Безопасный и масштабируемый подход к решению проблем аутентификации личности клиентов банка

Hosting Fozzy

Банки и другие компании, предоставляющие финансовые услуги, знают, что они особенно уязвимы для кибератак, направленных против их бизнеса и их клиентов.

Безопасный и масштабируемый подход к решению проблем аутентификации личности клиентов банка

Решения для многофакторной аутентификации (MFA) или строгой аутентификации клиентов (SCA) являются особенно эффективной защитой, но некоторые из них лучше, чем другие. Это особенно верно в отношении решений для мобильной аутентификации.

Многие потребители ожидают того же удобства, что и другие мобильные приложения. Однако, какими бы удобными они ни были, эти решения также должны быть должным образом защищены.

Решения для мобильной аутентификации изобилуют предложениями со значительными недостатками безопасности

К этим недостаткам относятся решения, использующие безопасные коды, также известные как одноразовые пароли (OTP), которые рассылаются по SMS на мобильные телефоны клиентов.

Широко используемый в течение многих лет, этот метод чрезвычайно уязвим для угроз кибербезопасности. Организации должны знать свои риски, чтобы защитить себя и своих клиентов. Им также необходимо понимать, как сделать мобильную аутентификацию и подпись транзакций безопасными и как использовать современные элементы управления и протоколы для развертывания безопасных, бесшовных и масштабируемых решений.

Знание того, что поставлено на карту

Существует множество векторов атак, в том числе незаконные службы обмена текстовыми сообщениями, которые хакеры используют для перенаправления сообщений людей, чтобы они могли получить доступ к своим учетным записям.

Например, после установки вредоносное ПО FluBot собирает все пароли и отправляет их обратно в компанию, из которой они были получены. Еще опаснее — бот также собирал все контакты и отправлял сообщения с аккаунта жертвы, заражая еще больше людей.

Во время другой крупной атаки годом ранее злоумышленники построили сеть из 16 000 виртуальных мобильных устройств, а затем перехватили одноразовые пароли (OTP) в SMS.

Согласно репортажу в Ars Technica, исследователи IBM Trusteer раскрыли масштабную мошенническую операцию, в ходе которой использовалась сеть эмуляторов мобильных устройств для вывода миллионов долларов из мобильных банковских приложений за несколько дней.

Hosting CityHost

Растущая зависимость от цифровых каналов транзакций

С ростом зависимости от каналов цифровых транзакций объем кибератак значительно увеличился.

А в начале 2022 года Crypto.com признал, что у почти 500 пользователей было украдено более 30 миллионов долларов после серьезного взлома.

Использование скомпрометированных учетных данных пользователя по-прежнему остается основным способом запуска атак хакерами

Весной 2021 года хакеры воспользовались уязвимостью многофакторной аутентификации, чтобы украсть криптовалюту примерно с 6000 учетных записей Coinbase. Уязвимость позволила им ввести одноразовый пароль через SMS, а также получить доступ и получить информацию об учетной записи пользователя.

Безопасность мобильной аутентификации обеспечивает решение этих проблем, позволяя пользователям использовать преимущества различных возможностей мобильных устройств для проверки своей личности перед доступом к приложению или выполнением транзакции.

Как работает безопасность мобильной аутентификации?

Превращение вездесущего смартфона в простой в использовании вездесущий аутентификатор — это идеально, но обеспечить безопасность процесса мобильной аутентификации — непростая задача.

В отрасли созданы базовые стандарты безопасности для мобильной аутентификации в рамках некоммерческого фонда Open Web Application Security Project (OWASP). Однако эти стандарты отличаются от тех, что созданы для веб-приложений.

Мобильные приложения предоставляют значительно больше возможностей для хранения данных и использования встроенных функций безопасности устройства для аутентификации своих пользователей. В результате даже небольшой выбор конструкции может иметь большее, чем ожидалось, влияние на общую безопасность решения.

