Nội dung tiết lộ từ tiêu đề của báo cáo: “Việc sử dụng xác thực mạnh mẽ ngày càng tăng do mối đe dọa về rủi ro mới và các yêu cầu quy định”.
Công ty nghiên cứu "Javelin Strategy & Research" đã công bố báo cáo "Trạng thái xác thực mạnh mẽ 2019" (). Báo cáo này cho biết: bao nhiêu phần trăm các công ty Mỹ và Châu Âu sử dụng mật khẩu (và tại sao hiện nay ít người sử dụng mật khẩu); tại sao việc sử dụng xác thực hai yếu tố dựa trên mã thông báo mật mã lại phát triển nhanh chóng như vậy; Tại sao mã một lần gửi qua SMS không an toàn.
Bất kỳ ai quan tâm đến hiện tại, quá khứ và tương lai của xác thực trong doanh nghiệp và ứng dụng tiêu dùng đều được chào đón.
Từ người dịch
Than ôi, ngôn ngữ viết báo cáo này khá “khô khan” và trang trọng. Và việc sử dụng năm lần từ “xác thực” trong một câu ngắn gọn không phải là do bàn tay (hay bộ óc) vẹo vọ của người dịch mà là do ý muốn của tác giả. Khi dịch từ hai phương án - để mang đến cho người đọc một văn bản gần với bản gốc hơn hoặc thú vị hơn, đôi khi tôi chọn phương án thứ nhất, đôi khi là phương án thứ hai. Nhưng hãy kiên nhẫn, quý độc giả thân mến, nội dung của báo cáo rất đáng giá.
Một số phần không quan trọng và không cần thiết cho câu chuyện đã bị loại bỏ, nếu không thì đa số sẽ không thể đọc hết toàn bộ văn bản. Những ai muốn đọc báo cáo “chưa cắt” có thể đọc bằng ngôn ngữ gốc bằng cách nhấp vào liên kết.
Thật không may, các tác giả không phải lúc nào cũng cẩn thận với thuật ngữ. Vì vậy, mật khẩu dùng một lần (One Time Pass - OTP) đôi khi được gọi là “mật khẩu”, đôi khi được gọi là “mã”. Nó thậm chí còn tệ hơn với các phương pháp xác thực. Không phải lúc nào người đọc chưa qua đào tạo cũng dễ dàng đoán được rằng “xác thực bằng khóa mật mã” và “xác thực mạnh” là giống nhau. Tôi đã cố gắng thống nhất các thuật ngữ nhiều nhất có thể, và trong bản báo cáo có một đoạn mô tả chúng.
Tuy nhiên, báo cáo này rất được khuyến khích đọc vì nó chứa các kết quả nghiên cứu độc đáo và kết luận chính xác.
Tất cả các số liệu và sự kiện đều được trình bày mà không có một chút thay đổi nào và nếu bạn không đồng ý với chúng, thì tốt hơn hết bạn nên tranh luận không phải với người dịch mà với các tác giả của báo cáo. Và đây là những nhận xét của tôi (được trình bày dưới dạng trích dẫn và được đánh dấu trong văn bản) người Ý) là đánh giá giá trị của tôi và tôi sẽ sẵn lòng tranh luận về từng đánh giá đó (cũng như về chất lượng của bản dịch).
Xem xét
Ngày nay, các kênh truyền thông kỹ thuật số với khách hàng trở nên quan trọng hơn bao giờ hết đối với các doanh nghiệp. Và trong công ty, hoạt động liên lạc giữa các nhân viên được định hướng kỹ thuật số hơn bao giờ hết. Và mức độ an toàn của những tương tác này sẽ phụ thuộc vào phương thức xác thực người dùng đã chọn. Những kẻ tấn công sử dụng xác thực yếu để hack hàng loạt tài khoản người dùng. Để đáp lại, các cơ quan quản lý đang thắt chặt các tiêu chuẩn để buộc các doanh nghiệp phải bảo vệ tài khoản và dữ liệu người dùng tốt hơn.
Các mối đe dọa liên quan đến xác thực vượt ra ngoài các ứng dụng tiêu dùng; kẻ tấn công cũng có thể truy cập vào các ứng dụng chạy bên trong doanh nghiệp. Hoạt động này cho phép họ mạo danh người dùng doanh nghiệp. Những kẻ tấn công sử dụng các điểm truy cập có xác thực yếu có thể đánh cắp dữ liệu và thực hiện các hoạt động gian lận khác. May mắn thay, có những biện pháp để chống lại điều này. Xác thực mạnh mẽ sẽ giúp giảm đáng kể nguy cơ bị kẻ tấn công tấn công, cả trên ứng dụng tiêu dùng và hệ thống kinh doanh của doanh nghiệp.
