Βασικοί όροι του ελέγχου ταυτότητας.
Το κλειδί για να προστατευτείτε από αυτές τις απειλές είναι να κατανοήσετε τι σημαίνει έλεγχος ταυτότητας χρήστη.
Σκοπός μας είναι να σας παρέχουμε τα εργαλεία που χρειάζεστε για να προστατευθείτε – συμπεριλαμβανομένης της κοινής χρήσης ενός οδηγού για έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ανθεκτικό στο phishing. Η βιομηχανία ασφαλείας είναι διαβόητη για τα σύνθετα ακρωνύμια και τα πολύπλοκα τεχνικά εργαλεία, και ο κόσμος του MFA δεν αποτελεί εξαίρεση.
Παρακάτω είναι μια σύνοψη σημαντικών όρων που θα βοηθήσουν στην κατανόηση όλων αυτών. Αυτό περιλαμβάνει μια λίστα με βασικούς όρους ελέγχου ταυτότητας και τους ορισμούς τους, καθώς και δημοφιλή εργαλεία ελέγχου ταυτότητας και MFA.
Ποιος είναι ο ορισμός των 2FA, MFA και MFA ανθεκτικών στο phishing; .
– Ο έλεγχος ταυτότητας δύο παραγόντων , ή 2FA, είναι μια μέθοδος για την επιβεβαίωση της διεκδικούμενης ηλεκτρονικής ταυτότητας ενός χρήστη χρησιμοποιώντας έναν συνδυασμό δύο διαφορετικών τύπων παραγόντων. Μερικές φορές θα δείτε αυτό που ονομάζεται “επαλήθευση σε δύο βήματα”, αλλά το 2FA είναι το ακρωνύμιο που χρησιμοποιείται. Οι παράγοντες που χρησιμοποιούνται για το 2FA περιλαμβάνουν:
- κάτι που γνωρίζετε (π.χ. κωδικό πρόσβασης ή PIN), ή
- κάτι που έχετε (π.χ. κλειδί ασφαλείας ή τηλέφωνο) ή
- κάτι που είστε (π.χ. αναγνώριση προσώπου).
– Ο έλεγχος ταυτότητας πολλαπλών παραγόντων , ή MFA, απαιτεί δύο ή περισσότερους τρόπους για να συνδεθείτε σε έναν λογαριασμό, χρησιμοποιώντας πολλά αποδεικτικά στοιχεία ή παράγοντες, για να συνδεθείτε. Οι διάφοροι τύποι MFA περιλαμβάνουν OTP που βασίζονται σε SMS, εφαρμογές για κινητά, βιομετρικά στοιχεία, κάρτες μαγνητικής λωρίδας, έξυπνες κάρτες και φυσικά κλειδιά ασφαλείας.
– Το ηλεκτρονικό ψάρεμα ( phishing) είναι όταν ένα άτομο εξαπατάται για να μοιραστεί τα προσωπικά του στοιχεία, όπως ονόματα χρήστη, κωδικούς πρόσβασης και πιστωτικές κάρτες, σε τρίτο μέρος, του οποίου η πρόθεση είναι να καταλάβει τον λογαριασμό ενός χρήστη. Το 59% των επιθέσεων phishing έχουν οικονομικά κίνητρα.
– Το MFA που είναι ανθεκτικό στο phishing αναφέρεται σε μια διαδικασία ελέγχου ταυτότητας που είναι απρόσβλητη σε εισβολείς που προσπαθούν ή ακόμα και εξαπατούν τους χρήστες ώστε να αποκαλύψουν πληροφορίες πρόσβασης. Οι κοινώς χρησιμοποιούμενες εφαρμογές MFA που διαθέτουν κωδικούς πρόσβασης, SMS και άλλους κωδικούς πρόσβασης μίας χρήσης (OTP), ερωτήσεις ασφαλείας, ακόμη και ειδοποιήσεις push κινητής τηλεφωνίας δεν είναι ανθεκτικές στο ηλεκτρονικό ψάρεμα, καθώς είναι όλες επιρρεπείς σε έναν ή και στους δύο προαναφερθέντες τύπους επιθέσεων. Επιπλέον, η διαδικασία απαιτεί πάντα από κάθε μέρος να παρέχει αποδεικτικά στοιχεία για την εγκυρότητα και την πρόθεσή του να ξεκινήσει.
