August 2013 Download this article as a PDFAbstract

Транзакции любого значения должны пройти проверку подлинности для предотвращения преступности. Даже казалось бы невинный взаимодействий, таких, как социальные медиа сообщения, может иметь серьезные последствия, если обманным путем. Ключевая проблема в современных онлайн взаимодействий создает удостоверение пользователя без оттолкнуть пользователя. Исторически сложилось так почти все онлайн проверки подлинности были реализованы с использованием простых паролей, но все эти методы находятся под атакой. Многофакторная проверка подлинности требует представления двух или более типов фактора три проверки подлинности: «Что вы знаете», «Что у вас есть» и «Что ты». После презентации каждый фактор должен быть проверен другой стороной для проверки подлинности происходит. Многофакторная проверка подлинности является потенциальным решением проблемы проверки подлинности, и она начинает осуществляться на веб-сайты известных компаний. Этой статье рассматриваются различные механизмы, используемые для реализации многофакторной проверки подлинности. Как сайт выбирает для реализации многофакторной проверки подлинности влияет на безопасность, а также общий опыт пользователей.

Введение

В прошлом году принес новости ряд нарушений видных безопасности, сосредоточены на проверке подлинности, в некоторых случаях, тяжелые последствия. Не редкость является откровением, что взломали некоторые сервера и потенциально подвергаются большое количество паролей учетных записей. Возможно потому, что в то время как мы знаем, файлы, содержащие вещи, такие как копирование хэшей паролей, зачастую нет никакой последующей информации о фактических мошеннического использования данных или реальный урон. Примером нарушения безопасности, когда ущерб фактически в результате является нападение на связанные пресс Twitter счета апреля 2013 года. Поддельные чирикать о взрывах в Белом доме вызвало краткое, но серьезные, нарушения финансовых рынков (Selyukh, 2013).

Промышленность медленно реагирует на пароль атак и начинает попытаться найти более эффективные способы их предотвращения. Растет внимание средств массовой информации. В частности каждая атака разрекламированной пароль обычно сопровождается серии статей, осудив «конец пароля» и призывая к реализации многофакторной аутентификации (МИД). Интернет-сайт с помощью МИД гораздо труднее атаковать – «ворваться в»-чем сайт аутентификации пользователей с только одним фактором, например пароль. Широкое распространение МИД улучшит онлайн-безопасности и помочь уменьшить мошенничества.

МИД не является новой идеей. Рассмотрим Римский солдат, охранявших дверь Сената и требуя сенаторов Показать кольцо и говорить пароль. Это пример двухфакторной проверки подлинности. МИД осуществляется в онлайн-систем в течение многих лет. До недавнего времени, однако, МИД редко была развернута успешно в очень больших масштабах веб-сайтов, предназначенных для сообществ, таких как потребителей. В свете увеличения атак паролей практика начинает меняться.

В этой статье следующих трех разделах описываются типы факторов проверки подлинности, изучить решения проверки подлинности, которые пользователи хотят и внедрить новые системы проверки подлинности. Затем рассматриваются примеры реализаций проверки подлинности, используемых в веб-сайтах известных компаний. Последний раздел содержит выводы.

Типы факторов проверки подлинности

Факторы проверки подлинности можно разделить на: «Что вы знаете», «Что у вас есть» и «Что ты». Что вы знать факторы включают пароли или ответы на секретные вопросы и наиболее часто используемым из трех типов. Что вы есть факторы являются вещи, которые вы физически нести и должны иметь в вашем распоряжении для того, чтобы пройти проверку подлинности. Что вы это факторы измеряют характеристики вашего лица, такие как отпечатки пальцев.

