สปอยเลอร์จากหัวข้อรายงาน: “การใช้การตรวจสอบสิทธิ์ที่เข้มงวดเพิ่มขึ้นเนื่องจากการคุกคามของความเสี่ยงใหม่และข้อกำหนดด้านกฎระเบียบ”
บริษัทวิจัย "Javelin Strategy & Research" เผยแพร่รายงาน "The State of Strong Authentication 2019" (
ยินดีต้อนรับผู้ใดก็ตามที่สนใจในปัจจุบัน อดีต และอนาคตของการรับรองความถูกต้องในแอปพลิเคชันระดับองค์กรและผู้บริโภค
จากนักแปล
อนิจจา ภาษาที่ใช้เขียนรายงานนี้ค่อนข้าง "แห้ง" และเป็นทางการ และการใช้คำว่า "การรับรองความถูกต้อง" ห้าครั้งในประโยคสั้น ๆ เดียวนั้นไม่ใช่มือที่คดเคี้ยว (หรือสมอง) ของผู้แปล แต่เป็นความตั้งใจของผู้เขียน เมื่อแปลจากสองตัวเลือก - เพื่อให้ผู้อ่านมีข้อความที่ใกล้เคียงกับต้นฉบับมากขึ้นหรือข้อความที่น่าสนใจยิ่งขึ้น บางครั้งฉันก็เลือกอันแรกและบางครั้งก็อันที่สอง แต่อดทนหน่อยนะผู้อ่านที่รัก เนื้อหาของรายงานก็คุ้มค่า
ชิ้นส่วนที่ไม่สำคัญและไม่จำเป็นสำหรับเรื่องราวบางส่วนถูกลบออก ไม่เช่นนั้นคนส่วนใหญ่จะไม่สามารถอ่านเนื้อหาทั้งหมดได้ ผู้ที่ต้องการอ่านรายงาน "uncut" สามารถทำได้ในภาษาต้นฉบับตามลิงก์
น่าเสียดายที่ผู้เขียนไม่ค่อยระมัดระวังในการใช้คำศัพท์เสมอไป ดังนั้นรหัสผ่านแบบครั้งเดียว (รหัสผ่านครั้งเดียว - OTP) บางครั้งเรียกว่า "รหัสผ่าน" และบางครั้งเรียกว่า "รหัส" มันแย่ยิ่งกว่านั้นเมื่อใช้วิธีการรับรองความถูกต้อง ไม่ใช่เรื่องง่ายเสมอไปสำหรับผู้อ่านที่ไม่ผ่านการฝึกอบรมที่จะคาดเดาว่า "การรับรองความถูกต้องโดยใช้คีย์การเข้ารหัสลับ" และ "การรับรองความถูกต้องที่รัดกุม" เป็นสิ่งเดียวกัน ฉันพยายามรวมคำศัพท์เข้าด้วยกันให้มากที่สุดและในรายงานเองก็มีส่วนพร้อมคำอธิบายด้วย
อย่างไรก็ตาม แนะนำให้อ่านรายงานนี้เป็นอย่างยิ่ง เนื่องจากมีผลการวิจัยที่เป็นเอกลักษณ์และข้อสรุปที่ถูกต้อง
ตัวเลขและข้อเท็จจริงทั้งหมดนำเสนอโดยไม่มีการเปลี่ยนแปลงแม้แต่น้อย และหากคุณไม่เห็นด้วยกับตัวเลขเหล่านั้น ก็ควรโต้แย้งกับผู้เขียนรายงานดีกว่า และนี่คือความคิดเห็นของฉัน (วางเป็นคำพูดและทำเครื่องหมายไว้ในข้อความ ภาษาอิตาลี) ถือเป็นการตัดสินอันทรงคุณค่าของฉัน และฉันยินดีที่จะโต้แย้งเกี่ยวกับแต่ละรายการ (รวมถึงคุณภาพของการแปลด้วย)
ทบทวน
ปัจจุบันช่องทางดิจิทัลในการสื่อสารกับลูกค้ามีความสำคัญมากขึ้นกว่าที่เคยสำหรับธุรกิจ และภายในบริษัท การสื่อสารระหว่างพนักงานจะเน้นไปที่ดิจิทัลมากกว่าที่เคย และการโต้ตอบเหล่านี้จะปลอดภัยเพียงใดนั้นขึ้นอยู่กับวิธีการรับรองความถูกต้องของผู้ใช้ที่เลือก ผู้โจมตีใช้การรับรองความถูกต้องที่อ่อนแอเพื่อแฮ็กบัญชีผู้ใช้จำนวนมาก เพื่อเป็นการตอบสนอง หน่วยงานกำกับดูแลกำลังเข้มงวดมาตรฐานเพื่อบังคับให้ธุรกิจปกป้องบัญชีผู้ใช้และข้อมูลได้ดีขึ้น
ภัยคุกคามที่เกี่ยวข้องกับการตรวจสอบสิทธิ์ขยายไปไกลกว่าแอปพลิเคชันสำหรับผู้บริโภค ผู้โจมตียังสามารถเข้าถึงแอปพลิเคชันที่ทำงานภายในองค์กรได้อีกด้วย การดำเนินการนี้อนุญาตให้พวกเขาปลอมตัวเป็นผู้ใช้องค์กรได้ ผู้โจมตีที่ใช้จุดเข้าใช้งานที่มีการตรวจสอบสิทธิ์ที่อ่อนแอสามารถขโมยข้อมูลและทำกิจกรรมฉ้อโกงอื่นๆ ได้ โชคดีที่มีมาตรการในการต่อสู้เรื่องนี้ การตรวจสอบสิทธิ์ที่แข็งแกร่งจะช่วยลดความเสี่ยงที่จะถูกโจมตีจากผู้โจมตีได้อย่างมาก ทั้งในแอปพลิเคชันของผู้บริโภคและบนระบบธุรกิจขององค์กร
การศึกษานี้ตรวจสอบ: วิธีที่องค์กรต่างๆ ใช้การรับรองความถูกต้องเพื่อปกป้องแอปพลิเคชันของผู้ใช้ปลายทางและระบบธุรกิจขององค์กร ปัจจัยที่พวกเขาพิจารณาเมื่อเลือกโซลูชันการรับรองความถูกต้อง บทบาทของการรับรองความถูกต้องที่รัดกุมในองค์กรของตน ผลประโยชน์ที่องค์กรเหล่านี้ได้รับ