Nghiên cứu này xem xét: cách doanh nghiệp triển khai xác thực để bảo vệ ứng dụng của người dùng cuối và hệ thống kinh doanh của doanh nghiệp; các yếu tố họ cân nhắc khi lựa chọn giải pháp xác thực; vai trò của xác thực mạnh mẽ trong tổ chức của họ; những lợi ích mà tổ chức này nhận được.
Tóm tắt thông tin
Những phát hiện chính
Kể từ năm 2017, việc sử dụng xác thực mạnh đã tăng mạnh. Với số lượng lỗ hổng ảnh hưởng đến các giải pháp xác thực truyền thống ngày càng tăng, các tổ chức đang tăng cường khả năng xác thực của mình bằng tính năng xác thực mạnh mẽ. Số lượng tổ chức sử dụng xác thực đa yếu tố bằng mật mã (MFA) đã tăng gấp ba lần kể từ năm 2017 đối với các ứng dụng tiêu dùng và tăng gần 50% đối với các ứng dụng doanh nghiệp. Sự tăng trưởng nhanh nhất được thấy trong xác thực di động do tính khả dụng ngày càng tăng của xác thực sinh trắc học.
Ở đây chúng ta thấy một minh họa cho câu nói “cho đến khi sấm sét đánh, một người sẽ không vượt qua chính mình”. Khi các chuyên gia cảnh báo về tính không an toàn của mật khẩu, không ai vội vàng thực hiện xác thực hai yếu tố. Ngay khi tin tặc bắt đầu đánh cắp mật khẩu, mọi người bắt đầu triển khai xác thực hai yếu tố.
Đúng, các cá nhân đang triển khai 2FA tích cực hơn nhiều. Thứ nhất, họ dễ dàng xoa dịu nỗi sợ hãi hơn bằng cách dựa vào xác thực sinh trắc học được tích hợp trong điện thoại thông minh, điều này trên thực tế rất không đáng tin cậy. Các tổ chức cần phải chi tiền để mua token và thực hiện công việc (trên thực tế là rất đơn giản) để triển khai chúng. Và thứ hai, chỉ những người lười biếng mới không viết về việc rò rỉ mật khẩu từ các dịch vụ như Facebook và Dropbox, nhưng trong mọi trường hợp, CIO của các tổ chức này sẽ chia sẻ câu chuyện về cách mật khẩu bị đánh cắp (và điều gì xảy ra tiếp theo) trong các tổ chức.
Những người không sử dụng xác thực mạnh đang đánh giá thấp rủi ro của họ đối với doanh nghiệp và khách hàng của họ. Một số tổ chức hiện không sử dụng xác thực mạnh có xu hướng xem thông tin đăng nhập và mật khẩu là một trong những phương pháp xác thực người dùng hiệu quả và dễ sử dụng nhất. Những người khác không nhìn thấy giá trị của tài sản kỹ thuật số mà họ sở hữu. Rốt cuộc, điều đáng lưu ý là tội phạm mạng quan tâm đến bất kỳ thông tin nào của người tiêu dùng và doanh nghiệp. Hai phần ba các công ty chỉ sử dụng mật khẩu để xác thực nhân viên của mình vì họ tin rằng mật khẩu đó đủ tốt cho loại thông tin mà họ bảo vệ.
Tuy nhiên, mật khẩu đang trên đường xuống mồ. Sự phụ thuộc vào mật khẩu đã giảm đáng kể trong năm qua đối với cả ứng dụng tiêu dùng và doanh nghiệp (lần lượt từ 44% xuống 31% và từ 56% xuống 47%) khi các tổ chức tăng cường sử dụng MFA truyền thống và xác thực mạnh.
Nhưng nếu chúng ta nhìn vào tình hình một cách tổng thể, các phương pháp xác thực dễ bị tấn công vẫn chiếm ưu thế. Để xác thực người dùng, khoảng 5/XNUMX tổ chức sử dụng SMS OTP (mật khẩu dùng một lần) cùng với các câu hỏi bảo mật. Do đó, các biện pháp bảo mật bổ sung phải được thực hiện để bảo vệ khỏi lỗ hổng, điều này làm tăng chi phí. Việc sử dụng các phương pháp xác thực an toàn hơn nhiều, chẳng hạn như khóa mật mã phần cứng, được sử dụng ít thường xuyên hơn, ở khoảng XNUMX% tổ chức.