В рамках данного типа фактор может быть более или менее безопасным, например пароль, который более или менее легко угадать. Но, реальное увеличение безопасности требует более чем одного фактора различных типов. Два фактора одного типа недостаточно; Причина заключается, что различные типы требуют злоумышленник для монтирования отдельных и уникальных атак. Рассмотрим случай «фишинг»-общий термин для электронной почты, текстовых сообщений и веб-сайты изготовлены и отправлены преступниками. Эти сообщения предназначены для выглядят как они приходят из известных и доверенных отправителей в попытке собрать личные, финансовые и конфиденциальной информации (Королевская канадская конная полиция, 2010). Фишинг-письма может получить ваш пароль (то есть, что вы знаете), но не может получить ваш аппаратный ключ (то есть, что у вас есть); и наоборот карманник может украсть ваш маркер (то есть, что у вас есть), но не получите ваш пароль (то есть, что вы знаете).

Что вы знать факторы

Пароли являются наиболее распространенными из факторов, что вы знаете и являются объектом критики. Но смерть пароля сильно преувеличены. Даже если все движется в МИД, что вы знаете фактор в виде пароля почти наверняка будет одним из факторов. Кроме того несмотря на то, что технологи думать о пароли как «старой технологии», в более широком плане потребителей, они не являются. Большинство потребителей действительно только начали становится комфортно с паролями в результате принятия электронной почты и онлайновых услуг (например, Главная, банковское дело), возвращаясь возможно 15 лет. После паролей следующий наиболее распространенные факторы, что вы знаете, ответы на «секретные вопросы», иногда называют аутентификации, основанной на знаниях.

Пароль системы имеют ряд проблем. Сегодня большинство пользователей доступ к слишком много различных систем, требующих паролей, приводит к плохой безопасности практики, как повторное использование паролей или время записывать пароли. Проверка подлинности на основе знаний страдает, когда секрет не так секрет, потому что она основана на информации о пользователе, который доступен из открытых источников.

Рост социальных медиа усугубляет проблему аутентификации, основанной на знаниях, поскольку факты о пользователях, которые ранее могли были известны только несколько близких друзей становятся сейчас онлайн и широко. В результате что вы знаете системы являются предметом различных атак (например, пути или средства, помощью которых хакер получает доступ к компьютеру или сетевом сервере для совершения мошенничества). Атак позволяют хакерам использовать уязвимости системы, включая человеческий фактор. Атак, предназначенных для систем, что вы знаете, включают фишинг и spearphishing (Associated Press, 2013). Фишинг и spearphishing сообщения, как правило, электронные письма, как представляется, исходят из надежного источника. Фишинговые сообщения, как представляется, часто поступают из крупных и известных компаний или веб-сайт с широким членским составом базы. В случае spearphishing однако, очевидным источником электронной почты может быть лицо в компании получателя собственных, часто кто-то в позиции власти.

Другие направления атак, предназначенных для систем, что вы знаете, включают в себя: нападения на системы восстановления и сброса пароля (Хэнань, 2012); вредоносные программы; и стороне сервера атак (ку, 2012).

Что вы есть факторы

Наиболее распространенные факторы, что вы есть, маркеры оборудования один раз пароль и смарт-карт. Один раз пароль маркеры являются небольшие устройства с дисплеем, которые генерируют периодически меняющегося кода. Проверка подлинности требует ввода кода (обычно вместе с паролем), поэтому пользователь должен иметь маркер. Более поздние вариант представляет собой приложение для мобильного устройства, которое повторяет функцию маркера, который имеет преимущество, используя то, что пользователь уже реализует. Смарт-карты являются кредитные карты с встроенного микропроцессора, которые надежно хранить секреты, таких как криптографические ключи. Проверка подлинности включает в себя общение с другой системы, например пользователя персонального компьютера или продажи системы и выполнение некоторых протокола проверки подлинности карты. В дополнение к аутентификации оба из этих вариантов может выполнять другие функции, такие как добавление цифровой подписи транзакции.

