Skip to content

აპარატურული უსაფრთხოების გასაღებები

აპარატურული უსაფრთხოების გასაღებები, როგორიცაა Yubikey, ხშირად რეკომენდებულია აუთენტიფიკაციისა და ავტორიზაციის პროცესების გასაუმჯობესებლად ისეთი პროტოკოლების გამოყენებით, როგორიცაა PIV. თუმცა, ამ მოწყობილობების პრაქტიკული გამოყენება შეიძლება გამოწვევად იქცეს რამდენიმე ფაქტორის გამო, რომლებიც ხშირად ეჭვქვეშ აყენებს მწარმოებლების მიერ გაკეთებულ განცხადებებს.

ტექნიკური სირთულე

Yubikey-ს მსგავსი მოწყობილობების დოკუმენტაცია და ინტერფეისები ცნობილია თავისი ტექნიკური სირთულით. აპარატურული გასაღებები მომხმარებლებისგან მოელიან ისეთი კონცეფციების საფუძვლიან ცოდნას, როგორიცაა FIDO, PIV და გასაღებების სარეზერვო ასლების მნიშვნელობას. ცოდნის ეს მაღალი ბარიერი ასეთ მეთოდს არაეფექტურს ხდის საშუალო მომხმარებლებისთვის, რომლებსაც არ ექნებათ საკმარისი ტექნიკური ექსპერტიზა ამ მოწყობილობების ეფექტურად და უსაფრთხოდ გამოსაყენებლად.

დაშვებები რეალობის წინააღმდეგ

აპარატურული გასაღებები აკეთებენ დაშვებებს, რომლებიც თითქმის არასდროს მართლდება პრაქტიკაში:

  • მომხმარებელს ზუსტად ესმის, რას აკეთებს და ქმნის სარეზერვო ასლებს:

  • ❌ დაშვებულია

    მომხმარებლებს ესმით მოწყობილობის მუშაობის ტექნიკური დეტალები, მარტივად შეუძლიათ სარეზერვო ასლების შექმნა ან თუნდაც ამის აუცილებლობის გაგება.

  • ✅ სინამდვილეში

    გასაღებების სარეზერვო ასლების შექმნა მაღალი ტექნიკური ცოდნის მქონე პირებისთვისაც კი შეიძლება სირთულეს წარმოადგენდეს.

  • დაკარგვის შემთხვევაში, აღდგენა მარტივია:

  • ❌ დაშვებულია

    გასაღების დაკარგვის შემთხვევაში, მომხმარებლები ადვილად გადაჭრიან პრობლემებს დახმარების გარეშე, ან საერთოდ შეძლებენ ასეთი დახმარების მიღებას.

  • ✅ სინამდვილეში

    გასაღების დაკარგვის შემთხვევაში, მომხმარებლები ხშირად სამუდამოდ კარგავენ წვდომას სისტემებზე.

  • მომხმარებლები უსაფრთხოების გასაღებს შეერთებულს არ დატოვებენ:

  • ❌ დაშვებულია

    მომხმარებლები არ დატოვებენ უსაფრთხოების გასაღებს მუდმივად შეერთებულს.

  • ✅ სინამდვილეში

    მომხმარებლების აბსოლუტური უმრავლესობა თავის გასაღებს მუდმივად შეერთებულს დატოვებს კომფორტისთვის, რამაც შეიძლება გამოიწვიოს დამატებითი რისკები, როგორიცაა ფიზიკური ქურდობა ან არაავტორიზებული გამოყენება.

  • უსაფრთხოების ჩიპიდან მონაცემების მიღება შეუძლებელია:

  • ❌ დაშვებულია

    უსაფრთხოების გასაღებიდან მოწინააღმდეგე ვერასდროს შეძლებს მონაცემების ამოღებას, რომელიც მას სისტემაზე წვდომას მისცემს.

  • ✅ სინამდვილეში

    აპარატრურული გასაღებიდან მონაცემების ამოღების დემონსტრირებული მეთოდები არსებობს. დამატებით, გარე აპარატურული ჩიპიდან მონაცემების ამოღების მცდელობა გაცილებით უფრო ნაკლებ პოტენციურ რისკს წარმოადგენს მოწინააღმდეგისთვის, რადგან წარუმატებელი მცდელობა მხოლოდ მას გაანადგურებს და არა დაცულ მოწყობილობას და მასში არსებულ მონაცემებს.

