నివేదిక యొక్క శీర్షిక నుండి స్పాయిలర్: "కొత్త ప్రమాదాలు మరియు నియంత్రణ అవసరాల ముప్పు కారణంగా బలమైన ప్రమాణీకరణ వినియోగం పెరుగుతుంది."
పరిశోధనా సంస్థ "జావెలిన్ స్ట్రాటజీ & రీసెర్చ్" "ది స్టేట్ ఆఫ్ స్ట్రాంగ్ అథెంటికేషన్ 2019" నివేదికను ప్రచురించింది () ఈ నివేదిక ఇలా చెబుతోంది: అమెరికన్ మరియు యూరోపియన్ కంపెనీలు ఎంత శాతం పాస్వర్డ్లను ఉపయోగిస్తాయి (మరియు ఇప్పుడు కొంతమంది పాస్వర్డ్లను ఎందుకు ఉపయోగిస్తున్నారు); క్రిప్టోగ్రాఫిక్ టోకెన్ల ఆధారంగా రెండు-కారకాల ప్రామాణీకరణ ఉపయోగం ఎందుకు అంత త్వరగా పెరుగుతోంది; SMS ద్వారా పంపబడిన వన్-టైమ్ కోడ్లు ఎందుకు సురక్షితంగా లేవు.
ఎంటర్ప్రైజెస్ మరియు వినియోగదారు అప్లికేషన్లలో ప్రామాణీకరణ యొక్క వర్తమానం, గతం మరియు భవిష్యత్తుపై ఆసక్తి ఉన్న ఎవరైనా స్వాగతం.
అనువాదకుని నుండి
అయ్యో, ఈ నివేదిక వ్రాయబడిన భాష చాలా "పొడి" మరియు అధికారికంగా ఉంది. మరియు ఒక చిన్న వాక్యంలో “ప్రామాణీకరణ” అనే పదాన్ని ఐదుసార్లు ఉపయోగించడం అనువాదకుని వంకర చేతులు (లేదా మెదళ్ళు) కాదు, కానీ రచయితల కోరిక. రెండు ఎంపికల నుండి అనువదించేటప్పుడు - పాఠకులకు ఒరిజినల్కి దగ్గరగా ఉన్న వచనాన్ని లేదా మరింత ఆసక్తికరంగా ఇవ్వడానికి, నేను కొన్నిసార్లు మొదటిదాన్ని మరియు కొన్నిసార్లు రెండవదాన్ని ఎంచుకున్నాను. కానీ ఓపికపట్టండి, ప్రియమైన పాఠకులారా, నివేదికలోని విషయాలు విలువైనవి.
కథ కోసం కొన్ని అప్రధానమైన మరియు అనవసరమైన ముక్కలు తీసివేయబడ్డాయి, లేకుంటే మెజారిటీ మొత్తం టెక్స్ట్ని పొందలేకపోయింది. “అన్కట్” నివేదికను చదవాలనుకునే వారు లింక్ను అనుసరించడం ద్వారా అసలు భాషలో చదవగలరు.
దురదృష్టవశాత్తు, రచయితలు ఎల్లప్పుడూ పరిభాషతో జాగ్రత్తగా ఉండరు. అందువల్ల, వన్-టైమ్ పాస్వర్డ్లను (వన్ టైమ్ పాస్వర్డ్ - OTP) కొన్నిసార్లు “పాస్వర్డ్లు” మరియు కొన్నిసార్లు “కోడ్లు” అని పిలుస్తారు. ప్రామాణీకరణ పద్ధతులతో ఇది మరింత ఘోరంగా ఉంది. "క్రిప్టోగ్రాఫిక్ కీలను ఉపయోగించి ప్రమాణీకరణ" మరియు "బలమైన ప్రామాణీకరణ" ఒకటే అని ఊహించడం శిక్షణ లేని రీడర్కు ఎల్లప్పుడూ సులభం కాదు. నేను నిబంధనలను సాధ్యమైనంతవరకు ఏకీకృతం చేయడానికి ప్రయత్నించాను మరియు నివేదికలోనే వాటి వివరణతో ఒక భాగం ఉంది.
ఏది ఏమైనప్పటికీ, నివేదికను చదవడం చాలా సిఫార్సు చేయబడింది ఎందుకంటే ఇది ప్రత్యేకమైన పరిశోధన ఫలితాలు మరియు సరైన ముగింపులను కలిగి ఉంది.
అన్ని గణాంకాలు మరియు వాస్తవాలు స్వల్ప మార్పులు లేకుండా ప్రదర్శించబడతాయి మరియు మీరు వాటితో ఏకీభవించకపోతే, అనువాదకుడితో కాకుండా నివేదిక రచయితలతో వాదించడం మంచిది. మరియు ఇక్కడ నా వ్యాఖ్యలు ఉన్నాయి (కొటేషన్లుగా వేయబడ్డాయి మరియు టెక్స్ట్లో గుర్తించబడ్డాయి ఇటాలియన్) నా విలువ తీర్పు మరియు వాటిలో ప్రతిదానిపై (అలాగే అనువాదం నాణ్యతపై) వాదించడానికి నేను సంతోషిస్తాను.
పర్యావలోకనం
ఈ రోజుల్లో, కస్టమర్లతో కమ్యూనికేషన్ యొక్క డిజిటల్ ఛానెల్లు వ్యాపారాలకు గతంలో కంటే చాలా ముఖ్యమైనవి. మరియు కంపెనీలో, ఉద్యోగుల మధ్య కమ్యూనికేషన్లు గతంలో కంటే డిజిటల్ ఆధారితంగా ఉంటాయి. మరియు ఈ పరస్పర చర్యలు ఎంత సురక్షితంగా ఉంటాయి అనేది వినియోగదారు ప్రమాణీకరణ యొక్క ఎంచుకున్న పద్ధతిపై ఆధారపడి ఉంటుంది. దాడి చేసేవారు వినియోగదారు ఖాతాలను భారీగా హ్యాక్ చేయడానికి బలహీనమైన ప్రమాణీకరణను ఉపయోగిస్తారు. ప్రతిస్పందనగా, వినియోగదారు ఖాతాలు మరియు డేటాను మెరుగ్గా రక్షించడానికి వ్యాపారాలను బలవంతం చేయడానికి నియంత్రణలు ప్రమాణాలను కఠినతరం చేస్తున్నాయి.
ప్రామాణీకరణ-సంబంధిత బెదిరింపులు వినియోగదారు అనువర్తనాలకు మించి విస్తరించి ఉన్నాయి; దాడి చేసేవారు ఎంటర్ప్రైజ్లో నడుస్తున్న అప్లికేషన్లకు కూడా ప్రాప్యతను పొందవచ్చు. ఈ ఆపరేషన్ వారిని కార్పొరేట్ వినియోగదారుల వలె నటించడానికి అనుమతిస్తుంది. బలహీనమైన ప్రామాణీకరణతో యాక్సెస్ పాయింట్లను ఉపయోగించే దాడి చేసేవారు డేటాను దొంగిలించవచ్చు మరియు ఇతర మోసపూరిత కార్యకలాపాలు చేయవచ్చు. అదృష్టవశాత్తూ, దీనిని ఎదుర్కోవడానికి చర్యలు ఉన్నాయి. బలమైన ప్రామాణీకరణ వినియోగదారుల అప్లికేషన్లు మరియు ఎంటర్ప్రైజ్ బిజినెస్ సిస్టమ్లపై దాడి చేసేవారి దాడి ప్రమాదాన్ని గణనీయంగా తగ్గించడంలో సహాయపడుతుంది.