Môi trường pháp lý đang phát triển hứa hẹn sẽ đẩy nhanh việc áp dụng xác thực mạnh mẽ cho các ứng dụng của người tiêu dùng. Với sự ra đời của PSD2, cũng như các quy định bảo vệ dữ liệu mới ở EU và một số bang của Hoa Kỳ như California, các công ty đang cảm thấy sức nóng. Gần 70% công ty đồng ý rằng họ phải đối mặt với áp lực pháp lý mạnh mẽ để cung cấp xác thực mạnh mẽ cho khách hàng của mình. Hơn một nửa số doanh nghiệp tin rằng trong vòng vài năm tới, phương pháp xác thực của họ sẽ không đủ đáp ứng các tiêu chuẩn quy định.
Có thể thấy rõ sự khác biệt trong cách tiếp cận của các nhà lập pháp Nga và Mỹ-Châu Âu trong việc bảo vệ dữ liệu cá nhân của người dùng các chương trình và dịch vụ. Người Nga nói: các chủ dịch vụ thân mến, hãy làm những gì bạn muốn và theo cách bạn muốn, nhưng nếu quản trị viên của bạn hợp nhất cơ sở dữ liệu, chúng tôi sẽ trừng phạt bạn. Họ nói ở nước ngoài: bạn phải thực hiện một loạt các biện pháp sẽ không cho phép thoát nước cơ sở. Đó là lý do tại sao các yêu cầu về xác thực hai yếu tố nghiêm ngặt đang được triển khai ở đó.
Đúng vậy, còn lâu mới có một thực tế là một ngày nào đó bộ máy lập pháp của chúng ta sẽ không tỉnh táo và tính đến kinh nghiệm của phương Tây. Sau đó, hóa ra là mọi người đều cần phải triển khai 2FA, tuân thủ các tiêu chuẩn mật mã của Nga một cách khẩn cấp.
Việc thiết lập một khung xác thực mạnh mẽ cho phép các công ty chuyển trọng tâm từ việc đáp ứng các yêu cầu quy định sang đáp ứng nhu cầu của khách hàng. Đối với những tổ chức vẫn đang sử dụng mật khẩu đơn giản hoặc nhận mã qua SMS, yếu tố quan trọng nhất khi chọn phương thức xác thực sẽ là tuân thủ các yêu cầu quy định. Nhưng những công ty đã sử dụng phương thức xác thực mạnh mẽ có thể tập trung vào việc lựa chọn các phương thức xác thực nhằm nâng cao lòng trung thành của khách hàng.
Khi chọn phương thức xác thực doanh nghiệp trong doanh nghiệp, các yêu cầu pháp lý không còn là yếu tố quan trọng nữa. Trong trường hợp này, tính dễ tích hợp (32%) và chi phí (26%) quan trọng hơn nhiều.
Trong thời đại lừa đảo, kẻ tấn công có thể sử dụng email công ty để lừa đảo để lừa đảo truy cập vào dữ liệu, tài khoản (có quyền truy cập phù hợp) và thậm chí thuyết phục nhân viên chuyển tiền vào tài khoản của mình. Do đó, tài khoản email và cổng thông tin của công ty phải được bảo vệ đặc biệt tốt.
Google đã tăng cường bảo mật bằng cách triển khai xác thực mạnh mẽ. Hơn hai năm trước, Google đã công bố báo cáo về việc triển khai xác thực hai yếu tố dựa trên khóa bảo mật mật mã sử dụng tiêu chuẩn FIDO U2F, báo cáo kết quả rất ấn tượng. Theo công ty, không một cuộc tấn công lừa đảo nào được thực hiện nhằm vào hơn 85 nhân viên.
Khuyến nghị
Triển khai xác thực mạnh mẽ cho các ứng dụng di động và trực tuyến. Xác thực đa yếu tố dựa trên khóa mật mã cung cấp khả năng bảo vệ chống hack tốt hơn nhiều so với các phương pháp MFA truyền thống. Ngoài ra, việc sử dụng khóa mật mã thuận tiện hơn nhiều vì không cần sử dụng và truyền thêm thông tin - mật khẩu, mật khẩu một lần hoặc dữ liệu sinh trắc học từ thiết bị của người dùng đến máy chủ xác thực. Ngoài ra, việc chuẩn hóa các giao thức xác thực giúp việc triển khai các phương thức xác thực mới dễ dàng hơn nhiều khi chúng có sẵn, giảm chi phí triển khai và bảo vệ khỏi các âm mưu lừa đảo tinh vi hơn.
