Спойлер аз сарлавҳаи гузориш: "Истифодаи аутентификатсияи қавӣ бинобар таҳдиди хатарҳои нав ва талаботҳои танзимкунанда меафзояд."
Ширкати тадқиқотии "Javelin Strategy & Research" гузориши "Ҳолати аутентификатсияи қавӣ 2019" (). Ин гузориш мегӯяд: чанд дарсади ширкатҳои амрикоӣ ва аврупоӣ аз парол истифода мебаранд (ва чаро ҳоло кам одамон аз парол истифода мебаранд); чаро истифодаи аутентификатсияи ду-омил дар асоси токенҳои криптографӣ ин қадар зуд меафзояд; Чаро рамзҳои якдафъаина тавассути SMS бехатар нестанд.
Ҳар касе, ки ба ҳозира, гузашта ва ояндаи аутентификатсия дар корхонаҳо ва барномаҳои истеъмолӣ таваҷҷӯҳ дорад, истиқбол карда мешавад.
Аз тарчумон
Афсӯс, забоне, ки ин гузориш бо он навишта шудааст, хеле “хушк” ва расмист. Ва дар як љумлаи кўтоњ панљ маротиба корбурди вожаи «аслиќият» на дастони каљи (ё маѓзи) мутарљимон, балки њаваси муаллифон аст. Ҳангоми тарҷума аз ду вариант – ба хонандагон матни ба асл наздиктар ё ҷолибтар додан, ман гоҳе якум ва гоҳ дуюмро интихоб мекардам. Аммо сабр кунед, хонандагони азиз, мазмуни гузориш меарзад.
Баъзе порчаҳои нодаркор ва нодаркор барои ҳикоя хориҷ карда шуданд, вагарна аксарият натавонистанд тамоми матнро аз сар гузаронанд. Шахсоне, ки мехоҳанд гузориши "буридашуда"-ро бихонанд, метавонанд бо пайравӣ ба истиноди аслӣ бо забони аслӣ бихонанд.
Мутаассифона, муаллифон на хамеша нисбат ба истилохот эхтиёткорона муносибат мекунанд. Ҳамин тариқ, паролҳои якдафъаина (One Time Password - OTP) баъзан "паролҳо" ва баъзан "кодҳо" номида мешаванд. Бо усулҳои тасдиқкунӣ боз ҳам бадтар аст. Барои хонандаи бетаҷриба тасаввур кардан на ҳама вақт осон аст, ки "тасдиқкунӣ бо истифода аз калидҳои криптографӣ" ва "аслиғияти қавӣ" як чиз аст. Ман кӯшиш кардам, ки истилоҳотро то ҳадди имкон яксон созам ва дар худи гузориш порчае бо тавсифи онҳо мавҷуд аст.
Бо вуҷуди ин, гузориш хеле тавсия дода мешавад, ки хонда шавад, зеро он дорои натиҷаҳои беназири тадқиқот ва хулосаҳои дуруст аст.
Хамаи ракаму фактхо бе заррае тагйирот оварда шудаанд ва агар бо онхо розй нашавед, бехтар аст, ки на бо тарчумон, балки бо муаллифони маъруза бахс кунед. Ва инҳоянд шарҳҳои ман (ҳамчун иқтибосҳо оварда шудаанд ва дар матн қайд карда шудаанд Италия) арзёбии арзиши ман аст ва ман бо хушнудӣ дар бораи ҳар яки онҳо (инчунин дар бораи сифати тарҷума) баҳс хоҳам кард.
шарҳ
Имрӯзҳо, каналҳои рақамии муошират бо муштариён барои тиҷорат аз ҳарвақта муҳимтаранд. Ва дар дохили ширкат, муоширати байни кормандон аз ҳарвақта бештар ба рақамӣ нигаронида шудааст. Ва то чӣ андоза бехатарии ин ҳамкорӣ аз усули интихобшудаи аутентификатсияи корбар вобаста аст. Ҳамлагарон аутентификатсияи заифро барои ҳакер кардани ҳисобҳои корбарон истифода мебаранд. Дар посух, танзимгарон стандартҳоро сахттар мекунанд, то соҳибкоронро маҷбур кунанд, ки ҳисобҳо ва маълумоти корбаронро беҳтар муҳофизат кунанд.
Таҳдидҳои марбут ба аутентификатсия фаротар аз барномаҳои истеъмолӣ мебошанд; ҳамлагарон инчунин метавонанд ба замимаҳои дар дохили корхона коркунанда дастрасӣ пайдо кунанд. Ин амалиёт ба онҳо имкон медиҳад, ки ба корбарони корпоративӣ тақлид кунанд. Ҳамлагарон, ки нуқтаҳои дастрасиро бо аутентификатсияи заиф истифода мебаранд, метавонанд маълумотро дуздида, дигар амалҳои қаллобӣ анҷом диҳанд. Хушбахтона, барои мубориза бо ин чорахо дида мешаванд. Аутентификатсияи қавӣ ба таври назаррас коҳиш додани хатари ҳамла аз ҷониби ҳамлакунанда ҳам дар барномаҳои истеъмолӣ ва ҳам дар системаҳои тиҷоратии корхона кӯмак мекунад.
