa pesa.
Tangu wakati huo, udhaifu wa asili wa SMS OTP umeonekana zaidi. Walaghai hutumia mbinu mbalimbali kuathiri ujumbe wa SMS:
- Kurudiwa kwa SIM kadi. Wavamizi huunda nakala ya SIM (kwa msaada wa waendeshaji wa rununu, au kwa kujitegemea, kwa kutumia programu maalum na vifaa) Matokeo yake, mshambuliaji hupokea SMS yenye nenosiri la wakati mmoja. Katika kisa kimoja mashuhuri, wadukuzi waliweza hata kuhatarisha akaunti ya AT&T ya mwekezaji wa sarafu ya fiche Michael Turpin, na kuiba karibu dola milioni 24 za sarafu-fiche. Kwa hivyo, Turpin alisema kuwa AT&T ilikuwa na makosa kutokana na hatua dhaifu za uthibitishaji zilizosababisha kunakili SIM kadi.
Mantiki ya kushangaza. Kwa hivyo ni kosa la AT&T pekee? Hapana, bila shaka ni kosa la operator wa simu kwamba wauzaji katika duka la mawasiliano walitoa SIM kadi ya duplicate. Vipi kuhusu mfumo wa uthibitishaji wa ubadilishaji wa sarafu ya crypto? Kwa nini hawakutumia ishara kali za siri? Ilikuwa ni huruma kutumia pesa kwenye utekelezaji? Je, si Michael mwenyewe wa kulaumiwa? Kwa nini hakusisitiza kubadilisha utaratibu wa uthibitishaji au kutumia tu kubadilishana hizo zinazotekeleza uthibitishaji wa mambo mawili kulingana na ishara za siri?
Utangulizi wa njia zinazotegemeka za uthibitishaji umecheleweshwa haswa kwa sababu watumiaji huonyesha uzembe wa ajabu kabla ya kudukuliwa, na baadaye wanalaumu matatizo yao kwa mtu yeyote na kitu kingine chochote isipokuwa teknolojia za uthibitishaji za zamani na "zilizovuja".
- Programu hasidi. Mojawapo ya kazi za awali za programu hasidi ya simu ilikuwa kunasa na kusambaza ujumbe wa maandishi kwa washambuliaji. Pia, mashambulizi ya mtu-katika-kivinjari na mtu-kati-kati yanaweza kuingilia manenosiri ya wakati mmoja yanapoingizwa kwenye kompyuta ndogo zilizoambukizwa au vifaa vya mezani.
Wakati programu ya Sberbank kwenye simu yako mahiri inamenyeza ikoni ya kijani kwenye upau wa hali, pia hutafuta "programu hasidi" kwenye simu yako. Lengo la tukio hili ni kugeuza mazingira ya utekelezaji yasiyoaminika ya simu mahiri ya kawaida kuwa, angalau kwa namna fulani, inayoaminika.
Kwa njia, smartphone, kama kifaa kisichoaminika kabisa ambacho chochote kinaweza kufanywa, ni sababu nyingine ya kuitumia kwa uthibitishaji. tokeni za vifaa pekee, ambazo zinalindwa na hazina virusi na Trojans. - Uhandisi wa kijamii. Wakati walaghai wanajua kuwa mwathiriwa ana OTP zilizowezeshwa kupitia SMS, wanaweza kuwasiliana na mwathiriwa moja kwa moja, akijifanya kama shirika linaloaminika kama vile benki au chama chao cha mikopo, ili kumdanganya mwathiriwa kutoa nambari ya kuthibitisha ambayo ametoka kupokea.
Mimi binafsi nimekutana na aina hii ya udanganyifu mara nyingi, kwa mfano, wakati wa kujaribu kuuza kitu kwenye soko maarufu la mtandaoni. Mimi mwenyewe nilimdhihaki yule tapeli aliyejaribu kunidanganya hadi niliporidhika. Lakini ole, nilisoma mara kwa mara kwenye habari jinsi mwathirika mwingine wa watapeli "hakufikiria," alitoa nambari ya uthibitisho na akapoteza pesa nyingi. Na hii yote ni kwa sababu benki haitaki tu kushughulika na utekelezaji wa ishara za kriptografia katika matumizi yake. Baada ya yote, ikiwa kitu kitatokea, wateja "wanajilaumu."
Ingawa mbinu mbadala za utoaji wa OTP zinaweza kupunguza baadhi ya udhaifu katika mbinu hii ya uthibitishaji, udhaifu mwingine bado. Programu za kuunda msimbo wa pekee ndio ulinzi bora dhidi ya usikilizaji, kwani hata programu hasidi haiwezi kuingiliana moja kwa moja na jenereta ya msimbo (umakini? Je, mwandishi wa ripoti alisahau kuhusu udhibiti wa kijijini?), lakini OTP bado zinaweza kuzuiwa zinapoingizwa kwenye kivinjari (kwa mfano kutumia keylogger), kupitia programu ya rununu iliyodukuliwa; na pia inaweza kupatikana moja kwa moja kutoka kwa mtumiaji kwa kutumia uhandisi wa kijamii.
