Spoiler mula sa pamagat ng ulat: "Ang paggamit ng malakas na pagpapatunay ay tumataas dahil sa mga banta ng mga bagong panganib at mga kinakailangan sa regulasyon."
Inilathala ng kumpanya ng pananaliksik na "Javelin Strategy & Research" ang ulat na "The State of Strong Authentication 2019" (). Sinasabi ng ulat na ito: ilang porsyento ng mga kumpanyang Amerikano at Europeo ang gumagamit ng mga password (at kung bakit kakaunti ang gumagamit ng mga password ngayon); bakit ang paggamit ng dalawang-factor na pagpapatotoo batay sa mga cryptographic na token ay mabilis na lumalaki; Bakit hindi secure ang mga minsanang code na ipinadala sa pamamagitan ng SMS.
Sinumang interesado sa kasalukuyan, nakaraan, at hinaharap ng pagpapatunay sa mga negosyo at mga aplikasyon ng consumer ay malugod na tinatanggap.
Mula sa tagasalin
Sa kasamaang palad, ang wika kung saan nakasulat ang ulat na ito ay medyo "tuyo" at pormal. At ang limang beses na paggamit ng salitang "authentication" sa isang maikling pangungusap ay hindi ang mga baluktot na kamay (o utak) ng tagasalin, kundi ang kapritso ng mga may-akda. Kapag nagsasalin mula sa dalawang pagpipilian - upang bigyan ang mga mambabasa ng isang teksto na mas malapit sa orihinal, o isang mas kawili-wiling isa, kung minsan ay pinili ko ang una, at kung minsan ang pangalawa. Ngunit maging matiyaga, mahal na mga mambabasa, ang mga nilalaman ng ulat ay sulit.
Ang ilang mga hindi mahalaga at hindi kinakailangang mga piraso para sa kuwento ay inalis, kung hindi, ang karamihan ay hindi makakarating sa buong teksto. Ang mga nagnanais na basahin ang ulat na "hindi pinutol" ay maaaring gawin ito sa orihinal na wika sa pamamagitan ng pagsunod sa link.
Sa kasamaang palad, ang mga may-akda ay hindi palaging maingat sa terminolohiya. Kaya, ang mga minsanang password (One Time Password - OTP) ay tinatawag na "mga password", at kung minsan ay "mga code". Ito ay mas masahol pa sa mga pamamaraan ng pagpapatunay. Hindi laging madali para sa hindi sanay na mambabasa na hulaan na ang "pagpapatotoo gamit ang mga cryptographic key" at "malakas na pagpapatotoo" ay pareho. Sinubukan kong pag-isahin ang mga termino hangga't maaari, at sa ulat mismo ay mayroong isang fragment sa kanilang paglalarawan.
Gayunpaman, ang ulat ay lubos na inirerekomendang basahin dahil naglalaman ito ng mga natatanging resulta ng pananaliksik at tamang konklusyon.
Ang lahat ng mga numero at katotohanan ay ipinakita nang walang kaunting pagbabago, at kung hindi ka sumasang-ayon sa kanila, mas mahusay na makipagtalo hindi sa tagasalin, ngunit sa mga may-akda ng ulat. At narito ang aking mga komento (inilatag bilang mga sipi, at minarkahan sa teksto Italyano) ang aking paghatol sa halaga at ikalulugod kong makipagtalo sa bawat isa sa kanila (pati na rin sa kalidad ng pagsasalin).
Repasuhin
Sa ngayon, ang mga digital na channel ng komunikasyon sa mga customer ay mas mahalaga kaysa dati para sa mga negosyo. At sa loob ng kumpanya, ang mga komunikasyon sa pagitan ng mga empleyado ay mas digitally oriented kaysa dati. At kung gaano magiging secure ang mga pakikipag-ugnayang ito ay depende sa napiling paraan ng pagpapatunay ng user. Gumagamit ang mga attacker ng mahinang authentication para malawakang i-hack ang mga user account. Bilang tugon, hinihigpitan ng mga regulator ang mga pamantayan upang pilitin ang mga negosyo na mas maprotektahan ang mga account at data ng user.
Ang mga banta na nauugnay sa pagpapatotoo ay lumalampas sa mga application ng consumer; ang mga umaatake ay maaari ding makakuha ng access sa mga application na tumatakbo sa loob ng enterprise. Binibigyang-daan sila ng operasyong ito na magpanggap bilang mga gumagamit ng kumpanya. Ang mga umaatake na gumagamit ng mga access point na may mahinang authentication ay maaaring magnakaw ng data at magsagawa ng iba pang mga mapanlinlang na aktibidad. Sa kabutihang palad, may mga hakbang upang labanan ito. Ang malakas na pagpapatotoo ay makakatulong sa makabuluhang bawasan ang panganib ng pag-atake ng isang umaatake, kapwa sa mga aplikasyon ng consumer at sa mga sistema ng negosyo ng enterprise.