Что вы есть факторы являются дорогостоящими и неудобно. Маркеры должны быть приобретены, инвентаризации, распределенных и управляемые. Пользователи должны помнить нести их; они могут быть потеряны, кражи или сломаны. Кроме того системы резервного копирования для забытых маркеров являются проблемой. Часто эти системы отступить к аутентификации, основанной на знаниях, которая затем становится атаки, обходящее что вы иметь фактор.

Варианты применения снижение стоимости и повышение удобства что вы иметь факторов. Маркеры, однако популярны только в корпоративном развертывании. Смарт-карты имели успех в государственных ситуациях, требующих высокий уровень безопасности или где их использование может быть санкционированы. Крупнейший потребитель развертывания смарт-карт была EMV кредитной карты или карты «Чип и PIN-код». EMV означает Europay, MasterCard и Visa, глобальный стандарт для проверки подлинности кредитной карты и дебетовой картой, которая широко используется за пределами Соединенных Штатов. Широкое распространение EMV потребовалось много лет: в 1995 году был установлен первый стандарт EMV. Там было несколько попыток использовать EMV онлайн, однако, почти полностью используется в торговых терминалах. Пока что не был успешным потребителем развертывания смарт-карт, используемых для онлайн проверки подлинности.

Токена кражи — одна из возможных атак за то, что вы есть факторы. Там были некоторые серверные атаки, такие как нарушение безопасности RSA ключей (Рашид, 2011). Целевые вредоносные программы также могут атаковать маркеры и смарт-карт, на перехват захвата сеанса один раз пароль, или вызывая карты для подписи данных, за исключением того, что пользователь предназначен.

Что вы являются факторы

Что вы являются факторами или биометрических данных, включают: отпечатки пальцев, отпечатки ладоней, лица или глаз геометрии, голос принты, печатать шаблоны и поведенческого анализа. Многие из этих факторов требуют какой-то датчик для измерения физических характеристик, добавляя к стоимости и сложности решения. Включение вещи, такие как распознавания с помощью оборудования, которое уже в руках пользователя (например, мобильных телефонов камеры) является одним из способов снижения затрат и сложности.

Биометрия-это очень отличается от других типов фактор проверки подлинности из-за ложных срабатываний и ложных негативов. Хотя проверка пароля является двоичный тест (то есть, либо соответствует или нет), результат биометрической аутентификации событие имеет только вероятность правильности. Существует явная компромисс. Системы, которые являются более безопасными, будут также отвергать более законных пользователей; с другой стороны системы, которые отвергают несколько законных пользователей будут менее безопасным. Некоторые биометрические продукты позволяют этот компромисс быть явно настроены, давая разработчику возможность устанавливать свою собственную политику.

Возможные направления атак за что вы являются факторы включают тиражирование физические характеристики и обманываем датчика. Хотя это является общей темой в фильмах, трудно реализовать в реальной жизни. Но это возможно. Там были демонстрации успешных атак в популярных средствах массовой информации, таких, как телешоу «MythBusters», в котором ведущие успешно обмануты Сканер отпечатка. Как и в случае с другими факторами, стороне сервера нападения на характерных данных являются, возможно, а также вредоносное по на системе пользователя.

Факторы проверки подлинности в Интернет-систем

В физическом мире, факторы очень различны типы, указанные выше. Представьте себе дверь с охранником. Чтобы открыть дверь, вы должны иметь надлежащий ключ, быть признаны охранник и говорить правильный пароль: три фактора безопасности. Для Интернет-систем однако типы перекрываются и их различие несколько нечеткой. Это потому, что все они представлены в виде данных внутри компьютера – обычно персональный компьютер пользователя и в конечном итоге некоторые сервера.

Одно то, что вы иметь механизм, используемый некоторыми организациями является «бинго карты», которая является карточка печатается с матрицей коротких кодов. Во время проверки подлинности сервер запрашивает пользователя ввести код от, скажем, строки 3 и столбца 4. Если пользователь запоминает всю карту, это все еще то, что вы иметь фактор? Или это становится то, что вы знаете? Используется вместе с паролем, это действительно МИД? Виды атак также могут перекрываться: один раз пароль маркеры могут быть атакованы фишинг. Подходы, которые используют более сложные протоколы, например на основе инфраструктуры открытых ключей смарт-карты, можно избежать этих атак.

