Raporun başlığından spoiler: "Yeni risk tehdidi ve düzenleyici gereksinimler nedeniyle güçlü kimlik doğrulama kullanımı artıyor."
"Javelin Strateji ve Araştırma" araştırma şirketi "Güçlü Kimlik Doğrulamanın Durumu 2019" raporunu yayınladı (). Bu rapor şunu söylüyor: Amerikalı ve Avrupalı şirketlerin yüzde kaçı şifre kullanıyor (ve neden şu anda çok az kişi şifre kullanıyor); kriptografik belirteçlere dayalı iki faktörlü kimlik doğrulamanın kullanımının neden bu kadar hızlı arttığı; SMS yoluyla gönderilen tek kullanımlık kodlar neden güvenli değildir?
İşletmelerde ve tüketici uygulamalarında kimlik doğrulamanın bugünü, geçmişi ve geleceği ile ilgilenen herkesi bekliyoruz.
Çevirmenden
Ne yazık ki bu raporun yazıldığı dil oldukça “kuru” ve resmi. Ve “kimlik doğrulama” kelimesinin kısa bir cümlede beş kez kullanılması çevirmenin çarpık elleri (ya da beyinleri) değil, yazarların kaprisidir. İki seçenekten çeviri yaparken - okuyuculara orijinaline daha yakın veya daha ilginç bir metin vermek için, bazen birincisini, bazen de ikincisini seçtim. Ancak sabırlı olun sevgili okuyucular, raporun içeriği buna değer.
Hikaye için bazı önemsiz ve gereksiz kısımlar çıkarıldı, aksi takdirde çoğunluk metnin tamamını anlayamazdı. Raporu “kesilmemiş” olarak okumak isteyenler, bağlantıyı takip ederek orijinal dilinde okuyabilirler.
Ne yazık ki yazarlar terminoloji konusunda her zaman dikkatli olmuyorlar. Bu nedenle, tek kullanımlık şifrelere (Tek Kullanımlık Şifre - OTP) bazen “şifreler”, bazen de “kodlar” adı verilir. Kimlik doğrulama yöntemlerinde durum daha da kötü. Eğitimsiz bir okuyucunun "kriptografik anahtarlar kullanarak kimlik doğrulama" ile "güçlü kimlik doğrulama"nın aynı şey olduğunu tahmin etmesi her zaman kolay değildir. Terimleri mümkün olduğunca birleştirmeye çalıştım ve raporun kendisinde bunların açıklamalarını içeren bir parça var.
Ancak yine de raporun okunması tavsiye ediliyor çünkü benzersiz araştırma sonuçları ve doğru çıkarımlar içeriyor.
Tüm rakamlar ve gerçekler en ufak bir değişiklik yapılmadan sunulmaktadır ve eğer bunlara katılmıyorsanız çevirmenle değil raporun yazarlarıyla tartışmak daha iyidir. Ve işte yorumlarım (alıntı olarak düzenlenmiş ve metinde işaretlenmiştir) İtalyan) benim değer yargımdır ve her biri (ve ayrıca çevirinin kalitesi) hakkında tartışmaktan memnuniyet duyarım.
Gözden
Günümüzde müşterilerle dijital iletişim kanalları işletmeler için her zamankinden daha önemli. Şirket içinde de çalışanlar arasındaki iletişim her zamankinden daha dijital odaklı. Bu etkileşimlerin ne kadar güvenli olacağı, seçilen kullanıcı kimlik doğrulama yöntemine bağlıdır. Saldırganlar, kullanıcı hesaplarını büyük ölçüde hacklemek için zayıf kimlik doğrulamayı kullanır. Buna yanıt olarak düzenleyiciler, işletmeleri kullanıcı hesaplarını ve verilerini daha iyi korumaya zorlamak için standartları sıkılaştırıyor.
Kimlik doğrulamayla ilgili tehditler tüketici uygulamalarının ötesine geçer; saldırganlar kuruluş içinde çalışan uygulamalara da erişim sağlayabilir. Bu işlem, kurumsal kullanıcıların kimliğine bürünmelerine olanak tanır. Kimlik doğrulaması zayıf olan erişim noktalarını kullanan saldırganlar, verileri çalabilir ve diğer sahtekarlık faaliyetlerini gerçekleştirebilir. Neyse ki bununla mücadele etmek için önlemler var. Güçlü kimlik doğrulama, bir saldırganın hem tüketici uygulamalarında hem de kurumsal iş sistemlerinde saldırı riskini önemli ölçüde azaltmaya yardımcı olacaktır.