სამართლებრივი და ფიზიკური საფრთხეები

მოწინააღმდეგეებს, განსაკუთრებით სახელმწიფოებს, უსაფრთხოების გასაღებების კანონიერად ჩამორთვმევა შეუძლიათ. დამატებით, ამ გასაღებებიდან ინფორმაციის ამოღების ცნობილი მეთოდები არსებობს. მაგალითად, Google-ის Titan უსაფრთხოების გასაღებზე წარმატებულმა შეტევებმა გამოავლინა დაუცველობები, რომლებმაც მოწინააღმდეგეებს გასაღებების შიგთავსზე წვდომა მისცა. გარდა ამისა, ბიომეტრიული დაცვის საშუალებებისგან განსხვავებით, რომლებიც პირის იდენთიფიკაციას ახდენენ, აპარატრურული გასაღებები მხოლოდ მფლობელობას ადგენენ, მფლობელობა კი მარტივად შეიძლება გადავიდეს სხვაზე - ლეგალურად, ან არალეგალურად. გამოცდილ პირებს შეუძლიათ მოწყობილობის დაშლა ჩაშენებული გასაღებების ამოსაღებად, რაც მნიშვნელოვან უსაფრთხოების რისკს წარმოადგენს.

დაიმახსოვრეთ

  • ის, რაც გაქვთ (გასაღები): მარტივად წაგართმევენ
  • ის, რაც იცით (პაროლი): მისი გაცემა მხოლოდ თქვენ შეგიძლიათ.

დახურული ეკოსისტემა

Yubikey-ები და მსგავსი აპარატურული უსაფრთხოების მოდულები ფუნქციონირებენ დახურულ ეკოსისტემაში. თითქმის არ არსებობს დამოუკიდებელი მონაცემები, რომლებიც ადასტურებენ მათი უსაფრთხოების ეფექტურობის შესახებ გაკეთებულ განცხადებებს. გამჭვირვალობისა და დამოუკიდებელი შემოწმების ნაკლებობა ართულებს მწარმოებლების მიერ გაცხადებული უსაფრთხოების უპირატესობების სრულად ნდობასა და გადამოწმებას.

შედარებები ინტეგრირებულ უსაფრთხოებასთან

აპარატურული უსაფრთხოების გასაღებების შედარება ინტეგრირებულ აპარატურული უსაფრთხოების მოდულებთან, როგორიცაა Apple-ის Secure Enclave, Google-ის Titan ჩიპები ან Windows მოწყობილობების TPM, კიდევ უფრო მეტ ნაკლოვანებებს ავლენს:

Yubikey-ით დაცულ მოწყობილობაზე წვდომის მოპოვება:

თუ Yubikey-ით ან სხვა აპარატრურული გასაღებით დაცული მოწყობილობა ჩამორთმეულია სახელმწიფოს, ან სხვა, მნიშვნელოვანი რესურსების მქონე სუბიექტის მიერ, ამ სუბიექტს შედარებით მარტივად შეუძლია მონაცემებზე წვდომის მოპოვება.

უმეტეს შემთხვევაში, დაცულ მოწყობილობასთან ერთად, გასაღებიც მათ ხელში აღმოჩნდება.

იქიდან გამომდინარე, რომ უსაფრთხოების გასაღებები მცდარ მოლოდინებს აჩენენ, მომხმარებლები მიდრეკილები იქნებიან, რომ მასზე შედარებით მარტივი PIN დააყენონ, რაც ახდენს დაცვის ტრანსფერს იქიდან, რაც მხოლოდ მომხმარებლისთვისაა ცნობილი (ძლიერი პაროლი), იმაზე, რაც მომხმარებელს უბრალოდ აქვს (ფიზიკური ნივთი).

ასევე, შესაძლოა მოწყობილობამ საერთოდ არც კი მოითხოვოს პინის შეყვანა და მხოლოდ გასაღების არსებობაც საკმარისი გახდეს სისტემაში შესაღწევად.

ამის მოგვარება გასაღების ძლიერი პინით დაცვით შეიძლება. თუმცა ეს ამცირებს როგორც კომფორტის დონეს, ისევე სრულად აბათილებს აპარატურული გასაღებების მიერ შემოთავაზებულ მთავარ სარგებელს - სიმარტივეს.

"Yubikey" ისედაც გაქვთ

მოწყობილობაში ჩაშენებული უსაფრთხოების მოდული (Secure Enclave, Titan, TPM), აუთენტიფიკაციისთვის არსებითად იგივე Yubikey-ა, მაგრამ მისი ამოღება მოწინააღდმეგისთვის გაცილებით უფრო რთული და სარისკოა!

