அறிக்கையின் தலைப்பில் இருந்து ஸ்பாய்லர்: "புதிய அபாயங்கள் மற்றும் ஒழுங்குமுறை தேவைகளின் அச்சுறுத்தல் காரணமாக வலுவான அங்கீகாரத்தின் பயன்பாடு அதிகரிக்கிறது."
"ஜாவெலின் வியூகம் & ஆராய்ச்சி" என்ற ஆராய்ச்சி நிறுவனம் "தி ஸ்டேட் ஆஃப் ஸ்ட்ராங் அங்கீகாரம் 2019" அறிக்கையை வெளியிட்டது () இந்த அறிக்கை கூறுகிறது: அமெரிக்க மற்றும் ஐரோப்பிய நிறுவனங்கள் எத்தனை சதவிகிதம் கடவுச்சொற்களைப் பயன்படுத்துகின்றன (ஏன் சிலர் இப்போது கடவுச்சொற்களைப் பயன்படுத்துகிறார்கள்); கிரிப்டோகிராஃபிக் டோக்கன்களை அடிப்படையாகக் கொண்ட இரு காரணி அங்கீகாரத்தின் பயன்பாடு ஏன் வேகமாக வளர்ந்து வருகிறது; எஸ்எம்எஸ் மூலம் அனுப்பப்படும் ஒரு முறை குறியீடுகள் ஏன் பாதுகாப்பாக இல்லை.
நிறுவனங்கள் மற்றும் நுகர்வோர் பயன்பாடுகளில் அங்கீகாரத்தின் தற்போதைய, கடந்த கால மற்றும் எதிர்காலத்தில் ஆர்வமுள்ள எவரும் வரவேற்கப்படுவார்கள்.
மொழிபெயர்ப்பாளரிடமிருந்து
ஐயோ, இந்த அறிக்கை எழுதப்பட்ட மொழி மிகவும் "உலர்ந்த" மற்றும் முறையானது. ஒரு குறுகிய வாக்கியத்தில் "அங்கீகாரம்" என்ற வார்த்தையை ஐந்து முறை பயன்படுத்துவது மொழிபெயர்ப்பாளரின் வளைந்த கைகள் (அல்லது மூளைகள்) அல்ல, ஆனால் ஆசிரியர்களின் விருப்பம். இரண்டு விருப்பங்களிலிருந்து மொழிபெயர்க்கும்போது - வாசகர்களுக்கு அசல் அல்லது மிகவும் சுவாரஸ்யமான உரையை வழங்க, நான் சில நேரங்களில் முதல் மற்றும் சில நேரங்களில் இரண்டாவது தேர்வு செய்தேன். ஆனால் பொறுமையாக இருங்கள், அன்பான வாசகர்களே, அறிக்கையின் உள்ளடக்கங்கள் மதிப்புக்குரியவை.
கதைக்கான சில முக்கியமற்ற மற்றும் தேவையற்ற பகுதிகள் அகற்றப்பட்டன, இல்லையெனில் பெரும்பான்மையானவர்கள் முழு உரையையும் பெற முடியாது. "அன்கட்" அறிக்கையைப் படிக்க விரும்புவோர் இணைப்பைப் பின்தொடர்ந்து அசல் மொழியில் படிக்கலாம்.
துரதிர்ஷ்டவசமாக, ஆசிரியர்கள் எப்போதும் சொற்களஞ்சியத்தில் கவனமாக இருப்பதில்லை. எனவே, ஒரு முறை கடவுச்சொற்கள் (ஒரு முறை கடவுச்சொல் - OTP) சில நேரங்களில் "கடவுச்சொற்கள்" என்றும் சில நேரங்களில் "குறியீடுகள்" என்றும் அழைக்கப்படுகின்றன. அங்கீகார முறைகளில் இது இன்னும் மோசமானது. "கிரிப்டோகிராஃபிக் விசைகளைப் பயன்படுத்தி அங்கீகாரம்" மற்றும் "வலுவான அங்கீகாரம்" ஆகியவை ஒரே மாதிரியானவை என்று பயிற்சி பெறாத வாசகருக்கு யூகிப்பது எப்போதும் எளிதானது அல்ல. நான் முடிந்தவரை விதிமுறைகளை ஒருங்கிணைக்க முயற்சித்தேன், அறிக்கையிலேயே அவற்றின் விளக்கத்துடன் ஒரு துண்டு உள்ளது.
ஆயினும்கூட, அறிக்கை படிக்க பரிந்துரைக்கப்படுகிறது, ஏனெனில் அதில் தனித்துவமான ஆராய்ச்சி முடிவுகள் மற்றும் சரியான முடிவுகள் உள்ளன.
அனைத்து புள்ளிவிவரங்களும் உண்மைகளும் சிறிதளவு மாற்றங்கள் இல்லாமல் வழங்கப்படுகின்றன, மேலும் நீங்கள் அவற்றுடன் உடன்படவில்லை என்றால், மொழிபெயர்ப்பாளருடன் அல்ல, ஆனால் அறிக்கையின் ஆசிரியர்களுடன் வாதிடுவது நல்லது. இங்கே எனது கருத்துகள் (மேற்கோள்களாக அமைக்கப்பட்டு, உரையில் குறிக்கப்பட்டுள்ளன இத்தாலிய) என்பது எனது மதிப்புத் தீர்ப்பு மற்றும் அவை ஒவ்வொன்றின் மீதும் (அத்துடன் மொழிபெயர்ப்பின் தரம் குறித்தும்) வாதிடுவதில் நான் மகிழ்ச்சியடைவேன்.
கண்ணோட்டம்
இப்போதெல்லாம், வாடிக்கையாளர்களுடனான டிஜிட்டல் தகவல்தொடர்பு சேனல்கள் வணிகங்களுக்கு முன்னெப்போதையும் விட முக்கியமானவை. நிறுவனத்திற்குள், ஊழியர்களுக்கிடையேயான தகவல்தொடர்பு முன்னெப்போதையும் விட டிஜிட்டல் சார்ந்ததாக இருக்கிறது. மேலும் இந்த இடைவினைகள் எவ்வளவு பாதுகாப்பாக இருக்கும் என்பது பயனர் அங்கீகாரத்தின் தேர்ந்தெடுக்கப்பட்ட முறையைப் பொறுத்தது. பயனர் கணக்குகளை பெருமளவில் ஹேக் செய்ய தாக்குபவர்கள் பலவீனமான அங்கீகாரத்தைப் பயன்படுத்துகின்றனர். பதிலுக்கு, பயனர் கணக்குகள் மற்றும் தரவை சிறப்பாகப் பாதுகாக்க வணிகங்களை கட்டாயப்படுத்த கட்டுப்பாட்டாளர்கள் தரநிலைகளை கடுமையாக்குகின்றனர்.
அங்கீகாரம் தொடர்பான அச்சுறுத்தல்கள் நுகர்வோர் பயன்பாடுகளுக்கு அப்பாற்பட்டவை; நிறுவனத்திற்குள் இயங்கும் பயன்பாடுகளுக்கான அணுகலையும் தாக்குபவர்கள் பெறலாம். கார்ப்பரேட் பயனர்களைப் போல ஆள்மாறாட்டம் செய்ய இந்த செயல்பாடு அவர்களை அனுமதிக்கிறது. பலவீனமான அங்கீகாரத்துடன் அணுகல் புள்ளிகளைப் பயன்படுத்தும் தாக்குபவர்கள் தரவைத் திருடலாம் மற்றும் பிற மோசடி நடவடிக்கைகளைச் செய்யலாம். அதிர்ஷ்டவசமாக, இதை எதிர்த்துப் போராடுவதற்கான நடவடிக்கைகள் உள்ளன. வலுவான அங்கீகாரமானது, நுகர்வோர் பயன்பாடுகள் மற்றும் நிறுவன வணிக அமைப்புகளில் தாக்குபவர்களின் தாக்குதலின் அபாயத்தைக் கணிசமாகக் குறைக்க உதவும்.