สรุป
การค้นพบที่สำคัญ
ตั้งแต่ปี 2017 การใช้การตรวจสอบสิทธิ์ที่รัดกุมได้เพิ่มขึ้นอย่างรวดเร็ว ด้วยจำนวนช่องโหว่ที่เพิ่มขึ้นซึ่งส่งผลต่อโซลูชันการรับรองความถูกต้องแบบเดิม องค์กรต่างๆ กำลังเสริมความแข็งแกร่งให้กับความสามารถในการตรวจสอบความถูกต้องด้วยการรับรองความถูกต้องที่รัดกุม จำนวนองค์กรที่ใช้การรับรองความถูกต้องด้วยการเข้ารหัสหลายปัจจัย (MFA) เพิ่มขึ้นสามเท่านับตั้งแต่ปี 2017 สำหรับแอปพลิเคชันสำหรับผู้บริโภค และเพิ่มขึ้นเกือบ 50% สำหรับแอปพลิเคชันระดับองค์กร การเติบโตที่รวดเร็วที่สุดนั้นพบได้ในการรับรองความถูกต้องผ่านมือถือ เนื่องจากความพร้อมใช้งานที่เพิ่มขึ้นของการรับรองความถูกต้องทางชีวภาพ
ที่นี่เราเห็นตัวอย่างสุภาษิตที่ว่า “คนจะไม่ข้ามตัวเองจนกว่าฟ้าร้องจะฟาด” เมื่อผู้เชี่ยวชาญเตือนเกี่ยวกับความไม่ปลอดภัยของรหัสผ่าน ไม่มีใครรีบร้อนที่จะใช้การตรวจสอบสิทธิ์แบบสองปัจจัย ทันทีที่แฮกเกอร์เริ่มขโมยรหัสผ่าน ผู้คนก็เริ่มใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
จริงอยู่ แต่ละบุคคลนำ 2FA ไปใช้อย่างจริงจังมากขึ้น ประการแรก มันง่ายกว่าสำหรับพวกเขาที่จะสงบความกลัวโดยอาศัยการตรวจสอบสิทธิ์ไบโอเมตริกซ์ที่มีอยู่ในสมาร์ทโฟน ซึ่งอันที่จริงแล้วไม่น่าเชื่อถืออย่างยิ่ง องค์กรต่างๆ จำเป็นต้องใช้เงินในการซื้อโทเค็นและดำเนินงาน (จริงๆ แล้วง่ายมาก) เพื่อนำไปใช้งาน และประการที่สอง มีเพียงคนขี้เกียจเท่านั้นที่ไม่ได้เขียนเกี่ยวกับการรั่วไหลของรหัสผ่านจากบริการต่างๆ เช่น Facebook และ Dropbox แต่ CIO ขององค์กรเหล่านี้จะไม่แบ่งปันเรื่องราวเกี่ยวกับการขโมยรหัสผ่าน (และสิ่งที่เกิดขึ้นต่อไป) ในองค์กรไม่ว่าในกรณีใด
ผู้ที่ไม่ใช้การรับรองความถูกต้องที่รัดกุมกำลังประเมินความเสี่ยงต่อธุรกิจและลูกค้าของตนต่ำเกินไป บางองค์กรที่ไม่ได้ใช้การรับรองความถูกต้องที่รัดกุมในปัจจุบันมักจะมองว่าการเข้าสู่ระบบและรหัสผ่านเป็นหนึ่งในวิธีการตรวจสอบสิทธิ์ผู้ใช้ที่มีประสิทธิภาพและใช้งานง่ายที่สุด คนอื่นๆ ไม่เห็นคุณค่าของสินทรัพย์ดิจิทัลที่พวกเขาเป็นเจ้าของ ท้ายที่สุดแล้ว มันก็คุ้มค่าที่จะพิจารณาว่าอาชญากรไซเบอร์สนใจข้อมูลผู้บริโภคและธุรกิจ สองในสามของบริษัทที่ใช้เพียงรหัสผ่านในการตรวจสอบสิทธิ์พนักงานของตน ทำเช่นนั้นเพราะพวกเขาเชื่อว่ารหัสผ่านนั้นดีเพียงพอสำหรับประเภทข้อมูลที่พวกเขาปกป้อง
อย่างไรก็ตาม รหัสผ่านกำลังเดินทางไปสู่หลุมศพ การพึ่งพารหัสผ่านลดลงอย่างมากในปีที่ผ่านมาสำหรับทั้งแอปพลิเคชันผู้บริโภคและองค์กร (จาก 44% เป็น 31% และจาก 56% เป็น 47% ตามลำดับ) เนื่องจากองค์กรต่างๆ เพิ่มการใช้ MFA แบบเดิมและการรับรองความถูกต้องที่เข้มงวด
แต่ถ้าเราดูสถานการณ์โดยรวม วิธีการตรวจสอบความถูกต้องที่มีช่องโหว่ยังคงมีอยู่ สำหรับการตรวจสอบสิทธิ์ผู้ใช้ ประมาณหนึ่งในสี่ขององค์กรใช้ SMS OTP (รหัสผ่านแบบใช้ครั้งเดียว) พร้อมกับคำถามเพื่อความปลอดภัย ด้วยเหตุนี้จึงต้องมีการนำมาตรการรักษาความปลอดภัยเพิ่มเติมมาใช้เพื่อป้องกันช่องโหว่ซึ่งจะเพิ่มต้นทุน การใช้วิธีการรับรองความถูกต้องที่ปลอดภัยกว่ามาก เช่น คีย์การเข้ารหัสฮาร์ดแวร์ มีการใช้งานน้อยกว่ามากในประมาณ 5% ขององค์กร