Реальной жизни нападение, которое демонстрирует это перекрытие является то, что обычно называют «ATM скимминга». В скимминга атаки устройство помещается над слот для чтения карт на Automated Teller Machine (ATM). Устройство построено чтобы появиться, как будто она является частью ATM, поэтому пользователь не замечает присутствия. Как карта вставляется в Банкомат, он проходит через устройство, которое считывает с магнитной полосой на карты. Устройство также обычно включает в себя крошечные камеры, сосредоточены на кнопочной панели ATM, чтобы захватить номер личной информации пользователя (PIN). Захваченные данные могут сохранены в устройстве в памяти, а позднее получить от злоумышленника, или могут передаваться без проводов для злоумышленника, который подстерегает рядом. Используя захваченные magstripe данных, злоумышленник может создать дубликат АТМ карты, используя практически любую другую карту как «пустой»-даже, например, отель ключ-карта. Затем злоумышленник имеет дубликат что вы иметь фактор (карта) и с PIN-кодом, можно снять деньги со счета пользователя.

Это нападение можно частично потому что вы иметь фактор в этом случае просто держит немного данных, считанных ATM. Банкомат не имеет возможности отличить ли эти данные пришли от законной карты, принадлежащие пользователю или из копии. Данные являются; внутри ATM, оба фактора типа – то, что у вас есть и то, что вы знаете,-выглядят одинаково.

Вредоносные программы

Вредоносное по на системе пользователя является бичом всех типов факторов. Он может целевой системы аутентификации непосредственно путем перехвата данных, введенных пользователем или чтение с датчиком. Даже для систем, использующих криптографические протоколы достаточно целенаправленных вредоносных программ может захватить сеанс после проверки подлинности или может вызвать данные, представленные для пользователя и фактическая сделка, чтобы быть разными. В этом контексте «сделка» относится к любому из действий пользователя, включая акт проверки подлинности или общения для обмена активами для оплаты.

Финансовая индустрия понимает эту проблему много лет назад и решил его через аппаратные механизмы. Торговые системы, которые принимают кредитные карты и дебетовые карты обычно используют взлома, интегрированный pad. Это одно устройство читает карты, отображает сведения о транзакции, считывает PIN-код пользователя и содержит криптографические ключи для шифрования информации, прежде чем он покидает устройство. Для безопасности устройство зависит от его физического Вибротрамбовка сопротивление и неспособность злоумышленнику вставить код в него. Такой подход не будет работать для общего назначения компьютеров, хотя усилия по созданию безопасных аппаратных компонентов, таких как доверенный платформенный модуль, на персональные компьютеры.

Что пользователи хотят?

Учитывая, что существует множество механизмов проверки подлинности, стоит учесть потребности и предпочтения пользователей, которые освещают компромисс между безопасностью и удобство. Пользователи хотят безопасности, однако их готовность принять неудобства зависит от их восприятия непосредственной угрозы. Рассмотрим случай из людей, которые живут в районе они воспринимают «безопасные». Они, как правило, могут оставить двери разблокирована-до тех пор, пока они слышат о близлежащих обкатки. Затем они осторожны и запереть, когда оставив – до течением времени и самоуспокоенности. Несмотря на то, что кража получает достаточное количество внимания от прессы, для Интернет-систем, угрозы более эзотерические и труднее для non технологами, чтобы понять. Для большинства пользователей технологии должен быть удобным и «просто» – такие, как телевидение, где вы не должны войти, чтобы использовать его.

