Буквенно-цифровые пароли уже давно являются основным методом аутентификации и контроля доступа в Интернете. Однако в последние годы использование паролей в качестве единственного метода аутентификации оказалось неустойчивым и небезопасным.
Исследования показывают, что атаки на основе аутентификации использовались в большинстве крупных утечек данных в 2012 году. Простой переход от паролей к более строгим формам аутентификации пользователей предотвратит почти 80% хакерских атак на компании.
Поскольку люди часто используют один и тот же пароль на нескольких веб-сайтах, крупномасштабная утечка пароля на одном сайте создает эффект домино, наносящий ущерб безопасности для многих других веб-сайтов и приложений. Когда 1,5 миллиона пользовательских учетных данных были получены от Gawker Media Group, спамеры и хакеры немедленно использовали эти учетные данные для доступа к учетным записям пользователей на других веб-сайтах. Сотни тысяч учетных записей в Twitter были взломаны и использованы для распространения спама и вредоносных ссылок. Amazon и LinkedIn должны были обеспечить сброс паролей для всех своих сообществ пользователей.
Такие неудачи наносят вред не только отдельным пользователям, чьи учетные записи скомпрометированы; они также наносят ущерб организации, веб-сайту или самому приложению. Негативные последствия взлома данных могут включать в себя юридическую ответственность, штрафы, потерю клиентов, ущерб репутации бренда, а также стоимость ремонта систем безопасности и ИТ в условиях кризиса.
Когда хакеры украли более 8 миллионов паролей пользователей из учетных записей LinkedIn и eHarmony в 2012 году, LinkedIn подсчитал, что потратил более 1 миллиона долларов на устранение взлома и потребуется еще 2-3 миллиона долларов для дополнительных обновлений безопасности. В 2011 году Sony была вынуждена потратить более 170 миллионов долларов на устранение последствий утечки данных, которая вызвала утечку более 100 миллионов паролей PlayStation.
Разработчики мобильных приложений также должны рассмотреть более эффективные методы аутентификации. Большинство владельцев смартфонов и планшетов не защищают паролем свои устройства , несмотря на то, что они подключены к чувствительным приложениям, включая рабочие сети и банковские приложения. Пользователи делают это, потому что ввод паролей для входа в мобильные приложения слишком громоздок. Эксперты на конференции CTIA Wireless даже заявили, что рост мобильной коммерции будет приостановлен, пока не будут разработаны новые, более простые в использовании методы аутентификации.
Чтобы добиться эффективной и надежной аутентификации пользователей на веб-сайтах и в приложениях, разработчики должны сбалансировать безопасность и удобство использования. Сделайте это путем оценки потребностей бизнеса в безопасности, а также характеристик пользователей. Пользовательская база состоит из сотрудников, деловых партнеров или широкой общественности? Это поможет определить уровень риска и насколько строгими должны быть требования к аутентификации.
Рекомендации для строгой аутентификации
Убедитесь, что основы покрыты
Поскольку большинство веб-сайтов и приложений, вероятно, предпочтут продолжить использование пароля в качестве первого уровня аутентификации, убедитесь, что эти основные меры безопасности охватываются:
- Проведите проверку словаря, чтобы пользователи не могли выбрать общие слова для своего пароля.
- Требуется строгое имя пользователя, содержащее цифровой символ. Часто имя пользователя является самой простой частью учетных данных для входа в систему, которую может угадать хакер. Не используйте адрес электронной почты пользователя в качестве имени пользователя.
- Ограничьте количество неудачных попыток входа в систему тремя и временно приостановите доступ к учетной записи, если пользователь не сможет пройти проверку подлинности с помощью других средств.
- Если вход не выполнен, не указывайте, какая часть учетных данных была неверной. Утверждение, что «пароль неверен» или «имя пользователя не существует», позволяет хакерам собирать информацию об учетной записи. Общее утверждение, такое как «Неверный вход в систему, повторите попытку», помогает предотвратить сбор учетных записей.
- Используйте SSL для создания зашифрованной связи между вашим сервером и веб-браузером пользователя во время регистрации учетной записи, процесса входа в систему и процесса сброса пароля.
- Предоставьте пользователям советы о том, как выбрать надежное имя пользователя и пароль. Исследования показывают, что пользователи выбирают лучшие пароли, когда получают советы о том, как это сделать. Один из вариантов — встроить в страницу измеритель надежности пароля.
- Хешируйте пароли пользователей, используя bcrypt, scrypt или другие алгоритмы хеширования, специально разработанные для хранения паролей. Не используйте SHA1, MD5 или другие алгоритмы, которые не были предназначены для хеширования паролей, поскольку они не являются безопасными.