Одним из вариантов мобильной аутентификации является проверка по SMS или одноразовый пароль, отправляемый по SMS, который получил широкое распространение во всем мире. Это был ведущий метод аутентификации среди финансовых учреждений, опрошенных HID Global в ходе исследования 2021 года. По оценкам Ponemon Institute, несмотря на значительные риски для безопасности, SMS OTP используется примерно одной третью мобильных пользователей.

Альтернативой являются решения для аутентификации, сочетающие push-уведомления с защищенным внеполосным каналом

Внеполосный подход обеспечивает более надежное сочетание безопасности, гибкости и удобства использования. Этот безопасный подход к аутентификации на основе канала применяет криптографические методы для задачи привязки конкретного устройства к личности его владельца.

Это исключает возможность того, что злоумышленник выдаст себя за кого-то, если у него нет физического доступа к устройству. Кроме того, это более безопасный подход, чем аутентификация по SMS, поскольку поставщику услуг не нужно отправлять конфиденциальную информацию на устройство клиента по незащищенной сети.

Push-уведомления также делают взаимодействие с пользователем намного проще, чем SMS-системы

Все, что пользователь должен сделать, когда на его телефоне появится push-уведомление, — это подтвердить запрос, сделав двоичный выбор «одобрить» или «отклонить» транзакцию. Это отличается от ссылки на одноразовый пароль, полученный через SMS, и повторного ввода его в телефон.

Пользователи обычно видят крошечную часть процесса аутентификации, большая часть которой происходит в фоновом режиме.

Весь жизненный цикл мобильной аутентификации начинается с регистрации и распознавания устройства пользователя, а затем предоставления пользователю безопасных учетных данных

Решение также должно защищать учетные данные пользователя и обеспечивать безопасность всех коммуникаций между пользователем, приложением и внутренними серверами.

Наконец, он должен защищать запросы конфиденциальных данных во время работы приложения организации, поддерживать безопасность на протяжении всего жизненного цикла клиента и предотвращать атаки методом грубой силы. На каждом из этих этапов есть трудности.

Решение семи основных сложных задач аутентификации клиентов

Различные факторы затрудняют реализацию безопасности мобильной аутентификации, включая выбор и интеграцию наиболее эффективных методов в более широкие системы безопасности организации. Существует семь основных категорий проблем в жизненном цикле мобильной аутентификации:

Распознавание и аутентификация пользовательских устройств

Идеальный способ аутентификации цифровой личности человека — узнать, использует ли он свое устройство и когда. Без этого распознавания злоумышленники могут выдать себя за пользователя, передав свои данные в реальный или виртуальный клон реального мобильного устройства.

Для борьбы с этим можно использовать технологию защиты от клонирования, чтобы гарантировать, что никто не сможет получить доступ через это мошенническое устройство.

Методы защиты от клонирования наиболее эффективны, когда они основаны на элементе безопасности (SE), который есть почти во всех современных смартфонах.

В случае с iOS это специализированная подсистема безопасности Secure Enclave, интегрированная в системы Apple на чипах (SoC).

Для устройств Android Trusted Execution Environment или TEE работает вместе с операционной системой Android. Использование защищенного элемента устройства позволяет решениям аутентификации в максимальной степени использовать преимущества встроенных аппаратных средств защиты.

Кроме того, самые надежные решения для аутентификации не позволяют потенциальным клонерам использовать несколько уровней криптографической защиты и защищают отдельные ключи с помощью уникального ключа устройства. Этот уникальный ключ генерируется во время первоначального процесса подготовки и, даже если он взломан, гарантирует, что злоумышленник не сможет получить доступ к каким-либо другим ключам или выдать себя за устройство.

Инициализация пользовательских устройств, чтобы они были безопасными и защищенными от кибератак

Управление идентификацией пользователей и выдача учетных данных на их мобильные устройства должны быть безопасными и защищенными от кибератак.

Некоторые решения для мобильной аутентификации активируют пользовательские устройства с помощью криптографии с открытым ключом (на основе математически связанной пары закрытый/открытый ключ). В этой паре открытый/закрытый закрытые ключи, сгенерированные устройством клиента, считаются секретными.