இந்த ஆய்வு ஆராய்கிறது: இறுதிப் பயனர் பயன்பாடுகள் மற்றும் நிறுவன வணிக அமைப்புகளைப் பாதுகாக்க நிறுவனங்கள் அங்கீகாரத்தை எவ்வாறு செயல்படுத்துகின்றன; அங்கீகார தீர்வைத் தேர்ந்தெடுக்கும்போது அவர்கள் கருத்தில் கொள்ளும் காரணிகள்; அவர்களின் நிறுவனங்களில் வலுவான அங்கீகாரம் வகிக்கும் பங்கு; இந்த நிறுவனங்கள் பெறும் நன்மைகள்.
சுருக்கம்
முக்கிய கண்டுபிடிப்புகள்
2017 முதல், வலுவான அங்கீகாரத்தின் பயன்பாடு கடுமையாக அதிகரித்துள்ளது. பாரம்பரிய அங்கீகார தீர்வுகளை பாதிக்கும் பாதிப்புகளின் எண்ணிக்கை அதிகரித்து வருவதால், நிறுவனங்கள் தங்கள் அங்கீகார திறன்களை வலுவான அங்கீகாரத்துடன் வலுப்படுத்துகின்றன. கிரிப்டோகிராஃபிக் மல்டி-ஃபாக்டர் அங்கீகாரத்தைப் (MFA) பயன்படுத்தும் நிறுவனங்களின் எண்ணிக்கை 2017ல் இருந்து நுகர்வோர் பயன்பாடுகளுக்காக மூன்று மடங்காக அதிகரித்துள்ளது மற்றும் நிறுவன பயன்பாடுகளுக்கு கிட்டத்தட்ட 50% அதிகரித்துள்ளது. பயோமெட்ரிக் அங்கீகாரம் அதிகரித்து வருவதால் மொபைல் அங்கீகரிப்பதில் வேகமான வளர்ச்சி காணப்படுகிறது.
"இடி அடிக்கும் வரை மனிதன் தன்னைத்தானே கடக்க மாட்டான்" என்ற பழமொழியின் உதாரணத்தை இங்கே காண்கிறோம். கடவுச்சொற்களின் பாதுகாப்பின்மை குறித்து நிபுணர்கள் எச்சரித்தபோது, இரண்டு காரணி அங்கீகாரத்தை செயல்படுத்த யாரும் அவசரப்படவில்லை. ஹேக்கர்கள் கடவுச்சொற்களைத் திருடத் தொடங்கியவுடன், மக்கள் இரண்டு காரணி அங்கீகாரத்தை செயல்படுத்தத் தொடங்கினர்.
உண்மை, தனிநபர்கள் 2FA ஐ மிகவும் தீவிரமாக செயல்படுத்துகின்றனர். முதலாவதாக, ஸ்மார்ட்போன்களில் கட்டமைக்கப்பட்ட பயோமெட்ரிக் அங்கீகாரத்தை நம்புவதன் மூலம் அவர்களின் அச்சத்தை அமைதிப்படுத்துவது அவர்களுக்கு எளிதானது, இது உண்மையில் மிகவும் நம்பமுடியாதது. நிறுவனங்கள் டோக்கன்களை வாங்குவதற்கு பணம் செலவழிக்க வேண்டும் மற்றும் அவற்றை செயல்படுத்துவதற்கான வேலைகளை (உண்மையில், மிகவும் எளிமையானது) மேற்கொள்ள வேண்டும். இரண்டாவதாக, சோம்பேறிகள் மட்டுமே பேஸ்புக் மற்றும் டிராப்பாக்ஸ் போன்ற சேவைகளில் இருந்து கடவுச்சொல் கசிவுகள் பற்றி எழுதவில்லை, ஆனால் எந்த சூழ்நிலையிலும் இந்த நிறுவனங்களின் CIO க்கள் கடவுச்சொற்கள் எவ்வாறு திருடப்பட்டது (அடுத்து என்ன நடந்தது) பற்றிய கதைகளை நிறுவனங்களில் பகிர்ந்து கொள்ள மாட்டார்கள்.
வலுவான அங்கீகாரத்தைப் பயன்படுத்தாதவர்கள் தங்கள் வணிகத்திற்கும் வாடிக்கையாளர்களுக்கும் தங்கள் ஆபத்தை குறைத்து மதிப்பிடுகின்றனர். தற்போது வலுவான அங்கீகாரத்தைப் பயன்படுத்தாத சில நிறுவனங்கள் உள்நுழைவுகள் மற்றும் கடவுச்சொற்களை பயனர் அங்கீகாரத்தின் மிகவும் பயனுள்ள மற்றும் பயன்படுத்த எளிதான முறைகளில் ஒன்றாகக் காண முனைகின்றன. மற்றவர்கள் தங்களுக்குச் சொந்தமான டிஜிட்டல் சொத்துகளின் மதிப்பைப் பார்ப்பதில்லை. எல்லாவற்றிற்கும் மேலாக, சைபர் குற்றவாளிகள் எந்தவொரு நுகர்வோர் மற்றும் வணிகத் தகவலிலும் ஆர்வமாக உள்ளனர் என்பதைக் கருத்தில் கொள்வது மதிப்பு. தங்கள் ஊழியர்களை அங்கீகரிக்க கடவுச்சொற்களை மட்டுமே பயன்படுத்தும் நிறுவனங்களில் மூன்றில் இரண்டு பங்கு, கடவுச்சொற்கள் தாங்கள் பாதுகாக்கும் தகவலின் வகைக்கு போதுமானதாக இருப்பதாக அவர்கள் நம்புகிறார்கள்.
இருப்பினும், கடவுச்சொற்கள் கல்லறைக்கு செல்லும் வழியில் உள்ளன. நிறுவனங்கள் பாரம்பரிய MFA மற்றும் வலுவான அங்கீகாரத்தைப் பயன்படுத்துவதால், கடந்த ஆண்டில் நுகர்வோர் மற்றும் நிறுவன பயன்பாடுகள் (முறையே 44% முதல் 31% மற்றும் 56% முதல் 47% வரை) கடவுச்சொல் சார்பு கணிசமாகக் குறைந்துள்ளது.
ஆனால் நிலைமையை ஒட்டுமொத்தமாகப் பார்த்தால், பாதிக்கப்படக்கூடிய அங்கீகார முறைகள் இன்னும் நிலவுகின்றன. பயனர் அங்கீகாரத்திற்காக, சுமார் கால் பங்கு நிறுவனங்கள் பாதுகாப்பு கேள்விகளுடன் SMS OTP (ஒரு முறை கடவுச்சொல்) பயன்படுத்துகின்றன. இதன் விளைவாக, பாதிப்புக்கு எதிராக பாதுகாக்க கூடுதல் பாதுகாப்பு நடவடிக்கைகள் செயல்படுத்தப்பட வேண்டும், இது செலவுகளை அதிகரிக்கிறது. வன்பொருள் குறியாக்க விசைகள் போன்ற மிகவும் பாதுகாப்பான அங்கீகார முறைகளின் பயன்பாடு, தோராயமாக 5% நிறுவனங்களில் மிகவும் குறைவாகவே பயன்படுத்தப்படுகிறது.