ఈ అధ్యయనం పరిశీలిస్తుంది: ఎండ్-యూజర్ అప్లికేషన్లు మరియు ఎంటర్ప్రైజ్ బిజినెస్ సిస్టమ్లను రక్షించడానికి ఎంటర్ప్రైజెస్ ప్రామాణీకరణను ఎలా అమలు చేస్తుంది; ప్రమాణీకరణ పరిష్కారాన్ని ఎన్నుకునేటప్పుడు వారు పరిగణించే అంశాలు; వారి సంస్థలలో బలమైన ప్రమాణీకరణ పోషించే పాత్ర; ఈ సంస్థలు పొందే ప్రయోజనాలు.
సారాంశం
కీ అన్వేషణలు
2017 నుండి, బలమైన ప్రమాణీకరణ వినియోగం బాగా పెరిగింది. సాంప్రదాయ ప్రామాణీకరణ పరిష్కారాలను ప్రభావితం చేసే దుర్బలత్వాల సంఖ్య పెరుగుతున్నందున, సంస్థలు బలమైన ప్రమాణీకరణతో తమ ప్రామాణీకరణ సామర్థ్యాలను బలోపేతం చేస్తున్నాయి. క్రిప్టోగ్రాఫిక్ మల్టీ-ఫాక్టర్ అథెంటికేషన్ (MFA)ని ఉపయోగించే సంస్థల సంఖ్య 2017 నుండి వినియోగదారుల అప్లికేషన్ల కోసం మూడు రెట్లు పెరిగింది మరియు ఎంటర్ప్రైజ్ అప్లికేషన్ల కోసం దాదాపు 50% పెరిగింది. బయోమెట్రిక్ ప్రమాణీకరణ యొక్క పెరుగుతున్న లభ్యత కారణంగా మొబైల్ ప్రమాణీకరణలో వేగవంతమైన వృద్ధి కనిపిస్తుంది.
"ఉరుములు పడేంతవరకు మనిషి తనను తాను దాటుకోడు" అనే సామెతను ఇక్కడ మనం చూస్తాము. పాస్వర్డ్ల అభద్రత గురించి నిపుణులు హెచ్చరించినప్పుడు, రెండు-కారకాల ప్రమాణీకరణను అమలు చేయడానికి ఎవరూ తొందరపడలేదు. హ్యాకర్లు పాస్వర్డ్లను దొంగిలించడం ప్రారంభించిన వెంటనే, ప్రజలు రెండు-కారకాల ప్రమాణీకరణను అమలు చేయడం ప్రారంభించారు.
నిజమే, వ్యక్తులు 2FAను మరింత చురుకుగా అమలు చేస్తున్నారు. ముందుగా, స్మార్ట్ఫోన్లలో నిర్మించిన బయోమెట్రిక్ ప్రమాణీకరణపై ఆధారపడటం ద్వారా వారి భయాలను శాంతింపజేయడం వారికి సులభం, వాస్తవానికి ఇది చాలా నమ్మదగనిది. సంస్థలు టోకెన్లను కొనుగోలు చేయడానికి డబ్బు ఖర్చు చేయాలి మరియు వాటిని అమలు చేయడానికి పనిని (వాస్తవానికి, చాలా సరళంగా) నిర్వహించాలి. మరియు రెండవది, Facebook మరియు డ్రాప్బాక్స్ వంటి సేవల నుండి పాస్వర్డ్ లీక్ల గురించి సోమరి వ్యక్తులు మాత్రమే వ్రాయలేదు, అయితే ఈ సంస్థల CIOలు సంస్థల్లో పాస్వర్డ్లు ఎలా దొంగిలించబడ్డాయి (మరియు తరువాత ఏమి జరిగింది) గురించి కథనాలను ఎట్టి పరిస్థితుల్లోనూ పంచుకోరు.
బలమైన ప్రమాణీకరణను ఉపయోగించని వారు తమ వ్యాపారం మరియు కస్టమర్లకు తమ ప్రమాదాన్ని తక్కువగా అంచనా వేస్తున్నారు. ప్రస్తుతం బలమైన ప్రమాణీకరణను ఉపయోగించని కొన్ని సంస్థలు లాగిన్లు మరియు పాస్వర్డ్లను వినియోగదారు ప్రామాణీకరణ యొక్క అత్యంత ప్రభావవంతమైన మరియు ఉపయోగించడానికి సులభమైన పద్ధతుల్లో ఒకటిగా చూస్తాయి. ఇతరులు తమ వద్ద ఉన్న డిజిటల్ ఆస్తుల విలువను చూడలేరు. అన్నింటికంటే, సైబర్ నేరస్థులు ఏదైనా వినియోగదారు మరియు వ్యాపార సమాచారంపై ఆసక్తి కలిగి ఉన్నారని పరిగణనలోకి తీసుకోవడం విలువ. తమ ఉద్యోగులను ప్రామాణీకరించడానికి పాస్వర్డ్లను మాత్రమే ఉపయోగించే మూడింట రెండు వంతుల కంపెనీలు పాస్వర్డ్లు వారు రక్షించే సమాచార రకానికి సరిపోతాయని నమ్ముతారు.
అయితే, పాస్వర్డ్లు సమాధికి దారిలో ఉన్నాయి. సంస్థలు సాంప్రదాయ MFA మరియు బలమైన ప్రమాణీకరణను ఉపయోగించడాన్ని పెంచడంతో, వినియోగదారు మరియు సంస్థ అనువర్తనాలు (వరుసగా 44% నుండి 31% మరియు 56% నుండి 47% వరకు) పాస్వర్డ్ డిపెండెన్సీ గత సంవత్సరంలో గణనీయంగా పడిపోయింది.
కానీ మేము మొత్తం పరిస్థితిని పరిశీలిస్తే, హాని కలిగించే ప్రమాణీకరణ పద్ధతులు ఇప్పటికీ ప్రబలంగా ఉన్నాయి. వినియోగదారు ప్రమాణీకరణ కోసం, దాదాపు నాలుగింట ఒక వంతు సంస్థలు భద్రతా ప్రశ్నలతో పాటు SMS OTP (వన్-టైమ్ పాస్వర్డ్)ని ఉపయోగిస్తాయి. ఫలితంగా, దుర్బలత్వం నుండి రక్షించడానికి అదనపు భద్రతా చర్యలు తప్పనిసరిగా అమలు చేయబడాలి, ఇది ఖర్చులను పెంచుతుంది. హార్డ్వేర్ క్రిప్టోగ్రాఫిక్ కీల వంటి చాలా సురక్షితమైన ప్రామాణీకరణ పద్ధతుల ఉపయోగం దాదాపు 5% సంస్థలలో చాలా తక్కువ తరచుగా ఉపయోగించబడుతుంది.