- Используйте соль. Используйте уникальную соль для каждой учетной записи / пароля пользователя и сохраните эту соль вместе с паролем. Дополнительный уровень общесистемной соли, который не хранится с паролем, может также добавить дополнительную прочность, если база данных украдена, потому что она не хранится с паролями, но известна вам.
Некоторым читателям эти шаги могут показаться элементарными, но исследование, проведенное исследователями из Кембриджского университета, показало, что большинство веб-сайтов даже не применяют эти минимальные стандарты. [я]
SaaS-решения для генерации одноразовых паролей
С ростом числа поставщиков программного обеспечения как услуги (SaaS) стало проще, чем когда-либо, применять решения для аутентификации, которые генерируют одноразовые пароли для пользователей без каких-либо вложений в оборудование или значительных усилий по интеграции. Хотя одноразовые пароли не остановят изощренную угрозу «человек посередине», они защищают от самых распространенных угроз безопасности: пользователи выбирают слабые пароли, повторно используют один и тот же пароль или крадут свои пароли с помощью вредоносных программ, регистрирующих нажатия клавиш.
Создавая одноразовые пароли для пользователей каждый раз, когда требуется аутентификация, организации могут гарантировать, что надежные пароли используются и что ранее украденные или утекшие пароли не могут быть использованы для доступа к учетным записям.
Растущее число пользовательских устройств с сенсорными экранами обеспечивает новые подходы к схемам аутентификации SaaS, включая основанные на изображениях и графические подходы. Все чаще пользователей просят нарисовать шаблон, коснуться точек на картинке или идентифицировать серию секретных изображений для аутентификации. При оценке таких подходов важно убедиться, что решение генерирует одноразовые пароли, а не просто статический шаблон или изображение. Отпечатки пальцев и пятна пользователя на сенсорном экране могут раскрыть их секретный рисунок или точки касания, если это статический подход.
Один из способов создания одноразовых паролей с использованием подхода, основанного на изображениях, состоит в том, чтобы пользователь выбирал несколько секретных категорий вещей, таких как собаки, цветы и машины. Каждый раз, когда требуется аутентификация, пользователю предоставляется серия изображений на сенсорном экране, и он должен коснуться тех, которые соответствуют его ранее выбранным категориям. Конкретные изображения каждый раз отличаются и отображаются в разных местах на экране каждый раз, но пользователь всегда будет искать свои одинаковые категории. Когда пользователь нажимает или нажимает на изображения, которые соответствуют его категориям, одноразовый пароль создается за кулисами и отправляется на сервер для проверки.
Подходы с графической аутентификацией легче запомнить пользователям, чем сложные пароли, и они быстрее работают на смартфонах и планшетах, чем вводят буквенно-цифровой пароль. По этой причине они являются хорошим методом добавления слоя безопасности или одноразового пароля без причинения неудобств пользователям.
Аутентификация на основе рисков
Организациям, которым требуется еще более надежная защита, следует рассмотреть возможность интеграции механизма риска с их решениями для аутентификации. Используя поведенческое и контекстное профилирование рисков, механизмы риска могут динамически запускать дополнительные уровни аутентификации только при необходимости. Это повышает безопасность, не доставляя неудобств пользователям, поскольку пользователи редко сталкиваются с дополнительными шагами. Решения проверки подлинности на основе рисков должны определять репутацию устройства и оценивать геолокацию IP-адреса пользователя и время его доступа к сайту.
Также изучите частоту попыток входа в систему, что может указывать на атаку методом перебора. Если вы обнаружите опасную или опасную ситуацию, потребуйте от пользователя дополнительного шага аутентификации. Дополнительный этап аутентификации может быть просто вторым уровнем аутентификации или вторым фактором аутентификации.
Многофакторная аутентификация
Организации, чьи веб-сайты или приложения могут стать хакерской целью высокого уровня, должны использовать внеполосную многофакторную аутентификацию. Многофакторная аутентификация включает в себя как минимум два из следующих факторов аутентификации:
- Что-то, что вы знаете (например, пароль, категории секретных изображений или другие общие секреты)
- Что-то у вас есть (например, мобильный телефон или токен аутентификации)
- То, что вы есть (например, биометрия, такая как отпечаток пальца)
Решения для многофакторной аутентификации, которые полагаются на мобильный телефон как второй фактор, становятся все более популярными. Наиболее распространенный подход заключается в отправке кода аутентификации на телефон пользователя с помощью текстового сообщения SMS и при вводе пользователем кода на веб-странице для аутентификации. Зная, что банки часто используют этот подход, киберпреступники все чаще нацеливаются на канал SMS для атаки. Используя вредоносное программное обеспечение, они могут скомпрометировать онлайн-учетную запись пользователя, перехватить и перенаправить текстовые сообщения аутентификации на свои телефоны, а затем использовать код для получения доступа к учетной записи пользователя.
