双因素身份验证已破坏:接下来是什么?
我们已经众所周知,密码是验证用户最薄弱的方法之一。当希腊军队在夜间战斗中使用通行证进行识别时,可以追溯到413 BCE的密码的第一示例之一。不幸的是,这种通行证是锡拉库斯人所知的,他用它来摆在希腊盟友。雇用这个诡计,锡拉库斯人抽取希腊军队。
现在是常规做法,以便在长度和复杂性方面为密码设置最低要求。然而,这些经常是组织安全基础设施中的弱点。
密码数据库可以通过为用户提供用户不再需要记住的复杂密码的安全存储。但是,这成为终点安全性的单一失败点。
因此,许多组织开始使用双因素身份验证(2FA)进行接入点管理,因为它基本上提供了另一种需要克服的安全性。
随着大多数2FA系统,如果设备丢失,以某种方式丢失或受到损害(例如通过恶意软件),则2FA系统会受到损害。
“双因素身份验证不验证inpidual。它验证设备。这是我们在行业的“身份近似”中所谓的。它不是身份验证,“imageware系统高级副总裁兼首席技术官David Harding说。
“如果您正在验证设备,则假设设备属于您尝试识别或认证的人员,并且除了作为已知设备之外的任何内容,该假设不会备份。”
有几个最近的2FA的例子被妥协。Twitter首席执行官Jack Dorsey让他的推特账户于2019年8月被黑客攻击,这是使用他们的2FA安全系统保护的,并且在他的推特账户上发布了几条令人不快的消息。同样,加密货币交换信徒的2FA系统受到影响,损失了7,000比特币(约3100万英镑)。
妥协2FA系统比似乎更容易。其中一个最简单的方法,特别是在美国,是一个SIM-SWAP,恶意演员将目标的手机号码交换到新手机。任何后续文本消息,例如2FA,都将发送到这款新手机,从而给予恶意演员访问。
还发现某些恶意软件危及2FA系统。Cerberus是一类基于Android的恶意软件,被发现在2月2020年2月在Google Authenticator中偷了2FA代码。还有TrickBot恶意软件,通过拦截由短信和推送通知发送的银行应用程序使用的一次性代码来绕过2FA解决方案。
社交工程也用于绕过2FA安全性。恶意演员可以作为目标的银行姿势,通过引用刚刚发送给他们的安全代码来调用目标“确认他们的身份”,以响应访问其银行资料。
“很多这种东西不需要任何真正的技术技能,这是真正的可怕部分,”Harding说。“金融业中有一个旧的笑话:“它没有采取任何技术技能来接管银行账户,它只是赢得个性化的人格。当我们首次开始学习被绕过的双因素认证时,它是通过它发生的社会工程。“
为了打击这一点,2FA需要成为身份集中的,而不是以设备为中心的。可以实现这一的主要方式之一是通过生物识别。以这种方式使用生物识别性证实了待的待在其设备。“真正身份验证的唯一方法是依靠生物识别认证匹配,与您尝试进行身份验证的纯正的已知注册的生物识别,”Harding说。
生物识别安全已成为我们生命的无处不在的一部分。一些最常见的例子包括我们手机上的指纹和面部ID生物识别安全性,以及当我们拨打银行时的声音ID。“这些设备已经在一个要使用它们的人的口袋里,”Harding说。“由于苹果和Android,Biometrics就是主流。讽刺是,这并不是为什么他们增加生物识别;他们实际上为方便起来了。“
然而,生物识别技术本身并不是无可救药。正如最近的例子所示,可以欺骗生物识别安全性 - 愚弄思考它们正在呈现正确的信息。例如;在胶粘熊中,通过使用基于明胶的甜点可以愚弄指纹扫描仪。使用来自Facebook的照片的3D渲染也有面部识别的情况。
这种漏洞正在被生物识别读者内置的防欺骗系统的开发正在抵消。例如,面部ID现在可以读取面部轮廓。“在过去,欺骗了一些这些认证系统非常容易,”Harding说。“现在是生物识别的关键,以及你看到越来越多的东西,这是这种反欺骗能力,防止了发生这种情况。”
IRIS-识别是更安全的生物识别形式之一。对欺骗攻击具有本质上的强大。一个着名的虚构例子,绕过眼睛扫描仪的人来自1993年的电影拆除人,其中Wesley狙击,作为Simon Phoenix,从安全卫队提取眼球以绕过虹膜锁。实际上,由于眼睛是一种令人难以置信的精致结构,这将迅速衰减,这种令人毛骨悚然的技术非常不可能工作。
也就是说,生物识别技术周围的关键问题之一是它们通常在设备上确认生物特征身份,而不是通过集中式数据库。此外,智能设备经常允许多人使用生物识别器解锁设备。当以这种方式使用时,设备确认的所有是生物识别性是那些被授权使用该设备的人。这不一定是需要确认身份的人。
“触摸ID - Google的指纹阅读器 - 并没有真正验证用户。他们检查该设备上的已注册的指纹。我知道这是因为我编码了它,“Harding说。“例如,我的指纹不是唯一注册我手机的指纹。我的妻子也是非常简单的理由;所以她可以改变汽车中的音乐。但到电话,没关系。它说;其中一个指纹匹配,但它不能讲述我和她之间的区别。“
Biometrics的另一个缺点是假阳性和假阴性的频率。假阳性是在没有一个,最常见的面部识别系统的情况下进行匹配的地方。
尽管是真的,但也存在错误的否定否定,这是匹配失败的地方。对于指纹扫描仪,这尤其如此,甚至潮湿的手指会导致问题。“占全球人口的约30%没有易读或可读的指纹。有许多原因;你的年龄,所以你的指纹随着时间的推移降低,有些人遗传地只有糟糕的指纹。然后你为生活或爱好做了什么,“Harding说。“我患有所有三个,必须在iPad和iPhone上每两周重新注册我的指纹。”
组织而不是依赖设备,而不是依赖设备,可以使用集中数据库来存储特定服务的所有注册用户的生物识别数据。这允许生物识别读取器引用数据库而不是用于身份验证的设备。在这样做时,这将焦点从设备认证转移到用户身份验证。
将多因素身份验证(MFA)与Biometrics相结合提供了额外的安全性。而不是依赖密码和生物识别,需要三个(或更多)的身份验证,并为BioMetrics的额外必要性提供了具有强大的安全性的组织,而不是单独使用2FA或生物识别学不可能实现的。
随着智能设备变得更加复杂,它们为生物识别身份验证提供了新的和更大的手段。“我们正在看到更高分辨率的相机。我们在某些时候会看到红外技术,“Harding说。“我们可以利用像虹膜这样的东西,我们将看到更多的生物识别方式。”
大多数智能设备现在具有指纹锁和面部ID,但更安全的IRIS识别系统需要专用设备。当然,这具有显着的成本影响,特别是如果需要分发给需要访问的人。
虽然2FA比依靠密码更安全,但假设它对于现代组织来说是足够的,这将是短视的。同样,而不是依赖基于设备的身份验证,组织应该考虑使用集中式数据库,其中可以安全地存储和认证身份。“这将是身份认证的未来,”Harding说。“其他一切都是身份近似,身份近似将继续失败。”