అభివృద్ధి చెందుతున్న నియంత్రణ వాతావరణం వినియోగదారు అనువర్తనాల కోసం బలమైన ప్రమాణీకరణను వేగవంతం చేస్తుందని హామీ ఇస్తుంది. PSD2 పరిచయంతో, అలాగే EU మరియు కాలిఫోర్నియా వంటి అనేక US రాష్ట్రాల్లో కొత్త డేటా రక్షణ నియమాలు, కంపెనీలు వేడిని అనుభవిస్తున్నాయి. దాదాపు 70% కంపెనీలు తమ వినియోగదారులకు బలమైన ప్రమాణీకరణను అందించడానికి బలమైన నియంత్రణ ఒత్తిడిని ఎదుర్కొంటున్నట్లు అంగీకరిస్తున్నాయి. సగానికి పైగా ఎంటర్ప్రైజెస్ కొన్ని సంవత్సరాలలో రెగ్యులేటరీ ప్రమాణాలకు అనుగుణంగా తమ ప్రామాణీకరణ పద్ధతులు సరిపోవని నమ్ముతున్నాయి.
ప్రోగ్రామ్లు మరియు సేవల వినియోగదారుల వ్యక్తిగత డేటా రక్షణకు రష్యన్ మరియు అమెరికన్-యూరోపియన్ శాసనసభ్యుల విధానాలలో వ్యత్యాసం స్పష్టంగా కనిపిస్తుంది. రష్యన్లు ఇలా అంటారు: ప్రియమైన సేవా యజమానులారా, మీకు ఏమి కావాలో మరియు ఎలా కావాలో చేయండి, కానీ మీ నిర్వాహకుడు డేటాబేస్ను విలీనం చేస్తే, మేము మిమ్మల్ని శిక్షిస్తాము. వారు విదేశాలలో అంటున్నారు: మీరు తప్పనిసరిగా కొన్ని చర్యలను అమలు చేయాలి అనుమతించదు బేస్ హరించడం. అందుకే కఠినమైన రెండు-కారకాల ప్రమాణీకరణ కోసం ఆవశ్యకతలు అక్కడ అమలు చేయబడుతున్నాయి.
నిజమే, మన శాసన యంత్రం ఏదో ఒకరోజు దాని స్పృహలోకి రాదు మరియు పాశ్చాత్య అనుభవాన్ని పరిగణనలోకి తీసుకోదు. అప్పుడు ప్రతి ఒక్కరూ రష్యన్ క్రిప్టోగ్రాఫిక్ ప్రమాణాలకు అనుగుణంగా 2FA అమలు చేయాల్సిన అవసరం ఉందని మరియు అత్యవసరంగా మారుతుంది.
బలమైన ప్రామాణీకరణ ఫ్రేమ్వర్క్ను ఏర్పాటు చేయడం వల్ల కంపెనీలు తమ దృష్టిని నియంత్రణ అవసరాలను తీర్చడం నుండి కస్టమర్ అవసరాలను తీర్చడం వైపు మళ్లిస్తాయి. ఇప్పటికీ సాధారణ పాస్వర్డ్లను ఉపయోగిస్తున్న లేదా SMS ద్వారా కోడ్లను స్వీకరించే సంస్థలకు, ప్రమాణీకరణ పద్ధతిని ఎంచుకున్నప్పుడు అత్యంత ముఖ్యమైన అంశం నియంత్రణ అవసరాలకు అనుగుణంగా ఉంటుంది. కానీ ఇప్పటికే బలమైన ప్రామాణీకరణను ఉపయోగిస్తున్న కంపెనీలు కస్టమర్ విధేయతను పెంచే ప్రామాణీకరణ పద్ధతులను ఎంచుకోవడంపై దృష్టి పెట్టవచ్చు.
ఎంటర్ప్రైజ్లో కార్పొరేట్ ప్రామాణీకరణ పద్ధతిని ఎంచుకున్నప్పుడు, నియంత్రణ అవసరాలు ఇకపై ముఖ్యమైన అంశం కాదు. ఈ సందర్భంలో, ఇంటిగ్రేషన్ సౌలభ్యం (32%) మరియు ఖర్చు (26%) చాలా ముఖ్యమైనవి.
ఫిషింగ్ యుగంలో, దాడి చేసేవారు స్కామ్ చేయడానికి కార్పొరేట్ ఇమెయిల్ను ఉపయోగించవచ్చు మోసపూరితంగా డేటా, ఖాతాలకు (తగిన యాక్సెస్ హక్కులతో) యాక్సెస్ పొందడానికి మరియు అతని ఖాతాకు డబ్బు బదిలీ చేయడానికి ఉద్యోగులను ఒప్పించడానికి కూడా. కాబట్టి, కార్పొరేట్ ఇమెయిల్ మరియు పోర్టల్ ఖాతాలు ప్రత్యేకించి బాగా రక్షించబడాలి.
Google బలమైన ప్రమాణీకరణను అమలు చేయడం ద్వారా దాని భద్రతను పటిష్టం చేసింది. రెండు సంవత్సరాల క్రితం, Google FIDO U2F ప్రమాణాన్ని ఉపయోగించి క్రిప్టోగ్రాఫిక్ సెక్యూరిటీ కీల ఆధారంగా రెండు-కారకాల ప్రమాణీకరణ అమలుపై ఒక నివేదికను ప్రచురించింది, ఆకట్టుకునే ఫలితాలను నివేదించింది. కంపెనీ ప్రకారం, 85 కంటే ఎక్కువ మంది ఉద్యోగులపై ఒక్క ఫిషింగ్ దాడి కూడా జరగలేదు.
సిఫార్సులు
మొబైల్ మరియు ఆన్లైన్ అప్లికేషన్ల కోసం బలమైన ప్రమాణీకరణను అమలు చేయండి. క్రిప్టోగ్రాఫిక్ కీల ఆధారంగా బహుళ-కారకాల ప్రమాణీకరణ సాంప్రదాయ MFA పద్ధతుల కంటే హ్యాకింగ్కు వ్యతిరేకంగా మెరుగైన రక్షణను అందిస్తుంది. అదనంగా, క్రిప్టోగ్రాఫిక్ కీల ఉపయోగం మరింత సౌకర్యవంతంగా ఉంటుంది, ఎందుకంటే అదనపు సమాచారాన్ని ఉపయోగించడం మరియు బదిలీ చేయడం అవసరం లేదు - పాస్వర్డ్లు, వన్-టైమ్ పాస్వర్డ్లు లేదా బయోమెట్రిక్ డేటా వినియోగదారు పరికరం నుండి ప్రామాణీకరణ సర్వర్కు. అదనంగా, ప్రామాణీకరణ ప్రోటోకాల్లను ప్రామాణీకరించడం వలన అవి అందుబాటులోకి వచ్చినప్పుడు కొత్త ప్రమాణీకరణ పద్ధతులను అమలు చేయడం చాలా సులభతరం చేస్తుంది, అమలు ఖర్చులను తగ్గిస్తుంది మరియు మరింత అధునాతన మోసం పథకాల నుండి రక్షించబడుతుంది.