Chuẩn bị cho sự sụp đổ của mật khẩu một lần (OTP). Các lỗ hổng cố hữu trong OTP ngày càng trở nên rõ ràng khi tội phạm mạng sử dụng kỹ thuật xã hội, nhân bản điện thoại thông minh và phần mềm độc hại để xâm phạm các phương tiện xác thực này. Và nếu OTP trong một số trường hợp có những ưu điểm nhất định thì chỉ xét từ quan điểm về tính khả dụng phổ biến cho tất cả người dùng chứ không phải từ quan điểm bảo mật.
Không thể không nhận thấy rằng việc nhận mã qua SMS hoặc Thông báo đẩy, cũng như tạo mã bằng các chương trình dành cho điện thoại thông minh, chính là việc sử dụng cùng một mật khẩu một lần (OTP) mà chúng tôi được yêu cầu chuẩn bị cho việc từ chối. Từ quan điểm kỹ thuật, giải pháp này rất đúng, bởi vì hiếm có kẻ lừa đảo nào không cố gắng tìm ra mật khẩu một lần từ một người dùng cả tin. Nhưng tôi nghĩ rằng các nhà sản xuất những hệ thống như vậy sẽ bám vào công nghệ đang hấp hối đến cùng.
Sử dụng xác thực mạnh mẽ như một công cụ tiếp thị để tăng niềm tin của khách hàng. Xác thực mạnh mẽ có thể làm được nhiều việc hơn là chỉ cải thiện tính bảo mật thực tế cho doanh nghiệp của bạn. Thông báo cho khách hàng rằng doanh nghiệp của bạn sử dụng phương pháp xác thực mạnh có thể nâng cao nhận thức của công chúng về tính bảo mật của doanh nghiệp đó—một yếu tố quan trọng khi khách hàng có nhu cầu đáng kể về các phương pháp xác thực mạnh.
Tiến hành kiểm kê kỹ lưỡng và đánh giá mức độ quan trọng của dữ liệu công ty và bảo vệ dữ liệu đó theo mức độ quan trọng. Ngay cả những dữ liệu có rủi ro thấp như thông tin liên hệ của khách hàng (không, thực sự, báo cáo nói "rủi ro thấp", thật kỳ lạ khi họ đánh giá thấp tầm quan trọng của thông tin này), có thể mang lại giá trị đáng kể cho những kẻ lừa đảo và gây rắc rối cho công ty.
Sử dụng xác thực doanh nghiệp mạnh mẽ. Một số hệ thống là mục tiêu hấp dẫn nhất đối với bọn tội phạm. Chúng bao gồm các hệ thống nội bộ và kết nối Internet như chương trình kế toán hoặc kho dữ liệu của công ty. Xác thực mạnh mẽ ngăn chặn kẻ tấn công truy cập trái phép và cũng giúp xác định chính xác nhân viên nào đã thực hiện hoạt động độc hại.
Xác thực mạnh là gì?
Khi sử dụng xác thực mạnh, một số phương pháp hoặc yếu tố được sử dụng để xác minh tính xác thực của người dùng:
- Yếu tố kiến thức: bí mật được chia sẻ giữa người dùng và chủ đề được xác thực của người dùng (chẳng hạn như mật khẩu, câu trả lời cho câu hỏi bảo mật, v.v.)
- Yếu tố sở hữu: một thiết bị mà chỉ người dùng mới có (ví dụ: thiết bị di động, khóa mật mã, v.v.)
- Yếu tố toàn vẹn: đặc điểm vật lý (thường là sinh trắc học) của người dùng (ví dụ: dấu vân tay, mẫu mống mắt, giọng nói, hành vi, v.v.)
Nhu cầu hack nhiều yếu tố làm tăng đáng kể khả năng thất bại của kẻ tấn công, vì việc vượt qua hoặc đánh lừa nhiều yếu tố khác nhau đòi hỏi phải sử dụng nhiều loại chiến thuật hack, cho từng yếu tố riêng biệt.
Ví dụ: với “mật khẩu + điện thoại thông minh” 2FA, kẻ tấn công có thể thực hiện xác thực bằng cách xem mật khẩu của người dùng và tạo một bản sao phần mềm chính xác cho điện thoại thông minh của hắn. Và điều này khó khăn hơn nhiều so với việc chỉ đơn giản là đánh cắp mật khẩu.
Nhưng nếu mật khẩu và mã thông báo mật mã được sử dụng cho 2FA thì tùy chọn sao chép không hoạt động ở đây - không thể sao chép mã thông báo. Kẻ lừa đảo sẽ cần phải lén lút đánh cắp mã thông báo từ người dùng. Nếu người dùng nhận thấy sự mất mát kịp thời và thông báo cho quản trị viên, mã thông báo sẽ bị chặn và nỗ lực của kẻ lừa đảo sẽ vô ích. Đây là lý do tại sao yếu tố sở hữu yêu cầu sử dụng các thiết bị bảo mật chuyên dụng (mã thông báo) thay vì các thiết bị có mục đích chung (điện thoại thông minh).
