Ασφαλίστε τη σύνδεση σας με έναν νέο τρόπο σκέψης.
Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης , που βασίζεται σε έξυπνες κάρτες ή FIDO2, αλλάζει ριζικά τον τρόπο επεξεργασίας του 2FA. Σε ένα μοντέλο χωρίς κωδικό πρόσβασης, η επικύρωση του πρώτου παράγοντα και του δεύτερου παράγοντα μετατοπίζεται αποκλειστικά στον έλεγχο ταυτότητας. Συνήθως ο πρώτος παράγοντας είναι η φυσική κατοχή του ίδιου του εργαλείου ελέγχου ταυτότητας και ο δεύτερος παράγοντας είναι το PIN ή μια βιομετρική επικύρωση για να ξεκλειδώσετε τον έλεγχο ταυτότητας και να εκτελέσετε την κρυπτογραφική λειτουργία.
Από την άποψη του FIDO, ο έλεγχος ταυτότητας ελέγχει το ιδιωτικό κλειδί. Ο έλεγχος ταυτότητας μπορεί να είναι ο ασφαλής θύλακας ή η ζώνη αξιοπιστίας του smartphone, το TPM ενός υπολογιστή ή το ασφαλές στοιχείο του YubiKey. Είναι μια ζωτικής σημασίας δουλειά του επαληθευτή να διασφαλίσει ότι το ιδιωτικό κλειδί είναι ασφαλές, ώστε να μην μπορεί να κλαπεί ή να κλωνοποιηθεί.
Διασφάλιση ότι χρησιμοποιείται το 2FA και ότι ο έλεγχος ταυτότητας αποθηκεύει σωστά το υλικό του ιδιωτικού κλειδιού.
Δεδομένου ότι ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης μετατοπίζει μεγάλο μέρος της διαδικασίας ελέγχου ταυτότητας στον έλεγχο ταυτότητας, πώς γνωρίζουμε ότι το 2FA χρησιμοποιείται στην πραγματικότητα και ότι ο έλεγχος ταυτότητας αποθηκεύει σωστά το υλικό του ιδιωτικού κλειδιού;
Με το πρότυπο έξυπνης κάρτας PIV, ο δεύτερος παράγοντας είναι μέσω του PIN που ξεκλειδώνει την έξυπνη κάρτα. Ο έλεγχος ταυτότητας FIDO2 μπορεί προαιρετικά να χρησιμοποιηθεί ως κρυπτογραφικός έλεγχος ταυτότητας πολλαπλών παραγόντων. Στο FIDO2, η επαλήθευση χρήστη (UV) χρησιμεύει για να διασφαλίσει ότι το άτομο που επαληθεύει την ταυτότητα σε μια υπηρεσία είναι στην πραγματικότητα αυτό που λένε ότι είναι για τους σκοπούς της υπηρεσίας και ότι ελέγχει τα διαπιστευτήρια του ιδιωτικού κλειδιού. Ο χρήστης είναι εξουσιοδοτημένος να επαληθεύσει την ταυτότητά του εισάγοντας ένα PIN ή ένα βιομετρικό στοιχείο, όπως ένα δακτυλικό αποτύπωμα μέσω μιας προτροπής στον πελάτη. Ο έλεγχος ταυτότητας εκτελεί επαλήθευση χρήστη και αποκρίνεται στο RP ότι το UV ήταν επιτυχές με τρόπο που είναι κρυπτογραφικά επαληθεύσιμος από το RP (relying party). Όταν χρησιμοποιείτε ένα διαπιστευτήριο FIDO2 για τη ροή χωρίς κωδικό πρόσβασης, η υπεριώδης ακτινοβολία πρέπει να οριστεί σε “ΑΠΑΙΤΕΙΤΑΙ” και το IDP (identity provider) πρέπει να το ελέγξει και να το επιβάλει.
Η επαλήθευση χρήστη παρέχει έναν σημαντικό παράγοντα ελέγχου ταυτότητας, αλλά όπως αναφέρθηκε παραπάνω, το εξαρτημένο μέρος δεν έχει καμία ορατότητα στη διαδικασία επαλήθευσης χρήστη. Ο επαληθευτής επικυρώνει τον χρήστη και ενημερώνει το εξαρτημένο μέρος για την ενέργεια UV. Το RP βασίζεται στον έλεγχο ταυτότητας για να χειριστεί σωστά την επεξεργασία UV και να επιστρέψει την κατάλληλη απόκριση. Αν και αυτό μειώνει τη συνολική πολυπλοκότητα του MFA, το εξαρτημένο μέρος πρέπει να εμπιστεύεται ότι ο υπεύθυνος ελέγχου ταυτότητας εκτελεί τη διαδικασία ελέγχου ταυτότητας με ασφάλεια. Ακολουθώντας τις αρχές Zero Trust, πώς μπορεί ο έλεγχος ταυτότητας να επαληθευτεί ως αξιόπιστος;
Τι σημαίνει για έναν επαληθευτή να είναι αξιόπιστος.