వన్-టైమ్ పాస్వర్డ్ల (OTP) డెమైజ్ కోసం సిద్ధం చేయండి. సైబర్ నేరస్థులు సోషల్ ఇంజనీరింగ్, స్మార్ట్ఫోన్ క్లోనింగ్ మరియు మాల్వేర్లను ఈ ప్రమాణీకరణ మార్గాలను రాజీ చేయడానికి ఉపయోగిస్తున్నందున OTPలలో అంతర్లీనంగా ఉన్న దుర్బలత్వాలు ఎక్కువగా స్పష్టంగా కనిపిస్తున్నాయి. మరియు కొన్ని సందర్భాల్లో OTPలు నిర్దిష్ట ప్రయోజనాలను కలిగి ఉంటే, వినియోగదారులందరికీ సార్వత్రిక లభ్యత కోణం నుండి మాత్రమే, కానీ భద్రత కోణం నుండి కాదు.
SMS లేదా పుష్ నోటిఫికేషన్ల ద్వారా కోడ్లను స్వీకరించడం, అలాగే స్మార్ట్ఫోన్ల కోసం ప్రోగ్రామ్లను ఉపయోగించి కోడ్లను రూపొందించడం, అదే వన్-టైమ్ పాస్వర్డ్లను (OTP) ఉపయోగించడం అని గమనించడం అసాధ్యం. సాంకేతిక కోణం నుండి, పరిష్కారం చాలా సరైనది, ఎందుకంటే ఇది మోసపూరిత వినియోగదారు నుండి వన్-టైమ్ పాస్వర్డ్ను కనుగొనడానికి ప్రయత్నించని అరుదైన మోసగాడు. కానీ అలాంటి వ్యవస్థల తయారీదారులు చనిపోయే సాంకేతికతకు చివరి వరకు అతుక్కుపోతారని నేను భావిస్తున్నాను.
కస్టమర్ నమ్మకాన్ని పెంచడానికి బలమైన ప్రమాణీకరణను మార్కెటింగ్ సాధనంగా ఉపయోగించండి. బలమైన ప్రమాణీకరణ మీ వ్యాపారం యొక్క వాస్తవ భద్రతను మెరుగుపరచడం కంటే ఎక్కువ చేయగలదు. మీ వ్యాపారం బలమైన ప్రామాణీకరణను ఉపయోగిస్తుందని కస్టమర్లకు తెలియజేయడం వలన ఆ వ్యాపారం యొక్క భద్రతపై ప్రజల అవగాహనను బలోపేతం చేయవచ్చు-బలమైన ప్రామాణీకరణ పద్ధతుల కోసం గణనీయమైన కస్టమర్ డిమాండ్ ఉన్నప్పుడు ఇది ముఖ్యమైన అంశం.
కార్పొరేట్ డేటా యొక్క సమగ్ర జాబితా మరియు విమర్శనాత్మక అంచనాను నిర్వహించండి మరియు ప్రాముఖ్యత ప్రకారం దానిని రక్షించండి. కస్టమర్ సంప్రదింపు సమాచారం వంటి తక్కువ-రిస్క్ డేటా కూడా (లేదు, నిజంగా, నివేదిక "తక్కువ-ప్రమాదం" అని చెప్పింది, వారు ఈ సమాచారం యొక్క ప్రాముఖ్యతను తక్కువగా అంచనా వేయడం చాలా వింతగా ఉంది), మోసగాళ్లకు గణనీయమైన విలువను తీసుకురావచ్చు మరియు కంపెనీకి సమస్యలను కలిగిస్తుంది.
బలమైన ఎంటర్ప్రైజ్ ప్రమాణీకరణను ఉపయోగించండి. నేరస్థులకు అనేక వ్యవస్థలు అత్యంత ఆకర్షణీయమైన లక్ష్యాలు. వీటిలో అకౌంటింగ్ ప్రోగ్రామ్ లేదా కార్పొరేట్ డేటా వేర్హౌస్ వంటి అంతర్గత మరియు ఇంటర్నెట్-కనెక్ట్ సిస్టమ్లు ఉన్నాయి. బలమైన ప్రామాణీకరణ దాడి చేసేవారిని అనధికారిక యాక్సెస్ను పొందకుండా నిరోధిస్తుంది మరియు హానికరమైన కార్యకలాపానికి పాల్పడిన ఉద్యోగి ఖచ్చితంగా గుర్తించడాన్ని కూడా సాధ్యం చేస్తుంది.
బలమైన ప్రమాణీకరణ అంటే ఏమిటి?
బలమైన ప్రమాణీకరణను ఉపయోగిస్తున్నప్పుడు, వినియోగదారు యొక్క ప్రామాణికతను ధృవీకరించడానికి అనేక పద్ధతులు లేదా కారకాలు ఉపయోగించబడతాయి:
- నాలెడ్జ్ ఫ్యాక్టర్: వినియోగదారు మరియు వినియోగదారు యొక్క ప్రామాణీకరించబడిన విషయం (పాస్వర్డ్లు, భద్రతా ప్రశ్నలకు సమాధానాలు మొదలైనవి) మధ్య రహస్యంగా భాగస్వామ్యం చేయబడింది.
- యాజమాన్య అంశం: వినియోగదారు మాత్రమే కలిగి ఉన్న పరికరం (ఉదాహరణకు, మొబైల్ పరికరం, క్రిప్టోగ్రాఫిక్ కీ మొదలైనవి)
- సమగ్రత కారకం: వినియోగదారు యొక్క భౌతిక (తరచుగా బయోమెట్రిక్) లక్షణాలు (ఉదాహరణకు, వేలిముద్ర, ఐరిస్ నమూనా, వాయిస్, ప్రవర్తన మొదలైనవి)
బహుళ కారకాలను హ్యాక్ చేయాల్సిన అవసరం దాడి చేసేవారికి విఫలమయ్యే సంభావ్యతను బాగా పెంచుతుంది, ఎందుకంటే వివిధ కారకాలను దాటవేయడం లేదా మోసం చేయడం వలన ప్రతి కారకం కోసం విడివిడిగా అనేక రకాల హ్యాకింగ్ వ్యూహాలను ఉపయోగించడం అవసరం.
ఉదాహరణకు, 2FA “పాస్వర్డ్ + స్మార్ట్ఫోన్”తో దాడి చేసే వ్యక్తి వినియోగదారు పాస్వర్డ్ని చూసి అతని స్మార్ట్ఫోన్కి ఖచ్చితమైన సాఫ్ట్వేర్ కాపీని తయారు చేయడం ద్వారా ప్రామాణీకరణ చేయవచ్చు. మరియు పాస్వర్డ్ను దొంగిలించడం కంటే ఇది చాలా కష్టం.
కానీ 2FA కోసం పాస్వర్డ్ మరియు క్రిప్టోగ్రాఫిక్ టోకెన్ ఉపయోగించినట్లయితే, కాపీ చేసే ఎంపిక ఇక్కడ పనిచేయదు - టోకెన్ను నకిలీ చేయడం అసాధ్యం. మోసగాడు వినియోగదారు నుండి టోకెన్ను దొంగిలించవలసి ఉంటుంది. వినియోగదారు సమయానికి నష్టాన్ని గమనించి, నిర్వాహకులకు తెలియజేసినట్లయితే, టోకెన్ బ్లాక్ చేయబడుతుంది మరియు మోసగాడి ప్రయత్నాలు ఫలించవు. అందుకే యాజమాన్య కారకం సాధారణ ప్రయోజన పరికరాల (స్మార్ట్ఫోన్లు) కంటే ప్రత్యేకమైన సురక్షిత పరికరాలను (టోకెన్లు) ఉపయోగించడం అవసరం.