สภาพแวดล้อมด้านกฎระเบียบที่เปลี่ยนแปลงไปสัญญาว่าจะเร่งการนำการรับรองความถูกต้องที่เข้มงวดมาใช้สำหรับแอปพลิเคชันของผู้บริโภค ด้วยการเปิดตัว PSD2 รวมถึงกฎการปกป้องข้อมูลใหม่ในสหภาพยุโรปและรัฐของสหรัฐอเมริกาหลายแห่ง เช่น แคลิฟอร์เนีย บริษัทต่างๆ ต่างรู้สึกร้อนแรง บริษัทเกือบ 70% ยอมรับว่าพวกเขาเผชิญกับแรงกดดันด้านกฎระเบียบที่เข้มงวดเพื่อให้การรับรองความถูกต้องที่รัดกุมแก่ลูกค้าของตน องค์กรมากกว่าครึ่งเชื่อว่าภายในไม่กี่ปีวิธีการพิสูจน์ตัวตนของพวกเขาจะไม่เพียงพอที่จะเป็นไปตามมาตรฐานด้านกฎระเบียบ
ความแตกต่างในแนวทางของผู้บัญญัติกฎหมายรัสเซียและอเมริกัน - ยุโรปในการปกป้องข้อมูลส่วนบุคคลของผู้ใช้โปรแกรมและบริการนั้นมองเห็นได้ชัดเจน ชาวรัสเซียพูดว่า: เรียนเจ้าของบริการ ทำสิ่งที่คุณต้องการและวิธีที่คุณต้องการ แต่ถ้าผู้ดูแลระบบของคุณรวมฐานข้อมูล เราจะลงโทษคุณ พวกเขาพูดว่าในต่างประเทศ: คุณต้องใช้ชุดมาตรการนั้น จะไม่อนุญาต ระบายฐาน นั่นคือเหตุผลว่าทำไมจึงมีการนำข้อกำหนดสำหรับการรับรองความถูกต้องด้วยสองปัจจัยที่เข้มงวดมาใช้ที่นั่น
จริงอยู่ มันยังห่างไกลจากข้อเท็จจริงที่ว่าวันหนึ่งกลไกทางนิติบัญญัติของเราจะไม่เกิดขึ้นและคำนึงถึงประสบการณ์ของชาติตะวันตกด้วย ปรากฎว่าทุกคนจำเป็นต้องใช้ 2FA ซึ่งสอดคล้องกับมาตรฐานการเข้ารหัสของรัสเซียและโดยเร่งด่วน
การสร้างกรอบการตรวจสอบความถูกต้องที่แข็งแกร่งช่วยให้บริษัทต่างๆ สามารถเปลี่ยนความสนใจจากการปฏิบัติตามข้อกำหนดด้านกฎระเบียบไปเป็นการตอบสนองความต้องการของลูกค้าได้ สำหรับองค์กรที่ยังคงใช้รหัสผ่านง่ายๆ หรือรับรหัสทาง SMS ปัจจัยที่สำคัญที่สุดในการเลือกวิธีการตรวจสอบความถูกต้องคือการปฏิบัติตามข้อกำหนดด้านกฎระเบียบ แต่บริษัทเหล่านั้นที่ใช้การรับรองความถูกต้องที่รัดกุมอยู่แล้วสามารถมุ่งเน้นไปที่การเลือกวิธีการรับรองความถูกต้องที่เพิ่มความภักดีของลูกค้า
เมื่อเลือกวิธีการรับรองความถูกต้องขององค์กรภายในองค์กร ข้อกำหนดด้านกฎระเบียบจะไม่ใช่ปัจจัยสำคัญอีกต่อไป ในกรณีนี้ ความง่ายในการบูรณาการ (32%) และราคา (26%) มีความสำคัญมากกว่ามาก
ในยุคของฟิชชิ่ง ผู้โจมตีสามารถใช้อีเมลของบริษัทเพื่อหลอกลวงได้ เพื่อฉ้อฉลเข้าถึงข้อมูล บัญชี (ด้วยสิทธิ์การเข้าถึงที่เหมาะสม) และแม้กระทั่งเพื่อโน้มน้าวพนักงานให้โอนเงินเข้าบัญชีของเขา ดังนั้นบัญชีอีเมลและพอร์ทัลขององค์กรจึงต้องได้รับการปกป้องอย่างดีเป็นพิเศษ
Google ได้เสริมสร้างความปลอดภัยด้วยการใช้การตรวจสอบสิทธิ์ที่รัดกุม เมื่อกว่าสองปีที่แล้ว Google เผยแพร่รายงานเกี่ยวกับการใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้คีย์ความปลอดภัยแบบเข้ารหัสโดยใช้มาตรฐาน FIDO U2F ซึ่งรายงานผลลัพธ์ที่น่าประทับใจ จากข้อมูลของบริษัท พบว่าไม่มีการโจมตีแบบฟิชชิ่งกับพนักงานมากกว่า 85 คนแม้แต่ครั้งเดียว
แนะนำ
ใช้การรับรองความถูกต้องที่รัดกุมสำหรับแอปพลิเคชันบนมือถือและออนไลน์ การรับรองความถูกต้องแบบหลายปัจจัยที่ใช้คีย์เข้ารหัสช่วยให้ป้องกันการแฮ็กได้ดีกว่าวิธี MFA แบบเดิมมาก นอกจากนี้ การใช้คีย์เข้ารหัสยังสะดวกกว่ามาก เนื่องจากไม่จำเป็นต้องใช้และถ่ายโอนข้อมูลเพิ่มเติม เช่น รหัสผ่าน รหัสผ่านแบบครั้งเดียว หรือข้อมูลชีวมาตรจากอุปกรณ์ของผู้ใช้ไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้อง นอกจากนี้ การกำหนดโปรโตคอลการตรวจสอบความถูกต้องให้เป็นมาตรฐานยังช่วยให้ใช้วิธีการตรวจสอบความถูกต้องใหม่ๆ ได้ง่ายขึ้นมากเมื่อมีให้ใช้งาน ซึ่งช่วยลดค่าใช้จ่ายในการดำเนินการและป้องกันการฉ้อโกงที่ซับซ้อนมากขึ้น
