Fordeler og ulemper med forskjellige tofaktorautentiseringstyper og -metoder.

Fordeler og ulemper med forskjellige tofaktorautentiseringstyper og -metoder.

Sammen med de forste digitale enhetene steg et behov for a sikre sikkerheten til lagrede data og a skille tilgang til ulike funksjoner. En rekke metoder for entydig autentisering av brukere som er basert pa sikkerhet, kalles autentiseringsfaktorer. Disse inkluderer koder, palogginger, passord, sertifikater, maskinvarenokler og sa videre. Hele settet av autentiseringsfaktorer kan deles inn i tre grupper:

Faktorer av kunnskap (noe kjent for brukeren); Eierskapsfaktorer (noe som brukeren eier og dokumenter eller elementer som er preget av noe unikt informasjon (vanligvis disse faktorene koker ned til enheter, selv om denne innsnevringen ikke alltid er begrunnet)); Biometriske faktorer (fysiske egenskaper til brukeren).

Det er et stort utvalg av autentiseringsfaktorer, ikke alle som er like praktiske og trygge. For a oke sikkerhetsnivaet i autentiseringsprosessen brukes multifaktorautentisering, der flere autentiseringsfaktorer av forskjellige typer brukes til a bekrefte tilgang. Ulempene med noen faktorer kan og bor overlappe etter andres fortrinn. Til tross for storre sikkerhet, desto flere autentiseringsfaser blir brukt, jo mer innsats og tid det tar a autorisere. I henhold til kombinasjonen av karakteristikker anses to-faktor-autentisering som den mest optimale i dag av de kombinerte sikkerhets-, bekvemmelighets- og anvendte innsatsegenskaper.

Tofaktorautentisering.

Hva er tofaktorautentisering? Tofaktorautentisering (2FA) er en av de mest palitelige typene av brukergodkjenning i dag, pleide a fa rettighetene til a fa tilgang til ressurs eller data (fra postkasser til bankkortbetalinger). To-trinns autentisering er et mye mer palitelig alternativ til den tradisjonelle enfaktorautentiseringen (1FA) ved hjelp av et innloggingspassordspar, sikkerheten som er ganske lav for oyeblikket. Det finnes et stort antall metoder for hacking og kringga passordautentisering, fra sosialteknikk til distribuert bruteforcing, basert pa forhandsorganiserte botnetter. I tillegg bruker noen brukere det samme passordet for a logge pa alle kontoene sine, noe som igjen forenkler adgangen til svindlere til beskyttet informasjon og transaksjoner. Den storste fordelen med tofaktorautentisering er okt innloggingssikkerhet. Nar det gjelder manglene, er de to viktigste okningen i tidspunktet for inngangen til systemet og risikoen for a miste det fysiske mediet som tjener til a passere en av autentiseringsstrinnene (mobiltelefon, U2F-nokkel, OTP-token). I denne artikkelen har vi gjennomgatt flere av de mest praktiske og sikre andre autentiseringsfaktorene for bruk i 2FA.

1. SMS-koder.

SMS-koder generert av spesielle tjenester er den vanligste typen faktorer som brukes i den mobile tofaktorautentiseringen. Det er ganske praktisk (de fleste moderne brukere holder alltid smarttelefonene pa dem) og tar ikke mye tid. I tillegg er denne sjekken i de fleste tilfeller effektiv, for eksempel for a beskytte mot automatiserte angrep, phishing, passordbruteforcing, virus og lignende.

Men hvis noen har til hensikt a hack deg, er det mulig a omga SMS-autentisering. Tross alt er vanligvis telefonnummeret knyttet til kontoen ikke en hemmelighet (som regel er det samme kontaktnummer som kan finnes fra vennene dine, sosiale nettverk eller visittkort). Etter a ha mottatt personlig informasjon fra eieren av nummeret, gjor svindlere et falsk identitetskort og bruker det pa n rmeste kontor pa mobiloperatoren. Til tross for at i enkelte land lovgivningen krever en fullstendig avstemming av ID-dataene, kan SIM bli autorisert til a reissere av den vanligste medarbeider, og ikke s rlig forstyrre verifisering av dokumentets ekthet. Dermed blir et nytt kort med nummeret ditt opprettet (i sin tur er det forrige SIM-kortet blokkert) og svindleren far muligheten til a passere den andre fasen av autentisering. Den andre ulempen er at enkelte statlige myndigheter (for eksempel politiet) kan sporre mobiloperatoren om tilgang til ditt mobilnummer (inkludert SMS). Dette gjores i sanntid, og selv om du er avlyst pa, vet du ikke engang. Pa den annen side vil SMS-meldinger hjelpe deg med a finne ut at noen prover a hacke inn pa kontoen din og endre passordet eller vedlagt telefonnummer i tide.