మూడు కారకాలను ఉపయోగించడం వలన ఈ ప్రమాణీకరణ పద్ధతిని అమలు చేయడం చాలా ఖరీదైనది మరియు ఉపయోగించడానికి చాలా అసౌకర్యంగా ఉంటుంది. అందువల్ల, మూడు కారకాలలో రెండు సాధారణంగా ఉపయోగించబడతాయి.
రెండు-కారకాల ప్రమాణీకరణ యొక్క సూత్రాలు మరింత వివరంగా వివరించబడ్డాయి , "రెండు-కారకాల ప్రమాణీకరణ ఎలా పనిచేస్తుంది" బ్లాక్లో.
బలమైన ప్రమాణీకరణలో ఉపయోగించే ప్రమాణీకరణ కారకాలలో కనీసం ఒకదైనా తప్పనిసరిగా పబ్లిక్ కీ క్రిప్టోగ్రఫీని ఉపయోగించాలని గమనించడం ముఖ్యం.
క్లాసిక్ పాస్వర్డ్లు మరియు సాంప్రదాయ MFA ఆధారంగా సింగిల్-ఫాక్టర్ ప్రమాణీకరణ కంటే బలమైన ప్రమాణీకరణ చాలా బలమైన రక్షణను అందిస్తుంది. కీలాగర్లు, ఫిషింగ్ సైట్లు లేదా సోషల్ ఇంజినీరింగ్ దాడులను (బాధితుడు వారి పాస్వర్డ్ను బహిర్గతం చేసేలా మోసగించడం) ఉపయోగించి పాస్వర్డ్లను గూఢచర్యం చేయవచ్చు లేదా అడ్డగించవచ్చు. అంతేకాదు, పాస్వర్డ్ యజమానికి దొంగతనం గురించి ఏమీ తెలియదు. సాంప్రదాయ MFA (OTP కోడ్లతో సహా, స్మార్ట్ఫోన్ లేదా SIM కార్డ్తో సహా) కూడా చాలా సులభంగా హ్యాక్ చేయబడుతుంది, ఎందుకంటే ఇది పబ్లిక్ కీ క్రిప్టోగ్రఫీపై ఆధారపడి ఉండదు (అదే విధంగా, అదే సోషల్ ఇంజనీరింగ్ టెక్నిక్లను ఉపయోగించి, స్కామర్లు వినియోగదారులను వన్-టైమ్ పాస్వర్డ్ ఇవ్వమని ఒప్పించినప్పుడు చాలా ఉదాహరణలు ఉన్నాయి.).
అదృష్టవశాత్తూ, బలమైన ప్రామాణీకరణ మరియు సాంప్రదాయ MFA వినియోగం గత సంవత్సరం నుండి వినియోగదారు మరియు ఎంటర్ప్రైజ్ అప్లికేషన్లలో ట్రాక్షన్ పొందుతోంది. వినియోగదారు అనువర్తనాల్లో బలమైన ప్రమాణీకరణ వినియోగం ముఖ్యంగా వేగంగా పెరిగింది. 2017లో 5% కంపెనీలు మాత్రమే దీనిని ఉపయోగించినట్లయితే, 2018లో ఇది ఇప్పటికే మూడు రెట్లు ఎక్కువ - 16%. పబ్లిక్ కీ క్రిప్టోగ్రఫీ (PKC) అల్గారిథమ్లకు మద్దతిచ్చే టోకెన్ల పెరిగిన లభ్యత ద్వారా దీనిని వివరించవచ్చు. అదనంగా, PSD2 మరియు GDPR వంటి కొత్త డేటా రక్షణ నిబంధనలను అనుసరించి యూరోపియన్ రెగ్యులేటర్ల నుండి పెరిగిన ఒత్తిడి యూరప్ వెలుపల కూడా బలమైన ప్రభావాన్ని చూపింది (రష్యాతో సహా).
ఈ సంఖ్యలను నిశితంగా పరిశీలిద్దాం. మనం చూడగలిగినట్లుగా, బహుళ-కారకాల ప్రమాణీకరణను ఉపయోగించే ప్రైవేట్ వ్యక్తుల శాతం సంవత్సరంలో ఆకట్టుకునే విధంగా 11% పెరిగింది. పాస్వర్డ్ ప్రేమికుల ఖర్చుతో ఇది స్పష్టంగా జరిగింది, ఎందుకంటే పుష్ నోటిఫికేషన్లు, SMS మరియు బయోమెట్రిక్ల భద్రతను విశ్వసించే వారి సంఖ్య మారలేదు.
కానీ కార్పొరేట్ ఉపయోగం కోసం రెండు-కారకాల ప్రమాణీకరణతో, విషయాలు అంత మంచివి కావు. మొదట, నివేదిక ప్రకారం, కేవలం 5% ఉద్యోగులు మాత్రమే పాస్వర్డ్ ప్రమాణీకరణ నుండి టోకెన్లకు బదిలీ చేయబడ్డారు. మరియు రెండవది, కార్పొరేట్ వాతావరణంలో ప్రత్యామ్నాయ MFA ఎంపికలను ఉపయోగించే వారి సంఖ్య 4% పెరిగింది.
నేను విశ్లేషకుడిని ప్లే చేసి నా వివరణ ఇవ్వడానికి ప్రయత్నిస్తాను. వ్యక్తిగత వినియోగదారుల డిజిటల్ ప్రపంచం మధ్యలో స్మార్ట్ఫోన్ ఉంది. అందువల్ల, మెజారిటీ పరికరం వారికి అందించే సామర్థ్యాలను ఉపయోగించడంలో ఆశ్చర్యం లేదు - బయోమెట్రిక్ ప్రామాణీకరణ, SMS మరియు పుష్ నోటిఫికేషన్లు, అలాగే స్మార్ట్ఫోన్లోని అప్లికేషన్ల ద్వారా రూపొందించబడిన వన్-టైమ్ పాస్వర్డ్లు. ప్రజలు సాధారణంగా ఉపయోగించే సాధనాలను ఉపయోగిస్తున్నప్పుడు భద్రత మరియు విశ్వసనీయత గురించి ఆలోచించరు.
అందుకే ఆదిమ "సాంప్రదాయ" ప్రమాణీకరణ కారకాల వినియోగదారుల శాతం మారదు. అయితే గతంలో పాస్వర్డ్లను ఉపయోగించిన వారు ఎంత రిస్క్లో ఉన్నారో అర్థం చేసుకుంటారు మరియు కొత్త ప్రమాణీకరణ కారకాన్ని ఎంచుకున్నప్పుడు, వారు సరికొత్త మరియు సురక్షితమైన ఎంపికను ఎంచుకుంటారు - క్రిప్టోగ్రాఫిక్ టోకెన్.