Sinusuri ng pag-aaral na ito: kung paano ipinapatupad ng mga negosyo ang pagpapatunay upang protektahan ang mga aplikasyon ng end-user at mga sistema ng negosyo ng negosyo; mga kadahilanan na kanilang isinasaalang-alang kapag pumipili ng solusyon sa pagpapatunay; ang papel na ginagampanan ng malakas na pagpapatotoo sa kanilang mga organisasyon; ang mga benepisyong natatanggap ng mga organisasyong ito.
Buod
Pangunahing natuklasan
Mula noong 2017, ang paggamit ng malakas na pagpapatunay ay tumaas nang husto. Sa pagtaas ng bilang ng mga kahinaan na nakakaapekto sa tradisyonal na mga solusyon sa pagpapatotoo, pinalalakas ng mga organisasyon ang kanilang mga kakayahan sa pagpapatotoo na may malakas na pagpapatotoo. Ang bilang ng mga organisasyong gumagamit ng cryptographic multi-factor authentication (MFA) ay triple mula noong 2017 para sa mga consumer application at tumaas ng halos 50% para sa mga enterprise application. Ang pinakamabilis na paglago ay makikita sa mobile authentication dahil sa pagtaas ng availability ng biometric authentication.
Dito makikita natin ang isang ilustrasyon ng kasabihang "hanggang sa kulog, hindi tatawid ang isang tao." Nang nagbabala ang mga eksperto tungkol sa kawalan ng seguridad ng mga password, walang nagmamadaling magpatupad ng two-factor authentication. Sa sandaling nagsimulang magnakaw ng mga password ang mga hacker, nagsimulang ipatupad ng mga tao ang two-factor authentication.
Totoo, ang mga indibidwal ay mas aktibong nagpapatupad ng 2FA. Una, mas madali para sa kanila na pakalmahin ang kanilang mga takot sa pamamagitan ng pag-asa sa biometric na pagpapatotoo na binuo sa mga smartphone, na sa katunayan ay napaka hindi maaasahan. Ang mga organisasyon ay kailangang gumastos ng pera sa pagbili ng mga token at magsagawa ng trabaho (sa katunayan, napakasimple) upang ipatupad ang mga ito. At pangalawa, ang mga tamad na tao lamang ang hindi sumulat tungkol sa mga pagtagas ng password mula sa mga serbisyo tulad ng Facebook at Dropbox, ngunit sa ilalim ng anumang pagkakataon ay hindi magbabahagi ang mga CIO ng mga organisasyong ito ng mga kuwento tungkol sa kung paano ninakaw ang mga password (at kung ano ang sumunod na nangyari) sa mga organisasyon.
Ang mga hindi gumagamit ng malakas na pagpapatotoo ay minamaliit ang kanilang panganib sa kanilang negosyo at mga customer. Ang ilang mga organisasyon na kasalukuyang hindi gumagamit ng malakas na pagpapatotoo ay may posibilidad na tingnan ang mga pag-login at password bilang isa sa mga pinakaepektibo at madaling gamitin na mga paraan ng pagpapatunay ng user. Hindi nakikita ng iba ang halaga ng mga digital asset na pagmamay-ari nila. Pagkatapos ng lahat, ito ay nagkakahalaga ng pagsasaalang-alang na ang mga cybercriminal ay interesado sa anumang impormasyon ng consumer at negosyo. Dalawang-katlo ng mga kumpanya na gumagamit lamang ng mga password upang patotohanan ang kanilang mga empleyado ay gumagawa nito dahil naniniwala sila na ang mga password ay sapat na mabuti para sa uri ng impormasyong kanilang pinoprotektahan.
Gayunpaman, ang mga password ay patungo sa libingan. Malaking bumaba ang dependency sa password sa nakaraang taon para sa parehong mga consumer at enterprise application (mula 44% hanggang 31%, at mula 56% hanggang 47%, ayon sa pagkakabanggit) habang pinapataas ng mga organisasyon ang kanilang paggamit ng tradisyonal na MFA at malakas na pagpapatotoo.
Ngunit kung titingnan natin ang sitwasyon sa kabuuan, nananaig pa rin ang mga vulnerable na paraan ng pagpapatunay. Para sa pagpapatunay ng user, humigit-kumulang isang-kapat ng mga organisasyon ang gumagamit ng SMS OTP (isang beses na password) kasama ng mga tanong sa seguridad. Bilang resulta, ang mga karagdagang hakbang sa seguridad ay dapat ipatupad upang maprotektahan laban sa kahinaan, na nagpapataas ng mga gastos. Ang paggamit ng mas secure na mga paraan ng pagpapatunay, tulad ng mga hardware cryptographic key, ay hindi gaanong ginagamit, sa humigit-kumulang 5% ng mga organisasyon.
