报告标题剧透:“由于新风险的威胁和监管要求,强身份验证的使用有所增加。”
研究公司“Javelin Strategy & Research”发布了《2019 年强认证状况》报告()。 该报告指出:美国和欧洲公司使用密码的比例是多少(以及为什么现在很少有人使用密码); 为什么基于加密令牌的双因素身份验证的使用增长如此之快; 为什么通过短信发送的一次性代码不安全。
欢迎对企业和消费者应用中的身份验证的现在、过去和未来感兴趣的任何人。
来自译者
可惜的是,这份报告的语言相当“枯燥”且正式。 而短短一句话中五次使用“认证”一词,并非译者的巧手(或大脑),而是作者的一时兴起。 当从两个选项进行翻译时——为了给读者一个更接近原文或更有趣的文本,我有时选择第一个,有时选择第二个。 但请耐心等待,亲爱的读者,报告的内容是值得的。
故事中一些不重要和不必要的部分被删除,否则大多数人将无法阅读整个文本。 那些希望阅读“未删减”报告的人可以通过以下链接以原始语言阅读该报告。
不幸的是,作者并不总是谨慎使用术语。 因此,一次性密码(One Time Password - OTP)有时被称为“密码”,有时被称为“代码”。 身份验证方法的情况更糟。 对于未经训练的读者来说,猜出“使用加密密钥的身份验证”和“强身份验证”是同一回事并不总是容易的。 我试图尽可能地统一这些术语,在报告本身中有一个片段及其描述。
尽管如此,该报告还是强烈推荐阅读,因为它包含独特的研究成果和正确的结论。
所有数据和事实都没有丝毫改变,如果您不同意它们,那么最好不要与译者争论,而是与报告作者争论。 这是我的评论(以引文形式列出,并在文本中标记) 意大利语)是我的价值判断,我很乐意就它们中的每一个(以及翻译的质量)进行争论。
查看
如今,与客户沟通的数字渠道对于企业来说比以往任何时候都更加重要。 在公司内部,员工之间的沟通比以往任何时候都更加数字化。 这些交互的安全性取决于所选择的用户身份验证方法。 攻击者使用弱身份验证来大规模破解用户帐户。 作为回应,监管机构正在收紧标准,迫使企业更好地保护用户帐户和数据。
与身份验证相关的威胁不仅限于消费者应用程序;攻击者还可以获得对企业内部运行的应用程序的访问权限。 此操作允许他们冒充企业用户。 使用身份验证较弱的接入点的攻击者可以窃取数据并执行其他欺诈活动。 幸运的是,有一些措施可以解决这个问题。 强大的身份验证将有助于显着降低攻击者对消费者应用程序和企业业务系统进行攻击的风险。
本研究探讨:企业如何实施身份验证来保护最终用户应用程序和企业业务系统; 他们在选择身份验证解决方案时考虑的因素; 强身份验证在其组织中发挥的作用; 这些组织获得的好处。
总结
主要结论
自2017年以来,强认证的使用急剧增加。 随着影响传统身份验证解决方案的漏洞数量不断增加,组织正在通过强身份验证来增强其身份验证功能。 自 2017 年以来,针对消费者应用程序使用加密多重身份验证 (MFA) 的组织数量增加了两倍,针对企业应用程序的组织数量增加了近 50%。 由于生物特征认证的可用性不断提高,移动认证增长最快。
这里我们可以看到“雷不打雷,人不画十字”这句话的例证。 当专家警告密码的不安全性时,没有人急于实施双因素身份验证。 一旦黑客开始窃取密码,人们就开始实施双因素身份验证。
确实,个人更加积极地实施 2FA。 首先,他们依靠智能手机内置的生物识别认证更容易平息恐惧,但实际上这是非常不可靠的。 组织需要花钱购买代币并开展工作(其实很简单)来实施它们。 其次,只有懒惰的人没有写过有关 Facebook 和 Dropbox 等服务的密码泄露的文章,但这些组织的 CIO 在任何情况下都不会分享有关组织中密码如何被盗(以及接下来发生的事情)的故事。
那些不使用强身份验证的人低估了他们对业务和客户造成的风险。 一些当前不使用强身份验证的组织倾向于将登录名和密码视为最有效且易于使用的用户身份验证方法之一。 其他人看不到他们拥有的数字资产的价值。 毕竟,值得考虑的是网络犯罪分子对任何消费者和商业信息都感兴趣。 三分之二的公司只使用密码来验证其员工的身份,因为他们相信密码对于他们保护的信息类型来说已经足够了。