เตรียมพร้อมสำหรับการสิ้นสุดของรหัสผ่านแบบใช้ครั้งเดียว (OTP) ช่องโหว่ที่มีอยู่ใน OTP เริ่มชัดเจนมากขึ้น เนื่องจากอาชญากรไซเบอร์ใช้วิศวกรรมสังคม การโคลนสมาร์ทโฟน และมัลแวร์เพื่อประนีประนอมวิธีการตรวจสอบเหล่านี้ และหากในบางกรณี OTP มีข้อได้เปรียบบางประการ เฉพาะจากมุมมองของความพร้อมใช้งานสากลสำหรับผู้ใช้ทุกคนเท่านั้น แต่ไม่ใช่จากมุมมองของความปลอดภัย
เป็นไปไม่ได้ที่จะไม่สังเกตว่าการรับรหัสผ่าน SMS หรือการแจ้งเตือนแบบพุช รวมถึงการสร้างรหัสโดยใช้โปรแกรมสำหรับสมาร์ทโฟนนั้นเป็นการใช้รหัสผ่านแบบครั้งเดียว (OTP) เดียวกันกับที่เราถูกขอให้เตรียมพร้อมสำหรับการปฏิเสธ จากมุมมองทางเทคนิค วิธีแก้ปัญหานั้นถูกต้องมาก เนื่องจากเป็นนักต้มตุ๋นที่หายากที่ไม่พยายามค้นหารหัสผ่านแบบครั้งเดียวจากผู้ใช้ที่ใจง่าย แต่ฉันคิดว่าผู้ผลิตระบบดังกล่าวจะยึดติดกับเทคโนโลยีที่กำลังจะตายไปจนสุดทาง
ใช้การรับรองความถูกต้องที่รัดกุมเป็นเครื่องมือทางการตลาดเพื่อเพิ่มความไว้วางใจของลูกค้า การรับรองความถูกต้องที่รัดกุมสามารถทำได้มากกว่าแค่ปรับปรุงความปลอดภัยที่แท้จริงของธุรกิจของคุณ การแจ้งลูกค้าว่าธุรกิจของคุณใช้การรับรองความถูกต้องที่รัดกุมสามารถเสริมสร้างการรับรู้ของสาธารณะเกี่ยวกับความปลอดภัยของธุรกิจนั้นได้ ซึ่งเป็นปัจจัยสำคัญเมื่อมีความต้องการอย่างมากของลูกค้าสำหรับวิธีการรับรองความถูกต้องที่รัดกุม
ดำเนินการประเมินสินค้าคงคลังและภาวะวิกฤตของข้อมูลองค์กรอย่างละเอียด และปกป้องข้อมูลตามความสำคัญ แม้แต่ข้อมูลที่มีความเสี่ยงต่ำ เช่น ข้อมูลติดต่อลูกค้า (ไม่จริง รายงานบอกว่า “มีความเสี่ยงต่ำ” แปลกมากที่พวกเขาดูถูกความสำคัญของข้อมูลนี้) สามารถนำมูลค่าที่สำคัญมาสู่ผู้ฉ้อโกงและสร้างปัญหาให้กับบริษัทได้
ใช้การรับรองความถูกต้องระดับองค์กรที่เข้มงวด ระบบจำนวนหนึ่งเป็นเป้าหมายที่น่าดึงดูดที่สุดสำหรับอาชญากร ซึ่งรวมถึงระบบภายในและที่เชื่อมต่ออินเทอร์เน็ต เช่น โปรแกรมบัญชีหรือคลังข้อมูลองค์กร การรับรองความถูกต้องที่รัดกุมจะป้องกันไม่ให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาต และยังทำให้สามารถระบุได้อย่างแม่นยำว่าพนักงานคนใดที่กระทำกิจกรรมที่เป็นอันตราย
การรับรองความถูกต้องแบบเข้มงวดคืออะไร?
เมื่อใช้การรับรองความถูกต้องที่รัดกุม จะใช้วิธีการหรือปัจจัยหลายประการในการตรวจสอบความถูกต้องของผู้ใช้:
- ปัจจัยความรู้: แบ่งปันความลับระหว่างผู้ใช้และเรื่องที่รับรองความถูกต้องของผู้ใช้ (เช่น รหัสผ่าน คำตอบสำหรับคำถามเพื่อความปลอดภัย ฯลฯ)
- ปัจจัยการเป็นเจ้าของ: อุปกรณ์ที่มีแต่ผู้ใช้เท่านั้น (เช่น อุปกรณ์เคลื่อนที่ คีย์เข้ารหัส ฯลฯ)
- ปัจจัยด้านความซื่อสัตย์: ลักษณะทางกายภาพ (มักเป็นไบโอเมตริกซ์) ของผู้ใช้ (เช่น ลายนิ้วมือ รูปแบบม่านตา เสียง พฤติกรรม ฯลฯ)
ความจำเป็นในการแฮ็กหลายปัจจัยช่วยเพิ่มโอกาสที่ผู้โจมตีจะล้มเหลวอย่างมาก เนื่องจากการหลีกเลี่ยงหรือหลอกลวงปัจจัยต่างๆ ต้องใช้กลยุทธ์การแฮ็กหลายประเภท สำหรับแต่ละปัจจัยแยกกัน
ตัวอย่างเช่น ด้วย 2FA “รหัสผ่าน + สมาร์ทโฟน” ผู้โจมตีสามารถตรวจสอบสิทธิ์ได้โดยดูที่รหัสผ่านของผู้ใช้และสร้างสำเนาซอฟต์แวร์ที่แน่นอนของสมาร์ทโฟนของเขา และนี่เป็นเรื่องยากกว่าการขโมยรหัสผ่านเพียงอย่างเดียว
แต่หากใช้รหัสผ่านและโทเค็นการเข้ารหัสสำหรับ 2FA ตัวเลือกการคัดลอกจะใช้ไม่ได้ - เป็นไปไม่ได้ที่จะทำซ้ำโทเค็น ผู้ฉ้อโกงจะต้องขโมยโทเค็นจากผู้ใช้อย่างลับๆ หากผู้ใช้สังเกตเห็นการเสียเวลาและแจ้งให้ผู้ดูแลระบบทราบ โทเค็นจะถูกบล็อกและความพยายามของผู้ฉ้อโกงจะไร้ผล นี่คือสาเหตุที่ปัจจัยความเป็นเจ้าของกำหนดให้ต้องใช้อุปกรณ์รักษาความปลอดภัยพิเศษ (โทเค็น) มากกว่าอุปกรณ์ที่ใช้งานทั่วไป (สมาร์ทโฟน)
