Confident Technologies представляет свой список 5 прогнозируемых тенденций в сфере аутентификации на 2012 год. Компания включила в него тенденции, усиления которых ожидается в будущем году, а также прогнозы некоторых ожидаемых атак.
1. BYOMD ((bring your own mobile device, принеси свое мобильное устройство) сулит большие проблемы бизнесу с точки зрения потери данных в 2012 году
Работники компаний и подрядчики все чаще приносят свои смартфоны и планшетные компьютеры на работу и используют такие компьютеры совместно для рабочих и личных нужд. В 2012 году эта тенденция будет только развиваться, мы увидим несколько громких инцидентов потери данных предприятиями в результате того, что компании позволяют работникам подключать свои мобильные устройства к корпоративной сети без надлежащего применения протоколов систем безопасности. Конечным результатом этого станет применение предприятиями строгой аутентификации и политики безопасности, особенно в отношении информации, которая может храниться, передаваться и использоваться в мобильных устройствах.
2. Прогнозируется крупная утечка данных (подобная утечке данных из Sony в 2011 году), которая, наконец, поможет компаниям из разных отраслей промышленности понять, что они не могут полагаться только на пароли для защиты учетных записей пользователей
В 2011 году произошло несколько крупных утечек данных, включая утечку в Sony, в результате которой в интернет просочились более 100 миллионов учетных данных, и взлом Gawker, из-за которого утек 1 миллион учетных данных. В обоих случаях утечки вызвали эффект домино, распространяясь по сети. Зная, что многие люди используют одно и то же имя пользователя и пароль на нескольких веб-сайтах, злоумышленники использовали утекшие учетные данные пользователей для доступа к их аккаунтам на множестве других, не связанных с этими сайтах. Таким сайтам как Amazon и LinkedIn пришлось заставить своих пользователей массированно сменить пароли, чтобы предотвратить дальнейшие случаи мошенничества.
В 2012 году мы ожидаем еще одну крупную утечку по причине слабозащищенных учетных данных и низкого уровня аутентификации на веб-сайтах. Мы ожидаем, что резкое увеличение количества и серьезности утечек наконец-то положит конец использованию единого текстового пароля, де-факто, являющегося сейчас нормой для аутентификации в сети.
Многие популярные сайты, такие как LinkedIn, Amazon и Mint.com, хранят большие объемы персональных данных и финансовой информации и полагаются только на статический пароль при аутентификации. 2012 год станет годом, когда мы, наконец, увидим как большое количество организаций в игровой сфере, сфере здравоохранения, образования, розничной торговли в сфере социальных сетей, начнут применять многоуровневую систему аутентификации и многофакторной аутентификации для защиты учетных записей пользователей.
3. Количество целей для атак в стиле "Zeus-в-мобильном-устройстве" увеличится
В 2011 году мы увидели новые версии печально-известного вредоносного ПО Zeus, модифицированного специально для атак на смартфоны с целью перехвата аутентификационных текстовых сообщений, которые банки отсылают своим клиентам (оно называлось "Zeus для атаки на мобильные устройства" или Zitmo). Все большее количество учреждений используют двухфакторную SMS-аутентификацию, от финансовых учреждений до Facebook. Из за того, что так мало людей устанавливают программное обеспечение для безопасности на свои смартфоны и планшетные компьютеры, злоумышленники знают, что могут заполучить в свои руки массу ценной информации в результате инфицирования мобильных устройств кейлоггерами и вредоносными программами.
Мы ожидаем, что в 2012 году увеличится как количество атак типа "Zeus-в-мобильном-устройстве", так и число их вариаций для целенаправленного воздействия на различные типы смартфонов. Хакеры будут продолжать активно добиваться перехвата текстовых аутентификационных сообщений из банков, а также других дорогостоящих мобильных транзакций. Все большее число успешных атак в 2012 году приведет к тому, что финансовые учреждения и другие организации поймут, что двухфакторная SMS-аутентификация просто "пластырь", а не реальное решение проблем аутентификации.
Организациям, желающим добиться аутентификации высокого уровня, необходимо будет искать решения того чтобы понять насколько безопасно двухфакторное устройство само по себе и насколько законен пользователь, вооруженный данным устройством, не является ли он, злоумышленником, использующим вредоносное ПО для перехвата SMS-сообщений, отсылаемых на телефон.
4. Умные устройства делают возможной "умную" аутентификацию: проверка подлинности на основе биометрических данных, аутентификация с помощью выбранных картинок и многое другое
Все более широкое использование смартфонов и планшетов с сенсорными экранами, камерами и датчиками приведет к значительному росту новых методов и технологий аутентификации. Например, графические методы аутентификации, аутентификация на основе картинок, аутентификация на основе шаблонов, когда пользователь рисует свой собственный шаблон на сенсорном экране. Биометрическая аутентификация, такая как распознавание лица и голоса, станет более распространенной.
В 2012 году ожидается троекратный рост рынка новых технологий аутентификации. Такие методы и технологии аутентификации являются более безопасными, чем традиционные методы - пароли и PIN-коды, и, зачастую, они намного проще для пользователей. Многие из этих способов были непрактичны или просто невозможны на традиционных ПК, но легко применимы на сенсорных экранах, камерах и датчиках, которые являются общими чертами для смартфонов и планшетов.
5. Розничные продавцы и провайдеры мобильных платежей станут лидерами в освоении новых методов мобильной аутентификации
Мобильная торговля и мобильные платежи не выросли до такой степени, как предсказывали многие, хотя мобильные устройства с возможностью доступа к интернету сейчас так широко распространены, что продажи смартфонов превзошли продажи ПК в 2011 году. Главная причина медленного роста мобильной торговли и мобильных платежей в том, что современная схема аутентификации с использованием текстового пароля для входа в систему или подтверждения транзакции слишком громоздка. Мобильным пользователям трудно вводить сложные пароли на крошечной, мягкой клавиатуре смартфонов и планшетов (часто приходится переключаться между несколькими клавиатурами для ввода заглавных и строчных букв, цифр и символов).
На самом деле, в ходе недавнего опроса пользователей смартфонов большинство (60%) заявили, что они хотели бы видеть более простую форму аутентификации для мобильных приложений. Продавцы и провайдеры мобильных платежей понимают, что они теряют деньги из-за недовольства пользователей мобильной аутентификацией. Один опрос показал, что 84% респондентов заявили, что у них были сложности с мобильными транзакциями и почти 25% особо отметили проблемы со входом в систему. 43% сказали, что негативный опыт заставил их вообще отказаться от мобильных коммерческих сделок. Таким образом, мы ожидаем, что мобильные продавцы и провайдеры мобильных платежей "от-человека-к-человеку" в 2012 году станут одними из первых, кто будет применять аутентификацию более удобную для пользователей, и более удобную для использования на мобильных устройствах (как те, о которых упоминается во втором пункте), что позволит ускорить процесс покупки и повысить уровень безопасности.