然而,密码正在走向坟墓。 随着组织增加对传统 MFA 和强身份验证的使用,消费者和企业应用程序的密码依赖性在过去一年中显着下降(分别从 44% 下降到 31%,从 56% 下降到 47%)。
但如果我们从整体上看,易受攻击的身份验证方法仍然占主导地位。 对于用户身份验证,大约四分之一的组织使用短信 OTP(一次性密码)和安全问题。 因此,必须实施额外的安全措施来防范该漏洞,从而增加成本。 更安全的身份验证方法(例如硬件加密密钥)的使用频率要低得多,大约有 5% 的组织使用这种方法。
不断发展的监管环境有望加速消费者应用程序采用强身份验证。 随着 PSD2 的推出,以及欧盟和加利福尼亚州等美国几个州的新数据保护规则,公司感受到了压力。 近 70% 的公司认为,他们面临着强大的监管压力,需要向客户提供强有力的身份验证。 超过一半的企业认为,几年内他们的认证方法将不足以满足监管标准。
俄罗斯和欧美立法者在保护程序和服务用户的个人数据方面的差异显而易见。 俄罗斯人说:亲爱的服务所有者,做你想做的事和你想做的事,但如果你的管理员合并数据库,我们会惩罚你。 国外有人说:你必须实施一套措施, 不允许 排空底座。 这就是为什么在那里实施严格的两因素身份验证的要求。
诚然,我们的立法机构有一天不会清醒过来并考虑到西方的经验,这绝不是事实。 事实证明,每个人都迫切需要实施符合俄罗斯密码标准的 2FA。
建立强大的身份验证框架使公司能够将重点从满足监管要求转移到满足客户需求。 对于那些仍在使用简单密码或通过短信接收代码的组织来说,选择身份验证方法时最重要的因素是遵守法规要求。 但那些已经使用强身份验证的公司可以专注于选择那些能够提高客户忠诚度的身份验证方法。
在企业内部选择企业身份验证方法时,监管要求不再是重要因素。 在这种情况下,易于集成 (32%) 和成本 (26%) 更为重要。
网络钓鱼时代,攻击者可以利用企业电子邮件进行诈骗 以欺诈手段获取数据、帐户(具有适当的访问权限)的访问权限,甚至说服员工将资金转入其帐户。 因此,企业电子邮件和门户帐户必须得到特别好的保护。
Google 通过实施强身份验证来增强其安全性。 两年多前,谷歌发布了一份关于使用 FIDO U2F 标准实施基于加密安全密钥的双因素身份验证的报告,报告了令人印象深刻的结果。 据该公司称,没有发生一起针对超过 85 名员工的网络钓鱼攻击。
建议
为移动和在线应用程序实施强身份验证。 与传统的 MFA 方法相比,基于加密密钥的多因素身份验证可提供更好的黑客攻击保护。 此外,使用加密密钥更加方便,因为无需使用和传输额外信息(密码、一次性密码或生物识别数据)从用户设备到身份验证服务器。 此外,标准化身份验证协议使得新身份验证方法的实施变得更加容易,从而降低实施成本并防止更复杂的欺诈方案。
为一次性密码 (OTP) 的消亡做好准备。 随着网络犯罪分子利用社交工程、智能手机克隆和恶意软件来破坏这些身份验证方式,OTP 固有的漏洞变得越来越明显。 如果 OTP 在某些情况下具有某些优势,那么只是从所有用户普遍可用性的角度来看,而不是从安全的角度来看。
不可能不注意到,通过短信或推送通知接收代码,以及使用智能手机程序生成代码,都是使用相同的一次性密码(OTP),我们需要为此做好准备。 从技术角度来看,该解决方案是非常正确的,因为很少有欺诈者不会尝试从易受骗的用户那里找出一次性密码。 但我认为此类系统的制造商将坚持到底的技术。
使用强身份验证作为营销工具来增加客户信任。 强大的身份验证不仅仅可以提高企业的实际安全性。 告知客户您的企业使用强身份验证可以增强公众对该企业安全性的认知——当客户对强身份验证方法有大量需求时,这是一个重要因素。
对公司数据进行彻底的清单和关键性评估,并根据重要性对其进行保护。 即使是低风险数据,例如客户联系信息(不,真的,报告说“低风险”,很奇怪他们低估了这些信息的重要性),可以给欺诈者带来巨大的价值,并给公司带来问题。
使用强大的企业认证。 许多系统是对犯罪分子最有吸引力的目标。 其中包括内部和互联网连接的系统,例如会计程序或公司数据仓库。 强大的身份验证可防止攻击者获得未经授权的访问,并且还可以准确确定哪个员工实施了恶意活动。
什么是强认证?