การใช้ปัจจัยทั้งสามนี้จะทำให้วิธีการรับรองความถูกต้องนี้มีราคาแพงในการใช้งานและค่อนข้างไม่สะดวกในการใช้งาน ดังนั้นจึงมักใช้ปัจจัยสองในสาม
หลักการของการรับรองความถูกต้องด้วยสองปัจจัยมีการอธิบายโดยละเอียดเพิ่มเติม
ที่นี่ ในบล็อก “การตรวจสอบสิทธิ์แบบสองปัจจัยทำงานอย่างไร”
สิ่งสำคัญคือต้องทราบว่าปัจจัยการตรวจสอบสิทธิ์อย่างน้อยหนึ่งรายการที่ใช้ในการตรวจสอบสิทธิ์ที่รัดกุมต้องใช้การเข้ารหัสคีย์สาธารณะ
การตรวจสอบสิทธิ์ที่รัดกุมให้การป้องกันที่แข็งแกร่งกว่าการตรวจสอบสิทธิ์แบบปัจจัยเดียวโดยใช้รหัสผ่านแบบคลาสสิกและ MFA แบบเดิม รหัสผ่านสามารถสอดแนมหรือดักจับได้โดยใช้คีย์ล็อกเกอร์ ไซต์ฟิชชิ่ง หรือการโจมตีทางวิศวกรรมสังคม (ซึ่งเหยื่อถูกหลอกให้เปิดเผยรหัสผ่าน) นอกจากนี้เจ้าของรหัสผ่านจะไม่ทราบอะไรเกี่ยวกับการโจรกรรมเลย MFA แบบดั้งเดิม (รวมถึงรหัส OTP ที่เชื่อมโยงกับสมาร์ทโฟนหรือซิมการ์ด) ก็สามารถถูกแฮ็กได้อย่างง่ายดาย เนื่องจากไม่ได้ขึ้นอยู่กับการเข้ารหัสคีย์สาธารณะ (อย่างไรก็ตาม มีหลายตัวอย่างที่นักต้มตุ๋นชักชวนผู้ใช้ให้ตั้งรหัสผ่านแบบใช้ครั้งเดียวโดยใช้เทคนิควิศวกรรมสังคมแบบเดียวกัน).
โชคดีที่การใช้การรับรองความถูกต้องที่รัดกุมและ MFA แบบดั้งเดิมได้รับความสนใจทั้งในแอปพลิเคชันสำหรับผู้บริโภคและองค์กรตั้งแต่ปีที่แล้ว การใช้การรับรองความถูกต้องที่รัดกุมในแอปพลิเคชันสำหรับผู้บริโภคได้เติบโตอย่างรวดเร็วเป็นพิเศษ หากในปี 2017 มีบริษัทเพียง 5% เท่านั้นที่ใช้สิ่งนี้ ในปี 2018 ก็เพิ่มขึ้นถึงสามเท่าหรือ 16% สิ่งนี้สามารถอธิบายได้ด้วยความพร้อมใช้งานที่เพิ่มขึ้นของโทเค็นที่รองรับอัลกอริธึมการเข้ารหัสคีย์สาธารณะ (PKC) นอกจากนี้ แรงกดดันที่เพิ่มขึ้นจากหน่วยงานกำกับดูแลของยุโรปภายหลังการนำกฎการปกป้องข้อมูลใหม่มาใช้ เช่น PSD2 และ GDPR ได้ส่งผลกระทบอย่างมากแม้แต่นอกยุโรป (รวมถึงในรัสเซียด้วย).
ลองมาดูตัวเลขเหล่านี้ให้ละเอียดยิ่งขึ้น ดังที่เราเห็น เปอร์เซ็นต์ของบุคคลทั่วไปที่ใช้การรับรองความถูกต้องแบบหลายปัจจัยเพิ่มขึ้นอย่างน่าประทับใจถึง 11% ตลอดทั้งปี และสิ่งนี้เกิดขึ้นอย่างชัดเจนโดยผู้ชื่นชอบรหัสผ่านต้องสูญเสีย เนื่องจากจำนวนผู้ที่เชื่อในความปลอดภัยของการแจ้งเตือนแบบพุช SMS และไบโอเมตริกซ์ไม่เปลี่ยนแปลง
แต่ด้วยการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับการใช้งานในองค์กร สิ่งต่างๆ ไม่ค่อยดีนัก ประการแรก ตามรายงาน มีเพียง 5% ของพนักงานเท่านั้นที่ถูกถ่ายโอนจากการตรวจสอบรหัสผ่านไปยังโทเค็น และประการที่สอง จำนวนผู้ที่ใช้ตัวเลือก MFA ทางเลือกในสภาพแวดล้อมขององค์กรเพิ่มขึ้น 4%
ฉันจะพยายามเล่นเป็นนักวิเคราะห์และตีความ ศูนย์กลางของโลกดิจิทัลของผู้ใช้แต่ละรายคือสมาร์ทโฟน ดังนั้นจึงไม่น่าแปลกใจที่คนส่วนใหญ่ใช้ความสามารถที่อุปกรณ์มอบให้ - การตรวจสอบสิทธิ์แบบไบโอเมตริกซ์ การแจ้งเตือนทาง SMS และแบบพุช รวมถึงรหัสผ่านแบบครั้งเดียวที่สร้างโดยแอปพลิเคชันบนสมาร์ทโฟนเอง ผู้คนมักจะไม่คำนึงถึงความปลอดภัยและความน่าเชื่อถือเมื่อใช้เครื่องมือที่พวกเขาคุ้นเคย
นี่คือสาเหตุที่เปอร์เซ็นต์ของผู้ใช้ปัจจัยการรับรองความถูกต้อง "แบบดั้งเดิม" แบบดั้งเดิมยังคงไม่เปลี่ยนแปลง แต่ผู้ที่เคยใช้รหัสผ่านก่อนหน้านี้จะเข้าใจดีว่าพวกเขามีความเสี่ยงมากแค่ไหน และเมื่อเลือกปัจจัยการรับรองความถูกต้องใหม่ พวกเขาจะเลือกตัวเลือกใหม่ล่าสุดและปลอดภัยที่สุด นั่นก็คือโทเค็นการเข้ารหัส