Появились несколько моделей поведения пользователей. Один предназначен для пользователей, чтобы обмениваться учетными данными на многих сайтах. С помощью одного пароля во многих местах, пользователь (даже если бессознательно) выбирают для удобства по безопасности. Аналогично выбор слабых паролей также является результатом пользователей выбирают для удобства по безопасности.

Другой популярный шаблон, поддерживаемый многими онлайн-услуг, чтобы оставить пользователя вошедшего в полу постоянно. Например веб-сайт может потребовать повторной проверки подлинности, периодически или когда пользователь пытается чувствительные операции, например изменение пароля. Общий опыт пользователя гладко, поскольку пользователю требуется для проверки подлинности реже.

Для бизнеса безопасности и удобства непосредственно влияет на их успех. Больше неудобства риски оттолкнуть пользователей и управлять их конкурентов; Тем не менее снижению уровня безопасности может привести к прямой денежной потери. Этот компромисс обычно урегулирован на основе реальной или воспринимаемую ценность активов бизнес управления. Финансовые сайты, такие как услуги home banking, дело с высокой стоимостью активов, где реальные денежные потери возможно. Зачастую они также обычно имеют функции регулирования, поэтому высокий уровень безопасности. С другой стороны предприятия хотят простой в использовании опыт для своих клиентов. В результате они не используют модель «всегда вошедшего в систему» и требуют проверки подлинности для каждой сессии. Время жизни сеанса только короткий период, обычно измеряется в минутах. Однако несколько предприятий выбрали МИД, и они обычно используют только его для учетных записей с очень высокой стоимостью. Например маркеры могут использоваться для предоставления доступа к корпоративным учетным записям или брокерских систем, которые перемещаются или торговли большие суммы денег.

Веб-сайты с низким стоимости активов выбирают подходы, которые уменьшают неудобства для пользователя, как правило, требуя проверки подлинности только изредка. Большинство систем электронной почты на основе браузера действовать таким образом. На системе пользователя cookie устанавливает сеанс, при входе пользователя в. Файл cookie можно рассматривать как что вы иметь фактор и акт регистрации в обмене, что вы знаете фактор (например, пароль) для файла cookie. Социальные медиа сайты часто используют этот шаблон. Однако недавние инциденты изменяют их восприятие «низкой стоимости», и некоторые веб-сайты начинают осуществлять более надежную проверку подлинности.

Новые механизмы проверки подлинности

Новые механизмы проверки подлинности включают анализ рисков и использование альтернативного канала. Эти механизмы помогают организациям решать проблемы повышения безопасности при сведении к минимуму неудобства пользователей. Использование анализа риска во время проверки подлинности, или когда пользователь пытается чувствительной или высокой стоимости сделки, является одним из этих механизмов.

Анализ рисков фокусируется на характеристиках события, независимо от фактической проверки подлинности – путем поиска подозрительных моделей. Сравнения можно сделать против исторических данных для пользователя, а также общие шаблоны для мошеннического доступа. Примеры вопросов, которые управляют анализа рисков включают:

  • Какое устройство используется? Ли этот пользователь использовал устройство в прошлом? Это устройство используется для совершения мошенничества?
  • Где находится пользователь? Сколько времени? Совместимы ли эти шаблоны с прошлого использования?
  • Имеет пользователь, переехал физически невозможным способом (например, войти Сан-Франциско, а затем из Нью-Йорка только через несколько минут?)
  • Является ли проводка типичной для пользователя? Пользователь выполняет необычное количество сделок?

Анализ рисков является популярным, потому что слои с другими механизмами аутентификации и является невидимым для пользователя. Результат анализа рисков должен быть обрабатываться, согласно организационной политике. Например операции забил как «очень рискованно» может быть заблокирован. Умеренный риск может вызвать дополнительную проверку подлинности, например, задавая пользователю вопрос безопасности.