Ang umuusbong na kapaligiran ng regulasyon ay nangangako na pabilisin ang pagpapatibay ng malakas na pagpapatunay para sa mga aplikasyon ng consumer. Sa pagpapakilala ng PSD2, pati na rin ang mga bagong panuntunan sa proteksyon ng data sa EU at ilang estado ng US tulad ng California, nararamdaman ng mga kumpanya ang init. Halos 70% ng mga kumpanya ay sumasang-ayon na nahaharap sila sa matinding panggigipit sa regulasyon upang magbigay ng malakas na pagpapatotoo sa kanilang mga customer. Mahigit sa kalahati ng mga negosyo ang naniniwala na sa loob ng ilang taon ang kanilang mga pamamaraan sa pagpapatunay ay hindi magiging sapat upang matugunan ang mga pamantayan ng regulasyon.
Ang pagkakaiba sa mga diskarte ng mga mambabatas ng Russian at American-European sa proteksyon ng personal na data ng mga gumagamit ng mga programa at serbisyo ay malinaw na nakikita. Sinasabi ng mga Ruso: mahal na mga may-ari ng serbisyo, gawin kung ano ang gusto mo at kung paano mo gusto, ngunit kung pinagsama ng iyong admin ang database, parurusahan ka namin. Sabi nila sa ibang bansa: dapat mong ipatupad ang isang hanay ng mga hakbang na iyon hindi papayag alisan ng tubig ang base. Kaya naman ipinapatupad doon ang mga kinakailangan para sa mahigpit na two-factor authentication.
Totoo, ito ay malayo sa isang katotohanan na ang ating legislative machine ay balang araw ay hindi mauunawaan at isasaalang-alang ang karanasan ng Kanluranin. Pagkatapos ay lumalabas na kailangan ng lahat na ipatupad ang 2FA, na sumusunod sa mga pamantayan ng cryptographic ng Russia, at mapilit.
Ang pagtatatag ng isang malakas na balangkas ng pagpapatunay ay nagbibigay-daan sa mga kumpanya na ilipat ang kanilang pagtuon mula sa pagtugon sa mga kinakailangan sa regulasyon patungo sa pagtugon sa mga pangangailangan ng customer. Para sa mga organisasyong iyon na gumagamit pa rin ng mga simpleng password o tumatanggap ng mga code sa pamamagitan ng SMS, ang pinakamahalagang salik kapag pumipili ng paraan ng pagpapatunay ay ang pagsunod sa mga kinakailangan sa regulasyon. Ngunit ang mga kumpanyang iyon na gumagamit na ng malakas na pagpapatotoo ay maaaring tumuon sa pagpili sa mga paraan ng pagpapatunay na nagpapataas ng katapatan ng customer.
Kapag pumipili ng paraan ng pagpapatunay ng kumpanya sa loob ng isang negosyo, hindi na mahalagang salik ang mga kinakailangan sa regulasyon. Sa kasong ito, ang kadalian ng pagsasama (32%) at gastos (26%) ay higit na mahalaga.
Sa panahon ng phishing, maaaring gamitin ng mga attacker ang corporate email para manloko upang mapanlinlang na makakuha ng access sa data, mga account (na may naaangkop na mga karapatan sa pag-access), at kahit na kumbinsihin ang mga empleyado na gumawa ng money transfer sa kanyang account. Samakatuwid, ang mga corporate email at portal account ay dapat na partikular na protektado.
Pinalakas ng Google ang seguridad nito sa pamamagitan ng pagpapatupad ng malakas na pagpapatunay. Mahigit dalawang taon na ang nakararaan, naglathala ang Google ng ulat sa pagpapatupad ng two-factor authentication batay sa cryptographic security keys gamit ang FIDO U2F standard, na nag-uulat ng mga kahanga-hangang resulta. Ayon sa kumpanya, walang isang pag-atake ng phishing ang natupad laban sa higit sa 85 empleyado.
Rekomendasyon
Magpatupad ng malakas na pagpapatotoo para sa mga mobile at online na application. Ang multi-factor na pagpapatotoo batay sa mga cryptographic key ay nagbibigay ng mas mahusay na proteksyon laban sa pag-hack kaysa sa mga tradisyonal na pamamaraan ng MFA. Bilang karagdagan, ang paggamit ng mga cryptographic key ay mas maginhawa dahil hindi na kailangang gumamit at maglipat ng karagdagang impormasyon - mga password, isang beses na password o biometric data mula sa device ng user patungo sa authentication server. Bukod pa rito, ginagawang mas madali ng pag-standardize ng mga protocol sa pagpapatotoo ang pagpapatupad ng mga bagong paraan ng pagpapatotoo habang magagamit ang mga ito, binabawasan ang mga gastos sa pagpapatupad at pagprotekta laban sa mas sopistikadong mga scheme ng pandaraya.