Ин тадқиқот таҳқиқ мекунад: чӣ гуна корхонаҳо аутентификатсияро барои ҳифзи замимаҳои корбари ниҳоӣ ва системаҳои тиҷоратии корхона амалӣ мекунанд; омилҳое, ки онҳо ҳангоми интихоби ҳалли аутентификатсия ба назар мегиранд; нақше, ки аутентификатсияи қавӣ дар созмонҳои онҳо мебозад; фоидае, ки ин ташкилотхо мегиранд.
Натиҷа
Хулосаҳои асосӣ
Аз соли 2017, истифодаи аутентификатсияи қавӣ якбора афзоиш ёфт. Бо афзоиши шумораи осебпазириҳо, ки ба ҳалли анъанавии аутентификатсия таъсир мерасонанд, созмонҳо қобилиятҳои аутентификатсияи худро бо аутентификатсияи қавӣ мустаҳкам мекунанд. Шумораи ташкилотҳое, ки аутентификатсияи бисёрфактори криптографиро (ВМХ) истифода мебаранд, аз соли 2017 барои замимаҳои истеъмолӣ се маротиба ва барои замимаҳои корпоративӣ тақрибан 50% афзоиш ёфтааст. Рушди босуръат дар аутентификатсияи мобилӣ аз ҳисоби афзоиши дастрасии аутентификатсияи биометрӣ мушоҳида мешавад.
Дар ин ҷо мо мисоли мақоли «то раъд назанад, одам аз худ намегузарад»-ро мебинем. Вақте ки коршиносон дар бораи бехатарии паролҳо ҳушдор доданд, касе барои татбиқи аутентификатсияи ду-фактӣ шитоб намекард. Ҳамин ки ҳакерҳо ба дуздии паролҳо шурӯъ карданд, одамон аутентификатсияи ду-омилро татбиқ карданд.
Дуруст аст, ки шахсони алоҳида 2FA-ро хеле фаъолонатар амалӣ мекунанд. Аввалан, барои онҳо ором кардани тарсу ҳарос бо такя ба аутентификатсияи биометрии дар смартфонҳо сохташуда осонтар аст, ки дар асл хеле эътимоднок аст. Ташкилотҳо бояд барои харидани нишонаҳо пул сарф кунанд ва барои татбиқи онҳо корҳоро анҷом диҳанд (воқеан, хеле оддӣ). Ва дуюм, танҳо одамони танбал дар бораи ихроҷи парол аз хидматҳо ба монанди Facebook ва Dropbox нанавиштаанд, аммо дар ҳеҷ ваҷҳ CIO-ҳои ин созмонҳо дар бораи чӣ гуна рабуда шудани паролҳо (ва чӣ рӯй дод) дар созмонҳо нақл намекунанд.
Онҳое, ки аутентификатсияи пурқувватро истифода намебаранд, хатари худро ба тиҷорат ва мизоҷони худ кам арзёбӣ мекунанд. Баъзе созмонҳое, ки айни замон аутентификатсияи пурқувватро истифода намебаранд, одатан логинҳо ва паролҳоро ҳамчун яке аз усулҳои муассир ва осонтарини тасдиқи корбар медонанд. Дигарон арзиши дороиҳои рақамии худро намебинанд. Дар ниҳоят, бояд ба назар гирифт, ки киберҷинояткорон ба ҳама гуна маълумоти истеъмолӣ ва тиҷорат таваҷҷӯҳ доранд. Аз се ду ҳиссаи ширкатҳое, ки барои тасдиқи асноди коргарони худ танҳо паролҳоро истифода мебаранд, ин корро мекунанд, зеро онҳо боварӣ доранд, ки паролҳо барои намуди иттилооте, ки муҳофизат мекунанд, кофӣ хубанд.
Бо вуҷуди ин, паролҳо дар роҳ ба сӯи қабр ҳастанд. Вобастагии парол дар тӯли соли гузашта ҳам барои барномаҳои истеъмолӣ ва ҳам корхона (мутаносибан аз 44% то 31% ва аз 56% то 47%) ба таври назаррас коҳиш ёфт, зеро созмонҳо истифодаи худро аз ВКД анъанавӣ ва аутентификатсияи қавӣ зиёд мекунанд.
Аммо агар мо ба вазъ дар маҷмӯъ нигоҳ кунем, усулҳои осебпазири аутентификатсия ҳанӯз бартарӣ доранд. Барои тасдиқи корбар тақрибан чоряки созмонҳо дар баробари саволҳои амниятӣ SMS OTP (пароли якдафъаина) -ро истифода мебаранд. Дар натиҷа, барои муҳофизат аз осебпазирӣ, ки хароҷотро зиёд мекунад, бояд чораҳои иловагии амниятӣ амалӣ карда шаванд. Истифодаи усулҳои хеле бехатари аутентификатсия, ба монанди калидҳои криптографии сахтафзор, дар тақрибан 5% ташкилотҳо хеле камтар истифода мешавад.
