Многофакторная аутентификация, ставшая абсолютно естественной мерой обеспечить безопасность популярных пользовательских сервисов, стремительно проникает и в корпоративный сегмент. В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации, в дополнение к имени пользователя и паролю, например звонок на зарегистрированный на пользователя телефон или ввод кода из СМС. Помимо этого, будет рассмотрена настройка backend-сервисов для реализации данной многофакторной аутентификации.
Мы рассмотрим реализацию этой задачи с помощью следующих продуктов и технологий:
Конфигурирование сервиса Azure Active Directory завершено, теперь создадим мобильное приложение и интегрируем в него многофакторную аутентификацию.
Как я сказал выше, мы для примера возьмем Xamarin Forms (бесплатная часть Visual Studio), который позволит нам, переиспользуя большую часть кода, получить сразу нативные мобильные приложения с поддержкой многофакторной аутентификации для iOS, Android и Windows UWP.
<
Все готово. Теперь мы рассмотрим также создание приложения с нуля.
Запускаем Visual Studio (я сейчас использую VS 2017, версия 15.6.7) с установленным Xamarin. Это можно проверить, запустив Visual Studio Installer и нажав Modify текущей инсталляции Visual Studio.
Познакомиться подробно с разработкой на Xamarin Forms можно, скачав бесплатную и очень подробную книгу знаменитого Чарльза Петцольда (думаю, многие помнят этого автора) «Creating Mobile Apps with Xamarin.Forms ».
В основном Page (окне) приложения MainPage.xaml добавим кнопку с обработчиком, для этого XAML-код для кнопки (Button) поместим вместе с существующим Label внутрь контейнера StackPanel. Этот простейший контейнер выстраивает внутри себя контролы в ряд по вертикали или горизонтали.
В Xamarin Forms язык XAML поддерживает множество различных контейнеров , причем их можно вкладывать друг в друга, создавая гибко масштабируемые интерфейсы под любые размеры экранов.
После этого сразу перейдем в файл MainPage.xaml.cs (для этого нужно развернуть секцию с MainPage.xaml, чтобы увидеть код/code-behind) и добавим обработчик нажатия кнопки, а также нужные нам идентификаторы и namespaces.
Using Microsoft.IdentityModel.Clients.ActiveDirectory;
using System;
using Xamarin.Forms;
namespace App17
{
public partial class MainPage: ContentPage
{
public static string clientId = "<
После этого прописываем в приложение в код идентификаторы, которые мы сконфигурировали при регистрации приложения в облачном сервисе Azure Active Directory. Их полное соответствие в приложении и сервисе необходимо, чтобы сервис не отклонял обращения приложения:
clientID - это Application ID из наших настроек облачного сервиса выше.
Public static string clientId = "<
returnURI - это Redirect URI из наших настроек облачного сервиса выше.
Public static string returnUri = "http://MFATestPCL-redirect";
Метод контроля доступа, требующий одновременного наличия двух компонентов со стороны пользователя. Помимо традиционных логина и пароля, принцип двухфакторности предполагает подтверждение личности пользователя с помощью того, что у него есть. Это может быть: смарт-карта, токен, ОТР-брелки, биометрические датчики и так далее. Чаще всего для второго этапа идентификации используется мобильный телефон, на который отсылается одноразовый код доступа.
Также в качестве второго идентификатора могут быть использованы биометрические данные человека: отпечаток пальца, радужная оболочка глаза и т.п. В системах контроля доступа для этого используются комбинированные (мультиформатные) считыватели, которые работают и с различного рода картами, и с биометрическими параметрами пользователей.
Осенью 2016 года SecureAuth Corporation совместно с Wakefield Research провели исследование, опросив 200 руководиителей IT отделов в США.
Исследование показало, что 69% организаций, скорее всего, отказаться от паролей в течение ближайших пяти лет.
"В сегодняшнем, все более цифровом, мире уже недостаточны даже многие традиционные подходы по двухфакторной аутентификации, не говоря уже о Single-факторе на основе пароля. Расходы, связанные с кибератаками, обходятся в миллионы долларов в год - в интересах каждого, чтобы сделать несанкционированный доступ наиболее проблематичным," - говорит Крейг Лунд, генеральный директор SecureAuth.
99% респондентов согласились с тем, что двухфакторная аутентификация является лучшим способом защиты прав доступа.
При этом, только 56% опрошенных защищают свои активы мультифакторными методами . 42% - в качестве причин, сдерживающих улучшение стратегии идентификации, называют: сопротивление от руководителей компании и нарушение традиционного уклада для пользователей.
Другие причины отказа от принятия улучшенной стратегии аутентификации:
"Организации используют устаревшие подходы аутентификации, которые требуют дополнительных шагов для пользователей, и неэффективны против современных продвинутых атак" , - говорит Кит Грэм, главный технический директор компании SecureAuth.
Среди мер, необходимых для включения в состав систем аутентификации респонденты называют:
А вот двухфакторная аутентификация на основе одноразовых SMS паролей - признана неэффективной в результате достаточного количества успешных фишинг-атак. Национальный институт стандартов и технологий (NIST) недавно сделал официальное заявление о том, что не рекомендует двухфакторную аутентификацию с помощью поставляемых по SMS одноразовых кодов.
