Hisobot sarlavhasidan spoyler: "Kuchli autentifikatsiyadan foydalanish yangi xavflar tahdidi va tartibga soluvchi talablar tufayli kuchayadi."
"Javelin Strategy & Research" tadqiqot kompaniyasi "Kuchli autentifikatsiya holati 2019" hisobotini e'lon qildi (). Ushbu hisobotda aytilishicha: Amerika va Yevropa kompaniyalarining necha foizi parollardan foydalanadi (va nima uchun hozir parollardan kam odam foydalanadi); nima uchun kriptografik tokenlarga asoslangan ikki faktorli autentifikatsiyadan foydalanish tez sur'atlar bilan o'sib bormoqda; Nima uchun SMS orqali yuborilgan bir martalik kodlar xavfsiz emas.
Korxonalar va iste'molchi ilovalarida autentifikatsiyaning hozirgi, o'tmishi va kelajagi bilan qiziqqan har bir kishi qabul qilinadi.
Tarjimondan
Afsuski, bu hisobot yozilgan til juda "quruq" va rasmiy. “Autentifikatsiya” so‘zining bir qisqa jumlada besh marta qo‘llanilishi esa tarjimonning qiyshiq qo‘llari (yoki miyasi) emas, balki mualliflarning injiqligidir. Ikki variantdan tarjima qilganda - o'quvchilarga asl nusxaga yaqinroq yoki qiziqarliroq matnni berish uchun men ba'zan birinchisini, ba'zan esa ikkinchisini tanladim. Ammo sabr qiling, aziz o'quvchilar, hisobotning mazmuni bunga arziydi.
Hikoya uchun ba'zi ahamiyatsiz va keraksiz qismlar olib tashlandi, aks holda ko'pchilik butun matnni ko'rib chiqa olmagan bo'lar edi. "Kesilgan" hisobotni o'qishni hohlovchilar havola orqali asl tilda o'qishlari mumkin.
Afsuski, mualliflar har doim ham terminologiyaga ehtiyotkorona munosabatda bo'lmaydilar. Shunday qilib, bir martalik parollar (One Time Password - OTP) ba'zan "parollar", ba'zan esa "kodlar" deb ataladi. Autentifikatsiya usullari bilan bundan ham yomoni. O'qitilmagan o'quvchi uchun "kriptografik kalitlar yordamida autentifikatsiya" va "kuchli autentifikatsiya" bir xil narsa ekanligini taxmin qilish har doim ham oson emas. Men shartlarni iloji boricha birlashtirishga harakat qildim va hisobotning o'zida ularning tavsifi bilan bir parcha bor.
Shunga qaramay, hisobotni o'qish tavsiya etiladi, chunki unda noyob tadqiqot natijalari va to'g'ri xulosalar mavjud.
Barcha raqamlar va faktlar zarracha o'zgartirishlarsiz taqdim etilgan va agar siz ular bilan rozi bo'lmasangiz, unda tarjimon bilan emas, balki hisobot mualliflari bilan bahslashganingiz ma'qul. Va bu erda mening sharhlarim (iqtibos sifatida keltirilgan va matnda belgilangan italyancha) mening baholarimdir va men ularning har biri (shuningdek, tarjima sifati bo'yicha) bo'yicha bahslashishdan xursand bo'laman.
haqida umumiy ma'lumot
Hozirgi vaqtda mijozlar bilan raqamli aloqa kanallari biznes uchun har qachongidan ham muhimroqdir. Va kompaniya ichida xodimlar o'rtasidagi aloqa har qachongidan ham raqamli yo'naltirilgan. Va bu shovqinlarning qanchalik xavfsiz bo'lishi foydalanuvchi autentifikatsiyasining tanlangan usuliga bog'liq. Buzg'unchilar foydalanuvchi hisoblarini ommaviy ravishda buzish uchun zaif autentifikatsiyadan foydalanadilar. Bunga javoban regulyatorlar korxonalarni foydalanuvchi hisoblari va maʼlumotlarini yaxshiroq himoya qilishga majburlash uchun standartlarni kuchaytirmoqda.
Autentifikatsiya bilan bog'liq tahdidlar iste'molchi ilovalaridan tashqariga chiqadi; tajovuzkorlar korxona ichida ishlaydigan ilovalarga ham kirishlari mumkin. Bu operatsiya ularga korporativ foydalanuvchilarni taqlid qilish imkonini beradi. Zaif autentifikatsiyaga ega kirish nuqtalaridan foydalanadigan tajovuzkorlar maʼlumotlarni oʻgʻirlashi va boshqa firibgarlik faoliyatini amalga oshirishi mumkin. Yaxshiyamki, bunga qarshi kurash choralari mavjud. Kuchli autentifikatsiya iste'molchi ilovalarida ham, korporativ biznes tizimlarida ham tajovuzkor tomonidan hujum qilish xavfini sezilarli darajada kamaytirishga yordam beradi.