வளர்ந்து வரும் ஒழுங்குமுறை சூழல் நுகர்வோர் பயன்பாடுகளுக்கான வலுவான அங்கீகாரத்தை ஏற்றுக்கொள்வதை துரிதப்படுத்துவதாக உறுதியளிக்கிறது. PSD2 அறிமுகம், அத்துடன் ஐரோப்பிய ஒன்றியம் மற்றும் கலிபோர்னியா போன்ற பல அமெரிக்க மாநிலங்களில் புதிய தரவு பாதுகாப்பு விதிகள், நிறுவனங்கள் வெப்பத்தை உணர்கின்றன. கிட்டத்தட்ட 70% நிறுவனங்கள் தங்கள் வாடிக்கையாளர்களுக்கு வலுவான அங்கீகாரத்தை வழங்க வலுவான ஒழுங்குமுறை அழுத்தத்தை எதிர்கொள்கின்றன என்பதை ஒப்புக்கொள்கின்றன. நிறுவனங்களில் பாதிக்கும் மேற்பட்டவை சில ஆண்டுகளுக்குள் தங்கள் அங்கீகார முறைகள் ஒழுங்குமுறை தரநிலைகளை பூர்த்தி செய்ய போதுமானதாக இருக்காது என்று நம்புகின்றன.
திட்டங்கள் மற்றும் சேவைகளின் பயனர்களின் தனிப்பட்ட தரவைப் பாதுகாப்பதில் ரஷ்ய மற்றும் அமெரிக்க-ஐரோப்பிய சட்டமன்ற உறுப்பினர்களின் அணுகுமுறைகளில் உள்ள வேறுபாடு தெளிவாகத் தெரியும். ரஷ்யர்கள் கூறுகிறார்கள்: அன்பான சேவை உரிமையாளர்களே, நீங்கள் விரும்புவதையும் எப்படி விரும்புகிறீர்கள் என்பதையும் செய்யுங்கள், ஆனால் உங்கள் நிர்வாகி தரவுத்தளத்தை ஒன்றிணைத்தால், நாங்கள் உங்களை தண்டிப்போம். அவர்கள் வெளிநாட்டில் கூறுகிறார்கள்: நீங்கள் நடவடிக்கைகளின் தொகுப்பை செயல்படுத்த வேண்டும் அனுமதிக்க மாட்டேன் அடித்தளத்தை வடிகட்டவும். அதனால்தான் கடுமையான இரு காரணி அங்கீகாரத்திற்கான தேவைகள் அங்கு செயல்படுத்தப்படுகின்றன.
உண்மைதான், நமது சட்டமியற்றும் இயந்திரம் என்றாவது ஒரு நாள் தன் நினைவுக்கு வந்து மேற்கத்திய அனுபவத்தை கணக்கில் எடுத்துக்கொள்ளாது என்பது உண்மையிலிருந்து வெகு தொலைவில் உள்ளது. எல்லோரும் 2FA ஐ செயல்படுத்த வேண்டும் என்று மாறிவிடும், இது ரஷ்ய கிரிப்டோகிராஃபிக் தரநிலைகளுடன் இணங்குகிறது, மேலும் அவசரமாக.
ஒரு வலுவான அங்கீகார கட்டமைப்பை நிறுவுதல், நிறுவனங்கள் தங்கள் கவனத்தை ஒழுங்குமுறை தேவைகளை பூர்த்தி செய்வதிலிருந்து வாடிக்கையாளர் தேவைகளை பூர்த்தி செய்ய அனுமதிக்கிறது. இன்னும் எளிமையான கடவுச்சொற்களைப் பயன்படுத்தும் அல்லது எஸ்எம்எஸ் வழியாக குறியீடுகளைப் பெறும் நிறுவனங்களுக்கு, அங்கீகார முறையைத் தேர்ந்தெடுக்கும்போது மிக முக்கியமான காரணி ஒழுங்குமுறை தேவைகளுக்கு இணங்குவதாகும். ஆனால் ஏற்கனவே வலுவான அங்கீகாரத்தைப் பயன்படுத்தும் நிறுவனங்கள் வாடிக்கையாளர் விசுவாசத்தை அதிகரிக்கும் அந்த அங்கீகார முறைகளைத் தேர்ந்தெடுப்பதில் கவனம் செலுத்தலாம்.
ஒரு நிறுவனத்திற்குள் கார்ப்பரேட் அங்கீகார முறையைத் தேர்ந்தெடுக்கும்போது, ஒழுங்குமுறைத் தேவைகள் இனி குறிப்பிடத்தக்க காரணியாக இருக்காது. இந்த வழக்கில், ஒருங்கிணைப்பின் எளிமை (32%) மற்றும் செலவு (26%) ஆகியவை மிகவும் முக்கியமானவை.
ஃபிஷிங் காலத்தில், தாக்குபவர்கள் கார்ப்பரேட் மின்னஞ்சலைப் பயன்படுத்தி மோசடி செய்யலாம் தரவு, கணக்குகள் (பொருத்தமான அணுகல் உரிமைகளுடன்) மோசடியான அணுகலைப் பெறுவதற்கும், மற்றும் அவரது கணக்கிற்கு பணப் பரிமாற்றம் செய்ய ஊழியர்களை நம்ப வைப்பதற்கும். எனவே, கார்ப்பரேட் மின்னஞ்சல் மற்றும் போர்டல் கணக்குகள் குறிப்பாக நன்கு பாதுகாக்கப்பட வேண்டும்.
வலுவான அங்கீகாரத்தை செயல்படுத்துவதன் மூலம் Google அதன் பாதுகாப்பை பலப்படுத்தியுள்ளது. இரண்டு ஆண்டுகளுக்கு முன்பு, கூகிள் FIDO U2F தரநிலையைப் பயன்படுத்தி கிரிப்டோகிராஃபிக் பாதுகாப்பு விசைகளின் அடிப்படையில் இரண்டு-காரணி அங்கீகாரத்தை செயல்படுத்துவது குறித்த அறிக்கையை வெளியிட்டது, இது ஈர்க்கக்கூடிய முடிவுகளைப் புகாரளித்தது. நிறுவனத்தின் கூற்றுப்படி, 85 க்கும் மேற்பட்ட ஊழியர்களுக்கு எதிராக ஒரு ஃபிஷிங் தாக்குதல் நடத்தப்படவில்லை.
பரிந்துரைகளை
மொபைல் மற்றும் ஆன்லைன் பயன்பாடுகளுக்கு வலுவான அங்கீகாரத்தை செயல்படுத்தவும். கிரிப்டோகிராஃபிக் விசைகளின் அடிப்படையிலான பல காரணி அங்கீகாரமானது பாரம்பரிய MFA முறைகளை விட ஹேக்கிங்கிற்கு எதிராக சிறந்த பாதுகாப்பை வழங்குகிறது. கூடுதலாக, கிரிப்டோகிராஃபிக் விசைகளைப் பயன்படுத்துவது மிகவும் வசதியானது, ஏனெனில் கூடுதல் தகவல்களைப் பயன்படுத்தவும் மாற்றவும் தேவையில்லை - கடவுச்சொற்கள், ஒரு முறை கடவுச்சொற்கள் அல்லது பயனரின் சாதனத்திலிருந்து அங்கீகார சேவையகத்திற்கு பயோமெட்ரிக் தரவு. கூடுதலாக, அங்கீகார நெறிமுறைகளை தரநிலையாக்குவது, புதிய அங்கீகார முறைகள் கிடைக்கும்போது அவற்றைச் செயல்படுத்துவதை எளிதாக்குகிறது, செயலாக்கச் செலவுகளைக் குறைக்கிறது மற்றும் அதிநவீன மோசடித் திட்டங்களுக்கு எதிராகப் பாதுகாக்கிறது.
