報告標題劇透:“由於新風險的威脅和監管要求,強身份驗證的使用有所增加。”
研究公司「Javelin Strategy & Research」發布了《2019 年強認證狀況》報告()。 報告指出:美國和歐洲公司使用密碼的比例是多少(以及為什麼現在很少人使用密碼); 為什麼基於加密令牌的雙重認證的使用增長如此之快; 為什麼透過簡訊發送的一次性代碼不安全。
歡迎對企業和消費者應用中的身份驗證的現在、過去和未來感興趣的任何人。
譯者
可惜的是,這份報告的語言相當「枯燥」且正式。 而短短一句話中五次使用「認證」一詞,並非譯者的巧手(或大腦),而是作者的一時興起。 當從兩個選項進行翻譯時——為了給讀者一個更接近原文或更有趣的文本,我有時選擇第一個,有時選擇第二個。 但請耐心等待,親愛的讀者,報告的內容是值得的。
故事中一些不重要和不必要的部分被刪除,否則大多數人將無法閱讀整個文本。 那些希望閱讀「未刪減」報告的人可以透過以下連結以原始語言閱讀該報告。
不幸的是,作者並不總是謹慎使用術語。 因此,一次性密碼(One Time Password - OTP)有時被稱為“密碼”,有時被稱為“代碼”。 身份驗證方法的情況更糟。 對於未經訓練的讀者來說,猜出「使用加密金鑰的身份驗證」和「強式身份驗證」是同一回事並不總是容易的。 我試圖盡可能地統一這些術語,在報告本身中有一個片段及其描述。
儘管如此,該報告還是強烈建議閱讀,因為它包含獨特的研究成果和正確的結論。
所有數據和事實都沒有絲毫改變,如果您不同意它們,那麼最好不要與譯者爭論,而是與報告作者爭論。 這是我的評論(以引文形式列出,並在文本中標記) 義大利語)是我的價值判斷,我很樂意就它們中的每一個(以及翻譯的品質)進行爭論。
Обзор
如今,與客戶溝通的數位管道對於企業來說比以往任何時候都更加重要。 在公司內部,員工之間的溝通比以往任何時候都更加數位化。 這些互動的安全性取決於所選的使用者身份驗證方法。 攻擊者使用弱身份驗證來大規模破解使用者帳戶。 作為回應,監管機構正在收緊標準,迫使企業更好地保護使用者帳戶和資料。
與身份驗證相關的威脅不僅限於消費者應用程式;攻擊者還可以獲得對企業內部運行的應用程式的存取權。 此操作允許他們冒充企業用戶。 使用身份驗證較弱的接入點的攻擊者可以竊取資料並執行其他詐欺活動。 幸運的是,有一些措施可以解決這個問題。 強大的身份驗證將有助於顯著降低攻擊者對消費者應用程式和企業業務系統進行攻擊的風險。
本研究探討:企業如何實施身分驗證來保護最終用戶應用程式和企業業務系統; 他們在選擇身份驗證解決方案時考慮的因素; 強身份驗證在其組織中所扮演的角色; 這些組織所獲得的好處。
總結
主要發現
自2017年以來,強認證的使用急劇增加。 隨著影響傳統身分驗證解決方案的漏洞數量不斷增加,組織正在透過強式身分驗證來增強其身分驗證功能。 自 2017 年以來,針對消費者應用程式使用加密多重身分驗證 (MFA) 的組織數量增加了兩倍,針對企業應用程式的組織數量增加了近 50%。 由於生物特徵認證的可用性不斷提高,行動認證成長最快。
這裡我們可以看到「雷不打雷,人不畫十字」這句話的例證。 當專家警告密碼的不安全性時,沒有人急於實施雙重認證。 一旦駭客開始竊取密碼,人們就開始實施雙重認證。
確實,個人更積極實施 2FA。 首先,他們依賴智慧型手機內建的生物辨識認證更容易平息恐懼,但實際上這是非常不可靠的。 組織需要花錢購買代幣並進行工作(其實很簡單)來實施它們。 其次,只有懶惰的人沒有寫過有關Facebook 和Dropbox 等服務的密碼洩露的文章,但這些組織的CIO 在任何情況下都不會分享有關組織中密碼如何被盜(以及接下來發生的事情)的故事。
那些不使用強身份驗證的人低估了他們對業務和客戶造成的風險。 一些目前不使用強身份驗證的組織傾向於將登入名稱和密碼視為最有效且易於使用的使用者身份驗證方法之一。 其他人看不到他們擁有的數位資產的價值。 畢竟,值得考慮的是網路犯罪分子對任何消費者和商業資訊都感興趣。 三分之二的公司只使用密碼來驗證其員工的身份,因為他們相信密碼對於他們保護的資訊類型來說已經足夠了。