Еще одним новым механизмом является использование альтернативного канала во время проверки подлинности. Этот механизм получает наибольшее количество внимания из-за широкого внедрения мобильных вычислительных устройств. Альтернативный канал предполагает установление некоторые связи между пользователем и сервером через путь, который отличается от той, которая используется для входа. Чаще всего альтернативный канал является мобильный телефон пользователя. Например если пользователь входит с помощью персонального компьютера, сервер может отправить код с использованием службы коротких сообщений (SMS) для пользователя телефона. SMS является обмен текстовыми сообщениями службы компонентом телефона, Интернета или систем мобильной связи которая позволяет обмениваться короткими текстовыми сообщениями между фиксированной линии или мобильного устройства. Чтобы завершить имя входа, пользователь должен ввести код пользователя персонального компьютера в дополнение к предоставлению пароля. SMS, голосовых вызовов, push-уведомления и сообщения электронной почты относятся к числу возможных каналов. Взаимодействие может быть простым или может включать в себя более сложные последовательности с пользователем. Детали транзакции может быть отправлена на альтернативное устройство для пользователя для просмотра и утверждения. Коды быстрого ответа или штрих-коды могут использоваться и читать камерой телефона. Кроме того криптографические ключи и протоколы могут быть вовлечены.

С точки зрения типов факторов трудно охарактеризовать этот тип проверки подлинности. Якобы это то, что вы иметь проверку подлинности, потому что пользователь должен иметь телефон. Однако он действительно основывается на владении номер телефона не само устройство. Таким образом безопасность подхода фактически зависит насколько хорошо телефон перевозчик обеспечил сеть. Аналогично по электронной почте как альтернативный канал, зависит от безопасности учетной записи электронной почты, которая часто зависит от всего пароля, и поэтому это, возможно, что вы знаете фактор. Альтернативные каналы могут помочь с проблемой вредоносного по. Возможно разработать альтернативный канал системы, которая требует автор вредоносной программы для атаки обоих устройств. Например с помощью одного устройства, вредоносная программа всегда может взять на себя сессии после того, как проверка подлинности пользователя, вне зависимости от технологии проверки подлинности или число факторов. Такие вредоносные программы могут впоследствии представлять мошеннических операций с использованием этой сессии или изменить операции, введенные пользователем. С альтернативным каналом Однако сервер может отправлять детали транзакции второй канал – скажем, телефон – где пользователь может проверить их. Потому, что вредоносная программа находится на только одном устройстве, пользователь защищен. Однако эта защита будет потерян, если нет никакого второго устройства – например, когда пользователь возникая сделки с телефона, в отличие от персонального компьютера и телефона. Если вредоносная программа является достаточно «умные», он может пробить любые механизмы проверки подлинности используются или атаковать сеанс пользователя после проверки подлинности.

Реализация

В этом разделе приведены примеры механизмов проверки подлинности, используемые хорошо известными организациями, включая крупные организации с большими пользователями – иногда с сотнями миллионов пользователей. Многие из этих организаций рассматриваются в качестве лидеров отрасли, особенно с точки зрения пользователей. Эти примеры являются стоит изучить, чтобы понять, как эти организации пытались добавить факторы проверки подлинности и сбалансировать компромисс удобство – безопасность. Другие организации могут последовать их примеру, и их успех или неудачи скорее всего будет иметь большое влияние на будущих реализаций МИД.

Механизм имена различаются – «два шага» вместо «два фактора» или «проверка» вместо «Аутентификация» –, но эффективно, все эти примеры описывают формы МИД. Кроме того конкретное время использования варьируется. Например некоторые организации используют МИД при каждом входе, в то время как другие используют его только изредка или в особых обстоятельствах.