สำหรับตลาดองค์กร สิ่งสำคัญคือต้องเข้าใจว่ามีการดำเนินการรับรองความถูกต้องของระบบใดบ้าง หากมีการเข้าสู่ระบบโดเมน Windows จะใช้โทเค็นการเข้ารหัส ความเป็นไปได้ในการใช้งาน 2FA นั้นมีอยู่แล้วในทั้ง Windows และ Linux แต่ตัวเลือกอื่นนั้นยาวและยากต่อการนำไปใช้ มากสำหรับการย้าย 5% จากรหัสผ่านไปยังโทเค็น
และการนำ 2FA ไปใช้ในระบบข้อมูลองค์กรนั้นขึ้นอยู่กับคุณสมบัติของผู้พัฒนาเป็นอย่างมาก และนักพัฒนาจะใช้โมดูลสำเร็จรูปสำหรับสร้างรหัสผ่านครั้งเดียวได้ง่ายกว่ามากมากกว่าที่จะเข้าใจการทำงานของอัลกอริธึมการเข้ารหัส และด้วยเหตุนี้ แม้แต่แอปพลิเคชันที่มีความสำคัญต่อความปลอดภัยอย่างเหลือเชื่อ เช่น ระบบการลงชื่อเพียงครั้งเดียวหรือระบบการจัดการสิทธิ์การเข้าถึงก็ยังใช้ OTP เป็นปัจจัยที่สอง
มีช่องโหว่มากมายในวิธีการรับรองความถูกต้องแบบดั้งเดิม
ในขณะที่หลายองค์กรยังคงพึ่งพาระบบแบบปัจจัยเดียวแบบเดิม ช่องโหว่ในการรับรองความถูกต้องแบบหลายปัจจัยแบบเดิมก็เริ่มปรากฏให้เห็นชัดเจนมากขึ้น รหัสผ่านแบบใช้ครั้งเดียวซึ่งโดยทั่วไปจะมีความยาวหกถึงแปดอักขระที่ส่งทาง SMS ยังคงเป็นรูปแบบการตรวจสอบสิทธิ์ที่ใช้บ่อยที่สุด (นอกเหนือจากปัจจัยรหัสผ่านแล้ว) และเมื่อมีการกล่าวถึงคำว่า "การตรวจสอบสิทธิ์แบบสองปัจจัย" หรือ "การตรวจสอบยืนยันแบบสองขั้นตอน" ในสื่อยอดนิยม มักจะหมายถึงการตรวจสอบสิทธิ์ด้วยรหัสผ่านแบบครั้งเดียวทาง SMS เสมอ
ที่นี่ผู้เขียนผิดพลาดเล็กน้อย การส่งรหัสผ่านแบบครั้งเดียวผ่าน SMS ไม่เคยมีการตรวจสอบสิทธิ์แบบสองปัจจัย นี่คือรูปแบบที่บริสุทธิ์ที่สุดของขั้นตอนที่สองของการรับรองความถูกต้องสองขั้นตอน โดยขั้นตอนแรกคือการป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณ
ในปี 2016 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้อัปเดตกฎการตรวจสอบสิทธิ์เพื่อลดการใช้รหัสผ่านแบบครั้งเดียวที่ส่งทาง SMS อย่างไรก็ตาม กฎเหล่านี้ได้รับการผ่อนคลายลงอย่างมากหลังจากการประท้วงในอุตสาหกรรม
เอาล่ะ เรามาติดตามเนื้อเรื่องกันดีกว่า หน่วยงานกำกับดูแลของอเมริกาตระหนักดีว่าเทคโนโลยีที่ล้าสมัยไม่สามารถรับประกันความปลอดภัยของผู้ใช้ได้ และกำลังนำเสนอมาตรฐานใหม่ มาตรฐานที่ออกแบบมาเพื่อปกป้องผู้ใช้แอปพลิเคชันออนไลน์และมือถือ (รวมถึงแอปพลิเคชันธนาคาร) อุตสาหกรรมกำลังคำนวณจำนวนเงินที่จะต้องใช้ในการซื้อโทเค็นการเข้ารหัสที่เชื่อถือได้อย่างแท้จริง การออกแบบแอปพลิเคชันใหม่ การปรับใช้โครงสร้างพื้นฐานคีย์สาธารณะ และกำลัง “เติบโตบนขาหลัง” ในด้านหนึ่ง ผู้ใช้มั่นใจในความน่าเชื่อถือของรหัสผ่านแบบใช้ครั้งเดียว และในทางกลับกัน ก็มีการโจมตี NIST ส่งผลให้มาตรฐานอ่อนตัวลง และจำนวนการแฮ็กและการขโมยรหัสผ่าน (และเงินจากแอปพลิเคชันธนาคาร) ก็เพิ่มขึ้นอย่างรวดเร็ว แต่อุตสาหกรรมไม่จำเป็นต้องควักเงินออก
ตั้งแต่นั้นมา จุดอ่อนโดยธรรมชาติของ SMS OTP ก็มีความชัดเจนมากขึ้น ผู้ฉ้อโกงใช้วิธีการต่างๆ เพื่อโจมตีข้อความ SMS:
- การทำสำเนาซิมการ์ด ผู้โจมตีสร้างสำเนาของซิม (ด้วยความช่วยเหลือจากพนักงานผู้ให้บริการโทรศัพท์มือถือ หรือโดยอิสระ โดยใช้ซอฟต์แวร์และฮาร์ดแวร์พิเศษ). เป็นผลให้ผู้โจมตีได้รับ SMS พร้อมรหัสผ่านแบบใช้ครั้งเดียว ในกรณีที่โด่งดังโดยเฉพาะกรณีหนึ่ง แฮกเกอร์ยังสามารถบุกรุกบัญชี AT&T ของ Michael Turpin นักลงทุนสกุลเงินดิจิทัล และขโมยเงินดิจิทัลเกือบ 24 ล้านเหรียญสหรัฐได้ Turpin ระบุว่า AT&T เป็นฝ่ายผิดเนื่องจากมาตรการตรวจสอบที่อ่อนแอซึ่งนำไปสู่การทำซ้ำซิมการ์ด