ஒரு முறை கடவுச்சொற்களின் (OTP) அழிவுக்குத் தயாராகுங்கள். சைபர் கிரைமினல்கள் சமூகப் பொறியியல், ஸ்மார்ட்போன் குளோனிங் மற்றும் தீம்பொருளைப் பயன்படுத்தி இந்த அங்கீகார வழிமுறைகளை சமரசம் செய்துகொள்வதால் OTP களில் உள்ளார்ந்த பாதிப்புகள் அதிகரித்து வருகின்றன. சில சந்தர்ப்பங்களில் OTP கள் சில நன்மைகளைக் கொண்டிருந்தால், எல்லா பயனர்களுக்கும் உலகளாவிய கிடைக்கும் தன்மையின் பார்வையில் மட்டுமே, ஆனால் பாதுகாப்புக் கண்ணோட்டத்தில் அல்ல.
எஸ்எம்எஸ் அல்லது புஷ் அறிவிப்புகள் வழியாக குறியீடுகளைப் பெறுவதும், ஸ்மார்ட்போன்களுக்கான நிரல்களைப் பயன்படுத்தி குறியீடுகளை உருவாக்குவதும், அதே ஒருமுறை கடவுச்சொற்களை (OTP) பயன்படுத்துவதைக் கவனிக்காமல் இருக்க முடியாது. தொழில்நுட்பக் கண்ணோட்டத்தில், தீர்வு மிகவும் சரியானது, ஏனெனில் இது ஒரு அரிய மோசடி செய்பவர், ஏமாற்றக்கூடிய பயனரிடமிருந்து ஒரு முறை கடவுச்சொல்லைக் கண்டுபிடிக்க முயற்சிக்கவில்லை. ஆனால் அத்தகைய அமைப்புகளின் உற்பத்தியாளர்கள் கடைசி வரை இறக்கும் தொழில்நுட்பத்தை ஒட்டிக்கொள்வார்கள் என்று நான் நினைக்கிறேன்.
வாடிக்கையாளர் நம்பிக்கையை அதிகரிக்க வலுவான அங்கீகாரத்தை மார்க்கெட்டிங் கருவியாகப் பயன்படுத்தவும். வலுவான அங்கீகாரம் உங்கள் வணிகத்தின் உண்மையான பாதுகாப்பை மேம்படுத்துவதை விட அதிகம் செய்ய முடியும். உங்கள் வணிகம் வலுவான அங்கீகாரத்தைப் பயன்படுத்துகிறது என்பதை வாடிக்கையாளர்களுக்குத் தெரிவிப்பது, அந்த வணிகத்தின் பாதுகாப்பைப் பற்றிய பொதுக் கண்ணோட்டத்தை வலுப்படுத்தும் - வலுவான அங்கீகரிப்பு முறைகளுக்கு குறிப்பிடத்தக்க வாடிக்கையாளர் தேவை இருக்கும்போது இது ஒரு முக்கியமான காரணியாகும்.
கார்ப்பரேட் தரவுகளின் முழுமையான சரக்கு மற்றும் விமர்சன மதிப்பீட்டை நடத்தி முக்கியத்துவத்திற்கு ஏற்ப பாதுகாக்கவும். வாடிக்கையாளர் தொடர்புத் தகவல் போன்ற குறைந்த ஆபத்துள்ள தரவு கூட (இல்லை, உண்மையில், அறிக்கை "குறைந்த ஆபத்து" என்று கூறுகிறது, இந்த தகவலின் முக்கியத்துவத்தை அவர்கள் குறைத்து மதிப்பிடுவது மிகவும் விசித்திரமானது), மோசடி செய்பவர்களுக்கு குறிப்பிடத்தக்க மதிப்பைக் கொண்டுவரலாம் மற்றும் நிறுவனத்திற்கு சிக்கல்களை ஏற்படுத்தலாம்.
வலுவான நிறுவன அங்கீகாரத்தைப் பயன்படுத்தவும். பல அமைப்புகள் குற்றவாளிகளுக்கு மிகவும் கவர்ச்சிகரமான இலக்குகள். கணக்கியல் திட்டம் அல்லது கார்ப்பரேட் தரவுக் கிடங்கு போன்ற உள் மற்றும் இணையத்துடன் இணைக்கப்பட்ட அமைப்புகள் இதில் அடங்கும். வலுவான அங்கீகாரமானது, தாக்குபவர்கள் அங்கீகரிக்கப்படாத அணுகலைப் பெறுவதைத் தடுக்கிறது, மேலும் தீங்கிழைக்கும் செயலைச் செய்த பணியாளர் யார் என்பதைத் துல்லியமாகத் தீர்மானிக்கவும் உதவுகிறது.
வலுவான அங்கீகாரம் என்றால் என்ன?
வலுவான அங்கீகாரத்தைப் பயன்படுத்தும் போது, பயனரின் நம்பகத்தன்மையை சரிபார்க்க பல முறைகள் அல்லது காரணிகள் பயன்படுத்தப்படுகின்றன:
- அறிவுக் காரணி: பயனருக்கும் பயனரின் அங்கீகரிக்கப்பட்ட விஷயத்திற்கும் இடையே பகிரப்பட்ட ரகசியம் (கடவுச்சொற்கள், பாதுகாப்பு கேள்விகளுக்கான பதில்கள் போன்றவை)
- உரிமைக் காரணி: பயனர் மட்டுமே வைத்திருக்கும் சாதனம் (உதாரணமாக, மொபைல் சாதனம், கிரிப்டோகிராஃபிக் விசை போன்றவை)
- ஒருமைப்பாடு காரணி: பயனரின் உடல் (பெரும்பாலும் பயோமெட்ரிக்) பண்புகள் (உதாரணமாக, கைரேகை, கருவிழி வடிவம், குரல், நடத்தை போன்றவை)
பல காரணிகளை ஹேக் செய்ய வேண்டிய அவசியம், தாக்குபவர்களுக்கு தோல்விக்கான வாய்ப்பை பெரிதும் அதிகரிக்கிறது, ஏனெனில் பல்வேறு காரணிகளைத் தவிர்ப்பது அல்லது ஏமாற்றுவது, ஒவ்வொரு காரணிக்கும் தனித்தனியாக பல வகையான ஹேக்கிங் தந்திரங்களைப் பயன்படுத்த வேண்டும்.
எடுத்துக்காட்டாக, 2FA “கடவுச்சொல் + ஸ்மார்ட்போன்” மூலம், தாக்குபவர் பயனரின் கடவுச்சொல்லைப் பார்த்து, அவரது ஸ்மார்ட்போனின் சரியான மென்பொருள் நகலை உருவாக்குவதன் மூலம் அங்கீகரிப்பைச் செய்யலாம். கடவுச்சொல்லை திருடுவதை விட இது மிகவும் கடினம்.