然而,密碼正走向墳墓。 隨著組織增加對傳統MFA 和強式身分驗證的使用,消費者和企業應用程式的密碼依賴在過去一年中顯著下降(分別從44% 下降到31%,從56% 下降到47%) 。
但如果我們從整體來看,易受攻擊的身份驗證方法仍然占主導地位。 對於使用者身份驗證,大約四分之一的組織使用簡訊 OTP(一次性密碼)和安全性問題。 因此,必須實施額外的安全措施來防範漏洞,從而增加成本。 更安全的身份驗證方法(例如硬體加密金鑰)的使用頻率要低得多,大約有 5% 的組織使用這種方法。
不斷發展的監管環境有望加速消費者應用程式採用強身份驗證。 隨著 PSD2 的推出,以及歐盟和加州等美國幾個州的新資料保護規則,公司感受到了壓力。 近 70% 的公司認為,他們面臨強大的監管壓力,需要向客戶提供強有力的身份驗證。 超過一半的企業認為,幾年內他們的認證方法將不足以滿足監管標準。
俄羅斯和歐美立法者在保護程序和服務使用者的個人資料方面的差異顯而易見。 俄羅斯人說:親愛的服務所有者,做你想做的事和你想做的事,但如果你的管理員合併資料庫,我們會懲罰你。 國外有人說:你必須實施一套措施, 不會允許 排空底座。 這就是為什麼在那裡實施嚴格的兩因素身份驗證的要求。
誠然,我們的立法機構有一天不會清醒過來並考慮到西方的經驗,這絕不是事實。 事實證明,每個人都迫切需要實施符合俄羅斯密碼標準的 2FA。
建立強大的身份驗證框架使公司能夠將重點從滿足監管要求轉移到滿足客戶需求。 對於那些仍在使用簡單密碼或透過簡訊接收代碼的組織來說,選擇身份驗證方法時最重要的因素是遵守法規要求。 但那些已經使用強身份驗證的公司可以專注於選擇那些能夠提高客戶忠誠度的身份驗證方法。
在企業內部選擇企業身分驗證方法時,監管要求不再是重要因素。 在這種情況下,易於整合 (32%) 和成本 (26%) 更為重要。
網路釣魚時代,攻擊者可以利用企業電子郵件進行詐騙 以欺詐手段取得資料、帳戶(具有適當的存取權限)的存取權限,甚至說服員工將資金轉入其帳戶。 因此,企業電子郵件和入口網站帳戶必須得到特別好的保護。
Google 透過實施強式身分驗證來增強其安全性。 兩年多前,Google發布了一份關於使用 FIDO U2F 標準實施基於加密安全金鑰的雙重認證的報告,報告取得了令人印象深刻的結果。 據該公司稱,沒有發生一起針對超過 85 名員工的網路釣魚攻擊。
建議
為行動和線上應用程式實施強式身份驗證。 與傳統的 MFA 方法相比,基於加密金鑰的多因素身份驗證可提供更好的駭客攻擊保護。 此外,使用加密金鑰更加方便,因為無需使用和傳輸額外資訊(密碼、一次性密碼或生物識別資料)從使用者裝置到身份驗證伺服器。 此外,標準化身分驗證協定使得新身分驗證方法的實施變得更加容易,從而降低實施成本並防止更複雜的詐欺方案。
為一次性密碼 (OTP) 的消亡做好準備。 隨著網路犯罪分子利用社交工程、智慧型手機複製和惡意軟體來破壞這些身份驗證方式,OTP 固有的漏洞變得越來越明顯。 如果 OTP 在某些情況下具有某些優勢,那麼只是從所有使用者普遍可用性的角度來看,而不是從安全的角度來看。
不可能不注意到,透過簡訊或推播通知接收代碼,以及使用智慧型手機程式產生代碼,都是使用相同的一次性密碼(OTP),我們需要為此做好準備。 從技術角度來看,該解決方案是非常正確的,因為很少有詐騙者不會嘗試從易受騙的用戶那裡找出一次性密碼。 但我認為此類系統的製造商將堅持到底的技術。
使用強身份驗證作為行銷工具來增加客戶信任。 強大的身份驗證不僅可以提高企業的實際安全性。 告知客戶您的企業使用強身份驗證可以增強公眾對該企業安全性的認知—當客戶對強身份驗證方法有大量需求時,這是一個重要因素。
對公司資料進行徹底的清單和關鍵性評估,並根據重要性對其進行保護。 即使是低風險數據,例如客戶聯絡資訊(不,真的,報告說“低風險”,很奇怪他們低估了這些資訊的重要性),可以為詐欺者帶來巨大的價值,並為公司帶來問題。
使用強大的企業認證。 許多系統是對犯罪者最具吸引力的目標。 其中包括內部和互聯網連接的系統,例如會計程序或公司資料倉儲。 強大的身份驗證可防止攻擊者獲得未經授權的訪問,並且還可以準確地確定哪個員工實施了惡意活動。
什麼是強認證?