Аналитическое агентство Gartner при формировании отчетов рассматривает не только качество и возможности продукта, но и характеристики вендора в целом, например, опыт продаж и работы с клиентами, полноту понимания рынка, бизнес-модель, инновации, стратегии маркетинга, продаж, развития индустрии и т.д.
Результатом оценки является MAGIC QUADRANT GARTNER (магический квадрат Gartner) - графическое отображение ситуации на рынке, позволяющее оценить возможности продуктов и самих производителей сразу по двум направлениям: по шкале «Видение» (видение того, как развивается и будет развиваться рынок, способность к инновациям) и «Способность к реализации» (способность занимать долю рынка, продавать систему). При этом, по ключевым параметрам вендоры разбиваются на 4 группы: лидеры, претенденты на лидерство, дальновидные и нишевые игроки.
Что касается аутентификации пользователей, аналитики Gartner отмечают увеличение инвестиции в контекстные и адаптивные методы. уже заняла конкретную нишу. Мобильные и облачные технологии находятся в процессе развития, накапливая пользовательский опыт для будущих разработок. По мнению специалистов, будущее аутентификаторов - Умные вещи.
Отметим, что только три компании, представленные в исследовании, присутствуют на Российском рынке решений для аутентификации. Это компании Gemalto, HID Global и SafeNet.
Сегодня многие сайты поддерживают двухфакторную аутентификации, так как простая комбинация «логин-пароль» не гарантирует должного уровня безопасности. Это стало очевидно после взлома iCloud.
07.09.2014 в iCloud произошла массовая утечка приватных фотографий. Используя метод атак перебором, направленных на учетные записи. Ответ Apple: компания развернула двухфакторную аутентификацию (2FA) для всех своих онлайн-служб.
"Используя мобильную платформу, строгая аутентификация может быть реализована в удобном для пользователя виде. Ближайшей тренд для мобильной платформы: использование преимуществ безопасных аппаратных элементов и доверенных сред исполнения. Это также относится и к (IOT), где востребованы более высокие уровни безопасности," - говорит Джейсон Сороко, менеджер по технологиям безопасности Entrust Datacard.
Использование только одного пароля не является эффективным средством защиты: его можно украсть или взломать. Использование дополнительных одноразовых паролей (на жестких носителях или в виде SMS сообщений) повышает уровень безопасности системы. Однако, SMS маркеры также могут быть взломаны и перенаправлены. Например, при помощи таких вредоносных программ, как Zitmo и Eurograbber в сочетании с Zeus и ее вариантами.
Хранение криптографических учетных данных в безопасной среде, такой как аппаратно защищенные элементы и доверенные среды исполнения, позволяет осуществить цифровую идентификацию внутри мобильной платформы: данные не покидают устройство и, таким образом, защищены от перехвата. При этом сохраняется возможность аутентификации при помощи удобного форм-фактора, который всегда у пользователя в кармане.
Информационный фактор (логический, фактор знания) – т.е. кода для идентификации требуется конфиденциальная информация, известная пользователю. Например, пароль, кодовое слово и т.п.
Физический фактор (фактор владения) – пользователь предоставляет для идентификации предмет, которым обладает. Например, или RIFD-метку. По сути, когда в процессе верификации на мобильный телефон или токен (пейджер) приходит одноразовый пароль – это тоже физический фактор: пользователь подтверждает, что владеет указанным устройством, путем введения полученного кода.
Биометрический фактор (биологический, фактор сущности) – пользователь предоставляет для идентификации уникальные данные, являющиеся его неотъемлемой сутью. Например, уникальный рисунок вен и другие биометрические особенности.
Многофакторная аутентификация является методом многогранного , когда пользователь может успешно пройти верификацию, продемонстрировав не менее двух факторов аутентификации.
Требование предъявить для верификации более одного независимого фактора увеличивает сложность предоставления ложных учетных данных. Двухфакторная аутентификация , как следует из названия, требует предоставления для проверки подлинности двух из трех независимых факторов аутентификации. Число и независимость факторов имеют важное значение, так как более независимые факторы подразумевают более высокую вероятность того, что носитель удостоверения идентичности на самом деле и есть зарегистрированный пользователь с соответствующими правами доступа.
Строгая аутентификация подразумевает, что для установления личности пользователя требуется проверка дополнительных сведений, т.е. одного пароля или одного ключа недостаточно. Это решение повышает уровень безопасности СКУД, как правило, без существенных дополнительных затрат или роста сложности системы. Зачастую, понятие строгой аутентификации, путают с двухфакторной или мультифакторной аутентификацией. Однако это не совсем верно.
Строгая аутентификация может быть реализована без использования нескольких независимых факторов. Например, система контроля доступа, требующая от пользователя пароль + ответ на один или несколько контрольных вопросов, - относится к сегменту строгой аутентификации, но не является многофакторной, т.к. использует только один фактор, логический. Также строгая аутентификация происходит в биометрической системе, требующей последовательно предъявить разные пальцы пользователя для считывания отпечатков. Таким образом, строгая аутентификация не всегда многофакторная, но многофакторная аутентификация – всегда строгая.
Кроме того, строгая аутентификация часто используется для организации доступа к корпоративным сетям и интернет-ресурсам компании. В таком случае в качестве одного из компонентов защиты может использоваться программный анализ поведения пользователя в сети (от географии точки входа и пути переходов внутри сети, до частоты нажатия клавиш). Если поведение пользователя кажется подозрительным (несвойственным ему) – система может заблокировать доступ и потребовать повторной верификации, и/или сформировать тревожное сообщение для службы безопасности.