Bu çalışma şunları incelemektedir: kuruluşların son kullanıcı uygulamalarını ve kurumsal iş sistemlerini korumak için kimlik doğrulamayı nasıl uyguladığı; kimlik doğrulama çözümü seçerken dikkate aldıkları faktörler; güçlü kimlik doğrulamanın kuruluşlarında oynadığı rol; bu kuruluşların elde ettiği faydalar.
Özet
Ana sonuçlar
2017'den bu yana güçlü kimlik doğrulamanın kullanımı keskin bir şekilde arttı. Geleneksel kimlik doğrulama çözümlerini etkileyen güvenlik açıklarının sayısının artmasıyla birlikte kuruluşlar, güçlü kimlik doğrulamayla kimlik doğrulama yeteneklerini güçlendiriyor. Kriptografik çok faktörlü kimlik doğrulamayı (MFA) kullanan kuruluşların sayısı 2017'den bu yana tüketici uygulamaları için üç katına çıktı ve kurumsal uygulamalar için neredeyse %50 arttı. Biyometrik kimlik doğrulamanın artan kullanılabilirliği nedeniyle en hızlı büyüme mobil kimlik doğrulamada görülüyor.
Burada “gök gürültüsü çakıncaya kadar insan haç çıkarmaz” sözünün bir örneğini görüyoruz. Uzmanlar şifrelerin güvensizliği konusunda uyardığında hiç kimse iki faktörlü kimlik doğrulamayı uygulamak için acele etmiyordu. Bilgisayar korsanları şifreleri çalmaya başlayınca insanlar iki faktörlü kimlik doğrulamayı uygulamaya başladı.
Doğru, bireyler 2FA'yı çok daha aktif bir şekilde uyguluyor. İlk olarak, akıllı telefonlarda yerleşik olan ve aslında pek güvenilmez olan biyometrik kimlik doğrulamasına güvenerek korkularını gidermeleri daha kolaydır. Kuruluşların token satın almak için para harcaması ve bunları uygulamaya koymak için (aslında çok basit) çalışmalar yapması gerekiyor. İkincisi, Facebook ve Dropbox gibi hizmetlerden şifre sızıntıları hakkında yalnızca tembel insanlar yazmamıştır, ancak bu kuruluşların CIO'ları hiçbir durumda kuruluşlarda şifrelerin nasıl çalındığına (ve daha sonra ne olduğuna) ilişkin hikayeleri paylaşmayacaktır.
Güçlü kimlik doğrulama kullanmayanlar, işlerine ve müşterilerine yönelik riskleri hafife alıyorlar. Şu anda güçlü kimlik doğrulama kullanmayan bazı kuruluşlar, kullanıcı adlarını ve parolaları kullanıcı kimlik doğrulamasının en etkili ve kullanımı kolay yöntemlerinden biri olarak görme eğilimindedir. Diğerleri sahip oldukları dijital varlıkların değerini görmüyor. Sonuçta siber suçluların her türlü tüketici ve iş bilgisiyle ilgilendiğini düşünmekte fayda var. Çalışanlarının kimliğini doğrulamak için yalnızca parola kullanan şirketlerin üçte ikisi, parolaların korudukları bilgi türü için yeterince iyi olduğuna inandıkları için bunu yapıyor.
Ancak şifreler mezara doğru gidiyor. Kuruluşlar geleneksel MFA ve güçlü kimlik doğrulama kullanımını artırdıkça parola bağımlılığı geçen yıl hem tüketici hem de kurumsal uygulamalarda önemli ölçüde azaldı (sırasıyla %44'ten %31'e ve %56'dan %47'ye).
Ancak duruma bir bütün olarak bakarsak, savunmasız kimlik doğrulama yöntemlerinin hala geçerli olduğunu görüyoruz. Kullanıcı kimlik doğrulaması için kuruluşların yaklaşık dörtte biri güvenlik sorularının yanı sıra SMS OTP'yi (tek kullanımlık şifre) kullanıyor. Sonuç olarak maliyetleri artıran güvenlik açığına karşı ek güvenlik önlemlerinin uygulanması gerekiyor. Donanım şifreleme anahtarları gibi çok daha güvenli kimlik doğrulama yöntemlerinin kullanımı kuruluşların yaklaşık %5'inde çok daha az sıklıkla kullanılmaktadır.