Việc sử dụng cả XNUMX yếu tố này sẽ khiến phương thức xác thực này khá tốn kém khi thực hiện và khá bất tiện khi sử dụng. Vì vậy, hai trong số ba yếu tố thường được sử dụng.
Các nguyên tắc xác thực hai yếu tố được mô tả chi tiết hơn , trong khối “Cách thức hoạt động của xác thực hai yếu tố”.
Điều quan trọng cần lưu ý là ít nhất một trong các yếu tố xác thực được sử dụng trong xác thực mạnh phải sử dụng mật mã khóa chung.
Xác thực mạnh cung cấp khả năng bảo vệ mạnh mẽ hơn nhiều so với xác thực một yếu tố dựa trên mật khẩu cổ điển và MFA truyền thống. Mật khẩu có thể bị theo dõi hoặc chặn bằng cách sử dụng keylogger, trang web lừa đảo hoặc các cuộc tấn công kỹ thuật xã hội (trong đó nạn nhân bị lừa tiết lộ mật khẩu của họ). Hơn nữa, chủ nhân của mật khẩu sẽ không biết gì về vụ trộm. MFA truyền thống (bao gồm mã OTP, liên kết với điện thoại thông minh hoặc thẻ SIM) cũng có thể bị hack khá dễ dàng vì nó không dựa trên mật mã khóa công khai (Nhân tiện, có rất nhiều ví dụ khi sử dụng các kỹ thuật lừa đảo tương tự, những kẻ lừa đảo đã thuyết phục người dùng cung cấp cho họ mật khẩu một lần).
May mắn thay, việc sử dụng xác thực mạnh mẽ và MFA truyền thống đã thu hút được sự chú ý trong cả ứng dụng tiêu dùng và doanh nghiệp kể từ năm ngoái. Việc sử dụng xác thực mạnh mẽ trong các ứng dụng tiêu dùng đã phát triển đặc biệt nhanh chóng. Nếu năm 2017 chỉ có 5% công ty sử dụng thì năm 2018 con số này đã tăng gấp ba lần – 16%. Điều này có thể được giải thích bằng sự gia tăng sẵn có của các token hỗ trợ thuật toán Mật mã khóa công khai (PKC). Ngoài ra, áp lực gia tăng từ các cơ quan quản lý châu Âu sau khi áp dụng các quy tắc bảo vệ dữ liệu mới như PSD2 và GDPR đã có tác động mạnh mẽ ngay cả bên ngoài châu Âu (kể cả ở Nga).
Chúng ta hãy xem xét kỹ hơn những con số này. Như chúng ta có thể thấy, tỷ lệ cá nhân sử dụng xác thực đa yếu tố đã tăng ấn tượng 11% trong năm. Và điều này rõ ràng đã gây bất lợi cho những người yêu thích mật khẩu, vì số lượng người tin vào tính bảo mật của Thông báo đẩy, SMS và sinh trắc học không thay đổi.
Nhưng với xác thực hai yếu tố để sử dụng cho doanh nghiệp, mọi thứ không được tốt như vậy. Thứ nhất, theo báo cáo, chỉ có 5% nhân viên được chuyển từ xác thực mật khẩu sang mã thông báo. Và thứ hai, số người sử dụng các lựa chọn MFA thay thế trong môi trường doanh nghiệp đã tăng 4%.
Tôi sẽ cố gắng đóng vai nhà phân tích và đưa ra cách giải thích của mình. Trung tâm thế giới kỹ thuật số của người dùng cá nhân là điện thoại thông minh. Do đó, không có gì ngạc nhiên khi phần lớn sử dụng các khả năng mà thiết bị cung cấp cho họ - xác thực sinh trắc học, thông báo SMS và đẩy, cũng như mật khẩu một lần do chính ứng dụng trên điện thoại thông minh tạo ra. Mọi người thường không nghĩ đến sự an toàn và độ tin cậy khi sử dụng các công cụ quen thuộc.
Именно поэтому процент пользователей примитивных «традиционных» факторов аутентификации остаётся неизменным. Зато те, кто ранее использовал пароли, понимают, как сильно рискуют, и при выборе нового фактора аутентификации останавливаются на самом новом и безопасном варианте – криптографическом токене.