Современные пользователи желают иметь постоянный доступ к рабочим ресурсам с любых мобильных и стационарных устройств (смартфон, планшет, ноутбук, домашний компьютер), что делает физический контроль доступа в рабочие помещения малоэффективным для защиты корпоративных сетей. При этом, защита только одним паролем не является достаточным гарантом кибербезопасности. Строгая аутентификация пользователей для доступа к сетевым ресурсам компании и разграничение прав доступа позволяют значительно снизить риски.
"На сегодняшний день остро стоит вопрос защиты от угроз «в собственных стенах». 81% компаний уже столкнулись с проблемой утечки данных вследствие халатности или умышленных действий сотрудников и других инсайдеров", - утверждают специалисты HID Global.
Тем временем, количество пользователей, которым необходим доступ к информации и ресурсам организации, только увеличивается. Кроме постоянных сотрудников компании, доступ порой требуется партнерам, консультантам, подрядчиками, заказчикам и т.д.
Простые в обращении и управлении системы строгой аутентификации могут работать с множеством различных типов пользователей, максимально обеспечивая потребности различных групп. При этом уменьшаются риски, связанные с доступом этих пользователей к инфраструктуре предприятия.
Многофакторная аутентификация является наиболее эффективным методом защиты от несанкционированного доступа, так как использование нескольких совершенно независимых факторов значительно уменьшает вероятность, что они будут использованы одновременно.
Самым простым и бюджетным решением являются двухфакторные системы, использующие сочетание физического и логического факторов доступа. Например, пароль + proximity карта, или пароль + RIFD метка.
Комбинаций бесчисленное множество. Чем больше независимых факторов используется в системе, тем выше уровень защиты. Но и стоимость возрастает пропорционально. Так, мультифакторная аутентификация из составляющих: карта доступа+палец+PIN – уже обойдется намного дороже.
Естественно, надежность решения складывается из надежности его элементов. Использование в предыдущем варианте многофакторной системы смарт-карт и биометрических считывателей с технологией живого пальца – значительно увеличивает ее эффективность.
Производители стремятся обеспечить возможность интеграции своих средств контроля доступа и программного обеспечения, с другими элементами и устройствами. Поэтому состав многофакторной системы аутентификации зависит исключительно от желаний заказчика (основанных обычно на оценке целесообразности повышения уровня защиты) и его бюджета.
Мультибиометрические системы – еще один пример строгой аутентификации, использующей для защиты от несанкционированного доступа только один фактор – биометрию. Тем не менее, такие решения часто называют многофакторными биометрическими системами, т.к. они используют для идентификации пользователя несколько различных биометрических характеристик. Например: отпечаток пальца + радужная оболочка глаза, отпечаток пальца + строение лица + уникальные характеристики голоса. Комбинации также могут различаться.
Мультибиометрические решения обеспечивают крайне высокий уровень защиты, ведь даже – занятие крайне трудоемкое. Не говоря уже об имитации сразу нескольких биометрических особенностей пользователя и обхода соответствующих алгоритмов защиты от подделок.
Основным недостатком СКУД с мультибиометрией является высокая цена. Впрочем, это не останавливает развитие рынка систем, совмещающих аутентификацию по нескольким биометрическим характеристикам в одном устройстве.
Перспективный американский стартап, компания Tascent, выпустила устройство, имеющее небольшой форм-фактор, но при этом совмещающее распознавание голоса, лица, отпечатка пальца и радужной оболочки глаза - Tascent M6.
Новинка работает на базе смартфонов Apple iPhone 6 или iPhone 6S и представляете собой футляр для телефона толщиной всего 38 мм, который для обеспечения надежного, высокоскоростного подключения использует разъем Lightning.
Tascent M6 включает считыватель для распознавания сразу двух отпечатков пальцев при помощи сенсора Sherlock (Integrated Biometrics), дает возможность распознавания голоса, лица по фотографии. Распознавание радужной оболочки глаза, на базе собственной разработки компании InSight Duo, проводится сразу по двум глазам (является опцией). Кроме того, для устройство позволяет осуществлять быстрое считывание информации с универсальных проездных документов включая паспорта, туристические визы и национальные удостоверения личности.
Портативное миниатюрное мультибиометрическое оборудование Tascent M6 позволяет записывать в память до 100000 шаблонов, весит всего 425 грамм (включая вес смартфона), имеет класс защиты IP65 и может работать не менее 8 часов без подзарядки. Открытая архитектура и совместимость с мировыми стандартами обеспечивают быструю интеграцию и развертывание с помощью новых или существующих систем.
"Наше третье поколение Tascent Mobile, в Tascent M6, - сочетает в себе ведущие мировые смартфоны с передовыми технологиями мультимодальной биометрии, что обеспечивает прорыв в использовании мобильных биометрических возможностей тонко настроенных на потребности конечных пользователей. Например, в сфере путешествий, управления границами, гуманитарной помощи, правоохранительных органов и гражданского ID," - говорят разработчики в компании Tascent.
Не так давно ZKAccess объявила о выпуске FV350 - первого в отрасли мультибиометрического считывателя, совмещающего одновременное считывание отпечатка пальца и рисунка вен. Устройство способно хранить комбинированные биометрические данные 1000 пользователей и провести идентификацию менее чем за две секунды.
