Оглавление
- См. Также [ править ]
- Защиты
- Резюме
- Аутентификация с использованием телефона (двухэтапная аутентификация)
- 2019
- Факторы аутентификации
- Защиты
- Этапы процесса и проверка
- Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.
- Виды аутентификации
- Защиты
- Чем отличаются идентификация, аутентификация и авторизация?
См. Также [ править ]
- Служба контроля доступа
- AssureID
- Атомарная авторизация
- Определение интерфейса открытой службы аутентификации
- Подлинность в искусстве
- Авторизация
- Базовая аутентификация доступа
- Биометрия
- CAPTCHA
- Программа аутентификации чипа
- Замкнутый цикл аутентификации
- Децентрализованные идентификаторы
- Диаметр (протокол)
- Цифровая идентификация
- EAP
- Электронная аутентификация
- Обмен зашифрованными ключами (EKE)
- Конкурс проверки отпечатков пальцев
- Геолокация
- Код аутентификации сообщения на основе хэша
- Идентификация (информация)
- Служба аутентификации и авторизации Java
- Кантара Инициатива
- Kerberos
- Многофакторная аутентификация
- Протокол Нидхема – Шредера
- Нотариус
- OAuth — открытый стандарт авторизации
- OpenAthens
- OpenID Connect — метод аутентификации для Интернета
- OpenID — метод аутентификации для Интернета
- Происхождение
- Криптография с открытым ключом
- РАДИУС
- Проверка подлинности Reliance
- Обмен секретами
- Протокол защищенного удаленного пароля (SRP)
- Безопасная оболочка
- Защитная печать
- Самостоятельная идентичность
- SQRL
- Сильная аутентификация
- Технология защиты от несанкционированного доступа
- TCP Wrapper
- Аутентификация по времени
- Двухфакторная аутентификация
- Удобство использования систем веб-аутентификации
- Ву – Лам
Защиты
Взаимная аутентификация является важным фактором в схемах передачи, поскольку она может защитить схему от враждебных атак, в частности:
- Мужчина в средней атаке: Атаки типа «человек посередине» (MITM) — это когда третья сторона желает подслушать или перехватить сообщение, а иногда и изменить предназначенное для получателя сообщение. Обе стороны открыто получают сообщения, не проверяя отправителя, поэтому они не понимают, что злоумышленник вставил себя в линию связи. Взаимная аутентификация может предотвратить атаки MITM, потому что и отправитель, и получатель проверяют друг друга перед отправкой им своих ключей сообщений, поэтому, если одна из сторон не проверена на предмет того, кем они являются, сеанс завершится.
- Воспроизведение атак: Атака воспроизведения похожа на атаку MITM, при которой более старые сообщения воспроизводятся вне контекста, чтобы обмануть сервер. Однако это не работает против схем, использующих взаимную аутентификацию. потому что временные метки — это фактор проверки, который используется в протоколах. Если изменение времени превышает максимально допустимую временную задержку, сеанс будет прерван. Точно так же сообщения могут включать в себя случайно сгенерированный номер, чтобы отслеживать, когда сообщение было отправлено.
- Спуфинговые атаки: Атаки со спуфингом основаны на использовании ложных данных, чтобы выдать себя за другого пользователя, чтобы получить доступ к серверу или быть идентифицированным как кто-то другой. Взаимная аутентификация может предотвратить атаки спуфинга, поскольку сервер также аутентифицирует пользователя и проверяет, что у них есть правильный сеансовый ключ, прежде чем разрешать дальнейшее взаимодействие и доступ.
- Атаки имитации: когда каждая сторона аутентифицирует другую, они отправляют друг другу сертификат, который только другая сторона знает, как расшифровать, подтверждая себя как надежный источник. Таким образом, злоумышленники не могут использовать атаки олицетворения, потому что у них нет правильного сертификата, чтобы действовать, как если бы они были другой стороной.
Взаимная аутентификация также обеспечивает целостность информации, потому что, если стороны подтверждают, что они являются правильным источником, полученная информация также является надежной.
Резюме
Основные выводы
Начиная с 2017 года резко возрос процент использования строгой аутентификации. Те, кто не использует строгую аутентификацию, недооценивают свой риск для бизнеса и клиентов. Тем не менее, пароли находятся на пути «в могилу». Развивающаяся нормативно-правовая среда обещает ускорить внедрение строгой аутентификации для потребительских приложений. Создание надёжной основы аутентификации позволяет компаниям сместить акцент с удовлетворения нормативных требований на удовлетворение потребностей клиентов. При выборе метода корпоративной аутентификации внутри предприятия требования регуляторов уже не являются значимым фактором. В эпоху фишинга злоумышленники могут использовать корпоративную электронную почту для мошенничества,Google усилил свою защиту внедрив строгую аутентификацию.