Они никогда не покидают устройство, поэтому меньше шансов, что учетные данные будут скомпрометированы. Это хорошо работает для мобильных средств проверки подлинности, поскольку они могут осуществлять прямой обмен данными с сервером проверки подлинности во время запросов проверки подлинности, и от пользователя не требуется ручного вмешательства, такого как ответ на принудительную проверку подлинности.

Когда требуется обмен секретным ключом между мобильным аутентификатором и сервером аутентификации, необходимо предпринять два дополнительных шага

Это относится к мобильным аутентификаторам, которые предлагают ручную альтернативу (например, OTP). Эти шаги обеспечивают безопасный обмен секретным ключом между клиентом и сервером:

  1. Первоначальная аутентификация пользователя для установления безопасного канала.
  2. Создание самого безопасного канала для обмена общими секретами.

В наиболее безопасных решениях первоначальная аутентификация уникальна для каждого пользователя, это событие аутентификации используется только один раз, и срок его действия истекает сразу после успешного завершения регистрации.

Некоторые решения также позволяют организациям настраивать определенные параметры и правила безопасности. Например, среди прочих параметров они могут изменить длину исходного кода аутентификации и его буквенно-цифровой состав или количество повторных попыток, разрешенных после неудачной начальной аутентификации.

Организации также должны учитывать политики, регулирующие процессы подготовки пользователей и устройств

В идеале решение для аутентификации должно позволять организации определять, разрешено ли выдавать учетные данные для старых операционных систем, взломанных телефонов или мобильных устройств, не имеющих элемента безопасности.

Подобные решения также часто дают организациям выбор используемого типа шифрования. Они также упрощают процесс настройки параметров помимо того, что уже установлено поставщиком.

Защита учетных данных пользователя в опасном цифровом мире

Надежные политики необходимы для защиты учетных данных от нескольких различных атак и фишинговых схем. Однако это может быть сложно, особенно для политик паролей, которые различаются в разных организациях. Решения для мобильной аутентификации могут помочь в этой области, приспосабливая эти различия политик за счет использования push-уведомлений.

Например, push-уведомление может быть запущено сразу после успешного ввода пароля. Или от пользователя может потребоваться сначала предпринять дополнительные шаги для аутентификации своей личности, например ввести PIN-код/пароль своего устройства или биометрический маркер.

Защита конфиденциальных данных путем обеспечения безопасной связи

Конфиденциальные данные могут быть перехвачены при их перемещении по незащищенным каналам, поэтому шифрование требуется для всего обмена данными между пользователями, решениями для мобильной аутентификации и внутренними серверами.

Перед обменом любыми сообщениями необходимо использовать закрепление сертификата, чтобы убедиться, что решение для мобильной аутентификации связывается с правильным сервером. Это ограничивает, какие сертификаты действительны для этого сервера, и устанавливает явные доверительные отношения между решением для проверки подлинности и серверами, уменьшая при этом зависимость от сторонних организаций.

Использование протокола TLS имеет решающее значение для обеспечения безопасности на транспортном уровне. Например, с помощью TLS 1.2 каждое сообщение, передаваемое между решением для аутентификации и сервером, защищено, а также любое уведомление, передаваемое на мобильное устройство.

Информация также должна быть зашифрована в этом защищенном туннеле для обеспечения безопасности на уровне сообщений. Лучшие решения для аутентификации делают шаг вперед, не требуя отправки каких-либо конфиденциальных пользовательских данных в push-уведомлениях пользователя. Вместо этого они обеспечивают частный безопасный канал между приложением и сервером.

Этот канал извлекает контекст запроса, ограничивая риск раскрытия и компрометации.

Обнаружение и блокировка атак в реальном времени

Количество уязвимостей нулевого дня растет, поэтому для всех приложений жизненно важно применять различные методы обнаружения и предотвращения атак в режиме реального времени.