И вот уже новый виток развития биометрических устройств - гибкий датчик отпечатков пальцев на пластике, разработанный для биометрических приложений компаниями FlexEnable и ISORG.
Мультибиометрический датчик может измерять отпечаток пальца, а также конфигурацию вен на пальцах. Чувствительный элемент имеет размеры 8,6х8,6 см, толщину 0,3 мм, а главное может быть закреплен на любой поверхности или даже обернут вокруг нее (например, вокруг руля автомобиля, дверной ручки или кредитной карты).
"Этот прорыв вызовет развитие производства биометрических продуктов нового поколения. Ни одно другое решение не может предложить комбинацию большой чувствительной области, считывания отпечатков пальцев и рисунка вен, а также гибкости, легкости и прочности," - говорит Жан-Ив Гомес, генеральный директор ISORG.
Bio-Metrica выпустила новую Облачную версию BII портативной системы многофакторной аутентификации, включающей биометрию. Облачная BII обеспечивает быстрое развертывание, высокую производительность и возможность быстрого масштабирования в сторону увеличения или уменьшения системы в течение нескольких часов.
Основное преимущество такой мультисистемы – отсутствие необходимости построения ИТ-инфраструктуры (серверы, административные системы, сетевое оборудование и т.д.) и дополнительного обслуживающего персонала. Как следствие, сокращаются расходы на инсталляцию системы.
Это при высоком уровне безопасности за счет многофакторной аутентификации, а также, благодаря облачному сервису, больших ресурсах по вычислительной мощности, доступной оперативной памяти, дополнительным сетевых каналам и т.д.
CloudBII также может быть развернут в качестве аппаратной установки для . Именно это направление компания намеренна активно развивать в будущем.
Материал спецпроекта "Без ключа"
Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт
В основе двухфакторной аутентификации лежит использование не только традиционной связки «логин-пароль», но и дополнительного уровня защиты - так называемого второго фактора, обладание которым нужно подтвердить для получения доступа к учётной записи или другим данным.
Простейший пример двухфакторной аутентификации, с которым постоянно сталкивается каждый из нас, - это снятие наличных через банкомат. Чтобы получить деньги, нужна карта, которая есть только у вас, и PIN-код, который знаете только вы. Заполучив вашу карту, злоумышленник не сможет снять наличность не зная PIN-кода и точно так же не сможет получить деньги зная его, но не имея карты.
По такому же принципу двухфакторной аутентификации осуществляется доступ к вашим аккаунтам в соцсетях, к почте и другим сервисам. Первым фактором является комбинация логина и пароля, а в роли второго могут выступать следующие 5 вещей.
Подтверждение с помощью SMS-кодов работает очень просто. Вы, как обычно, вводите свой логин и пароль, после чего на ваш номер телефона приходит SMS с кодом, который нужно ввести для входа в аккаунт. Это всё. При следующем входе отправляется уже другой SMS-код, действительный лишь для текущей сессии.
Преимущества
Недостатки
Этот вариант во многом похож на предыдущий, с тем лишь отличием, что, вместо получения кодов по SMS, они генерируются на устройстве с помощью специального приложения (Google Authenticator , Authy). Во время настройки вы получаете первичный ключ (чаще всего - в виде QR-кода), на основе которого с помощью криптографических алгоритмов генерируются одноразовые пароли со сроком действия от 30 до 60 секунд. Даже если предположить, что злоумышленники смогут перехватить 10, 100 или даже 1 000 паролей, предугадать с их помощью, каким будет следующий пароль, просто невозможно.
Преимущества
Недостатки
Данный тип аутентификации можно назвать сборной солянкой из всех предыдущих. В этом случае, вместо запроса кодов или одноразовых паролей, вы должны подтвердить вход с вашего мобильного устройства с установленным приложением сервиса. На устройстве хранится приватный ключ, который проверяется при каждом входе. Это работает в Twitter, Snapchat и различных онлайн-играх. Например, при входе в ваш Twitter-аккаунт в веб-версии вы вводите логин и пароль, потом на смартфон приходит уведомление с запросом о входе, после подтверждения которого в браузере открывается ваша лента.
Преимущества
Недостатки
Физические (или аппаратные) токены являются самым надёжным способом двухфакторной аутентификации. Будучи отдельными устройствами, аппаратные токены, в отличие от всех перечисленных выше способов, ни при каком раскладе не утратят своей двухфакторной составляющей. Чаще всего они представлены в виде USB-брелоков с собственным процессором, генерирующим криптографические ключи, которые автоматически вводятся при подключении к компьютеру. Выбор ключа зависит от конкретного сервиса. Google, например, рекомендует использовать токены стандарта FIDO U2F, цены на которые начинаются от 6 долларов без учёта доставки.
Преимущества
Недостатки
По сути, это не отдельный способ, а запасной вариант на случай утери или кражи смартфона, на который приходят одноразовые пароли или коды подтверждения. При настройке двухфакторной аутентификации в каждом сервисе вам дают несколько резервных ключей для использования в экстренных ситуациях. С их помощью можно войти в ваш аккаунт, отвязать настроенные устройства и добавить новые. Эти ключи стоит хранить в надёжном месте, а не в виде скриншота на смартфоне или текстового файла на компьютере.