Enkelhet av bruken & # 8211; brukeren trenger bare a skrive inn koden fra SMS som kom til mobiltelefonen sin; Hvis et forsok pa a hacke din konto skjer, vil du umiddelbart fa vite det, da du vil motta en melding med et engangspassord (OTP) og umiddelbart kan endre passordet til kontoen din.

Trenger a betale SMS-sending avgifter. Dette er spesielt viktig for selskapene som beskytter brukeren. I B2B segment er det mer fordelaktig kostnadseffektivt a bruke programvare eller maskinvare tokens. Kan ikke brukes i mangel av mobildekning (pa fjerntliggende omrader eller i utlandet) eller telefon selv (tyveri, tap, batteriutladning). SIM swap-mulighet lar angripere a stjele telefonnummeret. SMS-meldinger kan skilles med en rekke metoder.

2. Kodegenereringsprogrammer.

Kodegenereringsapper er et verdig alternativ til SMS-koder. Den vanligste blant slike applikasjoner er Google to faktor autentiseringslosning & # 8211; Google Autentisering. Slike programvare-OTP-tokens genererer koder uavhengig avhengig av en bestemt algoritme eller tilfeldig sekvens. Hovedalgoritmer for a generere slike engangskoder er HOTP (hashbasert engangspassord, RFC4226), TOTP (tidsbasert engangspassord, RFC6238) og OCRA (OATH challenge-response algoritme, RFC6287) som var utviklet og stottes av OATH (Initiative for Open Authentication).

Hovedfordelen ved en slik tofaktorautentiseringsprogramvare er muligheten til a bruke i frav r av mobildekning eller tilgang til Internett.

Trenger du a bruke en smarttelefon eller annen lignende enhet; Soknaden kan hackes; Smarttelefonbatteriet kan utlades; Hvis smarttelefonen er tilbakestilt eller tapt, eller autentiseringsprogrammet slettes ved et uhell, vil symbolet ga tapt, og gjenopprettingen er en stor smerte.

3. U2F Tokens.

U2F er en apen standard for universell tofaktorautentisering (2FA), utviklet av FIDO Alliance med deltagelse av slike verdensberomte selskaper som Google, PayPal, Lenovo, MasterCard, Microsoft, NXP, Visa, etc. Ifolge skaperne ‘Ideen, godkjenning gjennom denne protokollen utfores ved hjelp av en maskinvaremodul, i hvilken rolle et fysisk medium & # 8211; USB-tokens (de vanligste enhetene er YubiKey) & # 8211; er brukt. Disse enhetene er utstyrt med spesiell programvare og en digital nokkel i et produksjonsstadium. USB-nokkelen er ganske enkelt satt inn i den tilhorende stasjon re eller b rbare kontakten. Denne autentiseringsfaktoren fungerer som folger:

Brukeren er autorisert pa nettsiden / i soknaden ved hjelp av et innloggingspassordspar. Serveren kontrollerer legitimasjonene og, hvis de er riktige, ber om signaturen (genererer en utfordring) for token og returnerer den til brukerprogrammet (vanligvis vil det v re en nettleser). Programmet overforer utfordringen til symbolet, som etter bekreftelse fra brukeren (for eksempel et trykk pa en token-knapp), returnerer det engangspassordet som er generert i henhold til den bestemte algoritmen. Programmet sender et svar til serveren. Hvis svaret er riktig, finner du autentisering.