Maghanda para sa pagkamatay ng isang beses na password (OTP). Ang mga kahinaan na likas sa mga OTP ay lalong nagiging maliwanag habang ginagamit ng mga cybercriminal ang social engineering, pag-clone ng smartphone at malware upang ikompromiso ang mga paraan ng pagpapatunay na ito. At kung ang mga OTP sa ilang mga kaso ay may ilang mga pakinabang, pagkatapos lamang mula sa punto ng view ng unibersal na kakayahang magamit para sa lahat ng mga gumagamit, ngunit hindi mula sa punto ng view ng seguridad.
Imposibleng hindi mapansin na ang pagtanggap ng mga code sa pamamagitan ng SMS o Push notification, pati na rin ang pagbuo ng mga code gamit ang mga program para sa mga smartphone, ay ang paggamit ng parehong mga one-time na password (OTP) kung saan hinihiling sa amin na maghanda para sa pagtanggi. Mula sa isang teknikal na punto ng view, ang solusyon ay napaka tama, dahil ito ay isang bihirang manloloko na hindi sumusubok na malaman ang isang beses na password mula sa isang mapanlinlang na gumagamit. Ngunit sa palagay ko ang mga tagagawa ng naturang mga sistema ay kumapit sa namamatay na teknolohiya hanggang sa huli.
Gumamit ng malakas na pagpapatotoo bilang isang tool sa marketing upang mapataas ang tiwala ng customer. Ang malakas na pagpapatotoo ay maaaring gumawa ng higit pa sa pagpapabuti ng aktwal na seguridad ng iyong negosyo. Ang pagpapaalam sa mga customer na ang iyong negosyo ay gumagamit ng malakas na pagpapatotoo ay maaaring palakasin ang pampublikong pang-unawa sa seguridad ng negosyong iyonβisang mahalagang salik kapag may malaking pangangailangan ng customer para sa malakas na paraan ng pagpapatotoo.
Magsagawa ng masusing imbentaryo at pagtatasa ng pagiging kritikal ng data ng kumpanya at protektahan ito ayon sa kahalagahan. Kahit na ang data na mababa ang panganib gaya ng impormasyon sa pakikipag-ugnayan sa customer (hindi, talaga, ang ulat ay nagsasabing "mababa ang panganib", ito ay lubhang kakaiba na sila ay minamaliit ang kahalagahan ng impormasyong ito), ay maaaring magdala ng makabuluhang halaga sa mga manloloko at magdulot ng mga problema para sa kumpanya.
Gumamit ng malakas na pagpapatunay ng enterprise. Ang isang bilang ng mga sistema ay ang pinakakaakit-akit na mga target para sa mga kriminal. Kabilang dito ang panloob at mga sistemang nakakonekta sa Internet tulad ng isang accounting program o isang corporate data warehouse. Pinipigilan ng malakas na pagpapatotoo ang mga umaatake na makakuha ng hindi awtorisadong pag-access, at ginagawang posible na tumpak na matukoy kung sinong empleyado ang gumawa ng malisyosong aktibidad.
Ano ang Strong Authentication?
Kapag gumagamit ng malakas na pagpapatotoo, maraming paraan o salik ang ginagamit upang i-verify ang pagiging tunay ng user:
- Salik ng kaalaman: nakabahaging lihim sa pagitan ng user at ng user na napatotohanan na paksa (tulad ng mga password, mga sagot sa mga tanong sa seguridad, atbp.)
- Salik ng pagmamay-ari: isang device na mayroon lamang ang user (halimbawa, isang mobile device, isang cryptographic key, atbp.)
- Salik ng integridad: pisikal (madalas na biometric) na katangian ng user (halimbawa, fingerprint, pattern ng iris, boses, pag-uugali, atbp.)
Ang pangangailangang mag-hack ng maraming salik ay lubos na nagpapataas ng posibilidad na mabigo para sa mga umaatake, dahil ang pag-bypass o panlilinlang sa iba't ibang salik ay nangangailangan ng paggamit ng maraming uri ng mga taktika sa pag-hack, para sa bawat salik nang hiwalay.
Halimbawa, sa 2FA βpassword + smartphone,β ang isang attacker ay maaaring magsagawa ng authentication sa pamamagitan ng pagtingin sa password ng user at paggawa ng eksaktong software na kopya ng kanyang smartphone. At ito ay mas mahirap kaysa sa simpleng pagnanakaw ng password.