Как видите, в использовании двухфакторной аутентификации есть некоторые нюансы, но сложными они кажутся лишь на первый взгляд. Каким должно быть идеальное соотношение защиты и удобства, каждый решает для себя сам. Но в любом случае все заморочки оправдываются с лихвой, когда дело заходит о безопасности платёжных данных или личной информации, не предназначенной для чужих глаз.
Где можно и нужно включить двухфакторную аутентификацию, а также о том, какие сервисы её поддерживают, можно прочесть .
Пароли не взламывает только ленивый. Недавняя массовая утечка учетных записей из Yahoo только подтверждает тот факт, что одного лишь пароля - и совершенно неважно, какой он будет длины и сложности, - уже недостаточно для надежной защиты. Двухфакторная аутентификация - это то, что обещает дать такую защиту, добавляя дополнительный уровень безопасности.
В теории все выглядит неплохо, да и на практике, в общем-то, работает. Двухфакторная аутентификация действительно усложняет взлом учетной записи. Теперь злоумышленнику недостаточно выманить, украсть или взломать основной пароль. Для входа в учетную запись необходимо ввести еще и одноразовый код, который... А вот каким именно образом получается этот одноразовый код - и есть самое интересное.
Ты неоднократно сталкивался с двухфакторной аутентификацией, даже если никогда не слышал о ней. Когда-нибудь вводил одноразовый код, который тебе присылали через СМС? Это оно, частный случай двухфакторной аутентификации. Помогает? Честно говоря, не очень: злоумышленники уже научились обходить и этот вид защиты.
Сегодня мы рассмотрим все виды двухфакторной аутентификации, применяемой для защиты учетных записей Google Account, Apple ID и Microsoft Account на платформах Android, iOS и Windows 10 Mobile.
Впервые двухфакторная аутентификация появилась в устройствах Apple в 2013 году. В те времена убедить пользователей в необходимости дополнительной защиты было непросто. В Apple не стали и стараться: двухфакторная аутентификация (получившая название двухэтапной проверки, или Two-Step Verification) использовалась только для защиты от прямого финансового ущерба. Например, одноразовый код требовался при совершении покупки с нового устройства, смене пароля и для общения со службой поддержки на темы, связанные с учетной записью Apple ID.
Добром это все не кончилось. В августе 2014 года произошла массовая утечка фотографий знаменитостей . Хакеры сумели получить доступ к учетным записям жертв и скачали фото из iCloud. Разразился скандал, в результате которого Apple в спешном порядке расширила поддержку двухэтапной проверки на доступ к резервным копиям и фотографиям в iCloud. В это же время в компании продолжались работы над методом двухфакторной аутентификации нового поколения.
Для доставки кодов двухэтапная проверка использует механизм Find My Phone, изначально предназначенный для доставки push-уведомлений и команд блокировки в случае потери или кражи телефона. Код выводится поверх экрана блокировки, соответственно, если злоумышленник добудет доверенное устройство, он сможет получить одноразовый код и воспользоваться им, даже не зная пароля устройства. Такой механизм доставки - откровенно слабое звено.
Также код можно получить в виде СМС или голосового звонка на зарегистрированный телефонный номер. Такой способ ничуть не более безопасен. SIM-карту можно извлечь из неплохо защищенного iPhone и вставить в любое другое устройство, после чего принять на нее код. Наконец, SIM-карту можно клонировать или взять у сотового оператора по поддельной доверенности - этот вид мошенничества сейчас приобрел просто эпидемический характер.
Если же у тебя нет доступа ни к доверенному iPhone, ни к доверенному телефонному номеру, то для доступа к учетной записи нужно использовать специальный 14-значный ключ (который, кстати, рекомендуется распечатать и хранить в безопасном месте, а в поездках - держать при себе). Если же ты потеряешь и его, то мало не покажется: доступ в учетную запись может быть закрыт навсегда.
Если честно, не очень. Двухэтапная проверка реализована из рук вон плохо и заслуженно получила репутацию худшей системы двухфакторной аутентификации из всех игроков «большой тройки». Если нет другого выбора, то двухэтапная проверка - это все же лучше, чем ничего. Но выбор есть: с выходом iOS 9 Apple представила совершенно новую систему защиты, которой дали бесхитростное название «двухфакторная аутентификация».
В чем именно слабость этой системы? Во-первых, одноразовые коды, доставленные через механизм Find My Phone, отображаются прямо на экране блокировки. Во-вторых, аутентификация на основе телефонных номеров небезопасна: СМС могут быть перехвачены как на уровне провайдера, так и заменой или клонированием SIM-карты. Если же есть физический доступ к SIM-карте, то ее можно просто установить в другое устройство и получить код на совершенно законных основаниях.
Также имей в виду, что преступники научились получать SIM-карты взамен «утерянных» по поддельным доверенностям. Если твой пароль украли, то уж узнать твой номер телефона - плевое дело. Подделывается доверенность, получается новая SIM-карта - собственно, для доступа к твоей учетной записи больше ничего и не требуется.
Взломать этот вариант двухфакторной аутентификации достаточно несложно. Есть несколько вариантов:
Защита с помощью двухэтапной проверки несерьезна. Не используй ее вообще. Вместо нее включи настоящую двухфакторную аутентификацию.
Вторая попытка Apple носит официальное название «двухфакторная аутентификация». Вместо того чтобы сменить предыдущую схему двухэтапной проверки, две системы существуют параллельно (впрочем, в рамках одной учетной записи может использоваться лишь одна из двух схем).