Gelişen düzenleyici ortam, tüketici uygulamaları için güçlü kimlik doğrulamanın benimsenmesini hızlandırmayı vaat ediyor. PSD2'nin yanı sıra AB'de ve Kaliforniya gibi ABD'nin çeşitli eyaletlerinde yeni veri koruma kurallarının uygulamaya konmasıyla şirketler heyecanı hissediyor. Şirketlerin yaklaşık %70'i, müşterilerine güçlü kimlik doğrulama sağlama konusunda güçlü düzenleyici baskılarla karşı karşıya kaldıklarını kabul ediyor. İşletmelerin yarısından fazlası, birkaç yıl içinde kimlik doğrulama yöntemlerinin düzenleyici standartları karşılamak için yeterli olmayacağına inanıyor.
Rus ve Amerikalı-Avrupalı yasa koyucuların program ve hizmet kullanıcılarının kişisel verilerinin korunmasına yönelik yaklaşımlarındaki fark açıkça görülmektedir. Ruslar diyor ki: sayın servis sahipleri, nasıl istiyorsanız öyle yapın ama yöneticiniz veritabanını birleştirirse sizi cezalandırırız. Yurtdışında şöyle diyorlar: Bir dizi tedbiri hayata geçirmelisiniz. izin vermiyor tabanı boşaltın. Bu nedenle burada katı iki faktörlü kimlik doğrulama gereksinimleri uygulanıyor.
Doğru, yasama makinemizin bir gün aklını başına toplayıp Batı deneyimini hesaba katmayacağı bir gerçek değil. Daha sonra herkesin Rus şifreleme standartlarına uygun 2FA'yı acilen uygulaması gerektiği ortaya çıktı.
Güçlü bir kimlik doğrulama çerçevesi oluşturmak, şirketlerin odaklarını düzenleyici gereksinimleri karşılamaktan müşteri ihtiyaçlarını karşılamaya kaydırmasına olanak tanır. Hala basit şifreler kullanan veya SMS yoluyla kod alan kuruluşlar için kimlik doğrulama yöntemini seçerken en önemli faktör, yasal gerekliliklere uygunluk olacaktır. Ancak halihazırda güçlü kimlik doğrulama kullanan şirketler, müşteri sadakatini artıran kimlik doğrulama yöntemlerini seçmeye odaklanabilir.
Bir kuruluş içinde kurumsal kimlik doğrulama yöntemini seçerken düzenleyici gereklilikler artık önemli bir faktör değildir. Bu durumda entegrasyon kolaylığı (%32) ve maliyet (%26) çok daha önemli.
Kimlik avı çağında saldırganlar kurumsal e-postayı dolandırıcılık yapmak için kullanabilir verilere, hesaplara (uygun erişim haklarına sahip) sahtekarlıkla erişim sağlamak ve hatta çalışanları kendi hesabına para transferi yapmaya ikna etmek. Bu nedenle kurumsal e-posta ve portal hesaplarının özellikle iyi korunması gerekmektedir.
Google, güçlü kimlik doğrulama uygulayarak güvenliğini güçlendirdi. İki yıldan fazla bir süre önce Google, FIDO U2F standardını kullanan kriptografik güvenlik anahtarlarına dayalı iki faktörlü kimlik doğrulamanın uygulanmasına ilişkin etkileyici sonuçlar bildiren bir rapor yayınladı. Şirkete göre 85'den fazla çalışana yönelik tek bir kimlik avı saldırısı gerçekleştirilmedi.
Öneriler
Mobil ve çevrimiçi uygulamalar için güçlü kimlik doğrulama uygulayın. Kriptografik anahtarlara dayalı çok faktörlü kimlik doğrulama, bilgisayar korsanlığına karşı geleneksel MFA yöntemlerine göre çok daha iyi koruma sağlar. Ek olarak, kriptografik anahtarların kullanımı çok daha kullanışlıdır çünkü ek bilgilerin (şifreler, tek kullanımlık şifreler veya biyometrik veriler) kullanılmasına ve kullanıcının cihazından kimlik doğrulama sunucusuna aktarılmasına gerek yoktur. Ek olarak, kimlik doğrulama protokollerinin standartlaştırılması, yeni kimlik doğrulama yöntemlerinin kullanıma sunuldukça uygulanmasını çok daha kolay hale getirerek uygulama maliyetlerini azaltır ve daha karmaşık dolandırıcılık planlarına karşı koruma sağlar.