Ngunit kung ang isang password at isang cryptographic token ay ginagamit para sa 2FA, kung gayon ang pagpipilian sa pagkopya ay hindi gagana dito - imposibleng ma-duplicate ang token. Kakailanganin ng manloloko na palihim na nakawin ang token mula sa user. Kung mapansin ng user ang pagkawala sa oras at aabisuhan ang admin, maba-block ang token at mawawalan ng saysay ang mga pagsisikap ng manloloko. Ito ang dahilan kung bakit kinakailangan ng salik ng pagmamay-ari ang paggamit ng mga espesyal na secure na device (token) sa halip na mga general purpose na device (smartphone).
Ang paggamit sa lahat ng tatlong salik ay gagawing medyo mahal ang paraan ng pagpapatunay na ito na ipatupad at medyo hindi maginhawang gamitin. Samakatuwid, dalawa sa tatlong salik ang kadalasang ginagamit.
Ang mga prinsipyo ng two-factor authentication ay inilalarawan nang mas detalyado , sa block na "Paano gumagana ang two-factor authentication."
Mahalagang tandaan na hindi bababa sa isa sa mga salik sa pagpapatunay na ginagamit sa malakas na pagpapatotoo ay dapat gumamit ng pampublikong key cryptography.
Ang malakas na pagpapatotoo ay nagbibigay ng mas malakas na proteksyon kaysa sa single-factor na pagpapatotoo batay sa mga klasikong password at tradisyonal na MFA. Maaaring tiktikan o harangin ang mga password gamit ang mga keylogger, phishing site, o pag-atake ng social engineering (kung saan dinadaya ang biktima para ibunyag ang kanilang password). Bukod dito, hindi malalaman ng may-ari ng password ang anumang bagay tungkol sa pagnanakaw. Ang tradisyonal na MFA (kabilang ang mga OTP code, na nagbubuklod sa isang smartphone o SIM card) ay maaari ding madaling ma-hack, dahil hindi ito batay sa pampublikong key cryptography (Sa pamamagitan ng paraan, maraming mga halimbawa kapag, gamit ang parehong mga diskarte sa social engineering, hinikayat ng mga scammer ang mga user na bigyan sila ng isang beses na password).
Sa kabutihang palad, ang paggamit ng malakas na pagpapatotoo at tradisyonal na MFA ay nakakakuha ng traksyon sa parehong mga consumer at enterprise application mula noong nakaraang taon. Ang paggamit ng malakas na pagpapatotoo sa mga aplikasyon ng consumer ay lalong mabilis na lumago. Kung noong 2017 5% lamang ng mga kumpanya ang gumamit nito, kung gayon sa 2018 ito ay tatlong beses nang higit pa - 16%. Ito ay maaaring ipaliwanag sa pamamagitan ng pagtaas ng pagkakaroon ng mga token na sumusuporta sa mga algorithm ng Public Key Cryptography (PKC). Bilang karagdagan, ang pagtaas ng presyon mula sa mga European regulators kasunod ng pagpapatibay ng mga bagong panuntunan sa proteksyon ng data tulad ng PSD2 at GDPR ay nagkaroon ng malakas na epekto kahit sa labas ng Europa (kabilang sa Russia).
Tingnan natin ang mga numerong ito. Gaya ng nakikita natin, ang porsyento ng mga pribadong indibidwal na gumagamit ng multi-factor na pagpapatotoo ay lumago ng isang kahanga-hangang 11% sa buong taon. At ito ay malinaw na nangyari sa kapinsalaan ng mga mahilig sa password, dahil ang mga bilang ng mga naniniwala sa seguridad ng mga Push notification, SMS at biometrics ay hindi nagbago.
Ngunit sa dalawang-factor na pagpapatotoo para sa paggamit ng korporasyon, ang mga bagay ay hindi napakahusay. Una, ayon sa ulat, 5% lamang ng mga empleyado ang inilipat mula sa pagpapatunay ng password sa mga token. At pangalawa, ang bilang ng mga gumagamit ng mga alternatibong opsyon sa MFA sa isang corporate environment ay tumaas ng 4%.
Susubukan kong maglaro ng analyst at ibigay ang aking interpretasyon. Sa gitna ng digital na mundo ng mga indibidwal na gumagamit ay ang smartphone. Samakatuwid, hindi nakakagulat na ang karamihan ay gumagamit ng mga kakayahan na ibinibigay sa kanila ng device - biometric na pagpapatotoo, SMS at Push notification, pati na rin ang isang beses na mga password na nabuo ng mga application sa smartphone mismo. Karaniwang hindi iniisip ng mga tao ang tungkol sa kaligtasan at pagiging maaasahan kapag ginagamit ang mga tool na nakasanayan na nila.