使用強身份驗證時,會使用多種方法或因素來驗證使用者的真實性:
- 知識因素: 使用者和使用者的經過身份驗證的主體之間共享的秘密(例如密碼、安全問題的答案等)
- 所有權因素: 只有使用者擁有的設備(例如,行動裝置、加密金鑰等)
- 完整性因素: 使用者的物理(通常是生物辨識)特徵(例如指紋、虹膜圖案、聲音、行為等)
破解多個因素的需要大大增加了攻擊者失敗的可能性,因為繞過或欺騙各種因素需要針對每個因素分別使用多種類型的駭客策略。
例如,透過 2FA“密碼 + 智慧型手機”,攻擊者可以透過查看使用者的密碼並製作其智慧型手機的精確軟體副本來執行身份驗證。 這比簡單地竊取密碼要困難得多。
但是,如果密碼和加密令牌用於 2FA,複製選項在這裡不起作用 - 不可能複製令牌。 詐欺者需要悄悄竊取使用者的令牌。 如果用戶及時發現遺失並通知管理員,該令牌將被封鎖,詐欺者的努力將付諸東流。 這就是為什麼所有權因素需要使用專門的安全設備(令牌)而不是通用設備(智慧型手機)。
使用所有三個因素將使這種身份驗證方法的實施成本非常昂貴且使用起來非常不方便。 因此,通常使用三個因素中的兩個。
更詳細地描述了雙重認證的原理 ,在「雙重認證如何工作」區塊中。
需要注意的是,強身份驗證中使用的至少一個身份驗證因素必須使用公鑰加密技術。
強身份驗證提供比基於經典密碼和傳統 MFA 的單因素身份驗證更強的保護。 密碼可以透過鍵盤記錄器、網路釣魚網站或社會工程攻擊(誘騙受害者洩漏密碼)來監視或攔截。 而且,密碼的所有者不會知道有關盜竊的任何資訊。 傳統的 MFA(包括 OTP 代碼,綁定到智慧型手機或 SIM 卡)也很容易被駭客攻擊,因為它不是基於公鑰加密技術(順便說一句,詐騙者使用相同的社會工程技術說服用戶提供一次性密碼的例子有很多).
幸運的是,自去年以來,強式身分驗證和傳統 MFA 的使用在消費者和企業應用程式中越來越受歡迎。 消費者應用程式中強式身分驗證的使用成長尤其迅速。 如果 2017 年只有 5% 的公司使用它,那麼到 2018 年,這一比例已經增加了三倍——16%。 這可以透過支援公鑰加密 (PKC) 演算法的代幣可用性的增加來解釋。 此外,在採用 PSD2 和 GDPR 等新資料保護規則後,歐洲監管機構施加的壓力加大,甚至在歐洲以外地區也產生了強烈影響(包括在俄羅斯).