Tek kullanımlık şifrelerin (OTP) ortadan kalkmasına hazırlanın. Siber suçlular bu kimlik doğrulama araçlarını tehlikeye atmak için sosyal mühendislik, akıllı telefon klonlama ve kötü amaçlı yazılımlar kullandıkça, OTP'lerin doğasında bulunan güvenlik açıkları giderek daha belirgin hale geliyor. Ve bazı durumlarda OTP'lerin belirli avantajları varsa, o zaman yalnızca tüm kullanıcılar için evrensel kullanılabilirlik açısından, ancak güvenlik açısından değil.
SMS veya Push bildirimleri yoluyla kod almanın yanı sıra akıllı telefonlar için programları kullanarak kod oluşturmanın, reddedilmeye hazırlanmamız istenen aynı tek kullanımlık şifrelerin (OTP) kullanılması olduğunu fark etmemek imkansızdır. Teknik açıdan bakıldığında çözüm çok doğrudur, çünkü saf bir kullanıcıdan tek kullanımlık şifreyi bulmaya çalışmayan nadir bir dolandırıcıdır. Ancak bu tür sistemlerin üreticilerinin ölmekte olan teknolojiye sonuna kadar bağlı kalacağını düşünüyorum.
Müşteri güvenini artırmak için güçlü kimlik doğrulamayı bir pazarlama aracı olarak kullanın. Güçlü kimlik doğrulama, işletmenizin gerçek güvenliğini artırmaktan daha fazlasını yapabilir. Müşterilere işletmenizin güçlü kimlik doğrulama kullandığını bildirmek, o işletmenin güvenliğine ilişkin genel algıyı güçlendirebilir; bu, güçlü kimlik doğrulama yöntemlerine yönelik önemli müşteri talebi olduğunda önemli bir faktördür.
Kurumsal verilerin kapsamlı bir envanterini ve kritiklik değerlendirmesini yapın ve önem sırasına göre koruyun. Müşteri iletişim bilgileri gibi düşük riskli veriler bile (hayır gerçekten raporda "düşük risk" yazıyor, bu bilginin önemini hafife almaları çok tuhaf), dolandırıcılara önemli değer katabilir ve şirket için sorunlara neden olabilir.
Güçlü kurumsal kimlik doğrulama kullanın. Bir dizi sistem suçlular için en çekici hedeflerdir. Bunlar, muhasebe programı veya kurumsal veri ambarı gibi dahili ve internete bağlı sistemleri içerir. Güçlü kimlik doğrulama, saldırganların yetkisiz erişim elde etmesini önler ve aynı zamanda kötü amaçlı etkinliği hangi çalışanın gerçekleştirdiğinin doğru bir şekilde belirlenmesini mümkün kılar.
Güçlü Kimlik Doğrulama Nedir?
Güçlü kimlik doğrulama kullanıldığında kullanıcının orijinalliğini doğrulamak için çeşitli yöntemler veya faktörler kullanılır:
- Bilgi Faktörü: Kullanıcı ile kullanıcının kimlik doğrulaması yapılan kişi arasında paylaşılan sır (şifreler, güvenlik sorularının yanıtları vb.)
- Sahiplik faktörü: yalnızca kullanıcının sahip olduğu bir cihaz (örneğin, mobil cihaz, şifreleme anahtarı vb.)
- Bütünlük faktörü: kullanıcının fiziksel (çoğunlukla biyometrik) özellikleri (örneğin parmak izi, iris deseni, ses, davranış vb.)
Birden fazla faktörü hackleme ihtiyacı, saldırganların başarısızlık olasılığını büyük ölçüde artırır; çünkü çeşitli faktörleri atlamak veya aldatmak, her faktör için ayrı ayrı birden fazla hackleme taktiği türünün kullanılmasını gerektirir.
Örneğin, 2FA "şifre + akıllı telefon" ile bir saldırgan, kullanıcının şifresine bakarak ve akıllı telefonunun tam bir yazılım kopyasını oluşturarak kimlik doğrulama gerçekleştirebilir. Ve bu sadece bir şifreyi çalmaktan çok daha zordur.
Ancak 2FA için bir şifre ve kriptografik belirteç kullanılıyorsa, kopyalama seçeneği burada çalışmaz - belirteci çoğaltmak imkansızdır. Dolandırıcının jetonu kullanıcıdan gizlice çalması gerekecek. Kullanıcı zaman kaybını fark edip yöneticiye bildirirse token bloke edilecek ve dolandırıcının çabaları boşa çıkacaktır. Bu nedenle sahiplik faktörü, genel amaçlı cihazlardan (akıllı telefonlar) ziyade özel güvenli cihazların (tokenlar) kullanılmasını gerektirir.