Рекомендации
Внедряйте строгую аутентификацию для мобильных и онлайн приложений. Готовьтесь к закату одноразовых паролей (OTP). Используйте строгую аутентификацию в качестве маркетингового инструмента для повышения доверия клиентов
Проведите тщательную инвентаризацию и оценку важности корпоративных данных и защитите их в соответствии с важностью. нет, правда, в отчёте так и написано “low-risk”, очень странно, что они недооценивают важность этой информацииИспользуйте строгую аутентификацию на предприятии
Аутентификация с использованием телефона (двухэтапная аутентификация)
В эту категорию попадают сразу несколько методов аутентификации, которые быстро становятся основными решениями. Мы рассмотрим три метода, в которых для аутентификации используется мобильный телефон.
Приложения, поддерживающие Push-уведомления. Когда пользователь делает запрос на сервер, ему мгновенно приходит уведомление, в котором содержится либо вопрос для подтверждения личности, либо просто информация о том, что был произведен вход. Основным преимуществом этого метода является приятное юзабилити, так как нет необходимости использовать одноразовые пароли, либо постоянно носить с собой какой-то девайс.
Этот метод требует только того, чтобы пользователь ответил на Push-уведомление, которое приходит прямо на его мобильное устройство. Из подобных решений можно отметить Secret Double Octopus.
Мобильные токены. По принципу работу они походят на аппаратные токены. Однако вместо того, чтобы носить с собой дополнительное приспособление, этот метод использует смартфон для вычисления одноразового пароля. В процессе вычисления учитываются часы смартфона, а также алгоритм, заложенный в установленном на устройстве специальном приложении.
Лидером в области подобных предложений является датская компания CM.com Она предлагает целый спектр различных приложений, способных генерировать одноразовые пароли, которые специально разработаны для использования на предприятиях.
Однако и тут не обошлось без минусов. Поскольку одноразовые пароли размещаются на подключенном к Сети устройстве, они автоматически становятся более уязвимы к краже киберпреступниками.
SMS-аутентификация. Этот метод представляет собой отправку одноразового пароля в коротком сообщении на устройство пользователя. Эта схема изначально использовалась в дополнение к обычным паролям, но поскольку пароль можно сбросить при помощи SMS, их польза становилась все более сомнительной. Результатом стало использование многими приложениями SMS в качестве альтернативы паролям.
Самым очевидным плюсом этого метода является отсутствие необходимости устанавливать на устройство пользователя какого бы то ни было дополнительного приложения. Среди недостатков можно отметить довольную слабую надежность, так как доставляемые по SMS пароли могут быть скомпрометированы тремя способами: злоумышленник выдает себя за владельца устройства, взламывает сеть или же устанавливает на устройство вредоносную программу.
2019
Представлен новый способ обхода двухфакторной аутентификации
В конце декабря 2019 года группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру. Эксперты считают, что хакеры разработали новую методику обхода двухфакторной аутентификации, что встревожило сообщество кибербезопасности.
Впервые хакерскую деятельность, приписываемую группе APT20, обнаружили в 2011 году. Она занималась взломом и доступом к данным государственных структур, крупных компаний и поставщиков услуг в США, странах Южной Америки и Европы. В 2016–2017 годах группа исчезла из поля зрения специалистов, и лишь недавно голландская компания Fox-IT, специализирующаяся на консалтинговых услугах по кибербезопасности, обнаружила следы вмешательства APT20 в сети одного из своих клиентов, который попросил расследовать нарушения в целостности сети.
Группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру
Исследователи Fox-IT подробно описали методику взлома. По мнению специалистов, группа хакеров использовала веб-серверы в качестве точки входа, в частности, платформу корпоративных приложений Jboss. Проникнув в систему и установив веб-оболочки, хакеры расходились по сетям жертв. Найденные пароли и учётные записи позволяли злоумышленникам красть данные с помощью стандартных инструментов, без установки вирусов.
Но хуже всего оказалось то, что группа APT20 смогла обойти двухфакторную авторизацию, получив доступ к защищенным учетным записям VPN. Наиболее вероятно, что хакеры смогли украсть из взломанной системы программный токен RSA SecurID и модифицировать его таким образом, чтобы разорвать связь с локальной системой. Обычно без него программа RSA SecurID выдаёт ошибку, однако хакеры обошли весь комплекс начальной проверки и с помощью украденной программы смогли беспрепятственно генерировать одноразовые коды для обхода двухфакторной защиты.