ஆனால் 2FA க்கு கடவுச்சொல் மற்றும் கிரிப்டோகிராஃபிக் டோக்கன் பயன்படுத்தப்பட்டால், நகலெடுக்கும் விருப்பம் இங்கே இயங்காது - டோக்கனை நகலெடுப்பது சாத்தியமில்லை. மோசடி செய்பவர் பயனரிடமிருந்து டோக்கனை திருட வேண்டும். பயனர் சரியான நேரத்தில் இழப்பைக் கண்டறிந்து நிர்வாகிக்கு அறிவித்தால், டோக்கன் தடுக்கப்படும் மற்றும் மோசடி செய்பவரின் முயற்சிகள் வீணாகிவிடும். அதனால்தான் உரிமைக் காரணிக்கு பொது நோக்கத்திற்கான சாதனங்களை (ஸ்மார்ட்போன்கள்) விட சிறப்புப் பாதுகாப்பான சாதனங்களை (டோக்கன்கள்) பயன்படுத்த வேண்டும்.
மூன்று காரணிகளையும் பயன்படுத்துவது இந்த அங்கீகார முறையை செயல்படுத்துவதற்கு மிகவும் விலையுயர்ந்ததாகவும் பயன்படுத்துவதற்கு மிகவும் சிரமமாகவும் இருக்கும். எனவே, மூன்று காரணிகளில் இரண்டு பொதுவாக பயன்படுத்தப்படுகின்றன.
இரண்டு காரணி அங்கீகாரத்தின் கொள்கைகள் இன்னும் விரிவாக விவரிக்கப்பட்டுள்ளன , "இரண்டு காரணி அங்கீகாரம் எவ்வாறு செயல்படுகிறது" தொகுதியில்.
வலுவான அங்கீகாரத்தில் பயன்படுத்தப்படும் அங்கீகார காரணிகளில் குறைந்தபட்சம் ஒன்று பொது விசை குறியாக்கவியலைப் பயன்படுத்த வேண்டும் என்பதைக் கவனத்தில் கொள்ள வேண்டும்.
கிளாசிக் கடவுச்சொற்கள் மற்றும் பாரம்பரிய MFA அடிப்படையில் ஒற்றை காரணி அங்கீகாரத்தை விட வலுவான அங்கீகாரம் மிகவும் வலுவான பாதுகாப்பை வழங்குகிறது. கீலாக்கர்கள், ஃபிஷிங் தளங்கள் அல்லது சமூகப் பொறியியல் தாக்குதல்களைப் பயன்படுத்தி கடவுச்சொற்கள் உளவு பார்க்கப்படலாம் அல்லது இடைமறிக்கப்படலாம் (பாதிக்கப்பட்டவர் தங்கள் கடவுச்சொல்லை வெளிப்படுத்தும் வகையில் ஏமாற்றப்படுகிறார்). மேலும், கடவுச்சொல் வைத்திருப்பவருக்கு திருட்டு பற்றி எதுவும் தெரியாது. பாரம்பரிய MFA (OTP குறியீடுகள், ஸ்மார்ட்போன் அல்லது சிம் கார்டுடன் பிணைத்தல் உட்பட) மிகவும் எளிதாக ஹேக் செய்யப்படலாம், ஏனெனில் இது பொது விசை குறியாக்கவியலின் அடிப்படையில் இல்லை (அதே நேரத்தில், அதே சமூக பொறியியல் நுட்பங்களைப் பயன்படுத்தி, மோசடி செய்பவர்கள் பயனர்களுக்கு ஒரு முறை கடவுச்சொல்லை வழங்குவதற்கு பல எடுத்துக்காட்டுகள் உள்ளன.).
அதிர்ஷ்டவசமாக, வலுவான அங்கீகாரம் மற்றும் பாரம்பரிய MFA பயன்பாடு கடந்த ஆண்டு முதல் நுகர்வோர் மற்றும் நிறுவன பயன்பாடுகளில் இழுவை பெற்று வருகிறது. நுகர்வோர் பயன்பாடுகளில் வலுவான அங்கீகாரத்தின் பயன்பாடு குறிப்பாக வேகமாக வளர்ந்துள்ளது. 2017 இல் 5% நிறுவனங்கள் மட்டுமே இதைப் பயன்படுத்தினால், 2018 இல் அது ஏற்கனவே மூன்று மடங்கு அதிகமாக இருந்தது - 16%. பொது விசை கிரிப்டோகிராஃபி (PKC) அல்காரிதம்களை ஆதரிக்கும் டோக்கன்களின் அதிகரித்த கிடைக்கும் தன்மையால் இதை விளக்கலாம். கூடுதலாக, PSD2 மற்றும் GDPR போன்ற புதிய தரவு பாதுகாப்பு விதிகளை ஏற்றுக்கொண்டதைத் தொடர்ந்து ஐரோப்பிய கட்டுப்பாட்டாளர்களிடமிருந்து அதிகரித்த அழுத்தம் ஐரோப்பாவிற்கு வெளியே கூட வலுவான விளைவைக் கொண்டுள்ளது (ரஷ்யா உட்பட).
இந்த எண்களை இன்னும் விரிவாகப் பார்ப்போம். நாம் பார்க்கிறபடி, பல காரணி அங்கீகாரத்தைப் பயன்படுத்தும் தனியார் தனிநபர்களின் சதவீதம் ஆண்டு முழுவதும் ஈர்க்கக்கூடிய 11% அதிகரித்துள்ளது. புஷ் அறிவிப்புகள், எஸ்எம்எஸ் மற்றும் பயோமெட்ரிக்ஸின் பாதுகாப்பை நம்புபவர்களின் எண்ணிக்கை மாறாததால், கடவுச்சொல் பிரியர்களின் இழப்பில் இது தெளிவாக நடந்தது.
ஆனால் கார்ப்பரேட் பயன்பாட்டிற்கான இரண்டு காரணி அங்கீகாரத்துடன், விஷயங்கள் அவ்வளவு சிறப்பாக இல்லை. முதலாவதாக, அறிக்கையின்படி, 5% ஊழியர்கள் மட்டுமே கடவுச்சொல் அங்கீகாரத்திலிருந்து டோக்கன்களுக்கு மாற்றப்பட்டனர். இரண்டாவதாக, கார்ப்பரேட் சூழலில் மாற்று MFA விருப்பங்களைப் பயன்படுத்துபவர்களின் எண்ணிக்கை 4% அதிகரித்துள்ளது.
நான் பகுப்பாய்வாளராக விளையாட முயற்சிப்பேன் மற்றும் எனது விளக்கத்தை வழங்குவேன். தனிப்பட்ட பயனர்களின் டிஜிட்டல் உலகின் மையத்தில் ஸ்மார்ட்போன் உள்ளது. எனவே, பெரும்பாலானவர்கள் சாதனம் வழங்கும் திறன்களைப் பயன்படுத்துவதில் ஆச்சரியமில்லை - பயோமெட்ரிக் அங்கீகாரம், எஸ்எம்எஸ் மற்றும் புஷ் அறிவிப்புகள், அத்துடன் ஸ்மார்ட்போனிலேயே பயன்பாடுகளால் உருவாக்கப்பட்ட ஒரு முறை கடவுச்சொற்கள். பொதுவாக மக்கள் தாங்கள் பயன்படுத்தும் கருவிகளைப் பயன்படுத்தும் போது பாதுகாப்பு மற்றும் நம்பகத்தன்மையைப் பற்றி சிந்திக்க மாட்டார்கள்.
அதனால்தான் பழமையான "பாரம்பரிய" அங்கீகார காரணிகளின் பயனர்களின் சதவீதம் மாறாமல் உள்ளது. ஆனால் முன்னர் கடவுச்சொற்களைப் பயன்படுத்தியவர்கள் தாங்கள் எவ்வளவு ஆபத்தில் உள்ளனர் என்பதைப் புரிந்துகொள்கிறார்கள், மேலும் ஒரு புதிய அங்கீகார காரணியைத் தேர்ந்தெடுக்கும்போது, அவர்கள் புதிய மற்றும் பாதுகாப்பான விருப்பத்தைத் தேர்வு செய்கிறார்கள் - ஒரு கிரிப்டோகிராஃபிக் டோக்கன்.