使用强身份验证时,会使用多种方法或因素来验证用户的真实性:
- 知识因素: 用户和用户的经过身份验证的主体之间共享的秘密(例如密码、安全问题的答案等)
- 所有权因素: 只有用户拥有的设备(例如,移动设备、加密密钥等)
- 完整性因素: 用户的物理(通常是生物识别)特征(例如指纹、虹膜图案、声音、行为等)
破解多个因素的需要大大增加了攻击者失败的可能性,因为绕过或欺骗各种因素需要针对每个因素分别使用多种类型的黑客策略。
例如,通过 2FA“密码 + 智能手机”,攻击者可以通过查看用户的密码并制作其智能手机的精确软件副本来执行身份验证。 这比简单地窃取密码要困难得多。
但是,如果密码和加密令牌用于 2FA,则复制选项在这里不起作用 - 不可能复制令牌。 欺诈者需要悄悄窃取用户的令牌。 如果用户及时发现丢失并通知管理员,该令牌将被封锁,欺诈者的努力将付诸东流。 这就是为什么所有权因素需要使用专门的安全设备(令牌)而不是通用设备(智能手机)。
使用所有三个因素将使这种身份验证方法的实施成本非常昂贵并且使用起来非常不方便。 因此,通常使用三个因素中的两个。
更详细地描述了双因素身份验证的原理 ,在“双因素身份验证如何工作”块中。
需要注意的是,强身份验证中使用的至少一个身份验证因素必须使用公钥加密技术。
强身份验证提供比基于经典密码和传统 MFA 的单因素身份验证更强的保护。 密码可以通过键盘记录器、网络钓鱼网站或社会工程攻击(诱骗受害者泄露密码)来监视或拦截。 而且,密码的所有者不会知道有关盗窃的任何信息。 传统的 MFA(包括 OTP 代码,绑定到智能手机或 SIM 卡)也很容易被黑客攻击,因为它不是基于公钥加密技术(顺便说一句,诈骗者使用相同的社会工程技术说服用户提供一次性密码的例子有很多).
幸运的是,自去年以来,强身份验证和传统 MFA 的使用在消费者和企业应用程序中越来越受欢迎。 消费者应用程序中强身份验证的使用增长尤其迅速。 如果 2017 年只有 5% 的公司使用它,那么到 2018 年,这一比例已经增加了三倍——16%。 这可以通过支持公钥加密 (PKC) 算法的代币可用性的增加来解释。 此外,在采用 PSD2 和 GDPR 等新数据保护规则后,欧洲监管机构施加的压力加大,甚至在欧洲以外地区也产生了强烈影响(包括在俄罗斯).
