Биометрическая безопасность — единственный оставшийся действительно безопасный вариант MFA
22 марта 2022 г.Злоумышленники вызывают у руководителей высшего звена больше бессонных ночей, чем любые другие бедствия, которые могут разрушить их бизнес. В то время как существующие решения для кибербезопасности отлично справляются с большинством атак, растущее число громких утечек данных показывает, что ни одна компания не может ошибаться. .
Существующие решения для кибербезопасности сложны. Однако инфраструктура, используемая телекоммуникациями, таковой не является. Эти устаревшие представляют угрозу для всех, кто их использует.
Более того, архаичные системы позволяют злоумышленникам разрабатывать новые хакерские технологии и методы, чтобы оставаться на шаг впереди. специалистов по кибербезопасности.
Двухфакторная аутентификация (TFA) была введена для снижения риска киберпреступности. Во всяком случае, TFA дала киберпреступникам больше возможностей для проникновения в конфиденциальные данные, из которых они могут извлечь выгоду.
Сейчас мы вступаем в эпоху, когда многофакторная аутентификация будет доминировать в проверке пользователей. MFA квалифицирует пользователей по трем факторам; что-то, что вы знаете, например, пароль, что-то, что у вас есть, например, мобильное устройство, и что-то, чем вы являетесь — ваши физические атрибуты.
Многофакторная аутентификация на основе биометрии относится ко второй категории. В то время как биометрические данные исключают два предыдущих фактора, некоторые люди считают сканирование своего лица, пальцев и глаз навязчивым. Растущее недоверие к государственным органам, банкам и другим юридическим лицам не снимает этих опасений.
Но, если мы будем полностью честны сами с собой, другого выхода нет. Существующие решения неуместны, и на столе нет альтернативы. Решения МФА вроде отпечатков пальцев, распознавания лиц, сканирования сетчатки глаза — единственно рациональный вариант.
Короче говоря, MFA обеспечивает пуленепробиваемое решение для цифровых приложений, которого нет в существующих методах.
Атаки SS7
Существующей инфраструктурой, используемой компаниями связи, является Система сигнализации общего канала № 7 (SS7). Он является отраслевым стандартом с 1975 года и не поддерживает достижения в области цифровых технологий.
Несмотря на использование спецслужбами, устаревшие протоколы безопасности SS7 означают, что любой, кто использует сеть, уязвим для хакеров. Система идеально подходит для наблюдения. SS7 — мечта хакера.
Атаки SS7 нацелены на мобильные устройства. Злоумышленники могут использовать уязвимости безопасности в протоколе SS7 при обмене сигналами через коммутируемую телефонную сеть общего пользования (ТСОП). Вот как мобильные устройства взаимодействуют с поставщиком услуг телефонной связи.
Следовательно, хакеры могут перехватывать голосовые вызовы и обмен SMS-сообщениями в сотовой сети. Растущее распространение устройств IoT в PSTN предоставляет хакерам еще больше возможностей для доступа к личной информации, которую можно использовать для доступа к конфиденциальным учетным записям.
TFA на основе текста может быть перехвачен
Пароли и проверка пользователя — наиболее распространенный метод доступа к учетным записям на сегодняшний день. Тем не менее, шесть лет назад было установлено, что SMS-верификация является «самым слабым звеном» в цепочке TFA. Но большинство банков и корпоративных предприятий все еще используют его.
В 2016 году Национальный институт стандартов и технологий (NIST)опубликовал руководство, рекомендовав предприятиям и государственным учреждениям прекратить с помощью SMS для TFA. SMS-сообщения могут быть перехвачены.
Искушенным хакерам нужно всего несколько фрагментов личной информации, чтобы украсть ваш телефон. Тип необходимой им информации может быть получен из различных источников; социальные сети, корпорации, государственные учреждения, больничные записи, страховые компании.
Нередко организации, хранящие конфиденциальные данные, становятся жертвами утечки данных. Хакеры украли данные 45 миллионов жителей, проникнув в Государственный реестр лиц Аргентины.
Если злоумышленники знают последние четыре цифры вашего номера социального страхования, дату рождения, почтовый индекс и номер телефона, им не нужно ваше мобильное устройство; они могут получить доступ к данным, убедив оператора мобильной связи перенести ваш номер телефона на их SIM-карту.
Подмена SIM-карт позволяет хакерам изменять ваши пароли. и получите доступ к своим самым личным учетным записям. У них будет время, чтобы перевести деньги или отправиться за покупками, прежде чем вы получите электронное письмо с сообщением о том, что ваш пароль был изменен.
Электронная почта может быть скомпрометирована
MFA на основе электронной почты обеспечивает пользователям более высокий уровень безопасности, чем смартфоны. Но они по-прежнему уязвимы, если компьютер взломан без вашего ведома.
В распоряжении злоумышленников есть множество инструментов для получения доступа к цифровому устройству. Вредоносное вредоносное ПО, рассылаемое посредством фишинговых атак по электронной почте, является наиболее распространенной формой проникновения на компьютерное устройство.
Хакеры также могут получить доступ к компьютерам с помощью вредоносных программ, встроенных в загружаемые PDF-файлы и поддельные приложения. [Майкрософт недавно объявила] (https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked) они отключают макросы Visual Basic для приложений (VBA) по умолчанию, чтобы предотвратить непреднамеренную загрузку сотрудниками зараженных документы или доступ к вредоносной веб-странице.
Атаки грубой силы на пароли также распространены. Эти типы утечек данных используют сложные технологии, которые могут угадывать пароли, комбинируя миллионы комбинаций.
Приложения могут быть подделаны
Мобильные устройства — идеальные мишени для мошенников. Чем больше людей используют мобильные кошельки, тем легче хакерам получить доступ к вашим финансам или бизнес-сети.
Приложения легко подделать. Если злоумышленник имеет доступ к вашему адресу электронной почты и знает, каким банком вы пользуетесь, он может разработать поддельное приложение и предложить вам загрузить его на телефон.
В то время как Apple, Google и Microsoft заявляют об устранении злонамеренного мошенничества из своих магазинов приложений, хакерам удается пронести их контрабандой. Та же история с поддельными плагинами WordPress, которые отображают сообщения о программах-вымогателях.
Почему биометрическая аутентификация — это будущее безопасности
Решения для биометрической безопасности также не на 100% защищены от ошибок. Были случаи подделки голоса и обмана Apple Face ID. Понятно, что использования технологий, аутентифицирующих личные особенности, будет недостаточно.
Последние разработки в области биометрических решений используют функции, которые невозможно подделать или исказить. Датчики движения, фиксирующие шаблоны шагов, исключают использование роботов, а облачные вычисления позволяют проводить проверки безопасности в режиме реального времени.
Несмотря на чувство беспокойства среди населения в целом, биометрические данные — единственный оставшийся способ усилить безопасность цифровых устройств. Пользователи смартфонов постепенно привыкают к этой идее. По оценкам Mercator, в 2020 году 41 % владельцев смартфонов активировали биометрическую функцию на своих телефонах. . Прогнозируется, что к 2024 году количество пользователей вырастет до 66%.
Внедрение биометрической аутентификации идет медленно, но компании ускорят ее использование, поскольку распознавание лиц, сканирование сетчатки глаза и отпечатки пальцев объединяются в MFA. С таким количеством уязвимостей в нынешнем ландшафте у лиц, принимающих решения, нет другого выбора!
*Отказ от ответственности*: я не работаю в сфере кибербезопасности и не связан с каким-либо другим бизнесом или агентством, которые могут получать прибыль от биометрических технологий. Я просто делаю наблюдение.*
Оригинал