Üç faktörün tamamının kullanılması, bu kimlik doğrulama yönteminin uygulanmasını oldukça pahalı ve kullanımını oldukça zahmetli hale getirecektir. Bu nedenle genellikle üç faktörden ikisi kullanılır.
İki faktörlü kimlik doğrulamanın ilkeleri daha ayrıntılı olarak açıklanmaktadır , "İki faktörlü kimlik doğrulama nasıl çalışır?" bloğunda.
Güçlü kimlik doğrulamada kullanılan kimlik doğrulama faktörlerinden en az birinin ortak anahtar şifrelemesini kullanması gerektiğini unutmamak önemlidir.
Güçlü kimlik doğrulama, klasik şifrelere ve geleneksel MFA'ya dayalı tek faktörlü kimlik doğrulamaya göre çok daha güçlü koruma sağlar. Şifreler, keylogger'lar, kimlik avı siteleri veya sosyal mühendislik saldırıları (kurbanın şifresini ifşa etmesi için kandırıldığı) kullanılarak casusluk yoluyla ele geçirilebilir veya ele geçirilebilir. Üstelik şifre sahibinin hırsızlıkla ilgili hiçbir bilgisi olmayacak. Geleneksel MFA (bir akıllı telefona veya SIM karta bağlanan OTP kodları dahil), genel anahtar şifrelemesine dayanmadığından oldukça kolay bir şekilde saldırıya uğrayabilir (Bu arada, dolandırıcıların aynı sosyal mühendislik tekniklerini kullanarak kullanıcıları kendilerine tek kullanımlık şifre vermeye ikna ettiği birçok örnek var.).
Neyse ki, güçlü kimlik doğrulama ve geleneksel MFA kullanımı geçen yıldan bu yana hem tüketici hem de kurumsal uygulamalarda ilgi görüyor. Tüketici uygulamalarında güçlü kimlik doğrulamanın kullanımı özellikle hızlı bir şekilde arttı. 2017'de şirketlerin yalnızca %5'i bunu kullanıyorken, 2018'de bu oran zaten üç kat daha fazlaydı: %16. Bu, Açık Anahtar Şifreleme (PKC) algoritmalarını destekleyen belirteçlerin artan kullanılabilirliğiyle açıklanabilir. Ayrıca, PSD2 ve GDPR gibi yeni veri koruma kurallarının kabul edilmesinin ardından Avrupalı düzenleyicilerden gelen artan baskı, Avrupa dışında bile güçlü bir etki yarattı (Rusya dahil).
Gelin bu sayılara daha yakından bakalım. Görebildiğimiz gibi, çok faktörlü kimlik doğrulamayı kullanan özel kişilerin yüzdesi yıl içinde %11 oranında etkileyici bir artış gösterdi. Anlık bildirimlerin, SMS'lerin ve biyometrinin güvenliğine inananların sayısı değişmediği için bu açıkça şifre severlerin pahasına gerçekleşti.
Ancak kurumsal kullanım için iki faktörlü kimlik doğrulamada işler o kadar da iyi değil. İlk olarak rapora göre çalışanların yalnızca %5'i şifre doğrulamadan token'lara aktarıldı. İkincisi, kurumsal ortamda alternatif MFA seçeneklerini kullananların sayısı da %4 arttı.
Analist rolünü oynayıp yorumumu aktarmaya çalışacağım. Bireysel kullanıcıların dijital dünyasının merkezinde akıllı telefon yer alıyor. Bu nedenle, çoğunluğun cihazın kendilerine sağladığı özellikleri - biyometrik kimlik doğrulama, SMS ve Push bildirimlerinin yanı sıra akıllı telefondaki uygulamalar tarafından oluşturulan tek seferlik şifreleri - kullanması şaşırtıcı değil. İnsanlar alıştıkları araçları kullanırken genellikle güvenlik ve güvenilirliği düşünmezler.
İlkel "geleneksel" kimlik doğrulama faktörlerini kullananların yüzdesinin değişmemesinin nedeni budur. Ancak daha önce şifre kullanmış olanlar, ne kadar riske attıklarını anlıyorlar ve yeni bir kimlik doğrulama faktörü seçerken en yeni ve en güvenli seçeneği, yani kriptografik jetonu tercih ediyorlar.