让我们仔细看看这些数字。 正如我们所看到的,使用多因素身份验证的个人比例在一年中增长了 11%,令人印象深刻。 这显然是以密码爱好者为代价的,因为相信推送通知、短信和生物识别技术安全的人数并没有改变。
但对于企业使用的双因素身份验证,情况就不太好了。 首先,报告显示,只有 5% 的员工从密码认证转向令牌认证。 其次,在企业环境中使用替代 MFA 选项的人数增加了 4%。
我会尝试扮演分析师并给出我的解释。 个人用户数字世界的中心是智能手机。 因此,难怪大多数人都使用设备提供的功能——生物识别身份验证、短信和推送通知,以及智能手机本身的应用程序生成的一次性密码。 人们在使用他们习惯的工具时通常不会考虑安全性和可靠性。
这就是为什么原始“传统”身份验证因素的用户百分比保持不变的原因。 但那些以前使用过密码的人知道他们面临着多大的风险,并且在选择新的身份验证因素时,他们选择了最新、最安全的选项 - 加密令牌。
对于企业市场来说,了解哪些系统认证是很重要的。 如果实现登录 Windows 域,则使用加密令牌。 Windows 和 Linux 中都已内置了将它们用于 2FA 的可能性,但替代选项很长且难以实现。 5% 从密码迁移到令牌就到此为止。
而在企业信息系统中实施2FA很大程度上取决于开发人员的资质。 对于开发人员来说,使用现成的模块来生成一次性密码比理解密码算法的操作要容易得多。 因此,即使是单点登录或特权访问管理系统等极其安全关键的应用程序也使用 OTP 作为第二个因素。
传统认证方式存在诸多漏洞
尽管许多组织仍然依赖传统的单因素系统,但传统多因素身份验证中的漏洞正变得越来越明显。 通过短信发送的一次性密码(长度通常为六到八个字符)仍然是最常见的身份验证形式(当然,除了密码因素之外)。 当大众媒体提到“双重身份验证”或“两步验证”一词时,它们几乎总是指短信一次性密码身份验证。
这里作者有点错误。 通过短信传送一次性密码从来都不是双因素身份验证。 这是两步身份验证的第二阶段最纯粹的形式,其中第一阶段是输入您的登录名和密码。
2016 年,美国国家标准与技术研究院 (NIST) 更新了其身份验证规则,取消使用通过短信发送的一次性密码。 然而,在行业抗议之后,这些规则被大幅放松。
那么,让我们跟随剧情吧。 美国监管机构正确地认识到过时的技术无法确保用户安全,并正在引入新标准。 旨在保护在线和移动应用程序(包括银行应用程序)用户的标准。 该行业正在计算需要花费多少钱来购买真正可靠的加密代币、重新设计应用程序、部署公钥基础设施,并且正在“后腿崛起”。 一方面,用户确信一次性密码的可靠性,另一方面,也出现了针对 NIST 的攻击。 结果,标准被软化,黑客攻击和盗窃密码(以及银行应用程序中的资金)的数量急剧增加。 但该行业并不需要花钱。
从那时起,SMS OTP 的固有弱点就变得更加明显。 欺诈者使用各种方法来破坏短信:
- SIM 卡复制。 攻击者创建 SIM 卡的副本 (在移动运营商员工的帮助下,或独立使用特殊的软件和硬件)。 结果,攻击者收到一条带有一次性密码的短信。 在一个特别著名的案例中,黑客甚至能够入侵加密货币投资者 Michael Turpin 的 AT&T 账户,窃取近 24 万美元的加密货币。 结果,Turpin 表示,AT&T 的过错在于验证措施薄弱,导致 SIM 卡复制。
惊人的逻辑。 那么这真的只是 AT&T 的错吗? 不,通讯商店的销售人员发放了重复的SIM卡,这无疑是移动运营商的错。 加密货币交易认证系统怎么样? 他们为什么不使用强加密令牌? 花钱实施是不是很可惜? 这难道不应该怪迈克尔本人吗? 为什么他不坚持改变认证机制或者只使用那些基于加密令牌实现双因素认证的交易所?