აპარატურული უსაფრთხოების მოდულით და ბიომეტრიით დაცულ მოწყობილობაზე წვდომის მოპოვება:

მოწყობილობები ინტეგრირებული უსაფრთხოების მოდულებით, რომლებიც იყენებენ ბიომეტრიულ მონაცემებს და PIN-კოდებს, გვთავაზობენ უფრო მყარ უსაფრთხოებას.

ასეთი სისტემები აწესებენ ბიომეტრიული აუთენტიფიკაციით წვდომის შეზღუდულ რაოდენობას და FOI Security Policy-ს გამოყენებით, მოითხოვენ PIN-ის 8 საათში ერთხელ ვერიფიკაციას, რაც იცავს როგორც ფიზიკური ქურდობისგან, ასევე იძულებითი წვდომის მცდელობებისგან.

Yubikey-ებისგან განსხვავებით, მოწყობილობის გახსნა მისი უსაფრთხოების მოდულზე წვდომისთვის ხშირად იწვევს მონაცემების განადგურებას, რაც აძლიერებს მონაცემთა უსაფრთხოებას.

უკეთესი ალტერნატივა

Apple მოწყობილობები, რომლებსაც აქვთ Secure Enclave:

ჩართეთ ბიომეტრიული აუთენტიფიკაცია (Touch ID / Face ID), დააყენეთ FOI Security Policy და პაროლი, რომელიც მინიმუმ 4 სიტყვისგან შედგება, რომელიც პაროლების მენეჯერითაა გენერირებული.

ამ შემთხვევაში, მოწყობილობის გამოყენება მხოლოდ ბიომეტრიული აუთენტიფიკაციით ან პაროლით იქნება შესაძლებელი, რომელიც ჩაშენებულ უსაფრთხოების მოდულთან ერთად, Yubikey-ზე უფრო მძლავრ დაცვას იძლევა. რადგან ბიომეტრიული აუთენტიფიკაცია ადგენს თქვენს ვინაობას, ხოლო უსაფრთხოების ჩიპი - მფლობელობას, რაც უკვე ორბიჯიან აუთენტიფიკაციას წარმოადგენს.

მოწყობილობის დაკარგვის ან ჩამორთმევის შემთხვევაში, ბიომეტრიული აუთენტიფიკაციის შეზღუდული დროის გამო, სისტემაში შესვლა მხოლოდ პაროლით იქნება შესაძლებელი.

Windows მოწყობილობები TPM-ით:

თუ თქვენს მოწყობილობას არ აქვს ანაბეჭდის სენსორი, მისი შეძენა და დამატება თავისუფლად შეგიძლიათ.

ჩართეთ ბიომეტრიული აუთენტიფიკაცია (Windows Hello), დააყენეთ FOI Security Policy, 4 სიტყვიანი PIN და დააკავშირეთ სანდო მოწყობილობა (მაგ ტელეფონი) ბლუთუზით.

ამ შემთხვევაში, სისტემა შესვლისას ჯერ ანაბეჭდით ვერიფიკაციის გავლას მოითხოვს, ხოლო შემდეგ, თუ სანდო მოწყობილობა დაკავშირებულია და ახლოსაა, ავტომატურად შეგიყვანთ სისტემაში.

FOI Security Policy 8 საათში ერთხელ, გათიშავს სანდო მოწყობილობას, როგორც მეორე ნაბიჯს და დამატებით მოითხოვს PIN-ის შეყვანას.

ეს შეიძლება სამბიჯიან აუთენტიფიკაციად ჩაითვალოს, რაც Yubikey-ზე უფრო მეტ დაცვას იძლევა.

დასკვნა

მიუხედავად იმისა, რომ აპარატურული უსაფრთხოების გასაღებები, როგორიცაა Yubikey, უზრუნველყოფენ ციფრული აუთენტიფიკაციის გარკვეულ დონეს, მათი ეფექტურობა შეზღუდულია ტექნიკური სირთულით, მომხმარებლის ქცევით და დახურული, ხშირად გადაუმოწმებელი ეკოსისტემით. უმეტესი მომხმარებლისთვის, განსაკუთრებით მათთვის, ვინც დგას რეალური საფრთხეების წინაშე, ინტეგრირებული უსაფრთხოების მოდულები გვთავაზობენ უფრო უსაფრთხო და მომხმარებლისთვის მეგობრულ ალტერნატივას.

დახმარება