Ushbu tadqiqot quyidagilarni o'rganadi: korxonalar oxirgi foydalanuvchi ilovalari va korporativ biznes tizimlarini himoya qilish uchun autentifikatsiyani qanday amalga oshiradilar; autentifikatsiya yechimini tanlashda hisobga oladigan omillar; ularning tashkilotlarida kuchli autentifikatsiya o'ynaydigan rol; ushbu tashkilotlar oladigan imtiyozlar.
Xulosa
Asosiy topilmalar
2017 yildan boshlab kuchli autentifikatsiyadan foydalanish keskin oshdi. An'anaviy autentifikatsiya yechimlariga ta'sir qiluvchi zaifliklar sonining ortib borishi bilan tashkilotlar kuchli autentifikatsiya yordamida o'zlarining autentifikatsiya imkoniyatlarini kuchaytirmoqda. Kriptografik koʻp faktorli autentifikatsiyadan (MFA) foydalanadigan tashkilotlar soni 2017 yildan beri isteʼmolchi ilovalari uchun uch barobar, korporativ ilovalar uchun esa qariyb 50% ga oshdi. Eng tez o'sish biometrik autentifikatsiyaning mavjudligi tufayli mobil autentifikatsiyada kuzatilmoqda.
Bu erda biz "momaqaldiroq bo'lmaguncha, odam o'zini kesib o'tmaydi" degan iborani ko'ramiz. Mutaxassislar parollarning xavfsiz emasligi haqida ogohlantirganda, hech kim ikki faktorli autentifikatsiyani amalga oshirishga shoshilmadi. Xakerlar parollarni o'g'irlay boshlashi bilan odamlar ikki faktorli autentifikatsiyani amalga oshirishni boshladilar.
To'g'ri, odamlar 2FA ni ancha faolroq amalga oshirmoqdalar. Birinchidan, ular uchun smartfonlarga o'rnatilgan biometrik autentifikatsiyaga tayanib, qo'rquvlarini tinchlantirish osonroq, bu aslida juda ishonchsiz. Tashkilotlar tokenlarni sotib olishga pul sarflashlari va ularni amalga oshirish uchun ishlarni bajarishlari kerak (aslida juda oddiy). Va ikkinchidan, faqat dangasa odamlar Facebook va Dropbox kabi xizmatlardan parollar sizib chiqishi haqida yozmagan, lekin hech qanday holatda bu tashkilotlarning CIO'lari parollar qanday o'g'irlangani (va keyin nima bo'lganligi) tashkilotlarda hikoyalar bilan bo'lishmaydi.
Kuchli autentifikatsiyadan foydalanmaydiganlar o'z biznesi va mijozlari uchun o'z xavfini kam baholamoqda. Hozirda kuchli autentifikatsiyadan foydalanmayotgan ba'zi tashkilotlar login va parollarni foydalanuvchi autentifikatsiyasining eng samarali va ulardan foydalanish oson usullaridan biri sifatida ko'rishadi. Boshqalar o'zlariga tegishli raqamli aktivlarning qiymatini ko'rmaydilar. Axir, kiberjinoyatchilar har qanday iste'molchi va biznes ma'lumotlariga qiziqishlarini hisobga olish kerak. O'z xodimlarini autentifikatsiya qilish uchun faqat parollardan foydalanadigan kompaniyalarning uchdan ikki qismi parollar ular himoya qiladigan ma'lumotlar turi uchun yetarli ekanligiga ishonishadi.
Biroq, parollar qabrga yo'lda. Tashkilotlar an'anaviy TIV va kuchli autentifikatsiyadan foydalanishni ko'paytirgani sababli o'tgan yil davomida iste'molchi va korporativ ilovalar uchun parolga bog'liqlik sezilarli darajada kamaydi (mos ravishda 44% dan 31% gacha va 56% dan 47% gacha).
Ammo agar biz vaziyatni umuman ko'rib chiqsak, zaif autentifikatsiya usullari hali ham ustunlik qiladi. Foydalanuvchi autentifikatsiyasi uchun tashkilotlarning chorak qismi xavfsizlik savollari bilan birga SMS OTP (bir martalik parol) dan foydalanadi. Natijada, xarajatlarni oshiradigan zaiflikdan himoya qilish uchun qo'shimcha xavfsizlik choralarini ko'rish kerak. Uskuna kriptografik kalitlari kabi xavfsizroq autentifikatsiya usullaridan foydalanish tashkilotlarning taxminan 5 foizida kamroq qo'llaniladi.