讓我們仔細看看這些數字。 正如我們所看到的,使用多因素身份驗證的個人比例在一年中增加了 11%,令人印象深刻。 這顯然是以密碼愛好者為代價的,因為相信推播通知、簡訊和生物辨識技術安全的人數並沒有改變。
但對於企業使用的雙重認證,情況就不太好了。 首先,報告顯示,只有 5% 的員工從密碼認證轉向令牌認證。 其次,在企業環境中使用替代 MFA 選項的人數增加了 4%。
我會嘗試扮演分析師並給出我的解釋。 個人用戶數位世界的中心是智慧型手機。 因此,難怪大多數人都使用裝置提供的功能——生物識別身份驗證、簡訊和推播通知,以及智慧型手機本身的應用程式產生的一次性密碼。 人們在使用他們習慣的工具時通常不會考慮安全性和可靠性。
這就是為什麼原始「傳統」身份驗證因素的使用者百分比保持不變的原因。 但那些以前使用過密碼的人知道他們面臨多大的風險,並且在選擇新的身份驗證因素時,他們選擇了最新、最安全的選項 - 加密令牌。
對於企業市場來說,了解哪些系統認證是很重要的。 如果實作登入 Windows 網域,則使用加密令牌。 Windows 和 Linux 中都已內建了將它們用於 2FA 的可能性,但替代選項很長且難以實現。 5% 從密碼遷移到令牌就到此為止。
而在企業資訊系統中實施2FA很大程度取決於開發人員的資格。 對於開發人員來說,使用現成的模組來產生一次性密碼比理解密碼演算法的操作要容易得多。 因此,即使是單一登入或特權存取管理系統等極為安全關鍵的應用程式也使用 OTP 作為第二個因素。
傳統認證方式存在許多漏洞
儘管許多組織仍然依賴傳統的單因素系統,但傳統多因素身份驗證的漏洞正變得越來越明顯。 透過簡訊發送的一次性密碼(長度通常為六到八個字元)仍然是最常見的身份驗證形式(當然,除了密碼因素之外)。 當大眾媒體提到「雙重身分驗證」或「兩步驟驗證」一詞時,它們幾乎總是指簡訊一次性密碼驗證。
這裡作者有點錯誤。 透過簡訊傳送一次性密碼從來都不是雙重認證。 這是兩步驟身份驗證的第二階段最純粹的形式,其中第一階段是輸入您的登入名稱和密碼。
2016 年,美國國家標準與技術研究院 (NIST) 更新了其身份驗證規則,取消使用透過簡訊發送的一次性密碼。 然而,在行業抗議之後,這些規則被大幅放鬆。
那麼,我們就跟著劇情吧。 美國監管機構正確地認識到過時的技術無法確保用戶安全,並正在引入新標準。 旨在保護線上和行動應用程式(包括銀行應用程式)用戶的標準。 該行業正在計算需要花費多少錢來購買真正可靠的加密代幣、重新設計應用程式、部署公鑰基礎設施,並且正在「後腿崛起」。 一方面,使用者相信一次性密碼的可靠性,另一方面,也出現了針對 NIST 的攻擊。 結果,標準被軟化,駭客攻擊和竊取密碼(以及銀行應用程式中的資金)的數量急劇增加。 但該行業並不需要花錢。
從那時起,SMS OTP 的固有弱點就變得更加明顯。 詐欺者使用各種方法來破壞簡訊:
- SIM 卡複製。 攻擊者建立 SIM 卡的副本 (在行動電信商員工的幫助下,或獨立使用特殊的軟體和硬體)。 結果,攻擊者收到一封帶有一次性密碼的簡訊。 在一個特別著名的案例中,駭客甚至能夠入侵加密貨幣投資者 Michael Turpin 的 AT&T 帳戶,竊取近 24 萬美元的加密貨幣。 結果,Turpin 表示,AT&T 的過失在於驗證措施薄弱,導致 SIM 卡複製。
驚人的邏輯。 那這真的只是 AT&T 的錯嗎? 不,通訊商店的銷售人員發放了重複的SIM卡,這無疑是行動電信商的錯。 加密貨幣交易認證系統怎麼樣? 他們為什麼不使用強加密令牌? 花錢實施是不是很可惜呢? 這不該怪麥可本人嗎? 為什麼他不堅持改變認證機製或只使用那些基於加密令牌實現雙因素認證的交易所?