Kurumsal pazara gelince, hangi sistem kimlik doğrulamasının gerçekleştirildiğini anlamak önemlidir. Bir Windows etki alanına oturum açma işlemi uygulanırsa şifreleme belirteçleri kullanılır. Bunları 2FA için kullanma olanakları hem Windows hem de Linux'ta zaten yerleşiktir, ancak alternatif seçeneklerin uygulanması uzun ve zordur. %5'in şifrelerden token'lara geçişi bu kadar.
Ve 2FA'nın kurumsal bilgi sisteminde uygulanması büyük ölçüde geliştiricilerin niteliklerine bağlıdır. Ve geliştiricilerin tek kullanımlık şifreler oluşturmak için hazır modülleri alması, kriptografik algoritmaların işleyişini anlamaktan çok daha kolaydır. Sonuç olarak, Tek Oturum Açma veya Ayrıcalıklı Erişim Yönetimi sistemleri gibi güvenlik açısından son derece kritik uygulamalar bile OTP'yi ikinci faktör olarak kullanır.
Geleneksel kimlik doğrulama yöntemlerinde birçok güvenlik açığı
Birçok kuruluş eski tek faktörlü sistemlere bağımlı olmaya devam ederken, geleneksel çok faktörlü kimlik doğrulamadaki güvenlik açıkları giderek daha belirgin hale geliyor. SMS yoluyla gönderilen, genellikle altı ila sekiz karakter uzunluğundaki tek seferlik şifreler, en yaygın kimlik doğrulama biçimi olmaya devam ediyor (tabii ki şifre faktörünün yanı sıra). Ve popüler basında "iki faktörlü kimlik doğrulama" veya "iki adımlı doğrulama" kelimeleri geçtiğinde, neredeyse her zaman SMS ile tek seferlik şifre kimlik doğrulamasını kastediyorlar.
Burada yazar biraz yanılıyor. Tek kullanımlık şifrelerin SMS yoluyla iletilmesi hiçbir zaman iki faktörlü kimlik doğrulama olmadı. Bu, en saf haliyle, iki adımlı kimlik doğrulamanın ikinci aşamasıdır; burada ilk aşama, kullanıcı adınızı ve şifrenizi girmektir.
2016 yılında Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), SMS yoluyla gönderilen tek kullanımlık şifrelerin kullanımını ortadan kaldırmak için kimlik doğrulama kurallarını güncelledi. Ancak sektördeki protestoların ardından bu kurallar önemli ölçüde gevşetildi.
O halde senaryoyu takip edelim. Amerikalı düzenleyici, eski teknolojinin kullanıcı güvenliğini sağlayamayacağının haklı olarak farkındadır ve yeni standartlar getirmektedir. Çevrimiçi ve mobil uygulamaların (bankacılık uygulamaları dahil) kullanıcılarını korumak için tasarlanmış standartlar. Sektör, gerçekten güvenilir kripto para birimleri satın almak, uygulamaları yeniden tasarlamak, genel anahtar altyapısını dağıtmak için ne kadar para harcaması gerektiğini hesaplıyor ve "arka ayakları üzerinde yükseliyor." Bir yandan kullanıcılar tek kullanımlık şifrelerin güvenilirliğine ikna olurken, diğer yandan NIST'e saldırılar yaşandı. Sonuç olarak, standart yumuşatıldı ve şifrelerin (ve bankacılık uygulamalarından elde edilen paranın) çalınması ve hacklenme sayısı keskin bir şekilde arttı. Ancak sektörün para harcamasına gerek yoktu.
O zamandan beri SMS OTP'nin doğasında olan zayıflıklar daha belirgin hale geldi. Dolandırıcılar SMS mesajlarını ele geçirmek için çeşitli yöntemler kullanıyor:
- SIM kart çoğaltma. Saldırganlar SIM'in bir kopyasını oluşturur (mobil operatör çalışanlarının yardımıyla veya bağımsız olarak özel yazılım ve donanım kullanarak). Sonuç olarak saldırgan tek kullanımlık şifre içeren bir SMS alır. Özellikle ünlü bir vakada, bilgisayar korsanları, kripto para yatırımcısı Michael Turpin'in AT&T hesabını ele geçirip yaklaşık 24 milyon dolarlık kripto para çalmayı bile başardılar. Sonuç olarak Turpin, SIM kartın kopyalanmasına yol açan zayıf doğrulama önlemleri nedeniyle AT&T'nin hatalı olduğunu belirtti.