Rivojlanayotgan tartibga solish muhiti iste'molchi ilovalari uchun kuchli autentifikatsiyani qabul qilishni tezlashtirishni va'da qilmoqda. PSD2, shuningdek, Yevropa Ittifoqi va AQShning Kaliforniya kabi bir qancha shtatlarida maʼlumotlarni himoya qilishning yangi qoidalari joriy etilishi bilan kompaniyalar issiqni his qilmoqda. Kompaniyalarning qariyb 70 foizi o'z mijozlariga kuchli autentifikatsiyani ta'minlash uchun kuchli tartibga solish bosimiga duch kelishlariga rozi bo'lishadi. Korxonalarning yarmidan ko'pi bir necha yil ichida ularning autentifikatsiya usullari tartibga soluvchi standartlarga javob berish uchun etarli emas deb hisoblaydi.
Rossiya va Amerika-Yevropa qonun chiqaruvchilarining dastur va xizmatlar foydalanuvchilarining shaxsiy ma'lumotlarini himoya qilish bo'yicha yondashuvlaridagi farq aniq ko'rinib turibdi. Ruslar aytadilar: hurmatli xizmat egalari, xohlaganingizni va xohlaganingizcha qiling, ammo adminingiz ma'lumotlar bazasini birlashtirsa, biz sizni jazolaymiz. Chet elda aytishadi: siz bir qator chora-tadbirlarni amalga oshirishingiz kerak ruxsat bermaydi poydevorni to'kib tashlang. Shuning uchun u erda qat'iy ikki faktorli autentifikatsiya talablari amalga oshirilmoqda.
To‘g‘ri, qonunchilik mashinamiz bir kun kelib o‘ziga kelmay, G‘arb tajribasini inobatga olmaydi, degan haqiqatdan yiroq. Keyin har bir kishi Rossiya kriptografik standartlariga mos keladigan 2FAni zudlik bilan amalga oshirishi kerakligi ma'lum bo'ldi.
Kuchli autentifikatsiya tizimini yaratish kompaniyalarga o'z e'tiborini tartibga soluvchi talablarni qondirishdan mijozlar ehtiyojlarini qondirishga o'tkazish imkonini beradi. Hali ham oddiy parollardan foydalanayotgan yoki SMS orqali kodlarni olayotgan tashkilotlar uchun autentifikatsiya usulini tanlashda eng muhim omil normativ talablarga rioya qilish bo'ladi. Ammo allaqachon kuchli autentifikatsiyadan foydalanadigan kompaniyalar mijozlarning sodiqligini oshiradigan autentifikatsiya usullarini tanlashga e'tibor qaratishlari mumkin.
Korxonada korporativ autentifikatsiya usulini tanlashda tartibga soluvchi talablar endi muhim omil emas. Bunday holda, integratsiyaning qulayligi (32%) va narx (26%) ancha muhimroqdir.
Fishing davrida tajovuzkorlar korporativ elektron pochta orqali firibgarlik qilishlari mumkin firibgarlik yo'li bilan ma'lumotlarga, akkauntlarga kirish huquqiga ega bo'lish (tegishli kirish huquqlari bilan) va hatto xodimlarni uning hisobiga pul o'tkazmasini amalga oshirishga ishontirish. Shuning uchun korporativ elektron pochta va portal hisoblari ayniqsa yaxshi himoyalangan bo'lishi kerak.
Google kuchli autentifikatsiyani qo'llash orqali o'z xavfsizligini kuchaytirdi. Ikki yildan ko'proq vaqt oldin Google FIDO U2F standartidan foydalangan holda kriptografik xavfsizlik kalitlari asosida ikki faktorli autentifikatsiyani amalga oshirish bo'yicha hisobotni e'lon qildi va ta'sirchan natijalar haqida xabar berdi. Kompaniya maʼlumotlariga koʻra, 85 mingdan ortiq xodimga nisbatan birorta ham fishing hujumi amalga oshirilmagan.
tavsiyalar
Mobil va onlayn ilovalar uchun kuchli autentifikatsiyani amalga oshiring. Kriptografik kalitlarga asoslangan ko'p faktorli autentifikatsiya an'anaviy TIV usullariga qaraganda xakerlikdan ancha yaxshi himoya qiladi. Bundan tashqari, kriptografik kalitlardan foydalanish ancha qulayroq, chunki qo'shimcha ma'lumotlarni - parollar, bir martalik parollar yoki biometrik ma'lumotlarni foydalanuvchi qurilmasidan autentifikatsiya serveriga o'tkazishning hojati yo'q. Bundan tashqari, autentifikatsiya protokollarini standartlashtirish autentifikatsiya qilishning yangi usullari mavjud bo'lganda ularni amalga oshirishni ancha osonlashtiradi, amalga oshirish xarajatlarini kamaytiradi va yanada murakkab firibgarlik sxemalaridan himoya qiladi.