Du trenger ikke a koble til et mobilnettverk eller pa Internett, fordi alle nodvendige data allerede er lagret pa enheten. Enkel bruk & # 8211; Bare koble token til USB-porten og trykk en enkelt knapp nar du blir bedt om det. Det er Yubikey token-modeller med to spor, noe som gjor det mulig a bruke dem til a fa tilgang til to nettsteder i stedet for en.

Lav prevalens, fordi standarden er fortsatt ganske ny. U2F-tokens stottes for tiden av Gmail, Google-kontoer, GitHub, Dropbox, LastPass og WordPress. U2F USB-tokens, for oyeblikket, er bare kompatible med Chrome-nettleseren siden versjon 38. Denne begrensningen brukes ikke av Yubikey-tokens, men selve U2F-standarden. Mange bedrifter blokkerer operasjoner med USB-porter pa bedriftens datamaskiner. U2F-enheter er opprettet for a fa tilgang til 1 eller 2 spesifikke ressurser; En aktiv Internett-bruker ma lagre et bunt av enheter for tilgang til forskjellige nettsteder. U2F-enheter er relativt kostbare: Prisene pa de billigste modellene starter fra $ 20. Token glemmes enkelt inn i datamaskinen nar den gar bort fra en arbeidsstasjon. Noen mennesker lar dem ogsa bli satt inn hele tiden for a gjore det lettere, noe som undergraver hele konseptet 2FA. USB-tilkobling i seg selv gir muligheten til noen form for ondsinnet kodeinnsproytning og trojanere. Det er onskelig a kjope tokens i par i tilfelle tap.

4. Kontaktlose maskinvarepalogger.

Et verdig alternativ til den forrige autentiseringsmetoden er kontaktlose maskinvare tokens. Hvorfor anser vi denne varianten av tokens a v re den mest palitelige andre faktoren:

De er frittstaende, sammenkoblede enheter som eliminerer muligheten for uautorisert ekstern eller ekstern tilgang av hackere; De er uskadelig for injeksjon av ondsinnet kode; De tillater a skape en sann tofaktorautentisering som skiller noe du har (et token) fra noe du vet (et passord); De er immun mot faren for et SIM-kort tyveri, hemmelig nokkel eksporterer, fange et virus som avbryter engangs passord; Batteriene deres varer i mange ar, sa du vil aldri mote utladningsproblemet i lopet av en tjenesteperiode; De trenger ikke et celle nettverkssignal eller roaming til jobb.

Det finnes 2 typer kontaktlose maskinvare tokens tilgjengelig pa markedet i dag:

De vanlige modellene med forhandsinstallerte hemmelige nokler (fro). Dette er et godt alternativ hvis det tilbys direkte pa ressursen som bruker 2FA brukerkontobeskyttelse. For eksempel er slike maskinvare tokens foreslatt av Blizzard, PayPal og AdvCash. Og sannsynligvis har du allerede lignende tokens for tilgangen til nettbanken din. Men hva om nettsiden ikke tilbyr sine egne kontaktlose maskinvareteknikker? I dette tilfellet vil nylig utgitte programmerbare maskinvareteknikker Protectimus Slim NFC v re en stor hjelp. Disse enhetene kan bli blinket gjennom NFC ved hjelp av Protectimus TOTP Burner-programmet for Android-smarttelefoner. Disse OTP-tokens er kompatible med Google Authenticator Authentication Server-standarder (32 symboler lang hemmelig nokkel (Base32) og 6-sifret OTP). Blant ressurser som implementerer denne standarden, er Facebook, Google, Dropbox, GitHub, Kickstarter, KeePass, Microsoft, TeamViewer og mange andre.

La oss se n rmere pa begge alternativene.

Kontaktfrie maskinvarepalogger med forhandsinstallerte fro.

Disse OTP-tokens er kjente og har blitt ansett som de mest palitelige engangsverktoyene for generering av passord i arevis. Sa hvorfor er de ikke sa utbredt som SMS-bekreftelse og programvareautentisatorer? For det meste fordi frakt over hele verden er kostbart og krever bemerkelsesverdige arbeidsressurser eller samarbeidet med logistikkfirmaet, noe som kan v re sv rt ubeleilig for mindre bedrifter. Dessuten er maskinvare tokens ikke gratis, og mange selskaper anser dem ikke for kostnadseffektive, og sparer dermed sikkerheten til brukerne. Selv om enkelte nettsteder tilbyr sine brukere a kjope slike tokens selv, og dermed gi en mulighet til a beskytte kontoen pa en palitelig mate.