Финансовые учреждения

Карты ассоциации, такие как Visa и MasterCard, имеют давнюю историю безопасности инноваций. EMV смарт-карты являются крупные улучшения в физической карты безопасности и требует значительных инвестиций на протяжении многих лет. В последнее время финансовые учреждения обратились с использованием систем, таких как трехмерный Secure, протокол, разработанный для уровня безопасности для онлайн кредитной карты и дебетовой картой мошенничества в Интернете. Протокол связывает процесс финансовой авторизации для онлайн проверки подлинности на основе модели три домена:

  1. Приобретателя домен: купец и банк, к которому выплачиваются деньги
  2. Домен эмитента: банк, выдавший карточку, которая используется
  3. Интероперабельность домен: Интернет или интерфейс передачи сообщений

Для Интернет-доступа как для домашнего банка, многие банки внедрили системы анализа рисков, часто в ответ на регулирования давления. Эти системы являются слоистых с простыми паролями. Резервные системы, используется, когда пользователь забывает пароль или когда учетная запись заблокирована, часто используют проверку подлинности на основе знаний. Банки имеют преимущество над много чисто Интернет-сайтов, в том, что они имеют физическое присутствие (филиалов) и колл-центры, которые могут быть использованы для резервного. Расходы по обслуживанию пользователей таким образом, однако, являются значительными.

Google

Google была внедрена система под названием «два шага проверки» с использованием альтернативных каналов проверки подлинности. Помимо пароля пользователь может получить текст или телефонный звонок. Они также поддерживают альтернативу с помощью одного времени пароль приложения. Компьютеры могут быть назначены доверенным пользователем, таким образом, что два этапа проверки не является обязательным при входе из этих систем. Существует несколько резервных подходов. Более чем один телефонный номер может быть зарегистрирован. Во время регистрации пользователь может распечатать и сохранить набор резервных кодов для использования в случае потерянного телефона. И наконец если ничего не помогает, форма восстановления аккаунта может отправляться в Google.

Google также имеет механизм для обработки учетной записи доступа с мобильных устройств. Общая проблема с МИД является пользователям доступ к своим счетам из многих устройств, некоторые из которых могут не поддерживать технологию МИД очень хорошо. Например устройство чтения отпечатков пальцев может присутствовать на персональном компьютере пользователя, где водитель может быть загружен и читатель может использоваться при входе. Но, если для учетной записи требуется доступ из приложения на телефоне, не может быть читатель не доступны; Кроме того маловероятно, что приложение будет поддерживать более простую парольную проверку подлинности. Google позволяет пользователю создавать на персональном компьютере, «пароли приложений», которые могут быть использованы в частности мобильных приложений. Поскольку эти пароли долгоживущих, этот метод, вероятно, снижает общее решение для одного фактора. Однако эти пароли являются фишинг стойкие (в отличие от паролей пользователей), потому что они не используются регулярно и не требуется запомнить пользователя.

Яблоко

Apple также использует термин «двухступенчатый контроль» за их подход. Их система основана на трех элементах: i) пароль; II) альтернативный канал с SMS и push уведомлений; и iii) восстановление 14-значный ключ, который создается при установке. МИД не используется при каждой проверке подлинности; Он используется только, когда пользователь хочет для выполнения конфиденциальных операций, таких как управление учетными записями или изменение пароля. Этот метод решает проблему доступа к приложениям, поскольку обычная проверка подлинности предполагает только пароль. Сброс любого из трех элементов требует от пользователя два элемента. Например чтобы сбросить забытый пароль, пользователь должен иметь ключ восстановления и быть в состоянии получить код через альтернативный канал.

Одна из проблем в использовании этого подхода два этапа проверки является то, что там необходимо без другой резервный механизм. Если два фактора потеряли – говорят, пользователь забывает пароль и потерял ключ восстановления-Apple предполагает, что пользователь должен создать новый AppleID. Учитывая, что закупки связаны с AppleID, предположительно, это означает, что пользователь теряет доступ к ним.

LinkedIn

LinkedIn также называет их подход «двухэтапной проверки». В качестве альтернативного канала они используют код, отправленный через SMS. Заявки обрабатываются путем добавления кода к очередной пароль, к приложению. Этот подход зависит от приложения, оставшихся вошли в течение длительного времени. Резервные механизмы кажутся неясными. Страница справки веб-сайта имеет «спросите нас» форму, которая может быть представлена в случае проблемы.