Использование многофакторной аутентификации блокирует 99,9% взломов
В облачных сервисах Microsoft ежедневно совершается около 300 млн попыток мошеннического входа в учетные записи. Многофакторная аутентификация (МФА) может помочь защитить учетные записи от многих типов атак.
По словам специалистов из Microsoft, пользователи, включившие многофакторную аутентификацию для своих учетных записей, в итоге блокируют 99,9% автоматических атак. Рекомендация распространяется не только на учетные записи Microsoft, но и на любой другой профиль, web-сайт или online-сервис. Если поставщик услуг поддерживает многофакторную аутентификацию, Microsoft рекомендует использовать ее, независимо от того, является ли она чем-то простым, как одноразовые SMS-пароли или расширенные биометрические решения.
По словам исследователей из Microsoft, такие старые советы, как «никогда не используйте пароль, который когда-либо был скомпрометирован» или «используйте действительно длинные пароли», в последние годы не очень помогают. В настоящее время киберпреступники имеют в своем распоряжении различные методы, позволяющие получить учетные данные пользователей, и в большинстве случаев пароль и его сложность не имеют значения.
От постоянных попыток мошеннического входа защитит включение многофакторной аутентификации. Она не сможет заблокировать только 0,1% атак, в ходе которых киберпреступники используют технические решения для захвата токенов МФА, но они происходят крайне редко.
Иск против Apple за «незаконное» включение двухфакторной аутентификации
11 февраля 2019 года стало известно, что житель Калифорнии Джей Бродски (Jay Brodsky) подал в суд на компанию Apple за «незаконное» включение двухфакторной аутентификации. Бродски жалуется на то, что двухфакторная аутентификация существенно усложняет жизнь пользователям, поскольку от них требуется не только помнить пароль, но еще и иметь доступ к доверенному телефону или телефонному номеру. Подробнее .
Факторы аутентификации
Ещё до возникновения компьютеров применялись разные отличительные черты субъекта, его характеристики. Сейчас применение определенной характеристики в системе связано с требуемой надёжностью, защищённостью и стоимостью внедрения. Выделяют 3 фактора аутентификации:
Что-то, что мы знаем — пароль. Это тайные данные, которые должен иметь только авторизованный субъект. Паролем может быть текстовое слово,речевое слово, личный идентификационный номер (PIN) или комбинация для замка. Парольный механизм может быть достаточно легко воплощён и недорого стоит. Но есть значительные недостатки: сохранить пароль в тайне часто бывает сложно, злоумышленники придумывают постоянно новые способы взлома, кражи и подбора пароля. Это делает слабозащищённым парольный механизм.
Что-то, что мы имеем — устройство аутентификации
Здесь важно обстоятельство обладания субъектом неповторимым предметом. Это может быть ключ от замка, личная печать, для компьютера это файл данных, который содержит характеристику
Характеристика встраивается часто в особенное устройство аутентификации, к примеру, смарт-карта, пластиковая карта. Для злоумышленника такое устройство заполучить становится более сложно, нежели взломать пароль, а субъект может сразу же в случае кражи устройства сообщить. Это делает этот метод более защищённым, нежели парольный механизм, но стоимость такой системы более высокая.
Что-то, являющееся частью нас — биометрика. Характеристика — физическая особенность субъекта. Это может быть отпечаток ладони или пальца, портрет, особенность глаза или голос. С точки зрения субъекта, этот метод является наиболее простым: не надо ни переносить с собой устройство аутентификации, ни запоминать пароль. Но биометрическая система должна иметь высокую чувствительность, чтобы подтверждать авторизованного пользователя, но в то же самое время отвергать злоумышленника, имеющего схожие биометрические параметры. Также стоимость этой системы достаточно велика. Но, невзирая на свои недостатки, биометрика остается достаточно перспективным фактором.
Защиты
Взаимная аутентификация является важным фактором в схемах передачи, поскольку она может защитить схему от враждебных атак, в частности:
- Атака « человек посередине»: атаки « человек посередине» (MITM) — это когда третья сторона желает подслушать или перехватить сообщение, а иногда и изменить предполагаемое сообщение для получателя. Обе стороны открыто получают сообщения без проверки отправителя, поэтому они не понимают, что злоумышленник вставил себя в линию связи. Взаимная аутентификация может предотвратить атаки MITM, потому что и отправитель, и получатель проверяют друг друга перед отправкой им своих ключей сообщений, поэтому, если одна из сторон не проверена на предмет того, кем они являются, сеанс завершится.