కార్పొరేట్ మార్కెట్ విషయానికొస్తే, ఏ సిస్టమ్ ప్రామాణీకరణ నిర్వహించబడుతుందో అర్థం చేసుకోవడం చాలా ముఖ్యం. Windows డొమైన్కు లాగిన్ అమలు చేయబడితే, క్రిప్టోగ్రాఫిక్ టోకెన్లు ఉపయోగించబడతాయి. 2FA కోసం వాటిని ఉపయోగించే అవకాశాలు ఇప్పటికే Windows మరియు Linux రెండింటిలోనూ నిర్మించబడ్డాయి, అయితే ప్రత్యామ్నాయ ఎంపికలు చాలా కాలం మరియు అమలు చేయడం కష్టం. పాస్వర్డ్ల నుండి టోకెన్లకు 5% మైగ్రేషన్ కోసం చాలా ఎక్కువ.
మరియు కార్పొరేట్ ఇన్ఫర్మేషన్ సిస్టమ్లో 2FA అమలు డెవలపర్ల అర్హతలపై చాలా ఆధారపడి ఉంటుంది. మరియు క్రిప్టోగ్రాఫిక్ అల్గారిథమ్ల ఆపరేషన్ను అర్థం చేసుకోవడం కంటే డెవలపర్లు వన్-టైమ్ పాస్వర్డ్లను రూపొందించడానికి రెడీమేడ్ మాడ్యూల్స్ తీసుకోవడం చాలా సులభం. మరియు ఫలితంగా, సింగిల్ సైన్-ఆన్ లేదా ప్రివిలేజ్డ్ యాక్సెస్ మేనేజ్మెంట్ సిస్టమ్ల వంటి నమ్మశక్యం కాని భద్రతా-క్లిష్టమైన అప్లికేషన్లు కూడా OTPని రెండవ అంశంగా ఉపయోగిస్తాయి.
సాంప్రదాయ ధృవీకరణ పద్ధతుల్లో అనేక దుర్బలత్వాలు
అనేక సంస్థలు లెగసీ సింగిల్-ఫాక్టర్ సిస్టమ్లపై ఆధారపడుతుండగా, సాంప్రదాయ బహుళ-కారకాల ప్రమాణీకరణలో దుర్బలత్వాలు ఎక్కువగా స్పష్టంగా కనిపిస్తున్నాయి. వన్-టైమ్ పాస్వర్డ్లు, సాధారణంగా ఆరు నుండి ఎనిమిది అక్షరాల పొడవు, SMS ద్వారా అందించబడతాయి, ప్రమాణీకరణ యొక్క అత్యంత సాధారణ రూపం (పాస్వర్డ్ అంశం కాకుండా). మరియు "రెండు-కారకాల ప్రమాణీకరణ" లేదా "రెండు-దశల ధృవీకరణ" అనే పదాలు ప్రముఖ ప్రెస్లో ప్రస్తావించబడినప్పుడు, అవి దాదాపు ఎల్లప్పుడూ SMS వన్-టైమ్ పాస్వర్డ్ ప్రమాణీకరణను సూచిస్తాయి.
ఇక్కడ రచయిత కొద్దిగా పొరబడ్డాడు. SMS ద్వారా వన్-టైమ్ పాస్వర్డ్లను డెలివరీ చేయడం ఎప్పుడూ రెండు-కారకాల ప్రమాణీకరణ కాదు. ఇది దాని స్వచ్ఛమైన రూపంలో రెండు-దశల ప్రమాణీకరణ యొక్క రెండవ దశ, ఇక్కడ మొదటి దశ మీ లాగిన్ మరియు పాస్వర్డ్ను నమోదు చేస్తోంది.
2016లో, నేషనల్ ఇన్స్టిట్యూట్ ఆఫ్ స్టాండర్డ్స్ అండ్ టెక్నాలజీ (NIST) SMS ద్వారా పంపబడే వన్-టైమ్ పాస్వర్డ్ల వినియోగాన్ని తొలగించడానికి దాని ప్రామాణీకరణ నియమాలను నవీకరించింది. అయితే, పరిశ్రమ నిరసనల నేపథ్యంలో ఈ నిబంధనలు గణనీయంగా సడలించబడ్డాయి.
కాబట్టి, ప్లాట్లు అనుసరించండి. అమెరికన్ రెగ్యులేటర్ పాత సాంకేతికత వినియోగదారు భద్రతను నిర్ధారించే సామర్థ్యాన్ని కలిగి లేదని మరియు కొత్త ప్రమాణాలను ప్రవేశపెడుతుందని సరిగ్గా గుర్తించింది. ఆన్లైన్ మరియు మొబైల్ అప్లికేషన్ల (బ్యాంకింగ్ వాటితో సహా) వినియోగదారులను రక్షించడానికి రూపొందించిన ప్రమాణాలు. నిజంగా విశ్వసనీయమైన క్రిప్టోగ్రాఫిక్ టోకెన్లను కొనుగోలు చేయడం, అప్లికేషన్లను రీడిజైనింగ్ చేయడం, పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ని అమలు చేయడం మరియు "అది కాళ్ళపై పెరుగుతోంది" కోసం ఎంత డబ్బు ఖర్చు చేయాల్సి ఉంటుందో పరిశ్రమ లెక్కిస్తోంది. ఒకవైపు, వినియోగదారులు వన్-టైమ్ పాస్వర్డ్ల విశ్వసనీయతను ఒప్పించారు, మరోవైపు, NISTపై దాడులు జరిగాయి. ఫలితంగా, ప్రమాణం మెత్తబడింది మరియు పాస్వర్డ్ల (మరియు బ్యాంకింగ్ అప్లికేషన్ల నుండి డబ్బు) హక్స్ మరియు దొంగతనాల సంఖ్య బాగా పెరిగింది. అయితే ఇండస్ట్రీకి డబ్బులివ్వాల్సిన పనిలేదు.
అప్పటి నుండి, SMS OTP యొక్క స్వాభావిక బలహీనతలు మరింత స్పష్టంగా కనిపించాయి. SMS సందేశాలను రాజీ చేయడానికి మోసగాళ్లు వివిధ పద్ధతులను ఉపయోగిస్తారు:
- SIM కార్డ్ డూప్లికేషన్. దాడి చేసేవారు SIM కాపీని సృష్టిస్తారు (మొబైల్ ఆపరేటర్ ఉద్యోగుల సహాయంతో, లేదా స్వతంత్రంగా, ప్రత్యేక సాఫ్ట్వేర్ మరియు హార్డ్వేర్ని ఉపయోగించి) ఫలితంగా, దాడి చేసే వ్యక్తి వన్-టైమ్ పాస్వర్డ్తో SMSను అందుకుంటాడు. ఒక ప్రత్యేకించి ప్రసిద్ధ కేసులో, క్రిప్టోకరెన్సీ పెట్టుబడిదారు మైఖేల్ టర్పిన్ యొక్క AT&T ఖాతాను హ్యాకర్లు రాజీ చేయగలిగారు మరియు దాదాపు $24 మిలియన్ల క్రిప్టోకరెన్సీలను దొంగిలించారు. ఫలితంగా, SIM కార్డ్ డూప్లికేషన్కు దారితీసిన బలహీన ధృవీకరణ చర్యల కారణంగా AT&T తప్పుగా ఉందని టర్పిన్ పేర్కొన్నాడు.