கார்ப்பரேட் சந்தையைப் பொறுத்தவரை, எந்த கணினி அங்கீகாரம் மேற்கொள்ளப்படுகிறது என்பதைப் புரிந்துகொள்வது அவசியம். விண்டோஸ் டொமைனில் உள்நுழைந்தால், கிரிப்டோகிராஃபிக் டோக்கன்கள் பயன்படுத்தப்படும். 2FA க்கு அவற்றைப் பயன்படுத்துவதற்கான சாத்தியக்கூறுகள் ஏற்கனவே விண்டோஸ் மற்றும் லினக்ஸ் இரண்டிலும் கட்டமைக்கப்பட்டுள்ளன, ஆனால் மாற்று விருப்பங்கள் நீண்ட மற்றும் செயல்படுத்த கடினமாக உள்ளன. கடவுச்சொற்களில் இருந்து டோக்கன்களுக்கு 5% இடம்பெயர்வதற்கு இவ்வளவு.
கார்ப்பரேட் தகவல் அமைப்பில் 2FA செயல்படுத்துவது டெவலப்பர்களின் தகுதிகளைப் பொறுத்தது. கிரிப்டோகிராஃபிக் அல்காரிதம்களின் செயல்பாட்டைப் புரிந்துகொள்வதை விட, டெவலப்பர்கள் ஒரு முறை கடவுச்சொற்களை உருவாக்குவதற்கான ஆயத்த தொகுதிகளை எடுத்துக்கொள்வது மிகவும் எளிதானது. இதன் விளைவாக, சிங்கிள் சைன்-ஆன் அல்லது பிரீவிலேஜ்டு அக்சஸ் மேனேஜ்மென்ட் சிஸ்டம்கள் போன்ற நம்பமுடியாத பாதுகாப்பு-முக்கியமான பயன்பாடுகள் கூட OTP ஐ இரண்டாவது காரணியாகப் பயன்படுத்துகின்றன.
பாரம்பரிய அங்கீகார முறைகளில் பல பாதிப்புகள்
பல நிறுவனங்கள் பாரம்பரிய ஒற்றை-காரணி அமைப்புகளை நம்பியிருக்கையில், பாரம்பரிய பல-காரணி அங்கீகாரத்தில் உள்ள பாதிப்புகள் பெருகிய முறையில் வெளிப்படுகின்றன. ஒரு முறை கடவுச்சொற்கள், பொதுவாக ஆறு முதல் எட்டு எழுத்துகள் நீளம், SMS மூலம் வழங்கப்படும், அங்கீகாரத்தின் மிகவும் பொதுவான வடிவமாக இருக்கும் (நிச்சயமாக கடவுச்சொல் காரணி தவிர). பிரபலமான பத்திரிகைகளில் "இரண்டு-காரணி அங்கீகாரம்" அல்லது "இரண்டு-படி சரிபார்ப்பு" என்ற வார்த்தைகள் குறிப்பிடப்பட்டால், அவை எப்பொழுதும் SMS ஒரு முறை கடவுச்சொல் அங்கீகாரத்தைக் குறிப்பிடுகின்றன.
இங்கே ஆசிரியர் ஒரு சிறிய தவறு. எஸ்எம்எஸ் மூலம் ஒரு முறை கடவுச்சொற்களை வழங்குவது இரு காரணி அங்கீகாரமாக இருந்ததில்லை. இது அதன் தூய்மையான வடிவத்தில் இரண்டு-படி அங்கீகாரத்தின் இரண்டாம் கட்டமாகும், அங்கு முதல் நிலை உங்கள் உள்நுழைவு மற்றும் கடவுச்சொல்லை உள்ளிடுகிறது.
2016 ஆம் ஆண்டில், தேசிய தரநிலைகள் மற்றும் தொழில்நுட்ப நிறுவனம் (என்ஐஎஸ்டி) எஸ்எம்எஸ் மூலம் அனுப்பப்படும் ஒருமுறை கடவுச்சொற்களைப் பயன்படுத்துவதை அகற்ற, அதன் அங்கீகார விதிகளை மேம்படுத்தியது. இருப்பினும், தொழில்துறை எதிர்ப்புகளைத் தொடர்ந்து இந்த விதிகள் கணிசமாக தளர்த்தப்பட்டன.
எனவே, சதித்திட்டத்தைப் பின்பற்றுவோம். காலாவதியான தொழில்நுட்பம் பயனர் பாதுகாப்பை உறுதிசெய்யும் திறன் கொண்டதல்ல என்பதை அமெரிக்க கட்டுப்பாட்டாளர் சரியாக அங்கீகரித்து புதிய தரநிலைகளை அறிமுகப்படுத்துகிறார். ஆன்லைன் மற்றும் மொபைல் பயன்பாடுகளின் (வங்கி உட்பட) பயனர்களைப் பாதுகாக்க வடிவமைக்கப்பட்ட தரநிலைகள். உண்மையிலேயே நம்பகமான கிரிப்டோகிராஃபிக் டோக்கன்களை வாங்குவதற்கும், பயன்பாடுகளை மறுவடிவமைப்பு செய்வதற்கும், பொது விசை உள்கட்டமைப்பைப் பயன்படுத்துவதற்கும், "அதன் பின்னங்கால்களில் உயரும்" எவ்வளவு பணம் செலவழிக்க வேண்டும் என்பதைக் கணக்கிடுகிறது. ஒருபுறம், பயனர்கள் ஒரு முறை கடவுச்சொற்களின் நம்பகத்தன்மையை நம்பினர், மறுபுறம், NIST மீது தாக்குதல்கள் இருந்தன. இதன் விளைவாக, தரநிலை மென்மையாக்கப்பட்டது, மேலும் கடவுச்சொற்களின் ஹேக்குகள் மற்றும் திருட்டுகளின் எண்ணிக்கை (மற்றும் வங்கி பயன்பாடுகளிலிருந்து பணம்) கடுமையாக அதிகரித்தது. ஆனால் தொழிலுக்கு பணம் கொடுக்க வேண்டியதில்லை.
அப்போதிருந்து, எஸ்எம்எஸ் OTP இன் உள்ளார்ந்த பலவீனங்கள் மிகவும் தெளிவாகத் தெரிந்தன. எஸ்எம்எஸ் செய்திகளை சமரசம் செய்ய மோசடி செய்பவர்கள் பல்வேறு முறைகளைப் பயன்படுத்துகின்றனர்:
- சிம் கார்டு நகல். தாக்குபவர்கள் சிம்மின் நகலை உருவாக்குகிறார்கள் (மொபைல் ஆபரேட்டர் ஊழியர்களின் உதவியுடன் அல்லது சுயாதீனமாக, சிறப்பு மென்பொருள் மற்றும் வன்பொருளைப் பயன்படுத்துதல்) இதன் விளைவாக, தாக்குபவர் ஒரு முறை கடவுச்சொல்லுடன் ஒரு எஸ்எம்எஸ் பெறுகிறார். குறிப்பாக பிரபலமான ஒரு வழக்கில், கிரிப்டோகரன்சி முதலீட்டாளர் மைக்கேல் டர்பினின் AT&T கணக்கை ஹேக்கர்கள் சமரசம் செய்து, கிட்டத்தட்ட $24 மில்லியன் கிரிப்டோகரன்சிகளை திருட முடிந்தது. இதன் விளைவாக, சிம் கார்டு நகலெடுக்க வழிவகுத்த பலவீனமான சரிபார்ப்பு நடவடிக்கைகள் காரணமாக AT&T தவறு செய்ததாக டர்பின் கூறினார்.