Двухфакторная аутентификация появилась как составная часть iOS 9 и вышедшей одновременно с ней версии macOS. Новый метод включает дополнительную проверку при любой попытке зайти в учетную запись Apple ID с нового устройства: на все доверенные устройства (iPhone, iPad, iPod Touch и компьютеры под управлением свежих версий macOS) моментально приходит интерактивное уведомление. Чтобы получить доступ к уведомлению, нужно разблокировать устройство (паролем или датчиком отпечатка пальцев), а для получения одноразового кода потребуется нажать на кнопку подтверждения в диалоговом окне.
Как и в предыдущем методе, в новой схеме возможно получение одноразового пароля в виде СМС или голосового звонка на доверенный телефонный номер. Однако, в отличие от двухэтапной проверки, пользователю в любом случае будут доставлены push-уведомления, и неавторизованную попытку зайти в учетную запись пользователь может заблокировать с любого из своих устройств.
Поддерживаются и пароли приложений. А вот от кода восстановления доступа в Apple отказались: если ты потеряешь свой единственный iPhone вместе с доверенной SIM-картой (которую по каким-то причинам не сможешь восстановить), для восстановления доступа к учетной записи тебе придется пройти настоящий квест с подтверждением личности (и нет, скан паспорта таким подтверждением не является... да и оригинал, что называется, «не канает»).
Зато в новой системе защиты нашлось место для удобной и привычной офлайновой схемы генерации одноразовых кодов. Для нее используется совершенно стандартный механизм TOTP (time-based one-time password), который каждые тридцать секунд генерирует одноразовые коды, состоящие из шести цифр. Эти коды привязаны к точному времени, а в роли генератора (аутентификатора) выступает само доверенное устройство. Коды добываются из недр системных настроек iPhone или iPad через Apple ID -> Password and Security.
Мы не станем подробно объяснять, что такое TOTP и с чем его едят, но об основных отличиях реализации этого метода в iOS от аналогичной схемы в Android и Windows рассказать все-таки придется.
В отличие от основных конкурентов, Apple позволяет использовать в качестве аутентификаторов исключительно устройства собственного производства. В их роли могут выступать доверенные iPhone, iPad или iPod Touch под управлением iOS 9 или 10. При этом каждое устройство инициализируется уникальным секретом, что позволяет в случае его утраты легко и безболезненно отозвать с него (и только с него) доверенный статус. Если же скомпрометирован окажется аутентификатор от Google, то отзывать (и заново инициализировать) придется статус всех инициализированных аутентификаторов, так как в Google решили использовать для инициализации единственный секрет.
В сравнении с предыдущей реализацией новая схема все же более безопасна. Благодаря поддержке со стороны операционной системы новая схема более последовательна, логична и удобна в использовании, что немаловажно с точки зрения привлечения пользователей. Система доставки одноразовых паролей также существенно переработана; единственное оставшееся слабое звено - доставка на доверенный телефонный номер, который пользователь по-прежнему должен верифицировать в обязательном порядке.
Теперь при попытке входа в учетную запись пользователь мгновенно получает push-уведомления на все доверенные устройства и имеет возможность отклонить попытку. Тем не менее при достаточно быстрых действиях злоумышленник может успеть получить доступ к учетной записи.
Так же как и в предыдущей схеме, двухфакторную аутентификацию можно взломать с помощью маркера аутентификации, скопированного с компьютера пользователя. Атака на SIM-карту тоже сработает, но попытка получить код через СМС все же вызовет уведомления на всех доверенных устройствах пользователя, и он может успеть отклонить вход. А вот подсмотреть код на экране заблокированного устройства уже не удастся: придется разблокировать девайс и дать подтверждение в диалоговом окне.
Уязвимостей в новой системе осталось не так много. Если бы Apple отказалась от обязательного добавления доверенного телефонного номера (а для активации двухфакторной аутентификации хотя бы один телефонный номер верифицировать придется в обязательном порядке), ее можно было бы назвать идеальной. Увы, необходимость верифицировать телефонный номер добавляет серьезную уязвимость. Попытаться защититься можно точно так же, как ты защищаешь номер, на который приходят одноразовые пароли от банка.
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как, впрочем, и ряду компаний, выполняющих научно-исследовательские, опытно-конструкторские и технологические работы (НИОКР) в высокотехнологичных секторах рынка.
Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.
Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно - целевой номер телефона.
Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.
И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.
В начале 2014 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила методический документ о мерах защиты информации в государственных информационных системах. Документ прояснил многие аспекты, касающихся организационных и технических мер защиты информации, принимаемых в государственных информационных системах, в соответствии с утверждённым приказом ФСТЭК России от 11 февраля 2013 г. No17.
ФСТЭК настоятельно рекомендует полностью отказаться от привычной аутентификации на основе статических паролей для всех пользователей без исключения и перейти к более надежной многофакторной аутентификации. Обязательными требованиями для многофакторной аутентификации является использование аппаратных аутентификаторов и механизма одноразовых паролей при удаленном и локальном доступе.
При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.
Однако, стоит понимать – биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные - отпечаток пальца или результат сканирования сетчатки глаза.
Эти технологии в большей степени годятся для использования в корпоративных сетях.
Наиболее популярной технологией в этом направлении в недалеком будущем может стать голосовая аутентификация и признаки тому очевидны. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров , аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.
Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID -меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов – Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатываться поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.
Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.
При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации , по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе – с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании , Дании и ряда других стран.
В конце декабря 2019 года группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру. Эксперты считают, что хакеры разработали новую методику обхода двухфакторной аутентификации , что встревожило сообщество кибербезопасности .
Впервые хакерскую деятельность, приписываемую группе APT20, обнаружили в 2011 году. Она занималась взломом и доступом к данным государственных структур, крупных компаний и поставщиков услуг в США , странах Южной Америки и Европы. В 2016–2017 годах группа исчезла из поля зрения специалистов, и лишь недавно голландская компания Fox-IT, специализирующаяся на консалтинговых услугах по кибербезопасности, обнаружила следы вмешательства APT20 в сети одного из своих клиентов, который попросил расследовать нарушения в целостности сети.
Исследователи Fox-IT подробно описали методику взлома. По мнению специалистов, группа хакеров использовала веб-серверы в качестве точки входа, в частности, платформу корпоративных приложений Jboss . Проникнув в систему и установив веб-оболочки, хакеры расходились по сетям жертв. Найденные пароли и учётные записи позволяли злоумышленникам красть данные с помощью стандартных инструментов, без установки вирусов.
Но хуже всего оказалось то, что группа APT20 смогла обойти двухфакторную авторизацию, получив доступ к защищенным учетным записям VPN . Наиболее вероятно, что хакеры смогли украсть из взломанной системы программный токен RSA SecurID и модифицировать его таким образом, чтобы разорвать связь с локальной системой. Обычно без него программа RSA SecurID выдаёт ошибку, однако хакеры обошли весь комплекс начальной проверки и с помощью украденной программы смогли беспрепятственно генерировать одноразовые коды для обхода двухфакторной защиты.
По словам специалистов из Microsoft, пользователи, включившие многофакторную аутентификацию для своих учетных записей, в итоге блокируют 99,9% автоматических атак . Рекомендация распространяется не только на учетные записи Microsoft, но и на любой другой профиль, web-сайт или online-сервис. Если поставщик услуг поддерживает многофакторную аутентификацию, Microsoft рекомендует использовать ее, независимо от того, является ли она чем-то простым, как одноразовые SMS -пароли или расширенные биометрические решения.
По словам исследователей из Microsoft, такие старые советы, как «никогда не используйте пароль, который когда-либо был скомпрометирован» или «используйте действительно длинные пароли», в последние годы не очень помогают. В настоящее время киберпреступники имеют в своем распоряжении различные методы, позволяющие получить учетные данные пользователей, и в большинстве случаев пароль и его сложность не имеют значения.
От постоянных попыток мошеннического входа защитит включение многофакторной аутентификации . Она не сможет заблокировать только 0,1% атак, в ходе которых киберпреступники используют технические решения для захвата токенов МФА, но они происходят крайне редко.
11 февраля 2019 года стало известно, что житель Калифорнии Джей Бродски (Jay Brodsky) подал в суд на компанию Apple за «незаконное» включение двухфакторной аутентификации . Бродски жалуется на то, что двухфакторная аутентификация существенно усложняет жизнь пользователям, поскольку от них требуется не только помнить пароль, но еще и иметь доступ к доверенному телефону или телефонному номеру. Подробнее .
В документе содержится прямое указание на то, что использование SMS -сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).
Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства».
Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP -сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.
Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека" - говорится в документе NIST.
Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:
То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона , его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.
При этом можно предсказать, что первыми "под раздачу" будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.
Одноразовые пароли через SMS
Одноразовые пароли через PUSH
Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS .
Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО . Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.
Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play . Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.
Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS -сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.
Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.
Два фактора авторизации в системе «Яндекса» следующие: информация о принадлежности устройства конкретному пользователю, которая хранится на серверах «Яндекса», и знание пользователем своего четырехзначного пина (или его отпечаток пальца), пояснили в компании.
Каждый раз при вводе пин-кода (или при срабатывании Touch ID) в приложении генерируется уникальный одноразовый код, который действует 30 секунд. При этом часть кода генерируется из пин-кода, который знают только пользователь и «Яндекс», и часть - из данных приложения. В одноразовом коде зашифрованы оба «секрета». «Таким образом, исключается вариант, когда один из факторов был скомпрометирован и злоумышленник подбирает данные второго фактора», - добавили в «Яндексе».
Если считать QR-код не получается, например, не работает камера смартфона или нет доступа к интернету приложение «Яндекс.Ключ» создаст одноразовый пароль из символов. Он также будет действовать в течение только 30 секунд.
После перехода на двухфакторную аутентификацию существующий пароль пользователя перестанет работать на всех установленных программах, использующих логин и пароль «Яндекса», включая «Яндекс.Диск», почтовые программы, настроенные на сбор почты из «Яндекс.Почты», синхронизацию в «Яндекс.Браузере», предупредили в компании. Для каждого приложения будет необходим свой новый пароль - он будет создан в «Яндекс.Паспорте», в настройке «Пароли приложений». Его необходимо будет ввести один раз в каждом приложении.