Муҳити танзимшавандаи таҳаввулшаванда ваъда медиҳад, ки қабули аутентификатсияи қавӣ барои замимаҳои истеъмолкунандагонро суръат мебахшад. Бо ҷорӣ намудани PSD2, инчунин қоидаҳои нави ҳифзи додаҳо дар ИА ва якчанд иёлоти ИМА, ба монанди Калифорния, ширкатҳо гармиро эҳсос мекунанд. Тақрибан 70% ширкатҳо розӣ ҳастанд, ки онҳо ба фишори қавии танзимкунанда барои пешниҳоди аутентификатсияи қавӣ ба мизоҷони худ дучор меоянд. Бештар аз нисфи корхонаҳо боварӣ доранд, ки дар тӯли чанд сол усулҳои тасдиқи онҳо барои қонеъ кардани стандартҳои танзим кофӣ нестанд.
Тафовут дар равишҳои қонунгузорони Русия ва Амрикову Аврупо ба ҳифзи маълумоти шахсии корбарони барномаҳо ва хидматҳо ба таври равшан намоён аст. Русхо мегуянд: азиз сохибони хадамот коре, ки хохед ва чи тавр хохед, кунед, аммо агар админи шумо базаи маълумотро якчоя кунад, мо шуморо чазо медихем. Дар хорича мегуянд: шумо бояд мачмуи тадбирхоеро ба амал бароред, ки иҷозат намедиҳад пойгоҳро холӣ кунед. Аз ин рӯ, дар он ҷо талабот оид ба аутентификатсияи қатъии ду омил амалӣ карда мешавад.
Ростй, аз чунин факт дур аст, ки машинам конунбарории мо рузе ба худ наомада, тачрибаи Гарбро ба назар мегирад. Он гоҳ маълум мешавад, ки ҳама бояд 2FA-ро, ки ба стандартҳои криптографии Русия мувофиқат мекунанд, татбиқ кунанд ва фавран.
Таъсиси чаҳорчӯбаи қавии аутентификатсия ба ширкатҳо имкон медиҳад, ки тамаркузи худро аз қонеъ кардани талаботи танзим ба қонеъ кардани ниёзҳои муштариён гузаронанд. Барои он ташкилотҳое, ки то ҳол паролҳои оддиро истифода мебаранд ё тавассути SMS рамзҳо мегиранд, омили муҳимтарин ҳангоми интихоби усули аутентификатсия риояи талаботи меъёрӣ хоҳад буд. Аммо он ширкатҳое, ки аллакай аутентификатсияи қавӣ истифода мебаранд, метавонанд ба интихоби он усулҳои аутентификатсия, ки садоқати муштариёнро зиёд мекунанд, тамаркуз кунанд.
Ҳангоми интихоби усули аутентификатсияи корпоративӣ дар дохили корхона, талаботи танзимкунанда дигар омили муҳим нестанд. Дар ин ҳолат, осонии ҳамгироӣ (32%) ва арзиш (26%) хеле муҳим аст.
Дар давраи фишинг, ҳамлагарон метавонанд почтаи корпоративиро барои қаллобӣ истифода баранд ба таври қаллобӣ дастрасӣ ба маълумот, ҳисобҳо (бо ҳуқуқи дастрасии мувофиқ) ва ҳатто бовар кунонидани кормандон ба интиқоли пул ба суратҳисоби ӯ. Аз ин рӯ, почтаи электронии корпоративӣ ва ҳисобҳои портал бояд махсусан хуб ҳифз карда шаванд.
Google тавассути татбиқи аутентификатсияи қавӣ амнияти худро мустаҳкам кард. Зиёда аз ду сол пеш, Google гузоришро дар бораи татбиқи аутентификатсияи ду-омилӣ дар асоси калидҳои амнияти криптографӣ бо истифода аз стандарти FIDO U2F нашр карда, дар бораи натиҷаҳои таъсирбахш гузориш дод. Тибқи иттилои ширкат, ягон ҳамлаи фишингӣ алайҳи беш аз 85 000 корманд анҷом нашудааст.
тавсияњои
Татбиқи аутентификатсияи қавӣ барои барномаҳои мобилӣ ва онлайн. Аутентификатсияи бисёрфакторӣ дар асоси калидҳои криптографӣ нисбат ба усулҳои анъанавии ВКХ муҳофизати беҳтар аз ҳакериро таъмин мекунад. Илова бар ин, истифодаи калидҳои криптографӣ хеле қулайтар аст, зеро зарурати истифода ва интиқоли маълумоти иловагӣ - паролҳо, паролҳои якдафъаина ё маълумоти биометрӣ аз дастгоҳи корбар ба сервери аутентификатсия вуҷуд надорад. Илова бар ин, стандартикунонии протоколҳои аутентификатсия татбиқи усулҳои нави аутентификатсияро ҳангоми дастрас шудани онҳо осонтар мекунад, хароҷоти татбиқро коҳиш медиҳад ва аз схемаҳои мураккабтари қаллобӣ муҳофизат мекунад.