Ποιοι είναι οι πιο συνηθισμένοι όροι που χρησιμοποιούνται στον κόσμο του ελέγχου ταυτότητας και του MFA;.
Εφαρμογή Authenticator – Μια εφαρμογή ελέγχου ταυτότητας προσθέτει ένα επίπεδο ασφάλειας για διαδικτυακούς λογαριασμούς δημιουργώντας έναν κωδικό πρόσβασης μίας χρήσης (TOTP) βάσει χρόνου σε μια κινητή ή επιτραπέζια συσκευή. Η προσέγγιση TOTP υιοθετείται από μεγάλο αριθμό εφαρμογών ελέγχου ταυτότητας, σχεδιασμένες να προσθέτουν ένα δεύτερο επίπεδο ασφάλειας. Ένα παράδειγμα περιλαμβάνει το Yubico Authenticator , την ασφαλέστερη εφαρμογή ελέγχου ταυτότητας σε κινητά και επιτραπέζιους υπολογιστές. Παρόλο που οι εφαρμογές ελέγχου ταυτότητας αποτελούν ένα σταθερό δεύτερο επίπεδο ασφάλειας, δεν μπορούν επίσης να φτάσουν το ίδιο επίπεδο ασφάλειας με το MFA ανθεκτικό στο phishing.
Τα βιομετρικά είναι φυσικά ή συμπεριφορικά ανθρώπινα χαρακτηριστικά που μπορούν να χρησιμοποιηθούν για την ψηφιακή αναγνώριση ενός ατόμου για την παροχή πρόσβασης σε συστήματα, συσκευές ή δεδομένα. Παραδείγματα αυτών των βιομετρικών αναγνωριστικών είναι τα δακτυλικά αποτυπώματα, τα σχέδια προσώπου, η φωνή ή ο ρυθμός πληκτρολόγησης. Μόλις ληφθούν βιομετρικά δεδομένα, όπως σε ένα κλειδί ασφαλείας για παράδειγμα, ένα πρότυπο αποθηκεύεται στη συνέχεια, ώστε να μπορεί να χρησιμοποιηθεί στο μέλλον για έλεγχο ταυτότητας σε μια συσκευή ή εφαρμογή. Αν και τα βιομετρικά στοιχεία θεωρούνται μια ασφαλής μορφή 2FA, εξακολουθούν να είναι επιρρεπή σε κυβερνοεπιθέσεις – έχουμε δει τεράστιες βιομετρικές βάσεις δεδομένων να έχουν κλαπεί σε πρόσφατες κυβερνοεπιθέσεις όπως το Lapsus$.
FIDO CTAP1 – Το FIDO αναφέρεται στη συμμαχία FIDO , μια ένωση ανοιχτού κλάδου που ξεκίνησε το 2013 με αποστολή να αναπτύξει και να προωθήσει πρότυπα ελέγχου ταυτότητας που υπερβαίνουν τους απλούς κωδικούς πρόσβασης. Η Yubico είναι μέλος του διοικητικού συμβουλίου της FIDO Alliance και συγγραφέας και προγραμματιστής των προτύπων FIDO. Το CTAP 1 αναφέρεται στο Πρωτόκολλο Client to Authenticator , το οποίο επιτρέπει σε έναν εξωτερικό και φορητό έλεγχο ταυτότητας (όπως ένα κλειδί ασφαλείας υλικού) να λειτουργεί με μια πλατφόρμα πελάτη (π.χ. έναν υπολογιστή). Το U2F είναι μέρος των πρωτοκόλλων CTAP 1 και CTAP 2 της FIDO.