- Атаки с воспроизведением: атака с воспроизведением похожа на атаку MITM, при которой более старые сообщения воспроизводятся вне контекста, чтобы обмануть сервер. Однако это не работает против схем, использующих взаимную аутентификацию, потому что отметки времени являются фактором проверки, который используется в протоколах. Если изменение времени больше, чем максимально допустимая задержка времени, сеанс будет прерван. Точно так же сообщения могут включать в себя случайно сгенерированный номер, чтобы отслеживать, когда сообщение было отправлено.
- Атаки с использованием спуфинга: атаки с использованием спуфинга основаны на использовании ложных данных, чтобы выдать себя за другого пользователя, чтобы получить доступ к серверу или быть идентифицированным как кто-то другой. Взаимная аутентификация может предотвратить атаки спуфинга, поскольку сервер также аутентифицирует пользователя и проверяет, что у них есть правильный сеансовый ключ, прежде чем разрешать дальнейшее взаимодействие и доступ.
- Атаки имитации: когда каждая сторона аутентифицирует другую, они отправляют друг другу сертификат, который только другая сторона знает, как расшифровать, подтверждая себя как надежный источник. Таким образом, злоумышленники не могут использовать атаки олицетворения, потому что у них нет правильного сертификата, чтобы действовать, как если бы они были другой стороной.
Взаимная аутентификация также обеспечивает целостность информации, потому что, если стороны подтверждают, что они являются правильным источником, полученная информация также является надежной.
Этапы процесса и проверка
Схемы, которые имеют этап взаимной аутентификации, могут использовать разные методы шифрования, связи и проверки, но все они имеют одну общую черту: каждый объект, участвующий в обмене данными, проверяется. Если Алиса хочет общаться с Боб, они оба будут аутентифицировать друг друга и проверять, что это тот, с кем они ожидают общаться, прежде чем будут переданы какие-либо данные или сообщения. Процесс взаимной аутентификации, при котором происходит обмен идентификаторами пользователей, может быть реализован следующим образом:
- Алиса отправляет Бобу сообщение, чтобы показать, что Алиса является действующим пользователем.
- Боб проверяет сообщение:
- Боб проверяет формат и отметку времени. Если либо неверно, либо недействительно, сеанс прерывается.
- Затем сообщение расшифровывается с использованием секретного ключа Боба и идентификатора Алисы.
- Боб проверяет, соответствует ли сообщение действительному пользователю. В противном случае сеанс прерывается.
- Боб отправляет Алисе сообщение, чтобы показать, что Боб является действующим пользователем.
- Алиса проверяет сообщение:
- Алиса проверяет формат и метку времени. Если либо неверно, либо недействительно, сеанс прерывается.
- Затем сообщение расшифровывается с использованием секретного ключа Алисы и идентификатора Боба.
- Алиса проверяет, соответствует ли сообщение допустимому пользователю. В противном случае сеанс прерывается.
- На этом этапе проверяется, что обе стороны являются теми, кем они являются, и безопасны для общения друг с другом. Наконец, Алиса и Боб создадут общий секретный ключ, чтобы продолжить безопасный обмен данными.
Чтобы убедиться, что взаимная аутентификация прошла успешно, Логика Берроуза-Абади-Нидхема (Логика BAN) — это хорошо известный и широко применяемый метод, поскольку он проверяет, что сообщение пришло от надежного объекта. Логика BAN сначала предполагает, что объекту нельзя доверять, а затем проверяет его законность.
Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.
Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.
Чем это опасно?
Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.
Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.
Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.
Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.
Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.
Виды аутентификации
Пользователи интернета в моем представлении подразделяются на оптимистов и параноиков. Оптимисты не заморачиваются кодами и сложными паролями. Фамилия, дата рождения или слово “qwerty” вполне могут стать их паролем от аккаунта в соцсети или электронной почты. Главное, чтобы было легко запомнить.
Параноики придумывают сложные пароли, шифры и коды, выходят в интернет только со своих устройств и через проверенные сети, пароли хранят у жены в чулке. Они всегда обеспокоены безопасностью.
Если вы относитесь к оптимистам, то я должна вас предупредить. В интернете, как и в реальной жизни, довольно много желающих воспользоваться вашим простодушием, украсть коды доступа, взломать аккаунт, снять деньги со счета. Для этого уже придумано множество технических средств и способов развода.