Ito ang dahilan kung bakit nananatiling hindi nagbabago ang porsyento ng mga user ng primitive na "tradisyonal" na mga salik sa pagpapatotoo. Ngunit ang mga dati nang gumamit ng mga password ay nauunawaan kung gaano sila nanganganib, at kapag pumipili ng bagong salik sa pagpapatunay, pinili nila ang pinakabago at pinakaligtas na opsyon - isang cryptographic token.
Tulad ng para sa corporate market, mahalagang maunawaan kung saan isinasagawa ang pagpapatunay ng system. Kung ipinatupad ang pag-log in sa isang domain ng Windows, gagamitin ang mga cryptographic na token. Ang mga posibilidad para sa paggamit ng mga ito para sa 2FA ay binuo na sa parehong Windows at Linux, ngunit ang mga alternatibong opsyon ay mahaba at mahirap ipatupad. Napakarami para sa paglipat ng 5% mula sa mga password patungo sa mga token.
At ang pagpapatupad ng 2FA sa isang corporate information system ay lubos na nakasalalay sa mga kwalipikasyon ng mga developer. At mas madali para sa mga developer na kumuha ng mga yari na module para sa pagbuo ng isang beses na mga password kaysa sa pag-unawa sa pagpapatakbo ng mga cryptographic algorithm. At bilang resulta, kahit na ang mga application na hindi kapani-paniwalang kritikal sa seguridad tulad ng Single Sign-On o Privileged Access Management system ay gumagamit ng OTP bilang pangalawang salik.
Maraming mga kahinaan sa tradisyonal na pamamaraan ng pagpapatunay
Bagama't maraming organisasyon ang nananatiling umaasa sa mga legacy na single-factor system, ang mga kahinaan sa tradisyonal na multi-factor na pagpapatotoo ay lalong nagiging maliwanag. Ang mga minsanang password, karaniwang anim hanggang walong character ang haba, na inihatid sa pamamagitan ng SMS, ay nananatiling pinakakaraniwang paraan ng pagpapatunay (bukod sa kadahilanan ng password, siyempre). At kapag ang mga salitang "two-factor authentication" o "two-step verification" ay binanggit sa sikat na press, halos palaging tumutukoy ang mga ito sa SMS na isang beses na pagpapatotoo ng password.
Dito ay medyo nagkakamali ang may-akda. Ang paghahatid ng isang beses na password sa pamamagitan ng SMS ay hindi kailanman naging dalawang-factor na pagpapatotoo. Ito ay nasa purong anyo nito ang pangalawang yugto ng dalawang-hakbang na pagpapatotoo, kung saan ang unang yugto ay ang pagpasok ng iyong login at password.
Noong 2016, in-update ng National Institute of Standards and Technology (NIST) ang mga panuntunan sa pagpapatotoo nito upang alisin ang paggamit ng isang beses na mga password na ipinadala sa pamamagitan ng SMS. Gayunpaman, ang mga panuntunang ito ay lubos na na-relax kasunod ng mga protesta ng industriya.
Kaya, sundan natin ang plot. Tamang kinikilala ng American regulator na hindi napapanahong teknolohiya ay hindi kayang tiyakin ang kaligtasan ng user at nagpapakilala ng mga bagong pamantayan. Mga pamantayang idinisenyo upang protektahan ang mga gumagamit ng mga online at mobile application (kabilang ang mga banking). Kinakalkula ng industriya kung gaano karaming pera ang gagastusin nito sa pagbili ng tunay na maaasahang mga cryptographic na token, muling pagdidisenyo ng mga application, pag-deploy ng pampublikong susi na imprastraktura, at "tumataas sa kanyang mga paa." Sa isang banda, ang mga gumagamit ay kumbinsido sa pagiging maaasahan ng isang beses na mga password, at sa kabilang banda, may mga pag-atake sa NIST. Bilang isang resulta, ang pamantayan ay pinalambot, at ang bilang ng mga hack at pagnanakaw ng mga password (at pera mula sa mga aplikasyon sa pagbabangko) ay tumaas nang husto. Ngunit ang industriya ay hindi kailangang maglabas ng pera.
Simula noon, ang mga likas na kahinaan ng SMS OTP ay naging mas maliwanag. Gumagamit ang mga manloloko ng iba't ibang paraan upang ikompromiso ang mga mensaheng SMS:
- Pagdoble ng SIM card. Ang mga umaatake ay gumagawa ng kopya ng SIM (sa tulong ng mga empleyado ng mobile operator, o nang nakapag-iisa, gamit ang espesyal na software at hardware). Bilang resulta, ang umaatake ay nakatanggap ng SMS na may isang beses na password. Sa isang partikular na sikat na kaso, nagawa pang ikompromiso ng mga hacker ang AT&T account ng cryptocurrency investor na si Michael Turpin, at nagnakaw ng halos $24 milyon sa mga cryptocurrencies. Bilang resulta, sinabi ni Turpin na ang AT&T ang may kasalanan dahil sa mahinang mga hakbang sa pag-verify na humantong sa pagdoble ng SIM card.