ตรรกะที่น่าทึ่ง มันเป็นความผิดของ AT&T เท่านั้นเหรอ? ไม่ ไม่ต้องสงสัยเลยว่าเป็นความผิดของผู้ให้บริการโทรศัพท์มือถือที่พนักงานขายในร้านสื่อสารออกซิมการ์ดซ้ำ แล้วระบบตรวจสอบการแลกเปลี่ยนสกุลเงินดิจิตอลล่ะ? ทำไมพวกเขาไม่ใช้โทเค็นการเข้ารหัสที่แข็งแกร่ง? เป็นเรื่องน่าเสียดายไหมที่เสียเงินไปกับการดำเนินการ? ไมเคิลเองก็ไม่ตำหนิเหรอ? ทำไมเขาไม่ยืนกรานที่จะเปลี่ยนกลไกการตรวจสอบสิทธิ์หรือใช้เฉพาะการแลกเปลี่ยนที่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้โทเค็นการเข้ารหัส
การแนะนำวิธีการตรวจสอบความถูกต้องที่เชื่อถือได้อย่างแท้จริงนั้นล่าช้าเนื่องจากผู้ใช้แสดงความประมาทอย่างน่าทึ่งก่อนที่จะแฮ็ก และหลังจากนั้นพวกเขาตำหนิปัญหาของพวกเขากับใครก็ตามและสิ่งอื่นใดนอกเหนือจากเทคโนโลยีการตรวจสอบสิทธิ์แบบโบราณและ "รั่ว"
- มัลแวร์ ฟังก์ชั่นแรกสุดประการหนึ่งของมัลแวร์มือถือคือการสกัดกั้นและส่งต่อข้อความไปยังผู้โจมตี นอกจากนี้ การโจมตีแบบแมนอินเบราว์เซอร์และแบบแมนอินกลางสามารถสกัดกั้นรหัสผ่านแบบครั้งเดียวเมื่อรหัสผ่านถูกป้อนบนแล็ปท็อปหรืออุปกรณ์เดสก์ท็อปที่ติดไวรัส
เมื่อแอปพลิเคชัน Sberbank บนสมาร์ทโฟนของคุณกะพริบไอคอนสีเขียวในแถบสถานะ แอปพลิเคชันจะค้นหา "มัลแวร์" ในโทรศัพท์ของคุณด้วย เป้าหมายของกิจกรรมนี้คือการเปลี่ยนสภาพแวดล้อมการดำเนินการที่ไม่น่าเชื่อถือของสมาร์ทโฟนทั่วไปให้กลายเป็นสภาพแวดล้อมที่เชื่อถือได้ อย่างน้อยก็ในทางใดทางหนึ่ง
อย่างไรก็ตามสมาร์ทโฟนซึ่งเป็นอุปกรณ์ที่ไม่น่าเชื่อถือโดยสิ้นเชิงซึ่งสามารถทำได้ทุกอย่างเป็นอีกเหตุผลหนึ่งที่ใช้ในการตรวจสอบสิทธิ์ โทเค็นฮาร์ดแวร์เท่านั้นซึ่งได้รับการปกป้องและปราศจากไวรัสและโทรจัน - วิศวกรรมสังคม เมื่อนักต้มตุ๋นรู้ว่าเหยื่อเปิดใช้งาน OTP ผ่านทาง SMS พวกเขาสามารถติดต่อเหยื่อได้โดยตรงโดยสวมรอยเป็นองค์กรที่เชื่อถือได้ เช่น ธนาคารหรือสหภาพเครดิต เพื่อหลอกให้เหยื่อแจ้งรหัสที่พวกเขาเพิ่งได้รับ
โดยส่วนตัวฉันเคยพบกับการฉ้อโกงประเภทนี้หลายครั้ง เช่น เมื่อพยายามขายของในตลาดนัดออนไลน์ยอดนิยม ฉันล้อเลียนคนโกงที่พยายามหลอกฉันจนพอใจ แต่อนิจจาฉันอ่านข่าวเป็นประจำว่าเหยื่อของนักต้มตุ๋นอีกราย "ไม่คิด" ให้รหัสยืนยันและสูญเสียเงินก้อนโต และทั้งหมดนี้เป็นเพราะธนาคารไม่ต้องการจัดการกับการใช้โทเค็นการเข้ารหัสในแอปพลิเคชัน ท้ายที่สุดแล้ว หากมีอะไรเกิดขึ้น ลูกค้าก็จะ “ต้องโทษตัวเอง”
แม้ว่าวิธีการจัดส่ง OTP ทางเลือกอาจลดช่องโหว่บางประการในวิธีการตรวจสอบสิทธิ์นี้ แต่ช่องโหว่อื่นๆ ยังคงอยู่ แอปพลิเคชันการสร้างโค้ดแบบสแตนด์อโลนเป็นการป้องกันการดักฟังได้ดีที่สุด เนื่องจากแม้แต่มัลแวร์ก็แทบจะไม่สามารถโต้ตอบกับตัวสร้างโค้ดได้โดยตรง (อย่างจริงจัง? ผู้เขียนรายงานลืมเกี่ยวกับการควบคุมระยะไกลหรือไม่?) แต่ OTP ยังคงสามารถถูกดักจับได้เมื่อเข้าสู่เบราว์เซอร์ (เช่น การใช้คีย์ล็อกเกอร์) ผ่านแอปพลิเคชันมือถือที่ถูกแฮ็ก และยังสามารถรับได้โดยตรงจากผู้ใช้โดยใช้วิศวกรรมสังคม
การใช้เครื่องมือประเมินความเสี่ยงหลายอย่าง เช่น การจดจำอุปกรณ์ (การตรวจจับความพยายามในการทำธุรกรรมจากอุปกรณ์ที่ไม่ได้เป็นของผู้ใช้ที่ถูกกฎหมาย) ตำแหน่งทางภูมิศาสตร์ (ผู้ใช้ที่เพิ่งอยู่ในมอสโกพยายามดำเนินการจากโนโวซีบีร์สค์) และการวิเคราะห์พฤติกรรมมีความสำคัญต่อการจัดการจุดอ่อน แต่วิธีแก้ปัญหาทั้งสองอย่างก็ไม่ใช่ยาครอบจักรวาล สำหรับแต่ละสถานการณ์และประเภทของข้อมูล จำเป็นต้องประเมินความเสี่ยงอย่างรอบคอบ และเลือกเทคโนโลยีการตรวจสอบความถูกต้องที่ควรใช้เทคโนโลยี