真正可靠的身份驗證方法的引入被推遲,正是因為用戶在黑客攻擊之前表現出驚人的粗心,而之後他們將自己的麻煩歸咎於古老且“洩漏”的身份驗證技術之外的任何人或任何事物。
- 惡意軟體。 行動惡意軟體最早的功能之一是攔截簡訊並將其轉發給攻擊者。 此外,瀏覽器中間人攻擊和中間人攻擊可以攔截在受感染的筆記型電腦或桌上型裝置上輸入的一次性密碼。
當您智慧型手機上的俄羅斯聯邦儲蓄銀行應用程式在狀態列中閃爍綠色圖示時,它也會在您的手機上尋找「惡意軟體」。 該活動的目標是至少在某種程度上將典型智慧型手機的不可信執行環境轉變為可信環境。
順便說一句,智慧型手機作為一種完全不受信任的設備,可以做任何事情,這是使用它進行身份驗證的另一個原因 僅硬體令牌,它們受到保護,沒有病毒和木馬。 - 社會工程學。 當詐騙者知道受害者透過簡訊啟用了 OTP 時,他們可以冒充受信任的組織(例如銀行或信用合作社)直接聯繫受害者,欺騙受害者提供他們剛剛收到的代碼。
我個人多次遇到這種類型的欺詐,例如,當試圖在流行的線上跳蚤市場上出售商品時。 我自己也嘲笑過那個想盡我所能地愚弄我的騙子。 但可惜的是,我經常在新聞中看到另一位詐騙者的受害者“沒有想到”,給出了確認碼並損失了一大筆錢。 所有這一切都是因為銀行根本不想在其應用程式中處理加密代幣的實施。 畢竟,如果發生什麼事情,客戶「只能怪自己」。
雖然替代 OTP 傳送方法可能會緩解此驗證方法中的一些漏洞,但其他漏洞仍然存在。 獨立的程式碼產生應用程式是防止竊聽的最佳保護,因為即使是惡意軟體也很難直接與程式碼產生器互動(嚴重地? 報告的作者忘了遠端控制嗎?),但在瀏覽器中輸入 OTP 仍然可以被攔截(例如使用鍵盤記錄器),透過被駭的行動應用程式; 也可以使用社會工程直接從使用者取得。
使用多種風險評估工具,例如設備識別(檢測從不屬於合法使用者的裝置執行交易的嘗試), 地理定位 (剛到過莫斯科的用戶嘗試從新西伯利亞執行操作)和行為分析對於解決漏洞很重要,但這兩種解決方案都不是萬能的。 對於每種情況和資料類型,有必要仔細評估風險並選擇應使用哪種身份驗證技術。
任何身份驗證解決方案都不是萬能的
圖 2. 身份驗證選項表
| 認證 | 因素 | 描述 | 關鍵漏洞 |
| 密碼或 PIN | 知識 | 固定值,可以包括字母、數字和許多其他字符 | 可能被攔截、監視、偷竊、拾取或駭客攻擊 |
| 基於知識的認證 | 知識 | 提問只有合法使用者才能知道的答案 | 可以利用社會工程方法攔截、拾取、獲取 |
| 硬體 OTP() | 擁有 | 一種產生一次性密碼的特殊設備 | 代碼可能被截獲並重複,或者設備可能被盜 |
| 軟體 OTP | 擁有 | 一種產生一次性密碼的應用程式(行動設備,可透過瀏覽器訪問,或透過電子郵件發送代碼) | 代碼可能被截獲並重複,或者設備可能被盜 |
| 短信OTP | 擁有 | 透過簡訊發送一次性密碼 | 代碼可能被截獲並重複,或智慧型手機或SIM卡可能被盜,或SIM卡可能被複製 |
| 智能卡() | 擁有 | 包含加密晶片和使用公鑰基礎設施進行身份驗證的安全密鑰記憶體的卡 | 可能被物理性竊盜(但攻擊者在不知道 PIN 碼的情況下將無法使用該設備; 如果多次輸入錯誤,設備將被阻止) |
| 安全金鑰 - 令牌 (, ) | 擁有 | 包含加密晶片和安全金鑰記憶體的 USB 設備,使用公鑰基礎設施進行身份驗證 | 可能被物理竊取(但攻擊者在不知道 PIN 碼的情況下將無法使用該設備;如果多次嘗試錯誤輸入,該設備將被阻止) |
| 連結到設備 | 擁有 | 建立設定檔的過程,通常使用 JavaScript,或使用 cookie 和 Flash 共用物件等標記來確保正在使用特定設備 | 令牌可以被竊取(複製),攻擊者可以在其設備上模仿合法設備的特徵 |
| 行為 | 固有 | 分析使用者如何與裝置或程式交互 | 行為是可以被模仿的 |
| 指紋 | 固有 | 將儲存的指紋與光學或電子捕獲的指紋進行比較 | 圖像可以被盜並用於身份驗證 |
| 眼部掃描 | 固有 | 將虹膜圖案等眼睛特徵與新的光學掃描進行比較 | 圖像可以被盜並用於身份驗證 |
| 人臉識別 | 固有 | 臉部特徵與新的光學掃描進行比較 | 圖像可以被盜並用於身份驗證 |
| 語音辨識 | 固有 | 將錄製的語音樣本的特徵與新樣本進行比較 | 該記錄可以被竊取並用於身份驗證或模擬 |
在出版物的第二部分中,最美味的東西等著我們——數字和事實,第一部分給出的結論和建議就是基於這些數據和事實。 用戶應用程式和公司係統中的身份驗證將單獨討論。
到時見!
來源: www.habr.com