Kamangha-manghang lohika. So AT&T lang talaga ang may kasalanan? Hindi, walang alinlangan na kasalanan ng mobile operator na ang mga salespeople sa tindahan ng komunikasyon ay nagbigay ng duplicate na SIM card. Paano naman ang cryptocurrency exchange authentication system? Bakit hindi sila gumamit ng malalakas na cryptographic token? Nakakalungkot bang gumastos ng pera sa pagpapatupad? Hindi ba si Michael ang may kasalanan? Bakit hindi niya ipilit na baguhin ang mekanismo ng pagpapatotoo o gamitin lamang ang mga palitan na iyon na nagpapatupad ng two-factor na pagpapatotoo batay sa mga cryptographic na token?
Ang pagpapakilala ng mga tunay na maaasahang paraan ng pagpapatotoo ay tiyak na naantala dahil ang mga gumagamit ay nagpapakita ng kamangha-manghang kawalang-ingat bago ang pag-hack, at pagkatapos ay sinisisi nila ang kanilang mga problema sa sinuman at anumang bagay maliban sa mga sinaunang at "tumutulo" na teknolohiya sa pagpapatotoo
- Malware. Ang isa sa mga pinakaunang function ng mobile malware ay ang humarang at magpasa ng mga text message sa mga umaatake. Gayundin, ang mga man-in-the-browser at man-in-the-middle na pag-atake ay maaaring maka-intercept ng isang beses na password kapag inilagay ang mga ito sa mga nahawaang laptop o desktop device.
Kapag ang application ng Sberbank sa iyong smartphone ay kumurap ng berdeng icon sa status bar, naghahanap din ito ng "malware" sa iyong telepono. Ang layunin ng kaganapang ito ay gawing mapagkakatiwalaan ang hindi pinagkakatiwalaang kapaligiran ng pagpapatupad ng isang karaniwang smartphone, kahit papaano sa ilang paraan.
Sa pamamagitan ng paraan, ang isang smartphone, bilang isang ganap na hindi pinagkakatiwalaang aparato kung saan ang anumang bagay ay maaaring gawin, ay isa pang dahilan upang gamitin ito para sa pagpapatunay mga token ng hardware lamang, na protektado at walang mga virus at Trojan. - Social engineering. Kapag alam ng mga scammer na ang isang biktima ay may mga OTP na pinagana sa pamamagitan ng SMS, maaari silang makipag-ugnayan nang direkta sa biktima, na nagpapanggap bilang isang pinagkakatiwalaang organisasyon gaya ng kanilang bangko o credit union, upang linlangin ang biktima sa pagbibigay ng code na kakatanggap lang nila.
Personal kong nakatagpo ng ganitong uri ng pandaraya nang maraming beses, halimbawa, kapag sinusubukang magbenta ng isang bagay sa isang sikat na online na flea market. Ako na mismo ang nagpatawa sa manloloko na nagtangka sa akin na lokohin ang puso ko. Ngunit sayang, regular kong nababasa sa balita kung paanong ang isa pang biktima ng mga scammer ay "hindi nag-isip," nagbigay ng confirmation code at nawalan ng malaking halaga. At ang lahat ng ito ay dahil ang bangko ay hindi nais na harapin ang pagpapatupad ng mga cryptographic token sa mga aplikasyon nito. Pagkatapos ng lahat, kung may mangyari, ang mga kliyente ay "may kasalanan sa kanilang sarili."
Bagama't maaaring pagaanin ng mga alternatibong paraan ng paghahatid ng OTP ang ilan sa mga kahinaan sa paraan ng pagpapatunay na ito, nananatili ang iba pang mga kahinaan. Ang mga standalone na application generation ng code ay ang pinakamahusay na proteksyon laban sa eavesdropping, dahil kahit na ang malware ay halos hindi maaaring direktang makipag-ugnayan sa generator ng code (seryoso? Nakalimutan ba ng may-akda ng ulat ang tungkol sa remote control?), ngunit ang mga OTP ay maaari pa ring ma-intercept kapag ipinasok sa browser (halimbawa gamit ang isang keylogger), sa pamamagitan ng na-hack na mobile application; at maaari ding makuha nang direkta mula sa gumagamit gamit ang social engineering.