FIDO CTAP2 – Ένας έλεγχος ταυτότητας που χρησιμοποιεί το CTAP2 ονομάζεται έλεγχος ταυτότητας FIDO2 (ονομάζεται επίσης έλεγχος ταυτότητας WebAuthn). Εάν αυτός ο έλεγχος ταυτότητας εφαρμόζει επίσης το CTAP1/U2F, είναι συμβατός με το U2F. Ένα κλειδί ασφαλείας της σειράς YubiKey 5 μπορεί να υποστηρίξει τόσο CTAP 1 όσο και CTAP 2, πράγμα που σημαίνει ότι μπορεί να υποστηρίξει και U2F και FIDO2 και να παρέχει ισχυρό έλεγχο ταυτότητας ενός παράγοντα (χωρίς κωδικό πρόσβασης ), ισχυρό έλεγχο ταυτότητας δύο παραγόντων και ισχυρό έλεγχο ταυτότητας πολλαπλών παραγόντων.
FIPS – Τα Ομοσπονδιακά Πρότυπα Επεξεργασίας Πληροφοριών , τα οποία μπορεί να δείτε ως FIPS 140-2, αναφέρονται στη Δημοσίευση 140-2 της κυβέρνησης των ΗΠΑ . Είναι ένα πρότυπο ασφαλείας που χρησιμοποιείται για την έγκριση κρυπτογραφικών μονάδων και είναι αναγνωρισμένο από τις ΗΠΑ, τον Καναδά και την ΕΕ. Αυτό θέτει τον πήχη για οργανισμούς που έχουν μεγαλύτερη συνείδηση της ασφάλειας παγκοσμίως και μπορεί να δώσει στους οργανισμούς μεγαλύτερη εμπιστοσύνη όταν εργάζονται με ένα σύστημα που είναι συμβατό με FIPS. Το πρότυπο FIPS αναφέρει τι είδους MFA ανθεκτικό στο phishing απαιτείται για τα πρακτορεία.
Ειδικές εκδόσεις NIST – Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας είναι ένα εργαστήριο φυσικών επιστημών και μη ρυθμιστικός οργανισμός του Υπουργείου Εμπορίου των Ηνωμένων Πολιτειών. Μέρος του ρόλου του NIST είναι να ορίζει πρότυπα για συστήματα υπολογιστών και αυτά τα πρότυπα δημοσιεύονται σε έγγραφα που ονομάζονται ειδικές εκδόσεις. Η σειρά εγγράφων NIST 800 καλύπτει διαφορετικά πρότυπα για την ασφάλεια του υπολογιστή.
OTP – Ο κωδικός πρόσβασης μίας χρήσης (ή ο κωδικός πρόσβασης) ισχύει μόνο για μία περίοδο σύνδεσης ή συναλλαγή. Ένα OTP συνήθως αποστέλλεται μέσω SMS σε ένα κινητό τηλέφωνο και χρησιμοποιείται συχνά ως μέρος μιας διαδικασίας 2FA. Η NIST , μια ομοσπονδιακή υπηρεσία προτύπων, πρόσφατα χαρακτήρισε τα SMS ως αδύναμη μορφή 2FA και ενθαρρύνει άλλες προσεγγίσεις για τη σύγχρονη MFA.
Κλειδιά πρόσβασης – Επειδή τα διαπιστευτήρια WebAuthn/FIDO μπορούν τελικά να αντικαταστήσουν τους κωδικούς πρόσβασης, η βιομηχανία έχει εισαγάγει τον όρο «Passkeys» για να αναφέρεται εύκολα σε οποιοδήποτε διαπιστευτήριο WebAuthn/FIDO, ανεξάρτητα από το αν είναι σε κλειδί ασφαλείας, δεσμευμένο στο υλικό της συσκευής σας ή ακόμα και μόλις αποθηκεύτηκαν σε αρχεία στη συσκευή σας, τα οποία αντιγράφονται από έναν πάροχο cloud. Αυτές οι πρόσθετες επιλογές θα βοηθήσουν περισσότερους ιστότοπους να υιοθετήσουν το WebAuthn/FIDO – προς όφελος όλων, ανεξάρτητα από το αν χρησιμοποιούν αντιγράψιμους κωδικούς πρόσβασης, πολλαπλών συσκευών ή ισχυρότερες λύσεις όπως το YubiKeys, όπου τα κλειδιά πρόσβασης συνδέονται με το υλικό YubiKey.