Kutumia zana nyingi za kutathmini hatari kama vile utambuzi wa kifaa (ugunduzi wa majaribio ya kufanya miamala kutoka kwa vifaa ambavyo sio vya mtumiaji halali), eneo la kijiografia (mtumiaji ambaye amekuwa huko Moscow anajaribu kufanya operesheni kutoka Novosibirsk) na uchanganuzi wa tabia ni muhimu kwa kushughulikia udhaifu, lakini hakuna suluhisho ambalo ni tiba. Kwa kila hali na aina ya data, ni muhimu kutathmini kwa makini hatari na kuchagua teknolojia ya uthibitishaji inapaswa kutumika.
Hakuna suluhisho la uthibitishaji ni panacea
Kielelezo 2. Jedwali la chaguzi za uthibitishaji
| Uthibitishaji | Kiini | Description | Udhaifu muhimu |
| Nenosiri au PIN | Maarifa | Thamani isiyobadilika, ambayo inaweza kujumuisha herufi, nambari na idadi ya herufi zingine | Inaweza kuzuiwa, kupeleleza, kuibiwa, kuokotwa au kudukuliwa |
| Uthibitishaji wa msingi wa maarifa | Maarifa | Inauliza majibu ambayo mtumiaji wa kisheria pekee anaweza kujua | Inaweza kuingiliwa, ilichukua, kupatikana kwa kutumia mbinu za uhandisi wa kijamii |
| OTP ya maunzi () | Milki | Kifaa maalum kinachozalisha nywila za wakati mmoja | Msimbo unaweza kuzuiwa na kurudiwa, au kifaa kinaweza kuibiwa |
| OTP za programu | Milki | Programu (ya rununu, inayopatikana kupitia kivinjari, au kutuma misimbo kwa barua-pepe) ambayo hutengeneza nywila za mara moja. | Msimbo unaweza kuzuiwa na kurudiwa, au kifaa kinaweza kuibiwa |
| SMS OTP | Milki | Nenosiri la mara moja linalowasilishwa kupitia ujumbe mfupi wa maandishi | Msimbo unaweza kuzuiwa na kurudiwa, au simu mahiri au SIM kadi inaweza kuibiwa, au SIM kadi inaweza kurudiwa. |
| Kadi smart () | Milki | Kadi iliyo na chip ya kriptografia na kumbukumbu ya ufunguo salama ambayo hutumia miundombinu ya ufunguo wa umma kwa uthibitishaji | Inaweza kuibiwa kimwili (lakini mshambulizi hataweza kutumia kifaa bila kujua msimbo wa PIN; katika kesi ya majaribio kadhaa ya kuingiza yasiyo sahihi, kifaa kitazuiwa) |
| Funguo za usalama - ishara (, ) | Milki | Kifaa cha USB kilicho na chipu ya kriptografia na kumbukumbu salama ya ufunguo inayotumia miundombinu ya ufunguo wa umma kwa uthibitishaji | Inaweza kuibiwa kimwili (lakini mvamizi hataweza kutumia kifaa bila kujua msimbo wa PIN; iwapo majaribio kadhaa ya kuingiza yasiyo sahihi, kifaa kitazuiwa) |
| Kuunganisha kwa kifaa | Milki | Mchakato wa kuunda wasifu, mara nyingi kwa kutumia JavaScript, au kutumia vialamisho kama vile vidakuzi na Vipengee Vilivyoshirikiwa vya Flash ili kuhakikisha kuwa kifaa mahususi kinatumika. | Ishara zinaweza kuibiwa (kunakiliwa), na sifa za kifaa cha kisheria zinaweza kuigwa na mshambuliaji kwenye kifaa chake. |
| Tabia | Urithi | Huchanganua jinsi mtumiaji hutangamana na kifaa au programu | Tabia inaweza kuigwa |
| Alama za vidole | Urithi | Alama za vidole zilizohifadhiwa hulinganishwa na zile zilizonaswa macho au kielektroniki | Picha inaweza kuibiwa na kutumika kwa uthibitishaji |
| Uchunguzi wa macho | Urithi | Inalinganisha sifa za macho, kama vile muundo wa iris, na skanning mpya za macho | Picha inaweza kuibiwa na kutumika kwa uthibitishaji |
| Utambuzi wa uso | Urithi | Sifa za usoni zinalinganishwa na skanning mpya za macho | Picha inaweza kuibiwa na kutumika kwa uthibitishaji |
| Utambuzi wa sauti | Urithi | Sifa za sampuli ya sauti iliyorekodiwa hulinganishwa na sampuli mpya | Rekodi inaweza kuibiwa na kutumika kwa uthibitishaji, au kuigwa |
Katika sehemu ya pili ya uchapishaji, mambo ya ladha zaidi yanatungojea - nambari na ukweli, ambayo hitimisho na mapendekezo yaliyotolewa katika sehemu ya kwanza yanategemea. Uthibitishaji katika programu za watumiaji na katika mifumo ya ushirika utajadiliwa tofauti.
Angalia hivi karibuni!
Chanzo: mapenzi.com