Щебетать

Twitter осуществляет «проверка входа» в два последовательных этапа. Весной 2013 года они реализованы альтернативный канал аутентификации посредством SMS-сообщений, с некоторыми ограничениями. За счет был разрешен только один телефонный номер, и был разрешен только один счет на номер телефона. Приложения могут обрабатываться путем создания временного пароля с 1 час жизни, так, как и в случае с LinkedIn, приложение обычно ожидается, постоянно оставаться в системе в. Резервный механизм был в службу поддержки. Нет явного положения для нескольких пользователей на одном счете, что является проблемой для корпоративных счетов, которые обрабатывают tweets из нескольких сотрудников.

В течение лета 2013 года Twitter добавил дополнительный механизм, который включает криптографический ключ, который хранится на телефоне пользователя. При входе в систему на персональном компьютере, уведомление отправляется на телефон. Пользователь должен утвердить имя входа, с помощью Twitter приложения на телефоне. Приложение взаимодействует с сервером, используя ключ и криптографический протокол, и логин продолжается. Новый механизм также обеспечивает резервные коды, созданные на телефон, который может использоваться для резервного. Проблема нескольких пользователей, позволяя приложение телефона для поддержки нескольких одновременных счетов. Таким образом пользователь может войти личных и корпоративных счетов пользователя одновременно. Несколько пользователей корпоративного счета может войти в систему, каждый пользователь, используя его или ее собственный телефон.

Facebook

Facebook использует механизм, упомянутый как «официальные утверждения входа». Альтернативный канал поддерживается проверка подлинности через SMS, а также генерация один раз пароля в приложении Facebook или с помощью сторонних приложений. МИД используется, только если устройство входа не распознается. Возврат поддерживается путем сброса кодов, которые пользователь может печатать заранее или связаться со службой поддержки. Заявки обрабатываются путем одноразового применения паролей, которые могут быть созданы пользователем.

Заключение

Решение проблемы онлайн аутентификации – улучшение безопасности без оттолкнуть пользователей – это критическое и растущую потребность. Проверка подлинности атаки увеличивается каждый год и нападающие становятся все более сложными. МИД будет одним из важных инструментов, но сложной и динамичной концепции. Хотя история МИД восходит много лет, для многих Интернет-сайтов, которые только сейчас применяется. Однако по всей отрасли происходит переосмысление проверки подлинности. Будущее МИД будет зависеть, насколько хорошо его реализации популярных сайтов – таких, как упомянутые выше, и насколько это нравится пользователям. Нет данных еще на принятие ставок. Общая тенденция использования альтернативного канала, особенно мобильных устройств, вероятно, продолжать свой выбор с учетом хорошо известных компаний.

Есть шаги, которые каждый может принять. Бизнес с Интернет-сайтов, должны реализовывать некоторые формы МИД. Важно также обучение пользователей. Принятие ставки МИД может увеличить, помогая пользователям понять, почему они нуждаются больше, чем простой пароль. Партнерские связи между промышленностью, академическими кругами и правительствами могут помочь финансировать научные исследования в области новых технологий проверки подлинности и эффективности существующих технологий проверки подлинности.

Отдельные пользователи должны изучить варианты, представленные сайты, они часто и рассмотреть вопрос о включении МИД, особенно для тех услуг, когда речь идет о высокой стоимости активов. Если МИД не доступен, пользователи должны выйти и попытаться влиять на эти организации использовать МИД. Зачастую предприятия не будет двигаться принимать МИД после нападения; Однако они могут зависеть от спроса. С учетом увеличения частоты Лэсли атак, лучше proactively предотвратить их чем реактивно отвечать.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: онлайн-безопасности, многофакторная проверка подлинности, механизмы проверки подлинности, проверки подлинности атак

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.