Şaşırtıcı mantık. Yani bu gerçekten sadece AT&T'nin hatası mı? Hayır, iletişim mağazasındaki satış personelinin çift SIM kart vermesi şüphesiz mobil operatörün hatasıdır. Kripto para borsası kimlik doğrulama sistemi ne olacak? Neden güçlü kriptografik belirteçler kullanmadılar? Uygulamaya para harcamak yazık mıydı? Suçlu Michael'ın kendisi değil mi? Neden kimlik doğrulama mekanizmasını değiştirmek veya yalnızca kriptografik belirteçlere dayalı iki faktörlü kimlik doğrulamayı uygulayan borsaları kullanmak konusunda ısrar etmedi?
Gerçekten güvenilir kimlik doğrulama yöntemlerinin tanıtılması tam olarak gecikiyor çünkü kullanıcılar hacklemeden önce inanılmaz derecede dikkatsiz davranıyorlar ve bundan sonra da sorunlarının sorumlusu olarak eski ve "sızdıran" kimlik doğrulama teknolojileri dışındaki herkesi ve her şeyi suçluyorlar.
- Kötü amaçlı yazılım. Mobil kötü amaçlı yazılımların ilk işlevlerinden biri, metin mesajlarını yakalayıp saldırganlara iletmekti. Ayrıca, tarayıcıdaki adam ve ortadaki adam saldırıları, virüslü dizüstü bilgisayarlara veya masaüstü cihazlara girilen tek seferlik şifrelere müdahale edebilir.
Akıllı telefonunuzdaki Sberbank uygulaması durum çubuğunda yeşil bir simgeyi yanıp söndüğünde, telefonunuzda "kötü amaçlı yazılım" da arar. Bu etkinliğin amacı, tipik bir akıllı telefonun güvenilmeyen yürütme ortamını en azından bir şekilde güvenilir bir ortama dönüştürmektir.
Bu arada, üzerinde her şeyin yapılabileceği tamamen güvenilmez bir cihaz olan akıllı telefon, onu kimlik doğrulama için kullanmanın başka bir nedenidir yalnızca donanım belirteçleri, korumalıdır ve virüs ve Truva atlarından arındırılmıştır. - Sosyal mühendislik. Dolandırıcılar, kurbanın SMS aracılığıyla OTP'leri etkinleştirdiğini bildiklerinde, kurbanı az önce aldıkları kodu vermesi için kandırmak amacıyla banka veya kredi birliği gibi güvenilir bir kuruluş gibi davranarak kurbanla doğrudan iletişime geçebilirler.
Bu tür dolandırıcılıklarla kişisel olarak birçok kez karşılaştım; örneğin popüler bir çevrimiçi bit pazarında bir şey satmaya çalışırken. Ben de beni gönül rahatlığıyla kandırmaya çalışan dolandırıcıyla dalga geçtim. Ancak ne yazık ki haberlerde düzenli olarak bir başka dolandırıcı kurbanının nasıl "düşünmediğini", onay kodunu verdiğini ve büyük miktarda para kaybettiğini okudum. Ve bunların hepsi bankanın uygulamalarında kriptografik belirteçlerin uygulanmasıyla uğraşmak istememesidir. Sonuçta, bir şey olursa müşterilerin "suçlanması gerekir."
Alternatif OTP dağıtım yöntemleri, bu kimlik doğrulama yöntemindeki bazı güvenlik açıklarını hafifletebilirken, diğer güvenlik açıkları devam etmektedir. Bağımsız kod oluşturma uygulamaları, gizli dinlemeye karşı en iyi korumadır; çünkü kötü amaçlı yazılımlar bile kod oluşturucuyla doğrudan etkileşime giremez (Cidden? Raporun yazarı uzaktan kumandayı unuttu mu?), ancak OTP'ler tarayıcıya girildiğinde yine de ele geçirilebilir (örneğin bir keylogger kullanmak), saldırıya uğramış bir mobil uygulama aracılığıyla; ve ayrıca sosyal mühendislik kullanılarak doğrudan kullanıcıdan elde edilebilir.
Cihaz tanıma gibi birden fazla risk değerlendirme aracının kullanılması (Yasal kullanıcıya ait olmayan cihazlardan işlem yapma girişimlerinin tespiti), coğrafi konum (Moskova'ya yeni gelen bir kullanıcı Novosibirsk'ten bir operasyon gerçekleştirmeye çalışıyor) ve davranışsal analizler güvenlik açıklarını ele almak için önemlidir, ancak her iki çözüm de her derde deva değildir. Her durum ve veri türü için risklerin dikkatle değerlendirilmesi ve hangi kimlik doğrulama teknolojisinin kullanılması gerektiğinin seçilmesi gerekir.