Κωδικοί πρόσβασης – Ξέρετε τι είναι αυτοί και δεν είναι κάποιο ακρωνύμιο… αλλά αξίζει να αναφέρουμε ότι αυτό που σκεφτήκαμε για τους κωδικούς πρόσβασης πριν από 10 ή 15 ή και 30 χρόνια δεν ισχύει σήμερα. Ενώ παλαιότερα η συναίνεση ήταν ότι αν απλώς κάναμε τους κωδικούς πρόσβασης πιο πολύπλοκους ή εναλλάσσονταν τακτικά, θα μπορούσαν να είναι πιο ασφαλείς. Σήμερα καταλαβαίνουμε ότι ένας κωδικός πρόσβασης παρέχει το χαμηλότερο επίπεδο ασφάλειας και είναι εξαιρετικά ευάλωτος σε επιθέσεις phishing ή άλλους τρόπους κλοπής διαπιστευτηρίων.
Το Passwordless αναφέρεται σε έλεγχο ταυτότητας ή σύνδεση χωρίς κωδικό πρόσβασης που αντιπροσωπεύει μια τεράστια αλλαγή στον τρόπο με τον οποίο δισεκατομμύρια χρήστες, τόσο επιχειρήσεις όσο και καταναλωτές, θα μπορούν να συνδέονται με ασφάλεια στους κρίσιμους πόρους και τα συστήματά τους. Ο χρήστης μπορεί απλώς να πραγματοποιήσει έλεγχο ταυτότητας χρησιμοποιώντας μια συσκευή χωρίς κωδικό πρόσβασης, όπως ένα κλειδί ασφαλείας υλικού που βασίζεται σε FIDO2 ή επαλήθευση προσωπικής ταυτότητας έξυπνης κάρτας (PIV), για να επαληθεύσει τα διαπιστευτήριά του με την εφαρμογή ή το σύστημα.
Έξυπνη κάρτα PIV – Το διαπιστευτήριο επαλήθευσης προσωπικής ταυτότητας είναι ένα διαπιστευτήριο της ομοσπονδιακής κυβέρνησης των ΗΠΑ που χρησιμοποιείται για πρόσβαση σε ομοσπονδιακά ελεγχόμενες εγκαταστάσεις και συστήματα πληροφοριών στο κατάλληλο επίπεδο ασφάλειας. Συχνά θα ακούσετε αυτές τις αποκαλούμενες « έξυπνες κάρτες », επειδή είναι φυσικές κάρτες που έχουν ενσωματωμένο ενσωματωμένο τσιπ το οποίο λειτουργεί ως διακριτικό ασφαλείας που χρησιμοποιούν οι εργαζόμενοι για να συνδεθούν σε σταθμούς εργασίας ή άλλα σημεία πρόσβασης. Τα κλειδιά ασφαλείας υλικού μπορούν επίσης να λειτουργήσουν ως έξυπνη κάρτα με απλοποιημένη ανάπτυξη. Το CAC είναι ένα άλλο συστατικό σούπας αλφαβήτου που αναφέρεται σε μια κοινή κάρτα πρόσβασης .
Push Authentication – είναι μια μέθοδος ελέγχου ταυτότητας για κινητά, όπου ένας πάροχος στέλνει σε έναν χρήστη μια ειδοποίηση στο τηλέφωνό του. Στη συνέχεια, ο παραλήπτης εγκρίνει ή απορρίπτει το αίτημα.