Bir martalik parollarni (OTP) yo'q qilishga tayyorlaning. OTPlarga xos bo'lgan zaifliklar tobora aniq bo'lib bormoqda, chunki kiberjinoyatchilar ushbu autentifikatsiya vositalarini buzish uchun ijtimoiy muhandislik, smartfonlarni klonlash va zararli dasturlardan foydalanadilar. Va agar ba'zi hollarda OTPlar ma'lum afzalliklarga ega bo'lsa, unda faqat barcha foydalanuvchilar uchun universal foydalanish nuqtai nazaridan, lekin xavfsizlik nuqtai nazaridan emas.
SMS yoki Push bildirishnomalari orqali kodlarni qabul qilish, shuningdek, smartfonlar uchun dasturlardan foydalangan holda kodlarni yaratish bizdan pasayishga tayyorgarlik ko'rishimiz so'raladigan bir martalik parollardan (OTP) foydalanish ekanligini sezmaslik mumkin emas. Texnik nuqtai nazardan, yechim juda to'g'ri, chunki bu ishonchli foydalanuvchidan bir martalik parolni topishga urinmaydigan kamdan-kam firibgar. Ammo menimcha, bunday tizimlarni ishlab chiqaruvchilar o'layotgan texnologiyaga oxirigacha yopishib olishadi.
Mijozlarning ishonchini oshirish uchun marketing vositasi sifatida kuchli autentifikatsiyadan foydalaning. Kuchli autentifikatsiya nafaqat biznesingizning haqiqiy xavfsizligini yaxshilashga yordam beradi. Mijozlarga sizning biznesingiz kuchli autentifikatsiyadan foydalanayotgani haqida xabardor qilish, bu biznes xavfsizligi haqidagi jamoatchilik fikrini kuchaytirishi mumkin - bu mijozlarning kuchli autentifikatsiya usullariga jiddiy talabi mavjud bo'lganda muhim omil.
Korporativ ma'lumotlarning to'liq inventarizatsiyasini va tanqidiyligini baholashni o'tkazing va ularni ahamiyatiga qarab himoya qiling. Xaridor bilan bog'lanish ma'lumotlari kabi past xavfli ma'lumotlar ham (Yo'q, haqiqatan ham, hisobotda "past xavfli" deyilgan, ular bu ma'lumotning ahamiyatini kam baholaganlari juda g'alati), firibgarlarga sezilarli qiymat keltirishi va kompaniya uchun muammolarni keltirib chiqarishi mumkin.
Kuchli korporativ autentifikatsiyadan foydalaning. Bir qator tizimlar jinoyatchilar uchun eng jozibador nishon hisoblanadi. Bularga buxgalteriya dasturi yoki korporativ ma'lumotlar ombori kabi ichki va Internetga ulangan tizimlar kiradi. Kuchli autentifikatsiya tajovuzkorlarning ruxsatsiz kirishiga yo'l qo'ymaydi, shuningdek, qaysi xodim zararli faoliyatni amalga oshirganligini aniq aniqlash imkonini beradi.
Kuchli autentifikatsiya nima?
Kuchli autentifikatsiyadan foydalanganda, foydalanuvchining haqiqiyligini tekshirish uchun bir nechta usullar yoki omillar qo'llaniladi:
- Bilim omili: foydalanuvchi va foydalanuvchining autentifikatsiya qilingan mavzusi o'rtasidagi umumiy sir (masalan, parollar, xavfsizlik savollariga javoblar va h.k.)
- Egalik omili: faqat foydalanuvchida mavjud bo'lgan qurilma (masalan, mobil qurilma, kriptografik kalit va boshqalar).
- Yaxlitlik omili: foydalanuvchining jismoniy (ko'pincha biometrik) xususiyatlari (masalan, barmoq izlari, iris naqshlari, ovoz, xatti-harakatlar va boshqalar).
Bir nechta omillarni buzish zarurati tajovuzkorlarning muvaffaqiyatsizlik ehtimolini sezilarli darajada oshiradi, chunki turli omillarni chetlab o'tish yoki aldash har bir omil uchun alohida-alohida bir nechta xakerlik taktikasini qo'llashni talab qiladi.
Misol uchun, 2FA "parol + smartfon" bilan tajovuzkor foydalanuvchi paroliga qarab autentifikatsiyani amalga oshirishi va smartfonining aniq dasturiy ta'minot nusxasini yaratishi mumkin. Va bu shunchaki parolni o'g'irlashdan ko'ra qiyinroq.