Đối với thị trường doanh nghiệp, điều quan trọng là phải hiểu xác thực hệ thống nào được thực hiện. Nếu đăng nhập vào miền Windows được triển khai thì mã thông báo mật mã sẽ được sử dụng. Khả năng sử dụng chúng cho 2FA đã được tích hợp sẵn trong cả Windows và Linux, nhưng các tùy chọn thay thế rất lâu và khó thực hiện. Quá nhiều cho việc di chuyển 5% từ mật khẩu sang mã thông báo.
Và việc triển khai 2FA trong hệ thống thông tin doanh nghiệp phụ thuộc rất nhiều vào trình độ của các nhà phát triển. Và các nhà phát triển sẽ dễ dàng sử dụng các mô-đun tạo sẵn để tạo mật khẩu một lần hơn là hiểu hoạt động của các thuật toán mã hóa. Và kết quả là, ngay cả các ứng dụng cực kỳ quan trọng về bảo mật như hệ thống Đăng nhập một lần hoặc Quản lý quyền truy cập đặc quyền cũng sử dụng OTP làm yếu tố thứ hai.
Nhiều lỗ hổng trong phương thức xác thực truyền thống
Trong khi nhiều tổ chức vẫn phụ thuộc vào các hệ thống một yếu tố cũ, các lỗ hổng trong xác thực đa yếu tố truyền thống đang ngày càng trở nên rõ ràng. Mật khẩu dùng một lần, thường có độ dài từ sáu đến tám ký tự, được gửi qua SMS, vẫn là hình thức xác thực phổ biến nhất (tất nhiên là bên cạnh yếu tố mật khẩu). Và khi những từ “xác thực hai yếu tố” hay “xác minh hai bước” được nhắc đến trên báo chí phổ thông, chúng hầu như luôn đề cập đến xác thực mật khẩu một lần qua SMS.
Ở đây tác giả có chút nhầm lẫn. Cung cấp mật khẩu một lần qua SMS chưa bao giờ là xác thực hai yếu tố. Đây là dạng thuần túy nhất của giai đoạn thứ hai của xác thực hai bước, trong đó giai đoạn đầu tiên là nhập thông tin đăng nhập và mật khẩu của bạn.
Năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã cập nhật các quy tắc xác thực để loại bỏ việc sử dụng mật khẩu một lần được gửi qua SMS. Tuy nhiên, các quy tắc này đã được nới lỏng đáng kể sau các cuộc phản đối của ngành.
Vì vậy, chúng ta hãy theo dõi cốt truyện. Cơ quan quản lý Mỹ nhận thức đúng rằng công nghệ lạc hậu không có khả năng đảm bảo an toàn cho người dùng và đang đưa ra các tiêu chuẩn mới. Các tiêu chuẩn được thiết kế để bảo vệ người dùng các ứng dụng trực tuyến và di động (bao gồm cả các ứng dụng ngân hàng). Ngành công nghiệp này đang tính toán xem sẽ phải chi bao nhiêu tiền để mua các token mật mã thực sự đáng tin cậy, thiết kế lại các ứng dụng, triển khai cơ sở hạ tầng khóa công khai và đang “đứng vững trên hai chân sau”. Một mặt, người dùng bị thuyết phục về độ tin cậy của mật khẩu dùng một lần, mặt khác, đã xảy ra các cuộc tấn công vào NIST. Kết quả là, tiêu chuẩn đã được nới lỏng, số vụ hack và đánh cắp mật khẩu (và tiền từ các ứng dụng ngân hàng) tăng mạnh. Nhưng ngành này không phải bỏ tiền ra.
Từ đó, những điểm yếu cố hữu của SMS OTP ngày càng lộ rõ. Kẻ lừa đảo sử dụng nhiều phương pháp khác nhau để xâm phạm tin nhắn SMS:
- Sao chép thẻ SIM. Kẻ tấn công tạo một bản sao của SIM (với sự trợ giúp của nhân viên điều hành di động hoặc độc lập, sử dụng phần mềm và phần cứng đặc biệt). Kết quả là kẻ tấn công nhận được một tin nhắn SMS có mật khẩu một lần. Trong một trường hợp đặc biệt nổi tiếng, tin tặc thậm chí còn có thể xâm phạm tài khoản AT&T của nhà đầu tư tiền điện tử Michael Turpin và đánh cắp gần 24 triệu đô la tiền điện tử. Do đó, Turpin cho rằng AT&T có lỗi do các biện pháp xác minh yếu kém dẫn đến việc sao chép thẻ SIM.
