Protejarea activelor informaționale sau Haosul autentificării cu doi factori

Protejarea activelor informaționale sau Haosul autentificării cu doi factori

Dezvoltarea tehnologiei informației este indisolubil legată de asigurarea unui grad adecvat de securitate informațională la utilizarea acesteia.

Specialiștii cred cămetodele autentificării cu doi factori, utilizate la noi, nu-s suficient de sigure, incomode în utilizare, iar costurile implementării lor –excesive. Poate a venit timpul să le înlocuim cu unele mai performante?

Mai simplu nu înseamnă neapărat și mai bine 

Astăzi, autentificarea cu doi factori a devenit un serviciu ordinar, care s-a extins grație realizării simple și gradului înalt de încredere psihologică, insuflată utilizatorilor. Însă chiar și cea mai superficială cercetare a metodelor existente de autentificare cu doi factori ne permite să conchidem că există opinii suficient de contradictorii privind securitatea acestei tehnologii. 

Opiniile mai multor specialiști cu renume în domeniul securității informaționale, dar și analiza vulnerabilităților specifice acestei tehnologii, care permite ocolirea mecanismelor de protecție a datelor, ne vor ajuta să ne dumerim în problema dată. Firește, la opiniile experților vom anexa și opinia specialiștilor Centrului  e securitate informațională DAAC System Integrator, bazată pe experiența acumulată din prestarea serviciilor în domeniul protecției informației pe piața națională.  

E logic să pornim de la definiții, pentru a depăși haosul din conceptul autentificării cu doi factori. Așadar, conform ISO/IEC 27000:2014, autentificarea este procesul care garantează autenticitatea caracteristicilor declarate ale obiectului. E de menționat că metodele de autentificare pot fi clasificate în felul următor:     

         a) cu un factor, adică ceea ce cunoaștem – parola, codul PIN, fraza-cd etc.

         b) cu doi factori – o combinație între cele ce cunoaștem și cele ce posedăm -cartela smart, brelocul și codul pentru ele;  

         c) biometrică sau cea care  ne caracterizează univoc: amprentele digitale, irisul, comportamentul caracteristic etc. Grație utilizării acestor factori unici, la moment metoda în cauză este considerată cea mai sigură și de aceea o vom examina deosebit de atent.   

Vom menționa că autentificarea poate fi considerată multifactorială doar în cazul utilizării combinate a metodelor numite, spre exemplu, cartela smart cu cod și un oarecare factor biometric. 

Pare straniu, dar, de cele mai multe ori, confuziile în privința metodelor de autentificare țin de identificarea numărului corect de factori utilizați, dat fiind că managerii de vînzări în mod deliberat șterg linia relativ subțire dintre autentificarea cu doi factori și cea în două etape, căci sarcina lor este de a demonstra eficiența procedurii de autentificare și nu nuanțele specifice de asigurare a protecției procesului.     

Din punctul nostru de vedere, procedura de verificare a parolei, cumulată cu confirmarea unui cod unic expediat prin poșta electronică sau SMS, practicată pe larg pe piața noastră, nu poate fi considerată ca fiind cu doi factori, deoarece ea poate confirma doar faptul că se utilizează două parole, adică factori de același tip. Faptul că posezi un smartphone nu este esențial aici, căci factorii de diferite tipuri nu corelează în procesul autentificării. Chiar dacă în loc de parolă ar fi verificate două semne biometrice, metoda ar fi tot o autentificare în două etape.      

Mult mai corect și mai onest față de clienții lor procedează organizațiile care corelează factorii de posedare și de cunoaștere, iar pentru confirmarea tranzacției este generată o consecutivitate de simboluri, dintre care o jumătate este stocată în smartphone, iar cealaltă este introdusă de utilizator după fiecare generare a codului. În acest caz smartphone-ul este într-adevăr un factor de posesie, iar codul cunoscut utilizatorului – factorul cunoașterii.    

Diferența dintre autentificarea cu doi factori și gradul mai superior de securizare constă în aceea, că rezultatul verificării factorilor de autentificare devine cunoscut numai  după compararea simultană a ambilor factori. Posibilitatea compromiterii acestei metode de autentificare este mai complicată, căci este asigurată imposibilitatea selectării separate a factorilor de autentificare. În acest caz, răuvoitorul nu va mai putea selecta parola pentru cea de-a doua etapă de autentificare, în speranța că prima a fost reușită deoarece a primit un răspuns de genul: ”Acum introduceți codul unic primit prin SMS”. 

În favoarea acestui argument este și faptul că Institutul național de standarde și tehnologii din SUA (The National Institute of Standards and Technology, NIST Special Publication 800-63B, section 5.1.3.2 Out-of-Band Verifiers) încă din anul 2016 nu recomandă utilizarea SMS-urilor pe post de mijloace incluse în componența autentificării cu doi factori și indică riscurile mari de interceptare și falsificare a lor (situația în care o persoană sau un program se maschează prin falsificarea datelor și astfel obține avantaje ilegale – n.r.).

Totuși, constatăm că, în pofida recomandărilor, anume această metodă s-a extins în țara noastră - grație simplității sale, cel mai probabil. Tehnologic, serviciile prestate utilizatorilor se bazează pe SMS – cea mai simplă și prietenoasă metodă, pe care experții însă o apreciază ca fiind insuficient de sigură. 