Ammo agar 2FA uchun parol va kriptografik token ishlatilsa, unda nusxa ko'chirish opsiyasi bu erda ishlamaydi - tokenni takrorlash mumkin emas. Firibgar foydalanuvchidan tokenni yashirincha o'g'irlashi kerak bo'ladi. Agar foydalanuvchi o'z vaqtida yo'qotishni sezsa va administratorga xabar bersa, token bloklanadi va firibgarning harakatlari behuda bo'ladi. Shuning uchun egalik omili umumiy maqsadli qurilmalar (smartfonlar) emas, balki maxsus himoyalangan qurilmalardan (tokenlar) foydalanishni talab qiladi.
Uch omilning barchasidan foydalanish ushbu autentifikatsiya usulini amalga oshirishni ancha qimmat va foydalanishni juda noqulay qiladi. Shuning uchun odatda uchta omildan ikkitasi qo'llaniladi.
Ikki faktorli autentifikatsiya tamoyillari batafsilroq tavsiflangan , "Ikki faktorli autentifikatsiya qanday ishlaydi" blokida.
Shuni ta'kidlash kerakki, kuchli autentifikatsiyada ishlatiladigan autentifikatsiya omillaridan kamida bittasi ochiq kalit kriptografiyasidan foydalanishi kerak.
Kuchli autentifikatsiya klassik parollar va an'anaviy TIVga asoslangan yagona faktorli autentifikatsiyadan ko'ra kuchliroq himoyani ta'minlaydi. Parollarni keyloggerlar, fishing saytlari yoki ijtimoiy muhandislik hujumlari yordamida (jabrlanuvchi o'z parolini ochib berish uchun aldanib) tinglash yoki ushlash mumkin. Bundan tashqari, parol egasi o'g'irlik haqida hech narsa bilmaydi. An'anaviy TIV (shu jumladan OTP kodlari, smartfon yoki SIM-karta bilan bog'langan) ham juda oson buzib kirishi mumkin, chunki u ochiq kalit kriptografiyasiga asoslanmagan (Aytgancha, bir xil ijtimoiy muhandislik usullaridan foydalangan holda, firibgarlar foydalanuvchilarni ularga bir martalik parol berishga ko'ndirganiga ko'p misollar mavjud.).
Yaxshiyamki, kuchli autentifikatsiya va an'anaviy TIVdan foydalanish o'tgan yildan beri ham iste'molchi, ham korporativ ilovalarda qiziqish uyg'otmoqda. Iste'molchi ilovalarida kuchli autentifikatsiyadan foydalanish ayniqsa tez o'sdi. Agar 2017 yilda kompaniyalarning atigi 5 foizi undan foydalangan bo'lsa, 2018 yilda u uch baravar ko'p - 16 foizni tashkil etdi. Buni ochiq kalit kriptografiyasi (PKC) algoritmlarini qo‘llab-quvvatlovchi tokenlar mavjudligining ortishi bilan izohlash mumkin. Bundan tashqari, PSD2 va GDPR kabi ma'lumotlarni himoya qilishning yangi qoidalari qabul qilingandan so'ng, Evropa regulyatorlari tomonidan kuchaygan bosim hatto Evropadan tashqarida ham kuchli ta'sir ko'rsatdi (shu jumladan Rossiyada).
Keling, ushbu raqamlarni batafsil ko'rib chiqaylik. Ko'rib turganimizdek, ko'p faktorli autentifikatsiyadan foydalanadigan xususiy shaxslar ulushi yil davomida ta'sirchan 11% ga o'sdi. Va bu aniq parolni sevuvchilar hisobiga sodir bo'ldi, chunki Push xabarnomalari, SMS va biometrik ma'lumotlarning xavfsizligiga ishonadiganlar soni o'zgarmadi.
Ammo korporativ foydalanish uchun ikki faktorli autentifikatsiya bilan ishlar unchalik yaxshi emas. Birinchidan, hisobotga ko'ra, xodimlarning atigi 5 foizi parolni autentifikatsiya qilishdan tokenlarga o'tkazilgan. Ikkinchidan, korporativ muhitda TIVning muqobil variantlaridan foydalanadiganlar soni 4 foizga oshdi.
Men tahlilchi rolini o'ynashga va o'z talqinimni berishga harakat qilaman. Shaxsiy foydalanuvchilarning raqamli dunyosining markazida smartfon joylashgan. Shu sababli, ko'pchilik qurilma taqdim etgan imkoniyatlardan foydalanishi ajablanarli emas - biometrik autentifikatsiya, SMS va Push xabarnomalari, shuningdek, smartfonning o'zida ilovalar tomonidan yaratilgan bir martalik parollar. Odamlar odatda o'zlari uchun ishlatiladigan asboblardan foydalanganda xavfsizlik va ishonchlilik haqida o'ylamaydilar.
Shuning uchun ibtidoiy "an'anaviy" autentifikatsiya omillaridan foydalanuvchilarning foizi o'zgarishsiz qolmoqda. Ammo ilgari parollardan foydalanganlar qanchalik tavakkal qilishlarini tushunishadi va yangi autentifikatsiya omilini tanlashda ular eng yangi va xavfsiz variantni – kriptografik tokenni tanlashadi.