అద్భుతమైన లాజిక్. కాబట్టి ఇది నిజంగా AT&T యొక్క తప్పు మాత్రమేనా? లేదు, నిస్సందేహంగా కమ్యూనికేషన్ స్టోర్లోని విక్రయదారులు నకిలీ సిమ్ కార్డ్ని జారీ చేయడం మొబైల్ ఆపరేటర్ యొక్క తప్పు. క్రిప్టోకరెన్సీ మార్పిడి ప్రమాణీకరణ వ్యవస్థ గురించి ఏమిటి? వారు బలమైన క్రిప్టోగ్రాఫిక్ టోకెన్లను ఎందుకు ఉపయోగించలేదు? అమలు కోసం డబ్బు ఖర్చు చేయడం జాలిగా ఉందా? మైఖేల్ తనను తాను నిందించడం లేదా? అతను ప్రామాణీకరణ యంత్రాంగాన్ని మార్చాలని లేదా క్రిప్టోగ్రాఫిక్ టోకెన్ల ఆధారంగా రెండు-కారకాల ప్రమాణీకరణను అమలు చేసే ఎక్స్ఛేంజీలను మాత్రమే ఉపయోగించాలని ఎందుకు పట్టుబట్టలేదు?
వినియోగదారులు హ్యాకింగ్కు ముందు అద్భుతమైన అజాగ్రత్తను కనబరుస్తారు మరియు ఆ తర్వాత వారు తమ సమస్యలను ఎవరైనా మరియు పురాతన మరియు "లీకీ" ప్రమాణీకరణ సాంకేతికతలను మినహాయించి మరేదైనా నిందించడం వలన నిజంగా విశ్వసనీయమైన ప్రమాణీకరణ పద్ధతుల పరిచయం ఆలస్యం అవుతుంది.
- మాల్వేర్. మొబైల్ మాల్వేర్ యొక్క ప్రారంభ విధుల్లో ఒకటి దాడి చేసేవారికి వచన సందేశాలను అడ్డగించడం మరియు ఫార్వార్డ్ చేయడం. అలాగే, మ్యాన్-ఇన్-ది-బ్రౌజర్ మరియు మ్యాన్-ఇన్-ది-మిడిల్ అటాక్లు సోకిన ల్యాప్టాప్లు లేదా డెస్క్టాప్ పరికరాలలో నమోదు చేయబడినప్పుడు వన్-టైమ్ పాస్వర్డ్లను అడ్డగించగలవు.
మీ స్మార్ట్ఫోన్లోని Sberbank అప్లికేషన్ స్టేటస్ బార్లో ఆకుపచ్చ చిహ్నాన్ని బ్లింక్ చేసినప్పుడు, అది మీ ఫోన్లో “మాల్వేర్” కోసం కూడా చూస్తుంది. ఈ ఈవెంట్ యొక్క లక్ష్యం సాధారణ స్మార్ట్ఫోన్ యొక్క అవిశ్వసనీయ అమలు వాతావరణాన్ని కనీసం ఏదో ఒక విధంగా విశ్వసనీయమైనదిగా మార్చడం.
మార్గం ద్వారా, స్మార్ట్ఫోన్, ఏదైనా చేయగలిగే పూర్తిగా నమ్మదగని పరికరంగా, ప్రామాణీకరణ కోసం దానిని ఉపయోగించడానికి మరొక కారణం హార్డ్వేర్ టోకెన్లు మాత్రమే, ఇవి రక్షించబడినవి మరియు వైరస్లు మరియు ట్రోజన్లు లేనివి. - సోషల్ ఇంజనీరింగ్. బాధితుడికి SMS ద్వారా OTPలు ఎనేబుల్ చేయబడాయని స్కామర్లకు తెలిసినప్పుడు, వారు బాధితుడిని నేరుగా సంప్రదించవచ్చు, వారి బ్యాంక్ లేదా క్రెడిట్ యూనియన్ వంటి విశ్వసనీయ సంస్థగా నటిస్తూ, బాధితుడిని మోసం చేసి వారు ఇప్పుడే అందుకున్న కోడ్ను అందించవచ్చు.
నేను వ్యక్తిగతంగా ఈ రకమైన మోసాన్ని చాలాసార్లు ఎదుర్కొన్నాను, ఉదాహరణకు, ప్రముఖ ఆన్లైన్ ఫ్లీ మార్కెట్లో ఏదైనా విక్రయించడానికి ప్రయత్నిస్తున్నప్పుడు. నా మనసుకు నచ్చేలా నన్ను మోసం చేయడానికి ప్రయత్నించిన మోసగాడిని నేనే ఎగతాళి చేశాను. కానీ అయ్యో, స్కామర్ల యొక్క మరొక బాధితుడు "ఆలోచించలేదు" అని నేను క్రమం తప్పకుండా వార్తల్లో చదువుతున్నాను, నిర్ధారణ కోడ్ను ఇచ్చి పెద్ద మొత్తాన్ని ఎలా పోగొట్టుకున్నాను. మరియు అన్ని ఈ ఎందుకంటే బ్యాంకు కేవలం దాని అప్లికేషన్లలో క్రిప్టోగ్రాఫిక్ టోకెన్ల అమలుతో వ్యవహరించడానికి ఇష్టపడదు. అన్నింటికంటే, ఏదైనా జరిగితే, క్లయింట్లు తమను తాము నిందించవలసి ఉంటుంది.
ప్రత్యామ్నాయ OTP డెలివరీ పద్ధతులు ఈ ప్రమాణీకరణ పద్ధతిలో కొన్ని హానిని తగ్గించవచ్చు, ఇతర దుర్బలత్వాలు అలాగే ఉంటాయి. మాల్వేర్ కూడా కోడ్ జనరేటర్తో నేరుగా ఇంటరాక్ట్ అవ్వదు కాబట్టి స్వతంత్ర కోడ్ జనరేషన్ అప్లికేషన్లు వినడం నుండి ఉత్తమ రక్షణగా ఉంటాయి (తీవ్రంగా? నివేదిక రచయిత రిమోట్ కంట్రోల్ గురించి మర్చిపోయారా?), కానీ బ్రౌజర్లోకి ప్రవేశించినప్పుడు OTPలు ఇప్పటికీ అడ్డగించబడతాయి (ఉదాహరణకు కీలాగర్ని ఉపయోగించడం), హ్యాక్ చేయబడిన మొబైల్ అప్లికేషన్ ద్వారా; మరియు సోషల్ ఇంజనీరింగ్ ఉపయోగించి వినియోగదారు నుండి నేరుగా పొందవచ్చు.
పరికర గుర్తింపు వంటి బహుళ ప్రమాద అంచనా సాధనాలను ఉపయోగించడం (చట్టపరమైన వినియోగదారుకు చెందని పరికరాల నుండి లావాదేవీలను నిర్వహించడానికి ప్రయత్నాలను గుర్తించడం), జియోలొకేషన్ (ఇప్పుడే మాస్కోలో ఉన్న వినియోగదారు నోవోసిబిర్స్క్ నుండి ఆపరేషన్ చేయడానికి ప్రయత్నిస్తున్నారు) మరియు దుర్బలత్వాలను పరిష్కరించడానికి ప్రవర్తనా విశ్లేషణలు ముఖ్యమైనవి, కానీ ఏ పరిష్కారం కూడా సర్వరోగ నివారిణి కాదు. ప్రతి పరిస్థితి మరియు డేటా రకం కోసం, ప్రమాదాలను జాగ్రత్తగా అంచనా వేయడం మరియు ఏ ప్రామాణీకరణ సాంకేతికతను ఉపయోగించాలో ఎంచుకోవడం అవసరం.
