|
Confident Technologies представляет свой список 5 прогнозируемых тенденций в
сфере аутентификации на 2012 год. Компания включила в него тенденции, усиления
которых ожидается в будущем году, а также прогнозы некоторых ожидаемых атак.
1. BYOMD ((bring your own mobile device, принеси свое мобильное устройство)
сулит большие проблемы бизнесу с точки зрения потери данных в 2012 году
Работники компаний и подрядчики все чаще приносят свои смартфоны и планшетные
компьютеры на работу и используют такие компьютеры совместно для рабочих и
личных нужд. В 2012 году эта тенденция будет только развиваться, мы увидим
несколько громких инцидентов потери данных предприятиями в результате того, что
компании позволяют работникам подключать свои мобильные устройства к
корпоративной сети без надлежащего применения протоколов систем безопасности.
Конечным результатом этого станет применение предприятиями строгой
аутентификации и политики безопасности, особенно в отношении информации, которая
может храниться, передаваться и использоваться в мобильных устройствах.
2. Прогнозируется крупная утечка данных (подобная утечке данных из Sony в
2011 году), которая, наконец, поможет компаниям из разных отраслей
промышленности понять, что они не могут полагаться только на пароли для защиты
учетных записей пользователей
В 2011 году произошло несколько крупных утечек данных, включая
утечку в Sony, в
результате которой в интернет просочились более 100 миллионов учетных данных, и
взлом Gawker, из-за
которого утек 1 миллион учетных данных. В обоих случаях утечки вызвали эффект
домино, распространяясь по сети. Зная, что многие люди используют одно и то же
имя пользователя и пароль на нескольких веб-сайтах, злоумышленники использовали
утекшие учетные данные пользователей для доступа к их аккаунтам на множестве
других, не связанных с этими сайтах. Таким сайтам как Amazon и LinkedIn пришлось
заставить своих пользователей массированно сменить пароли, чтобы предотвратить
дальнейшие случаи мошенничества.
В 2012 году мы ожидаем еще одну крупную утечку по причине слабозащищенных
учетных данных и низкого уровня аутентификации на веб-сайтах. Мы ожидаем, что
резкое увеличение количества и серьезности утечек наконец-то положит конец
использованию единого текстового пароля, де-факто, являющегося сейчас нормой для
аутентификации в сети.
Многие популярные сайты, такие как LinkedIn, Amazon и Mint.com, хранят
большие объемы персональных данных и финансовой информации и полагаются только
на статический пароль при аутентификации. 2012 год станет годом, когда мы,
наконец, увидим как большое количество организаций в игровой сфере, сфере
здравоохранения, образования, розничной торговли в сфере социальных сетей,
начнут применять многоуровневую систему аутентификации и многофакторной
аутентификации для защиты учетных записей пользователей.
3. Количество целей для атак в стиле "Zeus-в-мобильном-устройстве"
увеличится
В 2011 году мы увидели новые версии печально-известного вредоносного ПО Zeus,
модифицированного специально для
атак на смартфоны с
целью перехвата аутентификационных текстовых сообщений, которые банки отсылают
своим клиентам (оно называлось "Zeus для атаки на мобильные устройства" или
Zitmo). Все большее количество учреждений используют двухфакторную
SMS-аутентификацию, от финансовых учреждений до Facebook. Из за того, что так
мало людей устанавливают программное обеспечение для безопасности на свои
смартфоны и планшетные компьютеры, злоумышленники знают, что могут заполучить в
свои руки массу ценной информации в результате инфицирования мобильных устройств
кейлоггерами и вредоносными программами.
Мы ожидаем, что в 2012 году увеличится как количество атак типа "Zeus-в-мобильном-устройстве",
так и число их вариаций для целенаправленного воздействия на различные типы
смартфонов. Хакеры будут продолжать активно добиваться перехвата текстовых
аутентификационных сообщений из банков, а также других дорогостоящих мобильных
транзакций. Все большее число успешных атак в 2012 году приведет к тому, что
финансовые учреждения и другие организации поймут, что двухфакторная
SMS-аутентификация просто "пластырь", а не реальное решение проблем
аутентификации.
Организациям, желающим добиться аутентификации высокого уровня, необходимо
будет искать решения того чтобы понять насколько безопасно двухфакторное
устройство само по себе и насколько законен пользователь, вооруженный данным
устройством, не является ли он, злоумышленником, использующим вредоносное ПО для
перехвата SMS-сообщений, отсылаемых на телефон.
4. Умные устройства делают возможной "умную" аутентификацию: проверка
подлинности на основе биометрических данных, аутентификация с помощью выбранных
картинок и многое другое
Все более широкое использование смартфонов и планшетов с сенсорными экранами,
камерами и датчиками приведет к значительному росту новых методов и технологий
аутентификации. Например, графические методы аутентификации, аутентификация на
основе картинок, аутентификация на основе шаблонов, когда пользователь рисует
свой собственный шаблон на сенсорном экране. Биометрическая аутентификация,
такая как распознавание лица и голоса, станет более распространенной.
В 2012 году ожидается троекратный рост рынка новых технологий аутентификации.
Такие методы и технологии аутентификации являются более безопасными, чем
традиционные методы - пароли и PIN-коды, и, зачастую, они намного проще для
пользователей. Многие из этих способов были непрактичны или просто невозможны на
традиционных ПК, но легко применимы на сенсорных экранах, камерах и датчиках,
которые являются общими чертами для смартфонов и планшетов.
5. Розничные продавцы и провайдеры мобильных платежей станут лидерами в
освоении новых методов мобильной аутентификации
Мобильная торговля и мобильные платежи не выросли до такой степени, как
предсказывали многие, хотя мобильные устройства с возможностью доступа к
интернету сейчас так широко распространены, что продажи смартфонов превзошли
продажи ПК в 2011 году. Главная причина медленного роста мобильной торговли и
мобильных платежей в том, что современная схема аутентификации с использованием
текстового пароля для входа в систему или подтверждения транзакции слишком
громоздка. Мобильным пользователям трудно вводить сложные пароли на крошечной,
мягкой клавиатуре смартфонов и планшетов (часто приходится переключаться между
несколькими клавиатурами для ввода заглавных и строчных букв, цифр и символов).
На самом деле, в ходе недавнего опроса пользователей смартфонов большинство
(60%) заявили, что они хотели бы видеть более простую форму аутентификации для
мобильных приложений. Продавцы и провайдеры мобильных платежей понимают, что они
теряют деньги из-за недовольства пользователей мобильной аутентификацией. Один
опрос показал, что 84% респондентов заявили, что у них были сложности с
мобильными транзакциями и почти 25% особо отметили проблемы со входом в систему.
43% сказали, что негативный опыт заставил их вообще отказаться от мобильных
коммерческих сделок. Таким образом, мы ожидаем, что мобильные продавцы и
провайдеры мобильных платежей "от-человека-к-человеку" в 2012 году станут одними
из первых, кто будет применять аутентификацию более удобную для пользователей, и
более удобную для использования на мобильных устройствах (как те, о которых
упоминается во втором пункте), что позволит ускорить процесс покупки и повысить
уровень безопасности.
|
, 