Korporativ bozorga kelsak, autentifikatsiya qaysi tizimda amalga oshirilishini tushunish muhimdir. Agar Windows domeniga kirish amalga oshirilsa, kriptografik tokenlar ishlatiladi. Ularni 2FA uchun ishlatish imkoniyatlari allaqachon Windows va Linuxda o'rnatilgan, ammo muqobil variantlar uzoq va amalga oshirish qiyin. Parollardan tokenlarga 5% migratsiya uchun juda ko'p.
Va 2FAni korporativ axborot tizimida amalga oshirish juda ko'p ishlab chiquvchilarning malakasiga bog'liq. Va ishlab chiquvchilar uchun kriptografik algoritmlarning ishlashini tushunishdan ko'ra, bir martalik parollarni yaratish uchun tayyor modullarni olish osonroq. Natijada, hatto bitta tizimga kirish yoki imtiyozli kirishni boshqarish tizimlari kabi xavfsizlik uchun juda muhim ilovalar ham ikkinchi omil sifatida OTP dan foydalanadi.
An'anaviy autentifikatsiya usullarida ko'plab zaifliklar
Ko'pgina tashkilotlar eski bir faktorli tizimlarga tayanib qolgan bo'lsa-da, an'anaviy ko'p faktorli autentifikatsiyadagi zaifliklar tobora ko'proq namoyon bo'lmoqda. SMS orqali yetkaziladigan bir martalik parollar, odatda olti dan sakkiz belgigacha, autentifikatsiyaning eng keng tarqalgan shakli bo'lib qoladi (albatta, parol omilidan tashqari). Va ommabop matbuotda "ikki faktorli autentifikatsiya" yoki "ikki bosqichli tekshirish" so'zlari aytilganda, ular deyarli har doim SMS bir martalik parol autentifikatsiyasiga ishora qiladi.
Bu erda muallif biroz xatoga yo'l qo'ygan. SMS orqali bir martalik parollarni yetkazib berish hech qachon ikki faktorli autentifikatsiya bo'lmagan. Bu sof shaklda ikki bosqichli autentifikatsiyaning ikkinchi bosqichi bo'lib, birinchi bosqich login va parolni kiritishdir.
2016 yilda Milliy standartlar va texnologiyalar instituti (NIST) SMS orqali yuborilgan bir martalik parollardan foydalanishni bekor qilish uchun autentifikatsiya qoidalarini yangiladi. Biroq, sanoat noroziliklaridan keyin bu qoidalar sezilarli darajada yumshatilgan.
Shunday ekan, keling, syujetga amal qilaylik. Amerika regulyatori eskirgan texnologiya foydalanuvchi xavfsizligini ta'minlashga qodir emasligini va yangi standartlarni joriy etishini haqli ravishda tan oladi. Onlayn va mobil ilovalar (shu jumladan, bank ilovalari) foydalanuvchilarini himoya qilish uchun mo'ljallangan standartlar. Sanoat chinakam ishonchli kriptografik tokenlarni sotib olishga, ilovalarni qayta loyihalashga, ochiq kalitlar infratuzilmasini o‘rnatishga qancha pul sarflashi kerakligini hisoblab chiqmoqda va “orqa oyoqlarida” ko‘tarilmoqda. Bir tomondan, foydalanuvchilar bir martalik parollarning ishonchliligiga ishonch hosil qilishdi, ikkinchi tomondan, NISTga hujumlar sodir bo'ldi. Natijada, standart yumshatilgan, parollarni buzish va o'g'irlash (va bank ilovalaridan olingan pullar) soni keskin oshdi. Ammo sanoat pul sarflashi shart emas edi.
O'shandan beri SMS OTPning o'ziga xos zaif tomonlari aniqroq bo'ldi. Firibgarlar SMS-xabarlarni buzish uchun turli usullardan foydalanadilar:
- SIM-kartani takrorlash. Buzg'unchilar SIM-karta nusxasini yaratadilar (uyali aloqa operatori xodimlarining yordami bilan yoki mustaqil ravishda, maxsus dasturiy ta'minot va apparat vositalaridan foydalangan holda).). Natijada, tajovuzkor bir martalik parol bilan SMS-xabar oladi. Mashhur bir holatda xakerlar hatto kriptovalyuta investori Maykl Turpinning AT&T hisobini buzishga muvaffaq bo'lishdi va 24 million dollarga yaqin kriptovalyutalarni o'g'irlashdi. Natijada, Turpin SIM-kartani takrorlashga olib kelgan zaif tekshirish choralari tufayli AT&T aybdor ekanligini aytdi.