Logic tuyệt vời. Vậy thực sự đó chỉ là lỗi của AT&T? Không, chắc chắn là lỗi của nhà mạng di động khi nhân viên bán hàng ở cửa hàng viễn thông cấp một thẻ SIM trùng lặp. Còn hệ thống xác thực trao đổi tiền điện tử thì sao? Tại sao họ không sử dụng mã thông báo mật mã mạnh? Bỏ tiền ra thực hiện có tiếc không? Michael không phải là người đáng trách sao? Tại sao anh ta không nhất quyết thay đổi cơ chế xác thực hoặc chỉ sử dụng những sàn giao dịch triển khai xác thực hai yếu tố dựa trên mã thông báo mật mã?
Việc giới thiệu các phương thức xác thực thực sự đáng tin cậy bị trì hoãn chính xác là do người dùng thể hiện sự bất cẩn đáng kinh ngạc trước khi hack và sau đó họ đổ lỗi cho bất kỳ ai và bất kỳ thứ gì ngoại trừ các công nghệ xác thực cổ xưa và “rò rỉ”
- Phần mềm độc hại. Một trong những chức năng đầu tiên của phần mềm độc hại trên thiết bị di động là chặn và chuyển tiếp tin nhắn văn bản cho kẻ tấn công. Ngoài ra, các cuộc tấn công man-in-the-browser và man-in-the-middle có thể chặn mật khẩu một lần khi chúng được nhập trên máy tính xách tay hoặc thiết bị máy tính để bàn bị nhiễm virus.
Khi ứng dụng Sberbank trên điện thoại thông minh của bạn nhấp nháy biểu tượng màu xanh lục trên thanh trạng thái, ứng dụng này cũng sẽ tìm kiếm “phần mềm độc hại” trên điện thoại của bạn. Mục tiêu của sự kiện này là biến môi trường thực thi không đáng tin cậy của điện thoại thông minh thông thường thành môi trường đáng tin cậy, ít nhất theo một cách nào đó.
Nhân tiện, điện thoại thông minh, với tư cách là một thiết bị hoàn toàn không đáng tin cậy, có thể thực hiện mọi việc trên đó, là một lý do khác để sử dụng nó để xác thực chỉ mã thông báo phần cứng, được bảo vệ và không có vi-rút và Trojan. - Kỹ thuật xã hội. Khi những kẻ lừa đảo biết rằng nạn nhân đã kích hoạt OTP qua SMS, chúng có thể liên hệ trực tiếp với nạn nhân, giả dạng một tổ chức đáng tin cậy như ngân hàng hoặc hiệp hội tín dụng của họ để lừa nạn nhân cung cấp mã mà họ vừa nhận được.
Cá nhân tôi đã gặp phải kiểu lừa đảo này nhiều lần, chẳng hạn như khi cố gắng bán một thứ gì đó trên một chợ trời trực tuyến phổ biến. Bản thân tôi đã giễu cợt kẻ lừa đảo đã cố gắng đánh lừa tôi một cách thỏa mãn. Nhưng than ôi, tôi thường xuyên đọc tin tức về việc một nạn nhân khác của những kẻ lừa đảo “không nghĩ tới” đã đưa mã xác nhận và mất một số tiền lớn. Và tất cả điều này là do ngân hàng đơn giản là không muốn giải quyết việc triển khai mã thông báo mật mã trong các ứng dụng của mình. Suy cho cùng, nếu có chuyện gì xảy ra, khách hàng “phải tự trách mình”.
Mặc dù các phương thức phân phối OTP thay thế có thể giảm thiểu một số lỗ hổng trong phương thức xác thực này nhưng các lỗ hổng khác vẫn tồn tại. Các ứng dụng tạo mã độc lập là cách bảo vệ tốt nhất chống lại việc nghe lén, vì ngay cả phần mềm độc hại cũng khó có thể tương tác trực tiếp với trình tạo mã (nghiêm túc? Có phải tác giả của báo cáo đã quên điều khiển từ xa?), nhưng OTP vẫn có thể bị chặn khi nhập vào trình duyệt (ví dụ như sử dụng keylogger), thông qua một ứng dụng di động bị tấn công; và cũng có thể được lấy trực tiếp từ người dùng bằng kỹ thuật xã hội.
Sử dụng nhiều công cụ đánh giá rủi ro như nhận dạng thiết bị (phát hiện các nỗ lực thực hiện giao dịch từ các thiết bị không thuộc về người dùng hợp pháp), định vị địa lý (một người dùng vừa đến Moscow cố gắng thực hiện một ca phẫu thuật từ Novosibirsk) và phân tích hành vi rất quan trọng để giải quyết các lỗ hổng, nhưng không giải pháp nào là thuốc chữa bách bệnh. Đối với từng tình huống và loại dữ liệu, cần đánh giá cẩn thận các rủi ro và lựa chọn nên sử dụng công nghệ xác thực nào.