அற்புதமான தர்க்கம். அது உண்மையில் AT&Tயின் தவறா? இல்லை, இது சந்தேகத்திற்கு இடமின்றி மொபைல் ஆபரேட்டரின் தவறு, தகவல்தொடர்பு கடையில் விற்பனையாளர்கள் நகல் சிம் கார்டை வழங்கினர். கிரிப்டோகரன்சி பரிமாற்ற அங்கீகார அமைப்பு பற்றி என்ன? அவர்கள் ஏன் வலுவான கிரிப்டோகிராஃபிக் டோக்கன்களைப் பயன்படுத்தவில்லை? செயல்படுத்துவதற்கு பணம் செலவழித்தது பரிதாபமாக இருந்ததா? மைக்கேல் தானே காரணம்? கிரிப்டோகிராஃபிக் டோக்கன்களின் அடிப்படையில் இரு காரணி அங்கீகாரத்தை செயல்படுத்தும் அங்கீகார பொறிமுறையை அல்லது பரிமாற்றங்களை மட்டும் அவர் ஏன் பயன்படுத்தவில்லை?
உண்மையான நம்பகமான அங்கீகார முறைகளை அறிமுகப்படுத்துவது தாமதமானது, ஏனெனில் பயனர்கள் ஹேக்கிங் செய்வதற்கு முன் அற்புதமான கவனக்குறைவைக் காட்டுகிறார்கள், அதன் பிறகு அவர்கள் தங்கள் பிரச்சனைகளை பழங்கால மற்றும் "கசிவு" அங்கீகார தொழில்நுட்பங்களைத் தவிர வேறு எவர் மீதும் குற்றம் சாட்டுகிறார்கள்.
- தீம்பொருள். மொபைல் மால்வேரின் ஆரம்ப செயல்பாடுகளில் ஒன்று குறுஞ்செய்திகளை இடைமறித்து தாக்குபவர்களுக்கு அனுப்புவதாகும். மேலும், மேன்-இன்-தி-பிரவுசர் மற்றும் மேன்-இன்-தி-மிடில் தாக்குதல்கள், பாதிக்கப்பட்ட மடிக்கணினிகள் அல்லது டெஸ்க்டாப் சாதனங்களில் உள்ளிடப்படும்போது, ஒருமுறை கடவுச்சொற்களை இடைமறித்துவிடும்.
உங்கள் ஸ்மார்ட்போனில் உள்ள Sberbank பயன்பாடு, ஸ்டேட்டஸ் பாரில் பச்சை நிற ஐகானை சிமிட்டினால், அது உங்கள் மொபைலில் “மால்வேர்” உள்ளதா எனத் தேடுகிறது. இந்த நிகழ்வின் குறிக்கோள், ஒரு பொதுவான ஸ்மார்ட்போனின் நம்பகமற்ற செயலாக்க சூழலை, குறைந்தபட்சம் ஏதேனும் ஒரு வகையில் நம்பகமானதாக மாற்றுவதாகும்.
மூலம், ஒரு ஸ்மார்ட்போன், எதையும் செய்யக்கூடிய முற்றிலும் நம்பத்தகாத சாதனமாக, அங்கீகாரத்திற்காக அதைப் பயன்படுத்த மற்றொரு காரணம் வன்பொருள் டோக்கன்கள் மட்டுமே, இவை பாதுகாக்கப்பட்டு வைரஸ்கள் மற்றும் ட்ரோஜான்கள் இல்லாதவை. - சமூக பொறியியல். பாதிக்கப்பட்டவருக்கு எஸ்எம்எஸ் மூலம் OTPகள் இயக்கப்பட்டுள்ளன என்பதை மோசடி செய்பவர்கள் அறிந்தால், பாதிக்கப்பட்டவரை நேரடியாகத் தொடர்புகொண்டு, அவர்களின் வங்கி அல்லது கடன் சங்கம் போன்ற நம்பகமான அமைப்பாகக் காட்டி, பாதிக்கப்பட்டவரை ஏமாற்றி அவர்கள் பெற்ற குறியீட்டை வழங்கலாம்.
நான் தனிப்பட்ட முறையில் இந்த வகையான மோசடியை பல முறை சந்தித்திருக்கிறேன், உதாரணமாக, பிரபலமான ஆன்லைன் பிளே சந்தையில் எதையாவது விற்க முயற்சிக்கும்போது. என் மனதுக்கு இணங்க என்னை ஏமாற்ற முயன்ற அந்த மோசடிக்காரனை நானே கேலி செய்தேன். ஆனால் ஐயோ, மோசடி செய்பவர்களால் பாதிக்கப்பட்ட மற்றொருவர் "நினைக்கவில்லை" என்பதை நான் தொடர்ந்து செய்திகளில் படிக்கிறேன், உறுதிப்படுத்தல் குறியீட்டைக் கொடுத்தது மற்றும் ஒரு பெரிய தொகையை இழந்தது. மற்றும் வங்கி அதன் பயன்பாடுகளில் கிரிப்டோகிராஃபிக் டோக்கன்களை செயல்படுத்துவதை சமாளிக்க விரும்பவில்லை என்பதால் இவை அனைத்தும். எல்லாவற்றிற்கும் மேலாக, ஏதாவது நடந்தால், வாடிக்கையாளர்கள் "தாங்களே குற்றம் சொல்ல வேண்டும்."
மாற்று OTP டெலிவரி முறைகள் இந்த அங்கீகரிப்பு முறையில் சில பாதிப்புகளைத் தணிக்கக்கூடும் என்றாலும், மற்ற பாதிப்புகள் இருக்கும். தனிப்பட்ட குறியீடு உருவாக்கப் பயன்பாடுகள் ஒட்டுக்கேட்டலுக்கு எதிராக சிறந்த பாதுகாப்பாகும், ஏனெனில் தீம்பொருள் கூட குறியீடு ஜெனரேட்டருடன் நேரடியாக தொடர்பு கொள்ள முடியாது (தீவிரமாக? அறிக்கையின் ஆசிரியர் ரிமோட் கண்ட்ரோலை மறந்துவிட்டாரா?), ஆனால் உலாவியில் உள்ளிடும்போது OTPகள் இடைமறிக்கப்படலாம் (உதாரணமாக கீலாக்கரைப் பயன்படுத்துதல்), ஹேக் செய்யப்பட்ட மொபைல் அப்ளிகேஷன் மூலம்; மேலும் சமூகப் பொறியியலைப் பயன்படுத்தி பயனரிடமிருந்து நேரடியாகப் பெறலாம்.
சாதன அங்கீகாரம் போன்ற பல இடர் மதிப்பீட்டுக் கருவிகளைப் பயன்படுத்துதல் (சட்டப்பூர்வ பயனருக்குச் சொந்தமில்லாத சாதனங்களிலிருந்து பரிவர்த்தனைகளைச் செய்வதற்கான முயற்சிகளைக் கண்டறிதல்), புவிஇருப்பிடம் (மாஸ்கோவில் இருந்த ஒரு பயனர் நோவோசிபிர்ஸ்கிலிருந்து ஒரு அறுவை சிகிச்சை செய்ய முயற்சிக்கிறார்) மற்றும் நடத்தை பகுப்பாய்வு பாதிப்புகளை நிவர்த்தி செய்வதற்கு முக்கியம், ஆனால் எந்த தீர்வும் ஒரு சஞ்சீவி அல்ல. ஒவ்வொரு சூழ்நிலை மற்றும் தரவு வகைக்கும், அபாயங்களை கவனமாக மதிப்பீடு செய்து, எந்த அங்கீகார தொழில்நுட்பத்தைப் பயன்படுத்த வேண்டும் என்பதைத் தேர்வு செய்வது அவசியம்.