Более безопасный подход заключается в применении многоуровневого решения для многофакторной аутентификации, которое остается полностью вне полосы веб-сессии на ПК. Организации могут использовать технологию push для отправки запроса аутентификации на смартфоны пользователей. Пользователи должны решить проблему аутентификации на своем телефоне и отправить ответ / одобрение с помощью технологии push, которая использует канал связи сервер-сервер и является более безопасной, чем SMS.
Например, используя описанный выше подход аутентификации на основе изображений, когда пользователь входит в свою учетную запись онлайн-банка на ПК, он вводит свое имя пользователя и пароль. Используя технологию push, банк отправляет вызов аутентификации на основе изображений на смартфон пользователя. Пользователь должен нажать на изображения, которые соответствуют его секретным категориям, и нажать кнопку «Отправить», чтобы отправить свой выбор обратно в банк для проверки. Процесс остается полностью внешним по сравнению с веб-сеансом, потому что нет данных для ввода в веб-страницу на ПК.
В дополнение к внеполосному, процесс является многоуровневым и многофакторным. Пользователь должен обладать зарегистрированным устройством второго фактора (своим телефоном), а также применять общий секрет (знание своих секретных категорий) на телефоне. Даже если кто-то еще владел мобильным телефоном пользователя или перехватил доставку запроса на внеполосную аутентификацию, он не сможет завершить процесс, потому что не будет знать, какие изображения идентифицировать.
При оценке решений для многофакторной аутентификации, которые полагаются на мобильный телефон пользователя в качестве второго фактора, ищите решения, которые остаются полностью внешними по сравнению с веб-сеансом на ПК, и решения, которые используют технологию push, а не текстовые SMS.
Биометрия и поведенческая биометрия
Биометрия и поведенческая биометрия также становятся все более жизнеспособными вариантами аутентификации. Большинство ноутбуков, смартфонов и планшетов теперь поставляются со встроенными видеокамерами, которые можно использовать для распознавания лиц, а сканеры отпечатков пальцев довольно распространены в мобильных и настольных средах. Приложения для смартфонов могут быть использованы для распознавания голоса. Однако недостатки биометрической аутентификации включают необходимость поддерживать оборудование и «части тела» для получения точных показаний; биометрические идентификационные данные также должны храниться в базах данных и поэтому подвержены краже и подделке.
В зависимости от типа организации или учетной записи, пользователи могут не захотеть предоставлять биометрические данные для аутентификации. Например, пользователи могут захотеть использовать сканер отпечатков пальцев для аутентификации для своего банковского счета, но не для социальной сети или сайта покупок.
Поведенческая биометрия — это технологии, которые отслеживают модели поведения пользователя, такие как скорость нажатия клавиш и движения мыши. Эти и другие методы профилирования поведения могут помочь успешно идентифицировать отдельных пользователей, особенно когда они используются в сочетании с другим фактором аутентификации. Поведенческие биометрии обычно анализируются за кадром, незаметно для пользователя, поэтому они не доставляют неудобств пользователю, что помогает повысить удобство использования безопасности.
Вывод
К сожалению, на большинстве веб-сайтов и приложений отсутствуют стандарты аутентификации. Использование только паролей подвергает риску организацию, ее пользователей и данные. Не каждый веб-сайт нуждается в многофакторной аутентификации, но большинству может быть полезно использование нескольких уровней аутентификации или одноразовых паролей. Обучение пользователей также имеет решающее значение для улучшения аутентификации. Если пользователь не понимает причины дополнительных требований аутентификации, он найдет способы обойти политики.
Наконец, важно помнить, что «безопасность» — это процесс — организации должны постоянно переоценивать потребности в безопасности, определять области для улучшения и составлять план безопасности для будущих улучшений. Веб-сайт или приложение никогда не могут быть полностью безопасными, но разработчики и специалисты по безопасности должны стремиться к усилению безопасности до такой степени, чтобы она сдерживала большинство злоумышленников при сохранении простоты использования для конечных пользователей.
[i] «Чаще всего пароли: технические и рыночные сбои в аутентификации пользователей в Интернете», Джозеф Бонно и Сорен Прейбуш