ఏ ప్రామాణీకరణ పరిష్కారం సర్వరోగ నివారిణి కాదు
మూర్తి 2. ప్రమాణీకరణ ఎంపికల పట్టిక
| ప్రమాణీకరణ | కారకం | వివరణ | కీ దుర్బలత్వాలు |
| పాస్వర్డ్ లేదా పిన్ | జ్ఞానం | స్థిర విలువ, ఇందులో అక్షరాలు, సంఖ్యలు మరియు అనేక ఇతర అక్షరాలు ఉంటాయి | అడ్డగించవచ్చు, గూఢచర్యం చేయవచ్చు, దొంగిలించవచ్చు, తీయవచ్చు లేదా హ్యాక్ చేయవచ్చు |
| జ్ఞానం ఆధారిత ప్రమాణీకరణ | జ్ఞానం | చట్టపరమైన వినియోగదారు మాత్రమే తెలుసుకోగల సమాధానాలను ప్రశ్నిస్తుంది | సోషల్ ఇంజనీరింగ్ పద్ధతులను ఉపయోగించి అడ్డగించవచ్చు, తీయవచ్చు, పొందవచ్చు |
| హార్డ్వేర్ OTP () | స్వాధీనం | వన్-టైమ్ పాస్వర్డ్లను రూపొందించే ప్రత్యేక పరికరం | కోడ్ అడ్డగించబడవచ్చు మరియు పునరావృతం కావచ్చు లేదా పరికరం దొంగిలించబడవచ్చు |
| సాఫ్ట్వేర్ OTPలు | స్వాధీనం | వన్-టైమ్ పాస్వర్డ్లను రూపొందించే అప్లికేషన్ (మొబైల్, బ్రౌజర్ ద్వారా యాక్సెస్ చేయవచ్చు లేదా ఇ-మెయిల్ ద్వారా కోడ్లను పంపడం) | కోడ్ అడ్డగించబడవచ్చు మరియు పునరావృతం కావచ్చు లేదా పరికరం దొంగిలించబడవచ్చు |
| SMS OTP | స్వాధీనం | SMS వచన సందేశం ద్వారా వన్-టైమ్ పాస్వర్డ్ బట్వాడా చేయబడింది | కోడ్ అడ్డగించబడవచ్చు మరియు పునరావృతం కావచ్చు లేదా స్మార్ట్ఫోన్ లేదా SIM కార్డ్ దొంగిలించబడవచ్చు లేదా SIM కార్డ్ నకిలీ చేయబడవచ్చు |
| స్మార్ట్ కార్డులు () | స్వాధీనం | క్రిప్టోగ్రాఫిక్ చిప్ మరియు ప్రమాణీకరణ కోసం పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ని ఉపయోగించే సురక్షిత కీ మెమరీని కలిగి ఉండే కార్డ్ | భౌతికంగా దొంగిలించబడవచ్చు (కానీ దాడి చేసే వ్యక్తి PIN కోడ్ తెలియకుండా పరికరాన్ని ఉపయోగించలేరు; అనేక తప్పు ఇన్పుట్ ప్రయత్నాల విషయంలో, పరికరం బ్లాక్ చేయబడుతుంది) |
| భద్రతా కీలు - టోకెన్లు (, ) | స్వాధీనం | ప్రామాణీకరణ కోసం పబ్లిక్ కీ ఇన్ఫ్రాస్ట్రక్చర్ను ఉపయోగించే క్రిప్టోగ్రాఫిక్ చిప్ మరియు సురక్షిత కీ మెమరీని కలిగి ఉన్న USB పరికరం | భౌతికంగా దొంగిలించబడవచ్చు (కానీ దాడి చేసే వ్యక్తి PIN కోడ్ తెలియకుండా పరికరాన్ని ఉపయోగించలేరు; అనేక తప్పు నమోదు ప్రయత్నాల సందర్భంలో, పరికరం బ్లాక్ చేయబడుతుంది) |
| పరికరానికి లింక్ చేస్తోంది | స్వాధీనం | ప్రొఫైల్ను సృష్టించే ప్రక్రియ, తరచుగా జావాస్క్రిప్ట్ని ఉపయోగిస్తుంది లేదా నిర్దిష్ట పరికరం ఉపయోగించబడుతుందని నిర్ధారించడానికి కుక్కీలు మరియు ఫ్లాష్ షేర్డ్ ఆబ్జెక్ట్ల వంటి మార్కర్లను ఉపయోగిస్తుంది | టోకెన్లు దొంగిలించబడవచ్చు (కాపీ చేయబడవచ్చు), మరియు చట్టపరమైన పరికరం యొక్క లక్షణాలను దాడి చేసే వ్యక్తి అతని పరికరంలో అనుకరించవచ్చు |
| ప్రవర్తన | స్వాభావికత | పరికరం లేదా ప్రోగ్రామ్తో వినియోగదారు ఎలా ఇంటరాక్ట్ అవుతారో విశ్లేషిస్తుంది | ప్రవర్తనను అనుకరించవచ్చు |
| వేలిముద్రలు | స్వాభావికత | నిల్వ చేయబడిన వేలిముద్రలు ఆప్టికల్గా లేదా ఎలక్ట్రానిక్గా సంగ్రహించబడిన వాటితో పోల్చబడతాయి | చిత్రాన్ని దొంగిలించవచ్చు మరియు ప్రమాణీకరణ కోసం ఉపయోగించవచ్చు |
| కంటి స్కాన్ | స్వాభావికత | కొత్త ఆప్టికల్ స్కాన్లతో కనుపాప నమూనా వంటి కంటి లక్షణాలను సరిపోల్చండి | చిత్రాన్ని దొంగిలించవచ్చు మరియు ప్రమాణీకరణ కోసం ఉపయోగించవచ్చు |
| ముఖ గుర్తింపు | స్వాభావికత | ముఖ లక్షణాలను కొత్త ఆప్టికల్ స్కాన్లతో పోల్చారు | చిత్రాన్ని దొంగిలించవచ్చు మరియు ప్రమాణీకరణ కోసం ఉపయోగించవచ్చు |
| స్వర గుర్తింపు | స్వాభావికత | రికార్డ్ చేయబడిన వాయిస్ నమూనా యొక్క లక్షణాలు కొత్త నమూనాలతో పోల్చబడ్డాయి | రికార్డు దొంగిలించబడవచ్చు మరియు ప్రామాణీకరణ కోసం ఉపయోగించవచ్చు లేదా అనుకరించవచ్చు |
ప్రచురణ యొక్క రెండవ భాగంలో, అత్యంత రుచికరమైన విషయాలు మనకు ఎదురుచూస్తున్నాయి - సంఖ్యలు మరియు వాస్తవాలు, మొదటి భాగంలో ఇచ్చిన ముగింపులు మరియు సిఫార్సులు ఆధారంగా ఉంటాయి. వినియోగదారు అప్లికేషన్లలో మరియు కార్పొరేట్ సిస్టమ్లలో ప్రామాణీకరణ ప్రత్యేకంగా చర్చించబడుతుంది.
త్వరలో కలుద్దాం!
మూలం: www.habr.com