Одним из способов сделать это является самозащита приложений во время выполнения (RASP), которая устанавливает элементы управления и методы для обнаружения, блокировки и смягчения последствий атак во время работы приложения. RASP также помогает предотвратить обратный инжиниринг и несанкционированную модификацию кода приложения и не требует вмешательства человека для выполнения этих функций.

Также жизненно важно, чтобы решения использовали многоуровневую защиту

Это сводит к минимуму вероятность того, что обход любого отдельного элемента управления приведет к взлому. Эти слои включают в себя:

  • Обфускация кода: людям сложнее понять декомпилированный исходный код, если они не изменят выполнение программы.
  • Обнаружение несанкционированного доступа. Используя такие технологии, как ASLR, разрушение стека и проверки списка свойств (также известные как проверки .plist), организации могут быть уверены, что приложение или его среда не были скомпрометированы, а связанные с ним функции не были изменены.
  • Обнаружение джейлбрейка и эмулятора: это позволяет организациям создавать и применять политики, относящиеся к типам устройств, которые заслуживают доверия или нет.

Оптимизация управления жизненным циклом аутентификации

Чтобы снизить риск компрометации криптографических ключей и сертификатов, они имеют ограниченный жизненный цикл при выдаче на устройства.

Чем короче этот жизненный цикл, тем надежнее будет ключ. Однако наряду с этими более короткими критическими жизненными циклами возникает требование строго следовать дисциплинированному управлению ключами и процедурам обновления.

Однако решение для достижения этой цели не должно заставлять пользователей постоянно перерегистрироваться в службе.

Ответ? Новейшие решения для аутентификации упрощают процесс настройки продолжительности жизни ключа. Они также используют механизмы, позволяющие серверу обновлять ключи устройства до того, как срок их действия автоматически истечет. Устранение необходимости явного вмешательства пользователя позволит организациям соблюдать передовые методы обеспечения безопасности, не прерывая обслуживания своих клиентов.

Предотвращение атак грубой силы, направленных на получение информации для входа и ключей шифрования

Атаки грубой силы используют метод проб и ошибок для достижения своих целей. К сожалению, эти атаки достаточно просты и эффективны, чтобы их популярность росла. Для борьбы с ними решения для мобильной аутентификации используют множество различных методов.

Одним из наиболее эффективных является предоставление организациям возможности настраивать параметры в соответствии со своими уникальными потребностями и политиками. Примеры включают:

  • Блокировка с задержкой: организации могут настроить серию задержек, прежде чем разрешить пользователю повторно ввести PIN-код или пароль после неудачной попытки.
  • Блокировки счетчика: этот параметр используется для отображения недействительных паролей после нескольких неудачных попыток.
  • Тихие блокировки: организации могут заблокировать пользователя в системе без какой-либо обратной связи, когда он вводит неправильный PIN-код или пароль.

Независимые аудиты и сертификаты — ключевые показатели, помогающие принять правильное решение

Ни одна стратегия безопасности не обходится без сторонних аудитов и сертификации соответствия. Это помогает обеспечить безопасность решения для аутентификации и защитить организацию в сегодняшней быстро меняющейся среде с быстро меняющимися угрозами.

Обеспечить безопасность пользовательской мобильной аутентификации на протяжении всего жизненного цикла, от регистрации устройства до управления учетными данными и всеми рекомендуемыми аудитами и сертификатами безопасности, — непростая задача.

Это требует от организаций тщательного анализа рисков, изучения способов реализации и использования функций безопасности на уровне устройств, которые обеспечивают безопасность мобильной аутентификации и подписания транзакций, а также применения надлежащих средств контроля и протоколов.

Они могут развертывать только те решения, которые защищают их и их потребителей в условиях постоянно расширяющегося современного ландшафта угроз.

Hosting Fozzy

Оцените статью
Поделиться с друзьями
Валерий Матафонов

Автор блога WM-IT.pro. Занимаюсь разработкой и оптимизацией сайтов с 2010 года.

WM-IT.pro - Блог об информационных технологиях
Добавить комментарий