ไม่มีโซลูชันการรับรองความถูกต้องใดที่จะเป็นยาครอบจักรวาล
รูปที่ 2. ตารางตัวเลือกการรับรองความถูกต้อง
การรับรอง | ปัจจัย | ลักษณะ | ช่องโหว่ที่สำคัญ |
รหัสผ่านหรือ PIN | ความรู้ | ค่าคงที่ซึ่งอาจประกอบด้วยตัวอักษร ตัวเลข และอักขระอื่นๆ จำนวนหนึ่ง | สามารถดักจับ สอดแนม ขโมย หยิบขึ้นมา หรือแฮ็กได้ |
การรับรองความถูกต้องตามความรู้ | ความรู้ | ตั้งคำถามกับคำตอบที่ผู้ใช้ตามกฎหมายเท่านั้นที่สามารถรู้ได้ | สามารถสกัดกั้น หยิบขึ้นมา ได้โดยใช้วิธีวิศวกรรมสังคม |
ฮาร์ดแวร์ OTP ( |
การครอบครอง | อุปกรณ์พิเศษที่สร้างรหัสผ่านแบบใช้ครั้งเดียว | รหัสอาจถูกดักจับและทำซ้ำ หรืออุปกรณ์อาจถูกขโมย |
ซอฟต์แวร์ OTP | การครอบครอง | แอปพลิเคชัน (มือถือ เข้าถึงได้ผ่านเบราว์เซอร์ หรือส่งรหัสทางอีเมล) ที่สร้างรหัสผ่านแบบใช้ครั้งเดียว | รหัสอาจถูกดักจับและทำซ้ำ หรืออุปกรณ์อาจถูกขโมย |
SMS โอทีพี | การครอบครอง | รหัสผ่านแบบใช้ครั้งเดียวส่งผ่านข้อความ SMS | รหัสอาจถูกดักและทำซ้ำ หรือสมาร์ทโฟนหรือซิมการ์ดอาจถูกขโมย หรือซิมการ์ดอาจถูกทำซ้ำ |
สมาร์ทการ์ด ( |
การครอบครอง | การ์ดที่มีชิปเข้ารหัสและหน่วยความจำคีย์ที่ปลอดภัยซึ่งใช้โครงสร้างพื้นฐานคีย์สาธารณะสำหรับการตรวจสอบสิทธิ์ | อาจถูกขโมยทางกายภาพ (แต่ผู้โจมตีจะไม่สามารถใช้อุปกรณ์โดยไม่ทราบรหัส PIN ในกรณีที่พยายามป้อนข้อมูลไม่ถูกต้องหลายครั้ง อุปกรณ์จะถูกบล็อก) |
คีย์ความปลอดภัย - โทเค็น ( |
การครอบครอง | อุปกรณ์ USB ที่มีชิปเข้ารหัสและหน่วยความจำคีย์ที่ปลอดภัยซึ่งใช้โครงสร้างพื้นฐานคีย์สาธารณะสำหรับการตรวจสอบสิทธิ์ | สามารถถูกขโมยทางกายภาพได้ (แต่ผู้โจมตีจะไม่สามารถใช้อุปกรณ์โดยไม่ทราบรหัส PIN ในกรณีที่พยายามเข้าไม่ถูกต้องหลายครั้ง อุปกรณ์จะถูกบล็อก) |
การเชื่อมโยงไปยังอุปกรณ์ | การครอบครอง | กระบวนการที่สร้างโปรไฟล์ ซึ่งมักใช้ JavaScript หรือใช้เครื่องหมาย เช่น คุกกี้และ Flash Shared Objects เพื่อให้แน่ใจว่ามีการใช้งานอุปกรณ์เฉพาะ | โทเค็นสามารถถูกขโมย (คัดลอก) และผู้โจมตีสามารถเลียนแบบลักษณะของอุปกรณ์ทางกฎหมายบนอุปกรณ์ของเขาได้ |
พฤติกรรม | โดยธรรมชาติ | วิเคราะห์วิธีที่ผู้ใช้โต้ตอบกับอุปกรณ์หรือโปรแกรม | พฤติกรรมสามารถเลียนแบบได้ |
ลายนิ้วมือ | โดยธรรมชาติ | ลายนิ้วมือที่เก็บไว้จะถูกเปรียบเทียบกับลายนิ้วมือที่บันทึกด้วยแสงหรือทางอิเล็กทรอนิกส์ | รูปภาพสามารถถูกขโมยและใช้สำหรับการรับรองความถูกต้องได้ |
สแกนตา | โดยธรรมชาติ | เปรียบเทียบลักษณะดวงตา เช่น รูปแบบม่านตา กับการสแกนด้วยแสงแบบใหม่ | รูปภาพสามารถถูกขโมยและใช้สำหรับการรับรองความถูกต้องได้ |
การจดจำใบหน้า | โดยธรรมชาติ | ลักษณะใบหน้าจะถูกเปรียบเทียบกับการสแกนด้วยแสงแบบใหม่ | รูปภาพสามารถถูกขโมยและใช้สำหรับการรับรองความถูกต้องได้ |
การจดจำเสียง | โดยธรรมชาติ | ลักษณะของตัวอย่างเสียงที่บันทึกไว้จะถูกเปรียบเทียบกับตัวอย่างใหม่ | บันทึกสามารถถูกขโมยและใช้สำหรับการรับรองความถูกต้องหรือจำลองได้ |
ในส่วนที่สองของสิ่งพิมพ์ สิ่งที่อร่อยที่สุดรอเราอยู่ - ตัวเลขและข้อเท็จจริง ซึ่งมีข้อสรุปและคำแนะนำที่ให้ไว้ในส่วนแรก การรับรองความถูกต้องในแอปพลิเคชันของผู้ใช้และในระบบขององค์กรจะมีการหารือแยกกัน
แล้วพบกันเร็ว ๆ นี้!
ที่มา: will.com