Ба нобудшавии паролҳои якдафъаина (OTP) омода шавед. Офтобҳо, ки ба OTP хосанд, торафт бештар аён мешаванд, зеро киберҷинояткорон муҳандисии иҷтимоӣ, клонкунии смартфонҳо ва нармафзори зарароварро барои вайрон кардани ин воситаҳои аутентификатсия истифода мебаранд. Ва агар OTPs дар баъзе ҳолатҳо бартариҳои муайян дошта бошанд, пас танҳо аз нуқтаи назари дастрасии универсалӣ барои ҳама корбарон, аммо на аз нуқтаи назари амният.
Аҳамият надодан ғайриимкон аст, ки қабули кодҳо тавассути SMS ё Push огоҳиномаҳо, инчунин тавлиди кодҳо бо истифода аз барномаҳо барои смартфонҳо, истифодаи ҳамон паролҳои якдафъаина (OTP), ки аз мо хоҳиш карда мешавад, ки ба коҳиш омода шавад. Аз нуқтаи назари техникӣ, ҳалли хеле дуруст аст, зеро он як қаллоби нодир аст, ки кӯшиш намекунад, ки пароли якдафъаинаро аз корбари боваринок пайдо кунад. Аммо ман фикр мекунам, ки истеҳсолкунандагони чунин системаҳо ба технологияи мурдан то охир часпиданд.
Истифодаи аутентификатсияи қавӣ ҳамчун воситаи маркетинг барои зиёд кардани эътимоди муштариён. Аутентификатсияи қавӣ метавонад на танҳо амнияти воқеии тиҷорати шуморо беҳтар кунад. Огоҳонидани муштариён дар бораи он, ки тиҷорати шумо аутентификатсияи пурқувватро истифода мебарад, метавонад дарки ҷомеаро дар бораи амнияти ин тиҷорат пурзӯр кунад - омили муҳиме, ки талаботи зиёди муштариён ба усулҳои қавии аутентификатсия вуҷуд дорад.
Инвентаризатсияи ҳамаҷониба ва арзёбии танқидии маълумоти корпоративиро гузаронед ва онро мувофиқи аҳамият ҳифз кунед. Ҳатто маълумоти камхавф ба монанди маълумоти тамос бо муштарӣ (не, воқеан, дар гузориш гуфта мешавад, ки "хатари паст" аст, хеле аҷиб аст, ки онҳо аҳамияти ин маълумотро нодида мегиранд), метавонад ба қаллобон арзиши назаррас оварад ва барои ширкат мушкилот эҷод кунад.
Истифодаи аутентификатсияи қавии корхона. Як қатор системаҳо ҳадафҳои ҷолибтарин барои ҷинояткорон мебошанд. Ба онҳо системаҳои дохилӣ ва ба Интернет пайваст, ба монанди барномаи ҳисобдорӣ ё анбори додаҳои корпоративӣ дохил мешаванд. Аутентификатсияи қавӣ ҳамлагаронро аз дастрасии беиҷозат пешгирӣ мекунад ва инчунин имкон медиҳад, ки дақиқ муайян карда шавад, ки кадом корманд амали зараровар содир кардааст.
Аутентификатсияи қавӣ чист?
Ҳангоми истифодаи аутентификатсияи қавӣ, якчанд усул ё омилҳо барои тасдиқи ҳаққонияти корбар истифода мешаванд:
- Омили дониш: сирри муштарак байни корбар ва мавзӯи тасдиқшудаи корбар (ба монанди паролҳо, ҷавобҳо ба саволҳои амниятӣ ва ғ.)
- Омили моликият: дастгоҳе, ки танҳо корбар дорад (масалан, дастгоҳи мобилӣ, калиди криптографӣ ва ғ.)
- Омили беайбӣ: хусусиятҳои физикии (аксаран биометрии) корбар (масалан, изи ангушт, шакли айрис, овоз, рафтор ва ғайра)
Зарурати рахна кардани омилҳои сершумор эҳтимолияти нокомии ҳамлагаронро зиёд мекунад, зеро канорагирӣ ё фиреб додани омилҳои гуногун барои ҳар як омили алоҳида истифода бурдани намудҳои гуногуни тактикаи ҳакериро талаб мекунад.
Масалан, бо 2FA "парол + смартфон", ҳамлакунанда метавонад тавассути дидани пароли корбар ва сохтани нусхаи дақиқи нармафзори смартфони худ аутентификатсияро анҷом диҳад. Ва ин аз дуздидани парол хеле мушкилтар аст.
Аммо агар парол ва аломати криптографӣ барои 2FA истифода шавад, пас варианти нусхабардорӣ дар ин ҷо кор намекунад - такрори нишона ғайриимкон аст. Ба қаллобон лозим меояд, ки токенро аз корбар дуздад. Агар корбар талафотро сари вақт пай бурда, админро огоҳ кунад, токен баста мешавад ва кӯшишҳои қаллобон бенатиҷа хоҳанд монд. Аз ин рӯ, омили моликият истифодаи дастгоҳҳои махсуси бехатариро (токенҳо) талаб мекунад, на дастгоҳҳои таъиноти умумӣ (смартфонҳо).