எந்த அங்கீகார தீர்வும் ஒரு சஞ்சீவி அல்ல
படம் 2. அங்கீகார விருப்பங்கள் அட்டவணை
| அங்கீகார | காரணி | விளக்கம் | முக்கிய பாதிப்புகள் |
| கடவுச்சொல் அல்லது பின் | அறிவு | நிலையான மதிப்பு, இதில் எழுத்துக்கள், எண்கள் மற்றும் பல எழுத்துக்கள் அடங்கும் | இடைமறிக்கலாம், உளவு பார்க்கலாம், திருடலாம், எடுக்கலாம் அல்லது ஹேக் செய்யலாம் |
| அறிவு சார்ந்த அங்கீகாரம் | அறிவு | சட்டப்பூர்வ பயனர் மட்டுமே அறியக்கூடிய பதில்களைக் கேள்விகள் | சமூக பொறியியல் முறைகளைப் பயன்படுத்தி இடைமறிக்கலாம், எடுக்கலாம், பெறலாம் |
| வன்பொருள் OTP () | உடைமை | ஒரு முறை கடவுச்சொற்களை உருவாக்கும் சிறப்பு சாதனம் | குறியீடு இடைமறித்து மீண்டும் மீண்டும் செய்யப்படலாம் அல்லது சாதனம் திருடப்படலாம் |
| மென்பொருள் OTPகள் | உடைமை | ஒரு முறை கடவுச்சொற்களை உருவாக்கும் பயன்பாடு (மொபைல், உலாவி மூலம் அணுகக்கூடியது அல்லது மின்னஞ்சல் மூலம் குறியீடுகளை அனுப்புதல்) | குறியீடு இடைமறித்து மீண்டும் மீண்டும் செய்யப்படலாம் அல்லது சாதனம் திருடப்படலாம் |
| எஸ்எம்எஸ் OTP | உடைமை | ஒரு முறை கடவுச்சொல் எஸ்எம்எஸ் உரைச் செய்தி மூலம் வழங்கப்பட்டது | குறியீடு இடைமறித்து மீண்டும் மீண்டும் செய்யப்படலாம் அல்லது ஸ்மார்ட்போன் அல்லது சிம் கார்டு திருடப்படலாம் அல்லது சிம் கார்டு நகலெடுக்கப்படலாம் |
| ஸ்மார்ட் கார்டுகள் () | உடைமை | கிரிப்டோகிராஃபிக் சிப் மற்றும் அங்கீகாரத்திற்காக பொது விசை உள்கட்டமைப்பைப் பயன்படுத்தும் பாதுகாப்பான விசை நினைவகத்தைக் கொண்ட கார்டு | உடல் ரீதியாக திருடப்படலாம் (ஆனால் தாக்குபவர் PIN குறியீட்டை அறியாமல் சாதனத்தைப் பயன்படுத்த முடியாது; பல தவறான உள்ளீடு முயற்சிகள் ஏற்பட்டால், சாதனம் தடுக்கப்படும்) |
| பாதுகாப்பு விசைகள் - டோக்கன்கள் (, ) | உடைமை | அங்கீகாரத்திற்காக பொது விசை உள்கட்டமைப்பைப் பயன்படுத்தும் கிரிப்டோகிராஃபிக் சிப் மற்றும் பாதுகாப்பான விசை நினைவகத்தைக் கொண்ட USB சாதனம் | உடல் ரீதியாக திருடப்படலாம் (ஆனால் தாக்குபவர் PIN குறியீட்டை அறியாமல் சாதனத்தைப் பயன்படுத்த முடியாது; பல தவறான நுழைவு முயற்சிகள் ஏற்பட்டால், சாதனம் தடுக்கப்படும்) |
| சாதனத்துடன் இணைக்கிறது | உடைமை | ஒரு சுயவிவரத்தை உருவாக்கும் செயல்முறை, பெரும்பாலும் ஜாவாஸ்கிரிப்டைப் பயன்படுத்துதல் அல்லது ஒரு குறிப்பிட்ட சாதனம் பயன்படுத்தப்படுவதை உறுதிசெய்ய குக்கீகள் மற்றும் ஃப்ளாஷ் பகிரப்பட்ட பொருள்கள் போன்ற குறிப்பான்களைப் பயன்படுத்துதல் | டோக்கன்கள் திருடப்படலாம் (நகலெடுக்கப்படலாம்), மேலும் சட்ட சாதனத்தின் பண்புகளை தாக்குபவர் தனது சாதனத்தில் பின்பற்றலாம் |
| நடத்தை | உள்ளார்ந்த தன்மை | ஒரு சாதனம் அல்லது நிரலுடன் பயனர் எவ்வாறு தொடர்பு கொள்கிறார் என்பதை பகுப்பாய்வு செய்கிறது | நடத்தையைப் பின்பற்றலாம் |
| கைரேகைகள் | உள்ளார்ந்த தன்மை | சேமிக்கப்பட்ட கைரேகைகள் ஒளியியல் அல்லது மின்னணு முறையில் கைப்பற்றப்பட்டவற்றுடன் ஒப்பிடப்படுகின்றன | படத்தை திருடலாம் மற்றும் அங்கீகாரத்திற்கு பயன்படுத்தலாம் |
| கண் ஸ்கேன் | உள்ளார்ந்த தன்மை | புதிய ஆப்டிகல் ஸ்கேன்களுடன் கருவிழிப் படலம் போன்ற கண் பண்புகளை ஒப்பிடுகிறது | படத்தை திருடலாம் மற்றும் அங்கீகாரத்திற்கு பயன்படுத்தலாம் |
| முகத்தை அடையாளம் காணுதல் | உள்ளார்ந்த தன்மை | முகப் பண்புகள் புதிய ஆப்டிகல் ஸ்கேன்களுடன் ஒப்பிடப்படுகின்றன | படத்தை திருடலாம் மற்றும் அங்கீகாரத்திற்கு பயன்படுத்தலாம் |
| குரல் அங்கீகாரம் | உள்ளார்ந்த தன்மை | பதிவுசெய்யப்பட்ட குரல் மாதிரியின் பண்புகள் புதிய மாதிரிகளுடன் ஒப்பிடப்படுகின்றன | பதிவேடு திருடப்பட்டு அங்கீகாரத்திற்காக பயன்படுத்தப்படலாம் அல்லது பின்பற்றலாம் |
வெளியீட்டின் இரண்டாம் பகுதியில், மிகவும் சுவையான விஷயங்கள் நமக்குக் காத்திருக்கின்றன - எண்கள் மற்றும் உண்மைகள், முதல் பகுதியில் கொடுக்கப்பட்ட முடிவுகளும் பரிந்துரைகளும் அடிப்படையாகக் கொண்டவை. பயனர் பயன்பாடுகள் மற்றும் கார்ப்பரேட் அமைப்புகளில் அங்கீகாரம் தனித்தனியாக விவாதிக்கப்படும்.
சீக்கிரம் பார்!
ஆதாரம்: www.habr.com