Kontaktlos enhet, beskyttet mot eventuelle muligheter for malware-injeksjon; Engangspassord genereres av selve enheten, noe som reduserer muligheten for a fange opp til et minimum; Krever ikke nettverkstilkobling av noe slag; Innebygd stromkilde er nok i mange ar med uavhengig drift; Den billigste blant alle maskinvare tokens.

Hvis et token er kompromittert, trenger du bare a bestille en ny (Protectimus Slim NFC kan bare bli reflashed); Hvis du slutter a bruke tjenesten, var pengene bortkastet, det er ingen mulighet til a bruke den med en annen tjeneste (Protectimus Slim NFC kan brukes til a fa tilgang til flere ressurser samtidig); Hvis du trenger a beskytte flere kontoer (eller kontoer pa forskjellige ressurser), trenger du et separat token for hver. Dette kan fore til en bunt av varierende enheter som kan v re ubehagelig a b re rundt (dette gjelder ogsa for YubiKey, men noen slims tar ikke mye plass); Den hemmelige nokkelen i slike tokens er pre-flashet pa fabrikken, deretter sendt til leverandoren, og deretter overfort til nettstedet eieren. Selvfolgelig blir noklene overfort i kryptert form, men det er fortsatt en liten mulighet for at en skrupellos ansatt eller en hacker vil lekke hemmelige nokler pa et eller annet tidspunkt. I denne forbindelse vinner Protectimus Slim NFC betingelseslost. Det blinkes av brukeren fra sin personlige smarttelefon med en hemmelig nokkel som bare er kjent for dem.

Programmerbare maskinvare Token Protectimus Slim NFC.

Hovedformalet med denne tokenens opprettelse var a skaffe seg en mer universell og sikker erstatning for OATH-kompatible kodegenereringsprogrammer, for eksempel Google Authenticator, Authy, Protectimus Smart, etc.

Den storste fordelen med en slik tofaktorautentiseringslosning ligger i det faktum at token kan bli blinket et ubegrenset antall ganger ved a endre den hemmelige nokkelen. Dermed kan du bruke den pa nettsteder som bare tilbyr mobil autentisering, endre den hemmelige nokkelen om nodvendig, samt overfore den til en annen tjeneste hvis du onsker det. Hoyt sikkerhetsniva, siden kontaktlos token er uskadelig for ondsinnede kodeinjeksjoner. Det er ikke nodvendig a koble tokenet til en hvilken som helst port, derfor trenger du ikke koble den fra nar du gar bort fra arbeidsstasjonen. Evnen til a endre den hemmelige nokkelen og reflashing token tar bare tre minutter. Mer allsidig og billigere, sammenlignet med U2F-nokler alternativ (opptil 40% forskjell i pris nar egenskaper er sammenlignbare). Du kan bestille tilpasset merkevarebygging selv nar du bestiller enkelttoken.

Det innebygde batteriet varer omtrent fem ar, hvoretter tokenet ma byttes ut. Noen begrensninger pa storrelsen pa passord (bare hemmelige nokler med en lengde pa 16 til 32 tegn i Base32-koding er tillatt), den innebygde skjermen for utfordringssignaturen er seks plassert (standarden stottes av Google Authenticator). Dette gjor et slikt token utilgjengelig for ressurser som bruker hemmelige nokler kortere enn 16 og lengre enn 32 tegn, og atte-tegn engangspassord, selv om slike er sjeldne.