Истифодаи ҳар се омил ин усули аутентификатсияро барои амалӣ кардан хеле гарон ва барои истифода хеле нороҳат месозад. Аз ин рӯ, одатан аз се омил дуто истифода мешаванд.
Принсипҳои аутентификатсияи ду-омилӣ муфассалтар шарҳ дода шудаанд , дар блоки "Чӣ гуна аутентификатсияи ду омил кор мекунад".
Бояд қайд кард, ки ҳадди аққал яке аз омилҳои аутентификатсия, ки дар аутентификатсияи қавӣ истифода мешавад, бояд криптографияи калиди ҷамъиятиро истифода барад.
Аутентификатсияи қавӣ нисбат ба аутентификатсияи як омил дар асоси паролҳои классикӣ ва MFA анъанавӣ муҳофизати қавитарро таъмин мекунад. Паролҳоро метавон бо истифода аз клавиатураҳо, сайтҳои фишинг ё ҳамлаҳои муҳандисии иҷтимоӣ (дар он ҷо ҷабрдида барои ошкор кардани пароли худ фиреб дода) ҷосусӣ ё боздошт. Гузашта аз ин, соҳиби парол дар бораи дуздӣ чизе намедонад. ВКХ-и анъанавӣ (аз ҷумла рамзҳои OTP, пайвастшавӣ ба смартфон ё SIM корт) низ метавонад ба осонӣ ҳакер карда шавад, зеро он ба криптографияи калиди ҷамъиятӣ асос надорад (Дар омади гап, мисолҳои зиёде мавҷуданд, ки бо истифода аз ҳамон усулҳои муҳандисии иҷтимоӣ, қаллобон корбаронро водор карданд, ки ба онҳо пароли якдафъаина диҳад.).
Хушбахтона, истифодаи аутентификатсияи қавӣ ва MFA-и анъанавӣ аз соли гузашта ҳам дар барномаҳои истеъмолӣ ва ҳам корхонаҳо ҷалб карда мешавад. Истифодаи аутентификатсияи қавӣ дар замимаҳои истеъмолӣ махсусан босуръат афзоиш ёфтааст. Агар дар соли 2017 танҳо 5% ширкатҳо аз он истифода кардаанд, пас дар соли 2018 он аллакай се маротиба зиёд - 16% буд. Инро метавон бо афзоиши дастрасии нишонаҳо, ки алгоритмҳои криптографияи калиди ҷамъиятиро (PKC) дастгирӣ мекунанд, шарҳ дод. Илова бар ин, фишори афзояндаи танзимгарони аврупоӣ пас аз қабули қоидаҳои нави ҳифзи додаҳо ба монанди PSD2 ва GDPR ҳатто берун аз Аврупо низ таъсири қавӣ дошт (аз чумла дар Россия).
Биёед ба ин рақамҳо муфассалтар назар андозем. Тавре ки мо мебинем, фоизи шахсони воқеӣ, ки аутентификатсияи бисёрфакторро истифода мебаранд, дар тӯли сол 11% таъсирбахш афзоиш ёфтааст. Ва ин ба таври возеҳ аз ҳисоби дӯстдорони парол рух дод, зеро шумораи онҳое, ки ба амнияти огоҳиҳои Push, SMS ва биометрия боварӣ доранд, тағйир наёфтааст.
Аммо бо аутентификатсияи ду омил барои истифодаи корпоративӣ, корҳо он қадар хуб нестанд. Аввалан, тибқи гузориш, танҳо 5% кормандон аз аутентификатсияи парол ба нишонаҳо гузаронида шуданд. Ва дуюм, шумораи онҳое, ки вариантҳои алтернативии ВКХ-ро дар муҳити корпоративӣ истифода мебаранд, 4% афзоиш ёфтааст.
Ман кӯшиш мекунам, ки таҳлилгарро бозӣ кунам ва тафсири худро диҳам. Дар маркази ҷаҳони рақамии корбарони инфиродӣ смартфон аст. Аз ин рӯ, тааҷҷубовар нест, ки аксарият аз имкониятҳое истифода мебаранд, ки дастгоҳ ба онҳо медиҳад - аутентификатсияи биометрӣ, SMS ва огоҳиномаҳои Push, инчунин паролҳои якдафъаина, ки аз ҷониби барномаҳо дар худи смартфон тавлид мешаванд. Одамон одатан ҳангоми истифодаи асбобҳое, ки ба онҳо одат кардаанд, дар бораи бехатарӣ ва эътимод фикр намекунанд.
Аз ин рӯ, фоизи корбарони омилҳои аслии тасдиқи "анъанавӣ" бетағйир боқӣ мемонад. Аммо онҳое, ки қаблан паролҳоро истифода кардаанд, дарк мекунанд, ки онҳо то чӣ андоза хатар доранд ва ҳангоми интихоби омили нави аутентификатсия, онҳо варианти навтарин ва бехатартарин - аломати криптографиро интихоб мекунанд.