Hiçbir kimlik doğrulama çözümü her derde deva değildir
Şekil 2. Kimlik doğrulama seçenekleri tablosu
| kimlik doğrulama | faktör | Açıklama | Önemli güvenlik açıkları |
| Şifre veya PIN | bilgi | Harfleri, sayıları ve diğer bazı karakterleri içerebilen sabit değer | Ele geçirilebilir, gözetlenebilir, çalınabilir, ele geçirilebilir veya hacklenebilir |
| Bilgiye dayalı kimlik doğrulama | bilgi | Yalnızca yasal bir kullanıcının bilebileceği yanıtları sorgular | Sosyal mühendislik yöntemleri kullanılarak ele geçirilebilir, yakalanabilir ve elde edilebilir |
| Donanım OTP'si () | Kontrol altına alma | Tek kullanımlık şifreler üreten özel bir cihaz | Kod ele geçirilip tekrarlanabilir veya cihaz çalınabilir |
| Yazılım OTP'leri | Kontrol altına alma | Tek kullanımlık şifreler oluşturan bir uygulama (mobil, tarayıcı aracılığıyla erişilebilen veya e-postayla kod gönderen) | Kod ele geçirilip tekrarlanabilir veya cihaz çalınabilir |
| SMS OTP'si | Kontrol altına alma | SMS kısa mesajıyla tek kullanımlık şifre gönderilir | Kod ele geçirilebilir ve tekrarlanabilir, akıllı telefon veya SIM kart çalınabilir veya SIM kartın kopyası yapılabilir |
| Akıllı kartlar () | Kontrol altına alma | Kimlik doğrulama için ortak anahtar altyapısını kullanan, kriptografik çip ve güvenli anahtar belleği içeren kart | Fiziksel olarak çalınabilir (ancak bir saldırgan PIN kodunu bilmeden cihazı kullanamayacaktır; birden fazla hatalı giriş denemesi durumunda cihaz bloke edilecektir) |
| Güvenlik anahtarları - belirteçler (, ) | Kontrol altına alma | Kimlik doğrulama için genel anahtar altyapısını kullanan, kriptografik çip ve güvenli anahtar belleği içeren bir USB aygıtı | Fiziksel olarak çalınabilir (ancak bir saldırgan PIN kodunu bilmeden cihazı kullanamaz; birden fazla hatalı giriş denemesi durumunda cihaz bloke edilir) |
| Bir cihaza bağlanma | Kontrol altına alma | Belirli bir cihazın kullanıldığından emin olmak için genellikle JavaScript kullanan veya çerezler ve Flash Paylaşılan Nesneler gibi işaretleyiciler kullanan bir profil oluşturan süreç | Tokenlar çalınabilir (kopyalanabilir) ve yasal bir cihazın özellikleri, bir saldırgan tarafından cihazında taklit edilebilir |
| davranış | Kalıtım | Kullanıcının bir cihaz veya programla nasıl etkileşime girdiğini analiz eder | Davranış taklit edilebilir |
| parmak izleri | Kalıtım | Saklanan parmak izleri optik veya elektronik olarak yakalanan parmak izleri ile karşılaştırılır | Görüntü çalınabilir ve kimlik doğrulama için kullanılabilir |
| Göz taraması | Kalıtım | İris deseni gibi göz özelliklerini yeni optik taramalarla karşılaştırır | Görüntü çalınabilir ve kimlik doğrulama için kullanılabilir |
| Yüz tanıma | Kalıtım | Yüz özellikleri yeni optik taramalarla karşılaştırıldı | Görüntü çalınabilir ve kimlik doğrulama için kullanılabilir |
| Ses tanıma | Kalıtım | Kaydedilen ses örneğinin özellikleri yeni örneklerle karşılaştırılır | Kayıt çalınabilir ve kimlik doğrulama için kullanılabilir veya taklit edilebilir |
Yayının ikinci bölümünde bizi en lezzetli şeyler bekliyor - ilk bölümde verilen sonuç ve tavsiyelerin dayandığı sayılar ve gerçekler. Kullanıcı uygulamalarında ve kurumsal sistemlerde kimlik doğrulama ayrı ayrı ele alınacaktır.
Orada görüşürüz!
Kaynak: habr.com