Ajoyib mantiq. Demak, bu haqiqatan ham faqat AT&T aybdormi? Yo‘q, shubhasiz, aloqa do‘konidagi sotuvchilar SIM-kartaning dublikatini chiqarganiga uyali aloqa operatorining aybi bor. Kriptovalyuta almashinuvi autentifikatsiya tizimi haqida nima deyish mumkin? Nega ular kuchli kriptografik tokenlardan foydalanmadilar? Amalga oshirish uchun pul sarflash achinarli bo'ldimi? Mayklning o'zi aybdor emasmi? Nega u autentifikatsiya mexanizmini o'zgartirishni talab qilmadi yoki faqat kriptografik tokenlar asosida ikki faktorli autentifikatsiyani amalga oshiradigan almashinuvlardan foydalanmadi?
Haqiqiy ishonchli autentifikatsiya usullarini joriy etish kechiktiriladi, chunki foydalanuvchilar xakerlik qilishdan oldin hayratlanarli beparvolik ko'rsatadilar va keyinchalik ular o'z muammolarini qadimiy va "oqib ketgan" autentifikatsiya texnologiyalaridan boshqa har qanday odamga va hamma narsaga yuklaydilar.
- Zararli dastur. Mobil zararli dasturiy ta'minotning eng dastlabki funktsiyalaridan biri bu matnli xabarlarni ushlash va hujumchilarga yuborish edi. Bundan tashqari, man-in-the-brauzer va odam-in-the-middle hujumlari bir martalik parollarni zararlangan noutbuklar yoki ish stoli qurilmalariga kiritilganda to‘sib qo‘yishi mumkin.
Smartfoningizdagi Sberbank ilovasi holat satrida yashil belgi yonib-o'chganda, u sizning telefoningizda "zararli dastur" ni ham qidiradi. Ushbu tadbirning maqsadi odatdagi smartfonning ishonchsiz ijro muhitini, hech bo'lmaganda, ishonchli muhitga aylantirishdir.
Aytgancha, smartfon, har qanday narsani qilish mumkin bo'lgan mutlaqo ishonchsiz qurilma sifatida uni autentifikatsiya qilish uchun ishlatishning yana bir sababidir. faqat apparat tokenlari, ular himoyalangan va viruslar va troyanlardan xoli. - Ijtimoiy muhandislik. Firibgarlar jabrlanuvchida SMS orqali OTPlar yoqilganligini bilishganda, ular jabrlanuvchini aldash uchun o'zlarining bank yoki kredit uyushmasi kabi ishonchli tashkilot sifatida ko'rsatib, to'g'ridan-to'g'ri bog'lanishlari mumkin.
Men shaxsan bu turdagi firibgarlikka ko'p marta duch kelganman, masalan, mashhur onlayn bura bozorida biror narsa sotishga harakat qilganda. Meni o‘zim to‘yib-to‘yib aldamoqchi bo‘lgan firibgarni mazax qildim. Ammo, afsuski, men muntazam ravishda yangiliklarda firibgarlarning yana bir qurboni "o'ylamagan", tasdiqlash kodini berib, katta summani yo'qotganini o'qib turaman. Va bularning barchasi, chunki bank o'z ilovalarida kriptografik tokenlarni amalga oshirish bilan shug'ullanishni xohlamaydi. Axir, agar biror narsa yuz bersa, mijozlar "aybdor".
Muqobil OTP yetkazib berish usullari ushbu autentifikatsiya usulidagi ba'zi zaifliklarni yumshatishi mumkin bo'lsa-da, boshqa zaifliklar saqlanib qolmoqda. Mustaqil kod ishlab chiqarish ilovalari tinglashdan eng yaxshi himoya hisoblanadi, chunki hatto zararli dastur kod generatori bilan to'g'ridan-to'g'ri o'zaro ta'sir qila olmaydi (jiddiymi? Hisobot muallifi masofadan boshqarishni unutganmi?), ammo OTPlar brauzerga kiritilganda ham ushlanishi mumkin (masalan keylogger yordamida), buzilgan mobil ilova orqali; va ijtimoiy muhandislik yordamida foydalanuvchidan bevosita olinishi mumkin.
Qurilmani aniqlash kabi bir nechta xavfni baholash vositalaridan foydalanish (qonuniy foydalanuvchiga tegishli bo'lmagan qurilmalardan tranzaktsiyalarni amalga oshirishga urinishlarni aniqlash), geolokatsiya (hozirgina Moskvada bo'lgan foydalanuvchi Novosibirskdan operatsiya qilmoqchi) va xulq-atvor tahlillari zaifliklarni bartaraf etish uchun muhim, ammo hech bir yechim panatseya emas. Har bir vaziyat va ma'lumotlar turi uchun xavflarni sinchkovlik bilan baholash va qaysi autentifikatsiya texnologiyasidan foydalanish kerakligini tanlash kerak.