Дар мавриди бозори корпоративӣ, фаҳмидани он ки аутентификатсия дар кадом система гузаронида мешавад, муҳим аст. Агар воридшавӣ ба домени Windows амалӣ карда шавад, он гоҳ аломатҳои криптографӣ истифода мешаванд. Имкониятҳои истифодаи онҳо барои 2FA аллакай ҳам дар Windows ва ҳам Linux сохта шудаанд, аммо имконоти алтернативӣ дароз ва татбиқи душвор аст. Ин қадар барои муҳоҷирати 5% аз паролҳо ба нишонаҳо.
Ва татбиқи 2FA дар системаи иттилоотии корпоративӣ аз тахассуси таҳиягарон вобаста аст. Ва барои таҳиягарон гирифтани модулҳои омода барои тавлиди паролҳои якдафъаина нисбат ба фаҳмидани кори алгоритмҳои криптографӣ хеле осонтар аст. Ва дар натиҷа, ҳатто барномаҳои бениҳоят муҳими амният, ба монанди системаҳои воридшавии ягона ё системаҳои идоракунии дастрасии имтиёзнок OTP-ро ҳамчун омили дуюм истифода мебаранд.
Бисёр осебпазириҳо дар усулҳои анъанавии аутентификатсия
Дар ҳоле, ки бисёре аз созмонҳо ба системаҳои як омили меросӣ такя мекунанд, осебпазириҳо дар аутентификатсияи анъанавии бисёрфакторӣ торафт бештар аён мешаванд. Паролҳои якдафъаина, маъмулан аз шаш то ҳашт аломат, ки тавассути SMS ирсол мешаванд, шакли маъмултарини аутентификатсия боқӣ мемонанд (ба ҷуз омили парол, албатта). Ва ҳангоме ки дар матбуоти маъмул калимаҳои “аслиқияти ду-омилӣ” ё “тафтишоти думарҳила” зикр мешаванд, онҳо қариб ҳамеша ба тасдиқи пароли якдафъаинаи SMS ишора мекунанд.
Дар ин чо муаллиф андаке иштибох кардааст. Интиқоли паролҳои якдафъаина тавассути SMS ҳеҷ гоҳ тасдиқи ду омил набудааст. Ин дар шакли тозатарини худ марҳилаи дуюми аутентификатсияи дуқадам аст, ки дар он марҳилаи аввал ворид кардани логин ва пароли шумо мебошад.
Дар соли 2016 Институти Миллии Стандартҳо ва Технологияҳо (NIST) қоидаҳои аутентификатсияи худро барои аз байн бурдани истифодаи паролҳои якдафъаина тавассути SMS фиристодашуда навсозӣ кард. Аммо, ин қоидаҳо пас аз эътирозҳои саноатӣ ба таври назаррас сабук карда шуданд.
Пас, биёед аз паи сюжет равем. Танзимгари амрикоӣ дуруст эътироф мекунад, ки технологияи кӯҳна қодир нест амнияти корбаронро таъмин кунад ва стандартҳои навро ҷорӣ мекунад. Стандартҳое, ки барои ҳифзи корбарони барномаҳои онлайн ва мобилӣ (аз ҷумла барномаҳои бонкӣ) пешбинӣ шудаанд. Саноат ҳисоб мекунад, ки барои харидани токенҳои криптографии ҳақиқӣ, аз нав тарҳрезии барномаҳо, ҷобаҷогузории инфрасохтори калиди оммавӣ чӣ қадар пул сарф кардан лозим аст ва "дар пои худ боло меравад". Аз як тараф, корбарон ба эътимоднокии паролҳои якдафъаина итминон доштанд ва аз тарафи дигар, ҳамлаҳо ба NIST рух доданд. Дар натиҷа, стандарт нарм карда шуд ва шумораи ҳакерҳо ва дуздии паролҳо (ва пул аз барномаҳои бонкӣ) якбора афзоиш ёфт. Аммо ба саноат лозим набуд, ки пулро аз худ кунад.
Аз он вақт инҷониб, заъфҳои хоси SMS OTP бештар аён шуданд. Фиребгарон барои вайрон кардани паёмҳои SMS усулҳои гуногунро истифода мебаранд:
- такрори SIM корт. Ҳамлагарон як нусхаи SIM-ро эҷод мекунанд (бо ёрии кормандони оператори мобилӣ ё мустақилона бо истифода аз нармафзори махсус ва таҷҳизот). Дар натиҷа, ҳамлакунанда SMS бо пароли якдафъаина мегирад. Дар як парвандаи махсусан машҳур, ҳакерҳо ҳатто тавонистанд ҳисоби AT&T-и сармоягузори криптовалют Майкл Турпинро вайрон кунанд ва тақрибан 24 миллион доллари криптовалютро дузданд. Дар натиҷа, Турпин изҳор дошт, ки AT&T бо сабаби чораҳои сусти санҷиш, ки ба такрори SIM корт оварда расонд, гунаҳкор аст.