Îngrijorările experților NIST privind autentificarea în două etape prin SMS, desigur, țin de faptul că atacurile răuvoitorilor pot fi foarte ieftine, căci ei utilizează metodele ingineriei sociale sau protocoalele învechite de transmitere a SMS, elaborate în îndepărtații ani 80 .

Mai există și lacunele evidente ale autentificării în două etape cu SMS, ce țin nemijlocit de utilizarea telefoniei mobile, cum ar fi:

- telefonul mobil trebuie să fie mereu în aria de acoperire a rețelei, în caz contrar mesajul care conține codul nu va veni; 

- uneori mesajele se rețin și e nevoie de timp pentru a le verifica, iar ofertele avantajoase, să zicem, de cumpărare a biletelor de avion, expiră deja;   

 - este posibil spam-ul, deoarece trebuie să anunți organizațiilor numărul tău de telefon.  

Securitatea ca prioritate

Toate aceste lacune ar putea fi evitate, dacă prestatorii de servicii ar recurge la o metodă modernă și sigură de autentificare, bazată pe metodele de analiză a comportamentului utilizatorilor (User and Entity Behavior Analytics). Aceasta, cum am mai spus, ține de autentificarea biometrică, iar experții consideră că ea demult nu mai este ceva exotic și că în viitorul apropiat va deveni funcția de bază a sistemelor de securizare informațională. 

Metoda de analiză permite crearea amprentei digitale individuale a utilizatorului în baza analizei comportamentului său prin tehnologia instruirii automate, care îi analizează comportamentul în timpul sesiunii (comportamentul tipic al utilizatorului legitim spre deosebire de cel al răufăcătorului) și felul cum le realizează (biometria comportamentală: viteza și navigarea mișcării cursorului, viteza și consecutivitatea butonării, pauzele etc.).

Noi înțelegem că, în prezent, urmele digitale ale comportamentului nostru în spațiul informațional ne caracterizează mult mai bine ca datele personale, să zicem, despre securizarea cărora se vorbește așa de mult după intrarea în vigoare a noii legislații europene din sfera dată. Deviind puțin de la temă, ce anume putem ști despre om, dacă îi cunoaștem datele personale, cum ar fi: bunurile mobiliare și imobiliare, starea familială, etc.? Nu prea multe, de fapt, căci aceste date nu ne permit să răspundem univoc la întrebarea dacă persoana în cauză într-adevăr locuiește în locul unde este înregistrată, e automobil folosește zi de zi și în ce relații este cu membrii familiei sale. 

O situație analogică, credem, are loc și în procesul autentificării cu doi factori, deoarece acolo nu este analizată devierea de la comportamentul format al utilizatorului și ulterior, în baza anumitor suspiciuni, nu are loc blocarea automată a contului pînă la elucidarea tuturor circumstanțelor anomaliei înregistrate de sistem. 

Deși tehnologiile de analizare a comportamentului utilizatorilor există demult, și se aplică activ la prevenirea fraudelor bancare, implementarea lor în scopul autentificării adaptive mereu este lăsată la o parte. De cele mai multe ori – din cauza că organizațiile nu doresc să se îndepărteze de stereotipurile privind securitatea mesajelor SMS, utilizate în aceste scopuri, și ignoră incomoditatea evidentă a utilizatorilor, ce ține de introducerea obligatorie a parolelor și a codurilor de confirmare pentru autentificarea sau confirmarea tranzacției. 

Astfel, sîntem martorii situației în care metodele utilizate în prezent de prestatorii de servicii la autentificare nu-s ideale, dar costă scump (că doar pachetele SMS le achităm, în ultimă instanță, tot noi pe post de consumatori ai serviciilor). Asta în timp ce la aplicarea în practică a lor domină abordarea pragmatică, care ține de simplitatea realizării tehnologiei în cauză și de nivelul destul de scăzut de inițiere a utilizatorilor în problemele securității informaționale.  

E dificil să numim adevărata cauză de ce soluția modernă, relativ ieftină, verificată și simplă în realizare, care asigură securizarea sistemelor informaționale și a sistemelor de deservire bancară la distanță a organizațiilor financiare din lumea întreagă, nu-și găsește aplicare în țara noastră. Asta în timp ce implementarea ei ne-ar permite să sporim substanțial gradul de securizare a procesului de autentificare a deținătorilor de conturi privilegiate, rolul cărora presupune atribuții largi în sistemele informaționale, dar și a majorității dintre noi – cei mai obișnuiți utilizatori.  

Sperăm că în urma acestor cugetări, succesele obținute în sfera instruirii automate a sistemelor de analizare a comportamentului utilizatorilor își vor găsi și la noi aplicarea practică și ne vor face viața nu doar mai confortabilă, dar și mult mai sigură. 

Andrei Sorochin,

Centrul de securitate informațională

DAAC System Integrator

Citește-ne pe Twitter, dacă vrei să afli mai multe

Ați găsit o eroare în text? Marcați-o și tastați Ctrl+Enter

Mai multe

Sondaj Toate

load