Προκειμένου να κατανοηθούν οι ιδιότητες ασφαλείας ενός εργαλείου ελέγχου ταυτότητας, τα εξαρτημένα μέρη θα πρέπει να ελέγχουν τις δηλώσεις βεβαίωσης της συσκευής. Η βεβαίωση επιτρέπει σε κάθε εξαρτώμενο μέρος να χρησιμοποιήσει μια κρυπτογραφικά επαληθευμένη αλυσίδα εμπιστοσύνης από τον κατασκευαστή της συσκευής, έτσι ώστε οι αποφάσεις πρόσβασης να μπορούν να λαμβάνονται με βάση ένα προφίλ κινδύνου. Οι πληροφορίες βεβαίωσης πρέπει να συλλέγονται, ώστε να μπορούν να ληφθούν τρέχουσες και μελλοντικές αποφάσεις, έως και τον αποκλεισμό, εάν προκύψουν προβλήματα. Τα κλειδιά βεβαίωσης ρυθμίζονται κατά τον χρόνο κατασκευής και δεν μπορούν να τροποποιηθούν ή να εξαχθούν. Η βεβαίωση παρέχει διασφάλιση των ιδιοτήτων του αυθεντικοποιητή όπως δηλώνεται από τον κατασκευαστή. Η βεβαίωση είναι ένα ισχυρό εργαλείο για την παροχή πρόσθετης διασφάλισης ότι ο έλεγχος ταυτότητας είναι ένα έγκυρο προϊόν ελέγχου ταυτότητας από έναν αξιόπιστο κατασκευαστή. Δεν υποστηρίζουν όλοι οι κατασκευαστές συσκευών ελέγχου ταυτότητας την πιστοποίηση στα διάφορα πρωτόκολλα ελέγχου ταυτότητας. Επιπλέον, κάθε πλατφόρμα που διαθέτει ενσωματωμένο έλεγχο ταυτότητας μπορεί να χειρίζεται διαφορετικά τη βεβαίωση. Είναι σημαντικό να κατανοήσουμε πώς κάθε συσκευή και κατασκευαστής εφαρμόζει βεβαίωση για να επωφεληθεί από αυτόν τον έλεγχο ασφαλείας. Η Yubico έχει σαφείς οδηγίες σχετικά με τον τρόπο εφαρμογής βεβαίωσης για τα πρωτόκολλα που δημιουργούν ασύμμετρα ζεύγη κλειδιών στη συσκευή, όπως π.χ.WebAuthn , PIV και PGP .
Ο έλεγχος ταυτότητας πρέπει να διασφαλίσει ότι οι διαδικασίες που εκτελεί είναι ασφαλείς και ότι το βασικό υλικό δεν μπορεί να αντιγραφεί από τη συσκευή. Εάν είναι δυνατόν, θα μπορούσε να αναπτυχθεί ένας κλωνοποιημένος έλεγχος ταυτότητας και να χρησιμοποιηθεί για τον έλεγχο ταυτότητας. Ο κατασκευαστής του εργαλείου ελέγχου ταυτότητας πρέπει να συμμορφώνεται με τις βέλτιστες πρακτικές ασφαλείας για να διασφαλίσει ότι τα διαπιστευτήρια δεν μπορούν να εξαχθούν. Μπορείτε να μάθετε περισσότερα σχετικά με τον τρόπο με τον οποίο η Yubico εκτελεί την ασφαλή κατασκευή εδώ .
Σύνοψη ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης.
Από την αρχή των υπολογιστών, κάτι που γνωρίζετε (ένας κωδικός πρόσβασης) ήταν ο πρωταρχικός παράγοντας και η νοοτροπία μας ήταν να διασφαλίσουμε αυτά που γνωρίζετε. Αυτό δεν ισχύει πλέον όταν μεταβαίνουμε σε έναν κόσμο χωρίς κωδικό πρόσβασης. Ο κλάδος έχει μετατοπιστεί σε κάτι που έχετε ως τον πιο σημαντικό παράγοντα είτε είναι ο υπολογιστής, το τηλέφωνο ή το YubiKey. Η αλλαγή έχει συμβεί λόγω του γεγονότος ότι κάτι που έχετε είναι συνήθως πιο δύσκολο να συμβιβαστείτε από κάτι που γνωρίζετε. Επιπλέον, ο κλάδος έχει ωριμάσει ώστε να υποστηρίζει έλεγχο ταυτότητας με υποστήριξη υλικού που λειτουργεί εγγενώς σε προγράμματα περιήγησης και λειτουργικά συστήματα.
Αλλά όταν η βιομηχανία αλλάζει, αλλάζουν και οι επιτιθέμενοι. Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης που υποστηρίζεται από υλικό είναι σημαντικά πιο ασφαλής από τις παλαιού τύπου μορφές ελέγχου ταυτότητας, αλλά οι επαγγελματίες ασφάλειας πρέπει ακόμα να γνωρίζουν τους πιθανούς φορείς επίθεσης. Είτε το αντιλαμβάνεται μια εταιρεία είτε όχι, κάτι που έχει ο χρήστης είναι ο πιο σημαντικός παράγοντας και οι άλλοι παράγοντες έχουν σχεδιαστεί για να εξασφαλίσουν αυτό που έχετε. Καθώς εφαρμόζετε έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης, οι έλεγχοι ασφαλείας και τα μοντέλα πρέπει να επικεντρώνονται σε αυτήν την πραγματικότητα σε σύγκριση με το να βασίζονται απλώς σε παραδοσιακές προσεγγίσεις που δεν επαρκούν πλέον.
Πηγή: David Treece / yubico.com