Мантиқи аҷиб. Пас, ин дар ҳақиқат танҳо айби AT&T аст? Не, бешак айби оператори мобилӣ аст, ки фурӯшандаҳои мағозаи алоқа симкорти дубликат додаанд. Дар бораи системаи аутентификатсияи мубодилаи cryptocurrency чӣ гуфтан мумкин аст? Чаро онҳо аломатҳои криптографии қавӣ истифода набурданд? Магар барои амалй гардондани маблаг харч кардан аламовар буд? Оё худи Майкл гунахкор нест? Чаро ӯ дар иваз кардани механизми аутентификатсия пофишорӣ накард ва ё танҳо он мубодилаҳоеро истифода набурд, ки аутентификатсияи ду-омилро дар асоси токенҳои криптографӣ амалӣ мекунанд?
Ҷорӣ кардани усулҳои воқеии аутентификатсия маҳз аз он сабаб ба таъхир меафтад, ки корбарон пеш аз ҳакерӣ беэҳтиётӣ нишон медиҳанд ва баъдан онҳо мушкилоти худро ба касе ва ҳама чизи ғайр аз технологияҳои аутентификатсияи қадимӣ ва “паҳншуда” айбдор мекунанд.
- Барномаи зараровар. Яке аз аввалин вазифаҳои нармафзори зараровари мобилӣ боздошт ва интиқол додани паёмҳои матнӣ ба ҳамлагарон буд. Инчунин, ҳамлаҳои одам дар браузер ва одам дар миёна метавонанд паролҳои якдафъаинаро ҳангоми ворид шудан ба ноутбукҳо ё дастгоҳҳои мизи корӣ ворид кунанд.
Вақте ки замимаи Сбербанк дар смартфони шумо нишонаи сабзро дар сатри вазъият мижа мекунад, он ҳамчунин дар телефони шумо "зараровар" -ро меҷӯяд. Ҳадафи ин чорабинӣ табдил додани муҳити беэътимод дар як смартфони маъмулӣ ба ҳадди ақалл ба ягон роҳи эътимоднок аст.
Дар омади гап, смартфон, ҳамчун як дастгоҳи комилан боваринок, ки бо он ҳама кор кардан мумкин аст, сабаби дигари истифодаи он барои тасдиқи аутентификатсия аст. танҳо токенҳои сахтафзор, ки аз вирусҳо ва троянҳо муҳофизат карда шудаанд. - Муҳандиси иҷтимоӣ. Вақте ки қаллобон медонанд, ки ҷабрдида OTP-ҳои тавассути SMS фаъолшударо дорад, онҳо метавонанд мустақиман бо ҷабрдида тамос гиранд ва худро ҳамчун ташкилоти боэътимод, ба монанди бонк ё иттифоқи кредитии худ муаррифӣ кунанд, то қурбониро фиреб диҳанд, то рамзи нав гирифтаашонро пешниҳод кунанд.
Ман шахсан борҳо бо ин намуди қаллобӣ дучор шудаам, масалан, ҳангоми кӯшиши фурӯхтани чизе дар бозори машҳури интернетӣ. Ман худам бо қаллобе, ки маро то дами дил фиреб доданӣ шуд, масхара мекардам. Аммо афсӯс, ки ман мунтазам дар хабарҳо мехондам, ки чӣ гуна боз як қурбонии қаллобон "фикр накардааст", рамзи тасдиқро додааст ва маблағи калонро аз даст додааст. Ва ҳамаи ин дар он аст, ки бонк танҳо намехоҳад, ки бо татбиқи аломатҳои криптографӣ дар замимаҳои худ сарукор дошта бошад. Дар ниҳоят, агар чизе рӯй диҳад, мизоҷон «худашон гунаҳкоранд».
Гарчанде ки усулҳои алтернативии интиқоли OTP метавонанд баъзе осебпазириро дар ин усули аутентификатсия кам кунанд, осебпазириҳои дигар боқӣ мондаанд. Барномаҳои тавлиди кодҳои мустақил беҳтарин муҳофизат аз гӯш кардани гӯшҳо мебошанд, зеро ҳатто нармафзори зараровар наметавонад мустақиман бо генератори код кор кунад (ҷиддӣ? Магар муаллифи репортаж пульти масофаро фаромуш кардааст?), аммо OTP-ҳоро ҳанӯз ҳангоми ворид шудан ба браузер боздоштан мумкин аст (барои мисол бо истифода аз keylogger), тавассути барномаи мобилии ҳакершуда; ва инчунин метавонад мустақиман аз корбар бо истифода аз муҳандисии иҷтимоӣ ба даст оварда шавад.
Истифодаи воситаҳои сершумори арзёбии хатарҳо ба монанди шинохти дастгоҳ (ошкор кардани кӯшишҳои анҷом додани транзаксияҳо аз дастгоҳҳое, ки ба корбари қонунӣ тааллуқ надоранд), ҷойгиршавӣ (корбаре, ки навакак дар Маскав будааст, талош мекунад аз Новосибирск амалиёт анҷом диҳад) ва таҳлили рафтор барои ҳалли осебпазирӣ муҳим аст, аммо ҳеҷ як роҳи ҳалли он панацея нест. Барои ҳар як вазъият ва намуди маълумот, бояд хатарҳоро бодиққат арзёбӣ карда, кадом технологияи аутентификатсияро истифода бурдан лозим аст.