Paggamit ng maramihang mga tool sa pagtatasa ng panganib gaya ng pagkilala sa device (pagtuklas ng mga pagtatangkang magsagawa ng mga transaksyon mula sa mga device na hindi pagmamay-ari ng isang legal na user), geolocation (isang user na kakapunta pa lang sa Moscow ay sumusubok na magsagawa ng operasyon mula sa Novosibirsk) at behavioral analytics ay mahalaga para sa pagtugon sa mga kahinaan, ngunit alinman sa solusyon ay hindi isang panlunas sa lahat. Para sa bawat sitwasyon at uri ng data, kinakailangang maingat na tasahin ang mga panganib at piliin kung aling teknolohiya sa pagpapatunay ang dapat gamitin.
Walang solusyon sa pagpapatunay ay isang panlunas sa lahat
Figure 2. Talaan ng mga opsyon sa pagpapatunay
| Pagpapatunay | Salik | ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅ | Mga pangunahing kahinaan |
| Password o PIN | Ang kaalaman | Nakapirming halaga, na maaaring magsama ng mga titik, numero at ilang iba pang character | Maaaring harangin, tiktikan, ninakaw, kunin o ma-hack |
| Pagpapatunay na nakabatay sa kaalaman | Ang kaalaman | Tinatanong ang mga sagot na tanging legal na user lang ang makakaalam | Maaaring maharang, kunin, makuha gamit ang mga pamamaraan ng social engineering |
| Hardware OTP () | Pagkakaroon | Isang espesyal na device na bumubuo ng isang beses na mga password | Ang code ay maaaring naharang at paulit-ulit, o ang aparato ay maaaring ninakaw |
| Mga OTP ng software | Pagkakaroon | Isang application (mobile, naa-access sa pamamagitan ng browser, o pagpapadala ng mga code sa pamamagitan ng e-mail) na bumubuo ng isang beses na mga password | Ang code ay maaaring naharang at paulit-ulit, o ang aparato ay maaaring ninakaw |
| SMS OTP | Pagkakaroon | Isang beses na password na inihatid sa pamamagitan ng SMS text message | Maaaring ma-intercept at maulit ang code, o maaaring manakaw ang smartphone o SIM card, o maaaring madoble ang SIM card |
| Mga smart card () | Pagkakaroon | Isang card na naglalaman ng cryptographic chip at secure na key memory na gumagamit ng public key infrastructure para sa authentication | Maaaring pisikal na ninakaw (ngunit hindi magagamit ng isang umaatake ang device nang hindi nalalaman ang PIN code; sa kaso ng ilang mga maling pagtatangka sa pag-input, ang aparato ay mai-block) |
| Mga security key - mga token (, ) | Pagkakaroon | Isang USB device na naglalaman ng cryptographic chip at secure na key memory na gumagamit ng pampublikong key infrastructure para sa authentication | Maaaring pisikal na ninakaw (ngunit hindi magagamit ng umaatake ang device nang hindi nalalaman ang PIN code; sa kaso ng ilang maling pagtatangka sa pagpasok, ang device ay mai-block) |
| Pagli-link sa isang device | Pagkakaroon | Ang prosesong gumagawa ng profile, kadalasang gumagamit ng JavaScript, o gumagamit ng mga marker gaya ng cookies at Flash Shared Objects para matiyak na ginagamit ang isang partikular na device. | Ang mga token ay maaaring manakaw (kopyahin), at ang mga katangian ng isang legal na aparato ay maaaring gayahin ng isang umaatake sa kanyang device |
| Pag-uugali | likas | Sinusuri kung paano nakikipag-ugnayan ang user sa isang device o program | Maaaring gayahin ang ugali |
| Mga daliri | likas | Ang mga naka-imbak na fingerprint ay inihahambing sa mga nakuhang optically o electronic | Ang imahe ay maaaring ninakaw at gamitin para sa pagpapatunay |
| Pag-scan sa mata | likas | Inihahambing ang mga katangian ng mata, gaya ng pattern ng iris, sa mga bagong optical scan | Ang imahe ay maaaring ninakaw at gamitin para sa pagpapatunay |
| Pagkilala sa mukha | likas | Ang mga katangian ng mukha ay inihambing sa mga bagong optical scan | Ang imahe ay maaaring ninakaw at gamitin para sa pagpapatunay |
| Pagkilala sa boses | likas | Ang mga katangian ng naitala na sample ng boses ay inihambing sa mga bagong sample | Ang rekord ay maaaring manakaw at magamit para sa pagpapatunay, o tularan |
Sa ikalawang bahagi ng publikasyon, naghihintay sa amin ang pinaka masarap na mga bagay - mga numero at katotohanan, kung saan nakabatay ang mga konklusyon at rekomendasyong ibinigay sa unang bahagi. Ang pagpapatotoo sa mga application ng user at sa mga corporate system ay tatalakayin nang hiwalay.
Makita ka sa lalong madaling panahon!
Pinagmulan: www.habr.com