Hech qanday autentifikatsiya yechimi panatseya emas
Shakl 2. Autentifikatsiya opsiyalari jadvali
| Autentifikatsiya | Faktor | tavsifi | Asosiy zaifliklar |
| Parol yoki PIN | Ma'lumot | Belgilangan qiymat, u harflar, raqamlar va boshqa bir qator belgilarni o'z ichiga olishi mumkin | Uni ushlab turish, josuslik qilish, o'g'irlash, olish yoki buzish mumkin |
| Bilimga asoslangan autentifikatsiya | Ma'lumot | Faqat yuridik foydalanuvchi bilishi mumkin bo'lgan javoblarni so'raydi | Ijtimoiy muhandislik usullaridan foydalangan holda ushlab turilishi, olinishi, olinishi mumkin |
| Uskuna OTP () | Egalik | Bir martalik parollarni yaratadigan maxsus qurilma | Kod ushlanib, takrorlanishi yoki qurilma o'g'irlanishi mumkin |
| Bir martalik dasturiy ta'minot | Egalik | Bir martalik parollarni yaratadigan ilova (mobil, brauzer orqali foydalanish mumkin yoki elektron pochta orqali kodlarni yuborish) | Kod ushlanib, takrorlanishi yoki qurilma o'g'irlanishi mumkin |
| SMS OTP | Egalik | SMS matnli xabar orqali bir martalik parol | Kod ushlanib qolishi va takrorlanishi yoki smartfon yoki SIM-karta o'g'irlanishi yoki SIM-kartaning takrorlanishi mumkin. |
| Smart kartalar () | Egalik | Autentifikatsiya qilish uchun ochiq kalitlar infratuzilmasidan foydalanadigan kriptografik chip va xavfsiz kalit xotirasiga ega karta. | Jismoniy o'g'irlangan bo'lishi mumkin (lekin tajovuzkor PIN kodni bilmasdan qurilmadan foydalana olmaydi; Agar bir nechta noto'g'ri kiritish urinishlari bo'lsa, qurilma bloklanadi) |
| Xavfsizlik kalitlari - tokenlar (, ) | Egalik | Autentifikatsiya qilish uchun ochiq kalitlar infratuzilmasidan foydalanadigan kriptografik chip va xavfsiz kalit xotirasiga ega USB qurilmasi | Jismoniy o'g'irlanishi mumkin (lekin tajovuzkor PIN-kodni bilmasdan qurilmadan foydalana olmaydi; agar bir necha marta noto'g'ri kiritishga urinish bo'lsa, qurilma bloklanadi) |
| Qurilmaga ulanish | Egalik | Ko'pincha JavaScript-dan foydalangan holda yoki ma'lum bir qurilma ishlatilayotganligini ta'minlash uchun cookie-fayllar va Flash Shared Objects kabi markerlardan foydalangan holda profil yaratish jarayoni | Tokenlar o'g'irlanishi (nusxalanishi) va qonuniy qurilmaning xususiyatlarini tajovuzkor uning qurilmasiga taqlid qilishi mumkin. |
| Xatti-harakatlar | O'ziga xoslik | Foydalanuvchining qurilma yoki dastur bilan qanday munosabatda bo'lishini tahlil qiladi | Xulq-atvorni taqlid qilish mumkin |
| Barmoq izlari | O'ziga xoslik | Saqlangan barmoq izlari optik yoki elektron shaklda olinganlar bilan taqqoslanadi | Rasm o'g'irlanishi va autentifikatsiya qilish uchun ishlatilishi mumkin |
| Ko'zni skanerlash | O'ziga xoslik | Ko‘zning iris namunasi kabi ko‘z xususiyatlarini yangi optik skanerlar bilan solishtiradi | Rasm o'g'irlanishi va autentifikatsiya qilish uchun ishlatilishi mumkin |
| Yuzni aniqlash | O'ziga xoslik | Yuz xususiyatlari yangi optik skanerlar bilan taqqoslanadi | Rasm o'g'irlanishi va autentifikatsiya qilish uchun ishlatilishi mumkin |
| Ovozni aniqlash | O'ziga xoslik | Yozib olingan ovoz namunasining xarakteristikalari yangi namunalar bilan taqqoslanadi | Yozuv o'g'irlanishi va autentifikatsiya qilish uchun ishlatilishi yoki taqlid qilinishi mumkin |
Nashrning ikkinchi qismida bizni eng mazali narsalar kutmoqda - birinchi qismda keltirilgan xulosa va tavsiyalar asosida raqamlar va faktlar. Foydalanuvchi ilovalarida va korporativ tizimlarda autentifikatsiya alohida muhokama qilinadi.
Tez orada ko'rasiz!
Manba: www.habr.com