В компании может быть несколько различных информационных систем, источников ресурсов, требующих аутентификации:
И поскольку перед пользователем стоит задача - соответствовать требованиям политики безопасности по сложности и уникальности паролей, ее решение представляет определенные трудности для исполнения пользователем, а в технологическом плане - это разрозненные системы аутентификации, не связанные между собой, не гибкие, требующие большого объема ресурсов для поддержки. Все вкупе ведет к дополнительным расходам и «неповоротливости» компании при внесении изменений в способах аутентификации.
Разрешить вопросы и помочь в решении стоящих задач может сервер аутентификации - единый центр администрирования всех процессов проверки подлинности сразу для всех приложений/сервисов/ресурсов. Промышленные серверы такого типа поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP , обычный пароль, SMS , CAP/DPA и другие. Каждый ресурс, использующий сервер аутентификации, может использовать метод, который требуется именно ему.
С использованием серверов аутентификации ИТ-администраторы получают единый интерфейс управления учетными данными пользователей, гибкие возможности по смене методов проверки подлинности. Бизнес получает надежную защиту доступа к сервисам и ресурсам в виде двухфакторной аутентификации, что повышает лояльность пользователей, как внутренних, так и внешних.
Добавление второго фактора для проверки подлинности, при действующем сервере аутентификации, не потребует от компании создания новых программно-технических средств и закупки новых токенов.
В качестве примера: банк А проверял подлинность владельцев дебетовых или кредитных карт в клиент-банке по сертификатам на USB -токенах. Его платежные карты были исключительно с магнитной полосой, но в какой-то момент банк наладил выпуск карт с EMV-чипом, который, по сути, является микрокомпьютером. Карту с EMV-чипом можно использовать для аутентификации по алгоритму Master Card Chip Authentication Program (CAP). То есть теперь банк А может отказаться от применения для каждого пользователя дорогостоящих PKI-токенов и сменить этот метод аутентификации на CAP, для которого требуется только недорогой криптокалькулятор. Через некоторое время банк А начинает выпуск платежных карт с дисплеем и реализованным алгоритмом OATH TOTP и для того, чтобы избавить пользователя от использования дополнительного криптокалькулятора, настраивает аутентификацию TOTP для клиент-банка. Следует понимать, что помимо дистанционного банковского обслуживания в банке А есть множество других сервисов, как внутренних, так и предназначенных для клиентов или партнеров, требующих аутентификации. Для каждого приложения служба информационной безопасности может выдвинуть свои требования по необходимым методам проверки подлинности пользователей. Вся аутентификация банка А может производиться на сервере аутентификации. Нет никакой необходимости заниматься разработками для каждого приложения отдельно.
Такая гибкость и легкость добавления новых методов проверки подлинности недостижима без сервера аутентификации. Сокращение времени на эти задачи столь значительно, что позволяет говорить о быстроте ввода продукта в эксплуатацию как о конкурентном преимуществе.
Доступность строгой аутентификации в виде специализированного программного обеспечения позволяет добавлять многофакторность приложениям, прежде не обладающим таким функционалом, без комплексных доработок. Практически все информационные системы, сервисы, приложения, не поддерживающие строгую аутентификацию «из коробки», могут использовать возможности сервера аутентификации для доступа пользователей.
Windows , OS X, Linux и Chrome OS. Для работы с USB-ключом необходимо использовать браузер Google Chrome версии 38 и выше.
Использование USB-ключей полностью бесплатно, однако пользователи должны приобретать их за свой счет. Ключи отличаются дизайном. Самая дорогая модель за $60 оснащена технологией Java Card.
Двухфакторную аутентификацию с отсылкой SMS -сообщения с кодом подтверждения Google запустила в 2011 г. В январе 2013 г. корпорация сообщила, что планирует разработать и предложить физические средства подтверждения личности. В частности, именно тогда речь зашла о доступе к сервисам Google с помощью USB-ключей.
Лишь 34% опрошенных уверены, что сотрудники в состоянии сделать все необходимое для защиты компании от компьютерных угроз.
Трейдеры проводили часами у монитора, чтобы следить за сделками и вовремя активировать или закрыть контракт. С появлением приложений Форекс для Андроид и iOS удаленная торговля стала гораздо проще. ТОП лучших программ для мобильного трейдинга Приложения п
С приближением новогодних праздников люди заглядывают в кошельки для оценки финансовой состоятельности и способности выдержать грядущий денежный «натиск». Если не задуматься, где взять деньги на Новый год уже сегодня, имеется риск встретить праздник одном
Итак, некоторые игроки в "Майнкрафт" начинают жаловаться на сообщение "Ошибка входа: недопустимая сессия. Попробуйте перезагрузить игру". Почему появляется данная неполадка? Как с ней бороться? И вообще, стоит ли делать это? Давайте попробуем разобраться
Многие пользователи Payday 2 уже оценили всю прелесть игрового процесса. Однако, помимо хорошей стороны, существуют еще и различные проблемы, с которыми приходится сталкиваться как во время игры, так и до ее начала, в процессе установки и настройки. Если
По данным Japan BCN Award, современный рынок зеркальных фотоаппаратов не просто оккупирован японскими производителями, а фактически превратился в поле битвы титанов - Canon с 61,1% рынка и Nikon - с 34,4% по сути поделили его, доля камер от тех же Sony
Найти дома тайник для хранения сбережений, драгоценностей, важных бумаг несложно. Проблема в том, что это небезопасно. Воры знают популярные места. Самый очевидный выход, если вариант с вкладом, ячейкой и банком не рассматривается - это купить сейф. Расск