Không có giải pháp xác thực là liều thuốc chữa bách bệnh
Hình 2. Bảng tùy chọn xác thực
| Xác thực | Hệ số | Описание | Lỗ hổng chính |
| Mật khẩu hoặc mã PIN | Hiểu biết | Giá trị cố định, có thể bao gồm chữ cái, số và một số ký tự khác | Có thể bị chặn, theo dõi, đánh cắp, nhặt hoặc hack |
| Xác thực dựa trên kiến thức | Hiểu biết | Đặt câu hỏi về câu trả lời mà chỉ người dùng hợp pháp mới có thể biết | Có thể bị chặn, nhặt được, thu được bằng các phương pháp kỹ thuật xã hội |
| OTP phần cứng () | Chiếm hữu | Một thiết bị đặc biệt tạo mật khẩu một lần | Mã có thể bị chặn và lặp lại hoặc thiết bị có thể bị đánh cắp |
| OTP phần mềm | Chiếm hữu | Một ứng dụng (di động, có thể truy cập qua trình duyệt hoặc gửi mã qua e-mail) tạo mật khẩu một lần | Mã có thể bị chặn và lặp lại hoặc thiết bị có thể bị đánh cắp |
| SMS OTP | Chiếm hữu | Mật khẩu một lần được gửi qua tin nhắn văn bản SMS | Mã có thể bị chặn và lặp lại hoặc điện thoại thông minh hoặc thẻ SIM có thể bị đánh cắp hoặc thẻ SIM có thể bị sao chép |
| Nhưng chiêc thẻ thông minh () | Chiếm hữu | Thẻ chứa chip mật mã và bộ nhớ khóa an toàn sử dụng cơ sở hạ tầng khóa chung để xác thực | Có thể bị đánh cắp vật lý (nhưng kẻ tấn công sẽ không thể sử dụng thiết bị nếu không biết mã PIN; trong trường hợp nhập sai nhiều lần, thiết bị sẽ bị chặn) |
| Khóa bảo mật - mã thông báo (, ) | Chiếm hữu | Thiết bị USB chứa chip mật mã và bộ nhớ khóa bảo mật sử dụng cơ sở hạ tầng khóa chung để xác thực | Có thể bị đánh cắp vật lý (nhưng kẻ tấn công sẽ không thể sử dụng thiết bị nếu không biết mã PIN; trong trường hợp nhập sai nhiều lần, thiết bị sẽ bị chặn) |
| Liên kết với một thiết bị | Chiếm hữu | Quá trình tạo hồ sơ, thường sử dụng JavaScript hoặc sử dụng các điểm đánh dấu như cookie và Đối tượng chia sẻ Flash để đảm bảo rằng một thiết bị cụ thể đang được sử dụng | Mã thông báo có thể bị đánh cắp (sao chép) và kẻ tấn công có thể bắt chước các đặc điểm của thiết bị hợp pháp trên thiết bị của mình |
| Hành vi | Kế thừa | Phân tích cách người dùng tương tác với thiết bị hoặc chương trình | Hành vi có thể được bắt chước |
| Dấu vân tay | Kế thừa | Dấu vân tay được lưu trữ được so sánh với dấu vân tay được chụp bằng quang học hoặc điện tử | Hình ảnh có thể bị đánh cắp và sử dụng để xác thực |
| Quét mắt | Kế thừa | So sánh các đặc điểm của mắt, chẳng hạn như mẫu mống mắt, với các lần quét quang học mới | Hình ảnh có thể bị đánh cắp và sử dụng để xác thực |
| Nhận dạng khuôn mặt | Kế thừa | Đặc điểm khuôn mặt được so sánh với quét quang học mới | Hình ảnh có thể bị đánh cắp và sử dụng để xác thực |
| Nhận diện giọng nói | Kế thừa | Đặc điểm của mẫu giọng nói đã ghi được so sánh với mẫu mới | Bản ghi có thể bị đánh cắp và sử dụng để xác thực hoặc mô phỏng |
Trong phần thứ hai của ấn phẩm, những điều thú vị nhất đang chờ đợi chúng ta - những con số và sự thật, làm cơ sở cho các kết luận và khuyến nghị được đưa ra trong phần đầu tiên. Xác thực trong ứng dụng người dùng và trong hệ thống công ty sẽ được thảo luận riêng.
Hẹn gặp lại
Nguồn: www.habr.com