Поэтому системы аутентификации постоянно совершенствуются, чтобы уменьшить шансы злоумышленников. С другой стороны, каждый сервис, сайт, приложение стремится к тому, чтобы пользователям было удобно и приятно.
Со временем для разных случаев появились такие виды аутентификации:
- С помощью пароля, специального слова или кода. Этот вариант используется очень часто и в целом обеспечивает достаточную простоту доступа к программам и сервисам, но в последнее время часто является недостаточным. Появляется все больше программ для подбора паролей и все больше хитростей для их выманивания у пользователей.
- С помощью специального устройства, физического носителя. Примерами могут служить банковская карта, электронная подпись, ключи для входа в онлайн-банк предприятия. Это распространенный тип аутентификации, но, к сожалению, физический носитель также могут украсть.
- С помощью биометрических данных. Это может быть ваш голос, лицо, отпечаток пальцев, сетчатка глаза. Этот вариант считается наиболее надежным, но систем, которые его используют, не так уж много, и стоят они дорого.
- Сквозная. В данном случае проверку нужно пройти в одной программе, а пользоваться можно несколькими сервисами и приложениями без необходимости каждый раз авторизовываться. Примером может служить вход в Google-аккаунт. Войдя в него, вы автоматически получаете доступ к облачному хранилищу, почте, своему YouTube-каналу и другим сервисам.
Как видите, есть разные виды аутентификации для разных программ и случаев. Использовать нужно один из них или несколько вместе в зависимости от целей и задач.
Защиты
Взаимная аутентификация является важным фактором в схемах передачи, поскольку она может защитить схему от враждебных атак, в частности:
- Мужчина в средней атаке: Атаки типа «человек посередине» (MITM) — это когда третья сторона желает подслушать или перехватить сообщение, а иногда и изменить предназначенное для получателя сообщение. Обе стороны открыто получают сообщения, не проверяя отправителя, поэтому они не понимают, что злоумышленник вставил себя в линию связи. Взаимная аутентификация может предотвратить атаки MITM, потому что и отправитель, и получатель проверяют друг друга перед отправкой им своих ключей сообщений, поэтому, если одна из сторон не проверена на предмет того, кем они являются, сеанс завершится.
- Воспроизведение атак: Атака воспроизведения похожа на атаку MITM, при которой более старые сообщения воспроизводятся вне контекста, чтобы обмануть сервер. Однако это не работает против схем, использующих взаимную аутентификацию. потому что временные метки — это фактор проверки, который используется в протоколах. Если изменение времени превышает максимально допустимую временную задержку, сеанс будет прерван. Точно так же сообщения могут включать в себя случайно сгенерированный номер, чтобы отслеживать, когда сообщение было отправлено.
- Спуфинговые атаки: Атаки со спуфингом основаны на использовании ложных данных, чтобы выдать себя за другого пользователя, чтобы получить доступ к серверу или быть идентифицированным как кто-то другой. Взаимная аутентификация может предотвратить атаки спуфинга, поскольку сервер также аутентифицирует пользователя и проверяет, что у них есть правильный сеансовый ключ, прежде чем разрешать дальнейшее взаимодействие и доступ.
- Атаки имитации: когда каждая сторона аутентифицирует другую, они отправляют друг другу сертификат, который только другая сторона знает, как расшифровать, подтверждая себя как надежный источник. Таким образом, злоумышленники не могут использовать атаки олицетворения, потому что у них нет правильного сертификата, чтобы действовать, как если бы они были другой стороной.
Взаимная аутентификация также обеспечивает целостность информации, потому что, если стороны подтверждают, что они являются правильным источником, полученная информация также является надежной.
Чем отличаются идентификация, аутентификация и авторизация?
В наши дни не обязательно идти в банк, чтобы совершить какие-либо денежные переводы; не обязательно идти в энергопоставляющую компанию, чтобы оплатить счет за электрический свет; не обязательно идти на железнодорожный вокзал, чтобы приобрести билеты на поезд — все эти и другие подобные вопросы, занимающие массу времени, упрощаются и решаются с помощью Интернета.
Сегодня есть множество областей, где выполнение задачи достигается за счет взаимодействия человека с компьютером — путем использования какого-либо сайта или приложения на мобильном устройстве. Подобные системы должны иметь надлежащий уровень защиты и первое с чем сталкивается пользователь при их использование — это идентификация, аутентификация и авторизация. В чем разница между ними? Давайте рассмотрим подробнее.