Κλειδί ασφαλείας – Η Yubico ανακάλυψε εκ νέου τον έλεγχο ταυτότητας υλικού με το YubiKey το οποίο υποστηρίζει πολλαπλά πρωτόκολλα ελέγχου ταυτότητας και είναι μια συσκευή υλικού ενός σκοπού για έλεγχο ταυτότητας που ελέγχεται από έναν τελικό χρήστη. Το Κλειδί ασφαλείας επιτρέπει τον έλεγχο ταυτότητας FIDO σε πλατφόρμες, προγράμματα περιήγησης και εφαρμογές. Αποτελούν τον ισχυρότερο έλεγχο ταυτότητας για οποιαδήποτε υπηρεσία συμβατή με U2F και WebAuthn/FIDO2 και δίνουν την επιλογή ισχυρού μεμονωμένου παράγοντα (χωρίς κωδικό πρόσβασης), 2FA ή MFA. Τα YubiKeys υποστηρίζουν ακόμη ευρύτερες επιλογές ελέγχου ταυτότητας, συμπεριλαμβανομένων των FIDO, PIV, TOTP, OpenPGP και άλλων.
Το U2F – Universal 2nd Factor συνδημιουργήθηκε από τη Yubico, την Google και την NXP το 2012 και συνεισέφερε στη Συμμαχία FIDO μετά την επιτυχή ανάπτυξή της για τους υπαλλήλους της Google . Το πρωτόκολλο έχει σχεδιαστεί για να λειτουργεί ως δεύτερος παράγοντας για την ενίσχυση των υπαρχουσών ροών σύνδεσης που βασίζονται σε όνομα χρήστη/κωδικό πρόσβασης. Είναι βασισμένο στην εφεύρεση της Yubico ενός κλιμακούμενου μοντέλου δημόσιου κλειδιού στο οποίο δημιουργείται ένα νέο ζεύγος κλειδιών για κάθε υπηρεσία και μπορεί να υποστηριχθεί απεριόριστος αριθμός υπηρεσιών, διατηρώντας παράλληλα τον πλήρη διαχωρισμό μεταξύ τους για τη διατήρηση του απορρήτου.
WebAuthn – Αυτό είναι ένα νέο παγκόσμιο πρότυπο του W3C για ασφαλή έλεγχο ταυτότητας στο Web που υποστηρίζεται από όλα τα κορυφαία προγράμματα περιήγησης και πλατφόρμες. Το WebAuthn διευκολύνει την προσφορά στους χρήστες μιας επιλογής επαληθευτών για την προστασία των λογαριασμών τους, συμπεριλαμβανομένων εξωτερικών/φορητών ελεγκτών, όπως κλειδιά ασφαλείας υλικού και ενσωματωμένων ελεγκτών πλατφόρμας, όπως βιομετρικοί αισθητήρες .
Ποιες είναι οι καλύτερες επιλογές ελέγχου ταυτότητας;.
Σε προηγούμενες παραγράφους παραπάνω, αναφέραμε αρκετές μεθόδους 2FA και MFA. Δυστυχώς, δεν είναι όλοι ίσοι. Οι περισσότερες βασικές μέθοδοι ελέγχου ταυτότητας είναι ανασφαλείς – τα SMS, οι κωδικοί πρόσβασης μίας χρήσης, ακόμη και οι επαληθευτές κινητής τηλεφωνίας υπόκεινται σε υποκλοπές λογαριασμών από επιθέσεις ηλεκτρονικού ψαρέματος, κοινωνικής μηχανικής και ατόμων στη μέση.
Πάρτε μέτρα σήμερα: Εφαρμόστε σύγχρονο MFA ανθεκτικό στο phishing.
Ενώ φυσικά οποιαδήποτε μορφή ελέγχου ταυτότητας ή MFA είναι καλύτερη από καμία, ο ξεκάθαρος νικητής όσον αφορά την προστασία της ψηφιακής σας ζωής είναι η ανάπτυξη MFA ανθεκτικού στο phishing – ειδικά PIV/έξυπνη κάρτα και WebAuthn/FIDO, τα οποία υποστηρίζονται και τα δύο στο YubiKey .
Για να μάθετε περισσότερα σχετικά με άλλους όρους ασφαλείας που μπορεί να σας προβληματίσουν, επισκεφτείτε το Γλωσσάρι Κυβερνοασφάλειας
Πηγή: Yubico / Ronnie Manning