Ягон ҳалли аутентификатсия панацея нест
Расми 2. Ҷадвали имконоти аутентификатсия
| Сертификатсия | Омил | Шарҳи | Заифиҳои асосӣ |
| Рамз ё PIN | Дониш | Арзиши собит, ки метавонад ҳарфҳо, рақамҳо ва як қатор аломатҳои дигарро дар бар гирад | Мумкин аст боздошт, ҷосусӣ, дуздӣ, гирифтан ё ҳакерӣ кардан |
| Аутентификатсия дар асоси дониш | Дониш | Саволҳоеро, ки ба онҳо танҳо корбари ҳуқуқӣ метавонад бидонад, савол медиҳад | Бо истифода аз усулҳои муҳандисии иҷтимоӣ метавон боздошт, гирифтан ва ба даст овард |
| Таҷҳизоти OTP () | Моликият | Дастгоҳи махсусе, ки паролҳои якдафъаина тавлид мекунад | Рамз метавонад боздошта шавад ва такрор шавад ё дастгоҳ дуздида шавад |
| OTPs нармафзор | Моликият | Замима (мобилӣ, тавассути браузер дастрас аст ё тавассути почтаи электронӣ рамз фиристодан), ки паролҳои якдафъаина тавлид мекунад | Рамз метавонад боздошта шавад ва такрор шавад ё дастгоҳ дуздида шавад |
| SMS OTP | Моликият | Пароли якдафъаина тавассути SMS паёми матнӣ расонида мешавад | Рамз метавонад боздошта шавад ва такрор шавад, ё смартфон ё SIM корт дуздида шавад ё SIM корт такрор карда шавад |
| Кортҳои смарт () | Моликият | Корт, ки дорои чипи криптографӣ ва хотираи калиди эмин мебошад, ки инфрасохтори калиди умумиро барои тасдиқи аутентификатсия истифода мебарад | Мумкин аст аз ҷиҳати ҷисмонӣ дуздида шавад (аммо ҳамлакунанда наметавонад дастгоҳро бидуни донистани рамзи PIN истифода барад; дар сурати якчанд кӯшиши вуруди нодуруст, дастгоҳ баста мешавад) |
| Калидҳои амниятӣ - нишонаҳо (, ) | Моликият | Дастгоҳи USB, ки дорои чипи криптографӣ ва хотираи калиди эмин мебошад, ки инфрасохтори калиди умумиро барои тасдиқи аутентификатсия истифода мебарад | Мумкин аст аз ҷиҳати ҷисмонӣ дуздида шавад (аммо ҳамлагар наметавонад дастгоҳро бидуни донистани рамзи PIN истифода барад; дар сурати якчанд кӯшиши вуруди нодуруст, дастгоҳ баста мешавад) |
| Пайвастшавӣ ба дастгоҳ | Моликият | Раванде, ки профил эҷод мекунад, аксар вақт бо истифода аз JavaScript ё бо истифода аз маркерҳо ба монанди кукиҳо ва объектҳои муштараки Flash барои боварӣ ҳосил кардани он, ки дастгоҳи мушаххас истифода мешавад | Токенҳоро дуздидан (нусхабардорӣ кардан) мумкин аст ва хусусиятҳои дастгоҳи қонуниро ҳамлакунанда дар дастгоҳи худ тақлид кардан мумкин аст |
| Behavior | Инсоният | Таҳлил мекунад, ки чӣ тавр корбар бо дастгоҳ ё барнома кор мекунад | Рафторро тақлид кардан мумкин аст |
| Изофаи ангушт | Инсоният | Изҳои ангуштони захирашуда бо онҳое, ки ба таври оптикӣ ё электронӣ гирифта шудаанд, муқоиса карда мешаванд | Тасвирро дуздида ва барои тасдиқ истифода бурдан мумкин аст |
| Сканкунии чашм | Инсоният | Хусусиятҳои чашм, ба монанди намунаи Айрисро бо сканҳои нави оптикӣ муқоиса мекунад | Тасвирро дуздида ва барои тасдиқ истифода бурдан мумкин аст |
| Шинохти рӯ | Инсоният | Хусусиятҳои чеҳра бо сканҳои нави оптикӣ муқоиса карда мешаванд | Тасвирро дуздида ва барои тасдиқ истифода бурдан мумкин аст |
| Шинохти овоз | Инсоният | Хусусиятҳои намунаи овози сабтшуда бо намунаҳои нав муқоиса карда мешаванд | Сабт метавонад дуздида шавад ва барои тасдиқ истифода шавад ё тақлид карда шавад |
Дар бахши дуюми нашрия моро чизҳои болаззаттарин – ракаму далелҳо интизоранд, ки хулосаву тавсияҳои дар қисми аввал овардашуда ба онҳо асос ёфтаанд. Аутентификатсия дар замимаҳои корбар ва системаҳои корпоративӣ алоҳида баррасӣ карда мешавад.
Ба наздикӣ дидед!
Манбаъ: will.com