5. Biometriske data.

Denne autentiseringsmetoden bruker biometriske brukerdata & # 8211; fingeravtrykk, ansiktsfunksjoner, oye iris eller talegjenkjenning. Utvilsomt fordel med denne metoden er uovertruffen bekvemmelighet. Du skanner bare en respektive kroppsdel og far tilgang. Likevel er biometriske skannere for oyeblikket ikke noyaktige nok til a tjene som palitelig andre faktor til tross for a bli promotert som sadan av industriens giganter som Google, Samsung og Apple. Og hvis de biometriske dataene ikke gjenkjennes, ma du angi gjenopprettingspassordet som effektivt beseirer hele formalet med tofaktorautentisering. Dessuten, hvis din biometriske faktor, iris, for eksempel ble kompromittert en gang, kan den ikke betjene en godkjenningsfaktor lenger. Selv om hacking av biometriske skannere er vanskelig, er det fortsatt mulig og blir lettere med tiden.

Convenience for brukeren; Ingen behov for fysiske medier; Du trenger ikke a koble til noen nettverk.

Ekstremt hoye kostnader for implementering og distribusjon Til dags dato er risikoen for unoyaktig gjenkjenning fortsatt ganske hoy (noe som betyr at systemet kan nekte tilgang pa grunn av feilaktig bestemmelse av brukerens biometriske parametere). For eksempel kan monsteret av fingrene lett bli skadet av vanlige kutt; I tillegg er det en kategori av mennesker & # 8211; med egenskaper av temperatur og kroppsfukta & # 8211; for hvilket det er sv rt vanskelig a ta utskriften; Hvis en biometrisk faktor er kompromittert en gang, kan den ikke brukes lenger.

Hvilke av de andre faktorene i Two Factors Authentication passer deg mest?

Svaret pa dette sporsmalet er avhengig av malet ditt. Den mest budsjettmessige og enkle a implementere er SMS-godkjenning eller spesielle applikasjoner for generering av engangspassord. Hvis behovet for konfidensialitet er sv rt hoy, er kontaktlose tokens mest egnet for deg, som pa den ene side ikke lagrer noen av dine personlige data (som biometrisk informasjon), og pa den annen side er unike og ikke utsatt for hacking (unntatt noen stjeler enheten selv, som imidlertid kan motvirkes). Nar det gjelder biometri, er implementeringen kun palitelig i tilfelle nar det er planlagt noen reserveidentifikasjonsmetode, og det krever ganske betydelige finansielle investeringer.

En ting bor bemerkes fast selv om & # 8211; 2FA loser problemet som oppstar nar en av autentiseringsfaktorene blir kompromittert. Men hvis begge faktorene er pa samme enhet, er det egentlig ingen tofaktorautentisering. For a sikre et passende niva av sikkerhet, ma begge faktorene v re fra forskjellige grupper eller implementert fra forskjellige enheter.

En gang i en liten by bodde det en gutt som heter liten Denis. Etter hvert som arene gikk, og gutten vokste opp, okte interessen for alt det nye og ukjente ogsa. Denis var spesielt interessert i informasjonsteknologi. Og hans folelser ble gjengitt. Hans nye hobby var sa fascinerende at han bestemte seg for a bruke resten av livet til det. Kort tid etter utviklet han sitt forste program, deretter en og en og en og flere. I programvareutvikling kunne ingen sammenligne med ham. Hans talent kunne ikke bare bli lagt merke til og verdsatt. For lenge er han blant opphavsmennene til et nytt innovativt prosjekt. Og na, Protectimus i Denis ‘liv er som en elskerinne som ikke ville dele ham med en annen eller sette opp med noen utroskap 🙂

Kodegenerasjonsprogrammer:

Du kan sikkerhetskopiere noen tokens, tekst token til en sikker notisblokk (AES / Blowfish2 via vim / Steganos etc) eller passord app (Keepass), QR bilde tokens: skjermbilde til Veracrypt / EncFS container. Deretter kan du bruke pa nytt igjen.

Send inn en kommentar Avbryt svar.

Siste innlegg.

Kategorier.

Engineering (22) Humor (6) Bransje Nyheter (38) Presse og begivenheter (4) Protectimus Produkter (12) R & D (29) Installasjonsveiledninger (19)

ALLE RETTIGHETER RESERVERES. PROTECTIMUS LOSNINGER LLP. 2018.

Abonner pa vart nyhetsbrev.

Bli med pa var mailingliste for a motta de siste nyhetene og oppdateringene fra Protectimus bloggen.