rss Twitter Добавить виджет на Яндекс
Реклама:
     
 

Specter и Meltdown заставляют пересмотреть подход к многофакторной аутентификации

Spectre и Meltdown - новый класс атак, которые влияют на современные процессоры в мобильных устройствах от серверов и настольных компьютеров до планшетов и смартфонов. При этом можно ожидать, что будут обнаружены другие подобные уязвимости. Несмотря на то, что патчи для этих уязвимостей выпускаются, сейчас необходимо понять, как это может повлиять на стратегию аутентификации пользователей.

То, что использование одних только паролей недостаточно для защиты активов, сетей, приложений и данных компаний, было ясно уже давно. В 2017 году Verizon провела исследование, согласно которому 81% утечек данных во всем мире связан с неправильным использованием, похищенными или слабыми паролями. С ростом количества нарушений, возрастают издержки от последствия этих нарушений. 

При атаках Spectre и Meltdown используются преимущества параллельной работы нескольких приложений для выполнения атак по сторонним (или побочным) каналам, что позволяет злоумышленнику получить доступ к памяти и считывать данные на ПК или мобильном устройстве независимо от разграничения доступа и привилегий, встроенных в операционную систему и CPU. Основная проблема состоит в том, что некоторые браузеры оказываются уязвимы для атак. Пользователи, попавшие на вредоносный или взломанный сайт, могут быть затронуты, позволяя злоумышленнику получить доступ к памяти PC, смартфона ил планшета, включая учетные данные, которые используются  для аутентификации. Если это имя пользователя или пароль, то злоумышленник может использовать полученные учетные данные для создания плацдарма в вашей ИТ-системе и дальнейшей эксплуатации привилегий. Даже если вы используете более сложные формы аутентификации, но учетные данные хранятся на вашем ПК или смартфоне, они все равно могут быть скомпрометированы. 

Один из вариантов ограничения этих атак - использование выделенного идентификатора. 

Многофакторная идентификация с помощью токенов используется уже более десяти лет, и по-прежнему является наиболее популярным вариантом для многих организаций. При этом токены давно вышли за рамки стандартного форм-фактора брелока. Существуют также варианты, которые могут вписываться в кошелек, достаточно надежные для полевых задач, помогающие людям с ослабленным зрением и т.д. Выделенные идентификаторы обычно внедряют защищенный элемент в компактный носитель - смарт-карту, USB-ключ или маркер Bluetooth. Защищенный элемент в ядре действует как хранилище и никогда не позволяет тайнам аутентификации покидать “хранилище”. Для того чтобы подтвердить ИТ-системе, что это вы, а не злоумышленник, используется цифровая подпись. Благодаря этому злоумышленник не может повторно использовать ваши учетные данные для доступа к вашей ИТ-системе. 

Эти защищенные элементы по существу представляют собой компьютер с процессором, оперативной памятью и EEPROM или флэш-памятью. Он предназначен для обеспечения безопасности, в отличие от ПК, на котором работает бизнес-приложение, почтовый клиент, программа электронных таблиц с вашими прогнозами продаж и веб-браузер, уязвимый для этих атак. 

Защищенные элементы создаются для защиты от атак по сторонним каналам. Многофакторные учетные данные, хранящиеся на ПК или смартфоне, повышают безопасность по сравнению с паролями благодаря тому, что им не требуются отдельные устройства. Однако, если вы обеспокоены тем, что вы можете оказаться уязвимыми для атак типа Spectre и Meltdown,  или подобных будущих атак, имеет смысл рассмотреть возможность использования выделенного аутентификатора, единственная задача которого - защитить ваши учетные данные.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



ИЛИ
     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

21.11.2018 Эпоха fraud-as-a-service уже здесь

16.11.2018 Спастись от черного ящика

07.11.2018 Рынок 5G за ближайшую пятилетку вырастет в 50 раз

01.11.2018 Якутский «Водоканал» внедрил СЭД

01.11.2018 Число «интеллектуальных предприятий» в мире выросло вдвое

31.10.2018 К 2025 году связью 5G будут пользоваться 80 % россиян

30.10.2018 Электронный документооборот на пороге цифровой эпохи

24.10.2018 В матрице лидерства Canalys – 8 новых «чемпионов»

MSKIT.RU: последние новости Москвы и Центра

ITSZ.RU: последние новости Петербурга