真正可靠的身份验证方法的引入被推迟,正是因为用户在黑客攻击之前表现出惊人的粗心,而在黑客入侵之后,他们将自己的麻烦归咎于任何人或任何事情,而不是古老的和“泄漏”的身份验证技术
- 恶意软件。 移动恶意软件最早的功能之一是拦截短信并将其转发给攻击者。 此外,浏览器中间人攻击和中间人攻击可以拦截在受感染的笔记本电脑或台式设备上输入的一次性密码。
当您智能手机上的俄罗斯联邦储蓄银行应用程序在状态栏中闪烁绿色图标时,它也会在您的手机上查找“恶意软件”。 该活动的目标是至少在某种程度上将典型智能手机的不可信执行环境转变为可信环境。
顺便说一句,智能手机作为一种完全不受信任的设备,可以做任何事情,这是使用它进行身份验证的另一个原因 仅硬件令牌,它们受到保护,没有病毒和木马。 - 社会工程学。 当诈骗者知道受害者通过短信启用了 OTP 时,他们可以冒充受信任的组织(例如银行或信用合作社)直接联系受害者,欺骗受害者提供他们刚刚收到的代码。
我个人多次遇到过这种类型的欺诈,例如,当试图在流行的在线跳蚤市场上出售商品时。 我自己也嘲笑过那个想尽我所能地愚弄我的骗子。 但可惜的是,我经常在新闻中看到另一位诈骗者的受害者“没有想到”,给出了确认码并损失了一大笔钱。 所有这一切都是因为银行根本不想在其应用程序中处理加密令牌的实施。 毕竟,如果发生什么事情,客户“只能怪自己”。
虽然替代 OTP 传送方法可能会缓解此身份验证方法中的一些漏洞,但其他漏洞仍然存在。 独立的代码生成应用程序是防止窃听的最佳保护,因为即使是恶意软件也很难直接与代码生成器交互(严重地? 报告的作者忘记了远程控制吗?),但是在浏览器中输入 OTP 仍然可以被拦截(例如使用键盘记录器),通过被黑的移动应用程序; 也可以使用社会工程直接从用户处获取。
使用多种风险评估工具,例如设备识别(检测从不属于合法用户的设备执行交易的尝试), 地理定位 (刚到过莫斯科的用户尝试从新西伯利亚执行操作)和行为分析对于解决漏洞很重要,但这两种解决方案都不是万能的。 对于每种情况和数据类型,有必要仔细评估风险并选择应使用哪种身份验证技术。
任何身份验证解决方案都不是万能的
图 2. 身份验证选项表
| 认证 | 因子 | 使用说明 | 关键漏洞 |
| 密码或 PIN | 知识 | 固定值,可以包括字母、数字和许多其他字符 | 可能被拦截、监视、盗窃、拾取或黑客攻击 |
| 基于知识的认证 | 知识 | 提问只有合法用户才能知道的答案 | 可以利用社会工程方法拦截、拾取、获取 |
| 硬件 OTP() | 拥有 | 一种生成一次性密码的特殊设备 | 代码可能被截获并重复,或者设备可能被盗 |
| 软件 OTP | 拥有 | 一种生成一次性密码的应用程序(移动设备,可通过浏览器访问,或通过电子邮件发送代码) | 代码可能被截获并重复,或者设备可能被盗 |
| 短信OTP | 拥有 | 通过短信发送一次性密码 | 代码可能被截获并重复,或者智能手机或SIM卡可能被盗,或者SIM卡可能被复制 |
| 智能卡() | 拥有 | 包含加密芯片和使用公钥基础设施进行身份验证的安全密钥存储器的卡 | 可能被物理盗窃(但攻击者在不知道 PIN 码的情况下将无法使用该设备; 如果多次输入错误,设备将被阻止) |
| 安全密钥 - 令牌 (, ) | 拥有 | 包含加密芯片和安全密钥存储器的 USB 设备,使用公钥基础设施进行身份验证 | 可能被物理窃取(但攻击者在不知道 PIN 码的情况下将无法使用该设备;如果多次尝试错误输入,该设备将被阻止) |
| 链接到设备 | 拥有 | 创建配置文件的过程,通常使用 JavaScript,或使用 cookie 和 Flash 共享对象等标记来确保正在使用特定设备 | 令牌可以被窃取(复制),攻击者可以在其设备上模仿合法设备的特征 |
| 行为 | 固有 | 分析用户如何与设备或程序交互 | 行为是可以模仿的 |
| 指纹 | 固有 | 将存储的指纹与光学或电子捕获的指纹进行比较 | 图像可以被盗并用于身份验证 |
| 眼部扫描 | 固有 | 将虹膜图案等眼睛特征与新的光学扫描进行比较 | 图像可以被盗并用于身份验证 |
| 人脸识别 | 固有 | 面部特征与新的光学扫描进行比较 | 图像可以被盗并用于身份验证 |
| 语音识别 | 固有 | 将录制的语音样本的特征与新样本进行比较 | 该记录可以被窃取并用于身份验证或模拟 |
在出版物的第二部分中,最美味的东西等待着我们 - 数字和事实,第一部分给出的结论和建议正是基于这些数据和事实。 用户应用程序和公司系统中的身份验证将单独讨论。
很快见!
来源: habr.com