Onlangs het die navorsingsmaatskappy Javelin Strategy & Research 'n verslag gepubliseer, "The State of Strong Authentication 2019." Die skeppers het inligting ingesamel oor watter verifikasiemetodes in korporatiewe omgewings en verbruikerstoepassings gebruik word, en ook interessante gevolgtrekkings gemaak oor die toekoms van sterk verifikasie.
Vertaling van die eerste deel met die gevolgtrekkings van die skrywers van die verslag, ons . En nou bied ons die tweede deel aan u aandag - met data en grafieke.
Van die vertaler
Ek sal nie die hele blok met dieselfde naam van die eerste deel heeltemal kopieer nie, maar ek sal steeds een paragraaf dupliseer.
Alle syfers en feite word aangebied sonder die geringste veranderinge, en as jy nie daarmee saamstem nie, is dit beter om nie met die vertaler te argumenteer nie, maar met die skrywers van die verslag. En hier is my kommentaar (uitgelê as aanhalings, en gemerk in die teks kursief) is my waarde-oordeel en ek sal met graagte oor elkeen van hulle (asook oor die kwaliteit van die vertaling) argumenteer.
Gebruikersverifikasie
Sedert 2017 het die gebruik van sterk verifikasie in verbruikerstoepassings skerp gegroei, grootliks as gevolg van die beskikbaarheid van kriptografiese verifikasiemetodes op mobiele toestelle, hoewel slegs 'n effens kleiner persentasie van maatskappye sterk verifikasie vir internettoepassings gebruik.
In die geheel het die persentasie maatskappye wat sterk stawing in hul besigheid gebruik, verdriedubbel van 5% in 2017 tot 16% in 2018 (Figuur 3).
Die vermoë om sterk verifikasie vir webtoepassings te gebruik is steeds beperk (as gevolg van die feit dat slegs baie nuwe weergawes van sommige blaaiers interaksie met kriptografiese tekens ondersteun, kan hierdie probleem egter opgelos word deur bykomende sagteware te installeer, soos bv. ), so baie maatskappye gebruik alternatiewe metodes vir aanlyn-verifikasie, soos programme vir mobiele toestelle wat eenmalige wagwoorde genereer.
Hardeware kriptografiese sleutels (hier bedoel ons slegs diegene wat aan FIDO-standaarde voldoen), soos dié wat deur Google, Feitian, One Span en Yubico aangebied word, kan vir sterk verifikasie gebruik word sonder om bykomende sagteware op tafelrekenaars en skootrekenaars te installeer (omdat die meeste blaaiers reeds die WebAuthn-standaard van FIDO ondersteun), maar slegs 3% van maatskappye gebruik hierdie kenmerk om hul gebruikers aan te meld.
Vergelyking van kriptografiese tekens (soos ) en geheime sleutels wat volgens FIDO-standaarde werk, is buite die bestek van hierdie verslag, maar ook my kommentaar daarop. Kortom, beide tipes tokens gebruik soortgelyke algoritmes en bedryfsbeginsels. FIDO-tokens word tans beter deur blaaierverskaffers ondersteun, hoewel dit binnekort sal verander namate meer blaaiers ondersteun . Maar klassieke kriptografiese tekens word deur 'n PIN-kode beskerm, kan elektroniese dokumente onderteken en gebruik word vir twee-faktor-verifikasie in Windows (enige weergawe), Linux en Mac OS X, het API's vir verskeie programmeertale, wat jou toelaat om 2FA en elektroniese te implementeer handtekening in rekenaar-, mobiele- en webtoepassings, en tekens wat in Rusland vervaardig word, ondersteun Russiese GOST-algoritmes. In elk geval, 'n kriptografiese teken, ongeag watter standaard dit geskep word, is die mees betroubare en gerieflike verifikasiemetode.
Behalwe sekuriteit: Ander voordele van sterk verifikasie
Dit is geen verrassing dat die gebruik van sterk verifikasie nou gekoppel is aan die belangrikheid van die data wat 'n besigheid stoor nie. Maatskappye wat sensitiewe persoonlik identifiseerbare inligting (PII) stoor, soos sosiale sekerheidsnommers of persoonlike gesondheidsinligting (PHI), staar die grootste wetlike en regulatoriese druk te staan. Dit is die maatskappye wat die mees aggressiewe voorstanders van sterk verifikasie is. Druk op besighede word verhoog deur die verwagtinge van kliënte wat wil weet dat die organisasies wat hulle met hul mees sensitiewe data vertrou, sterk verifikasiemetodes gebruik. Organisasies wat sensitiewe PII of PHI hanteer, is meer as twee keer so geneig om sterk verifikasie te gebruik as organisasies wat net gebruikers se kontakinligting stoor (Figuur 7).
Ongelukkig is maatskappye nog nie bereid om sterk verifikasiemetodes te implementeer nie. Byna 'n derde van sakebesluitnemers beskou wagwoorde as die mees doeltreffende stawingsmetode onder al dié wat in Figuur 9 gelys word, en 43% beskou wagwoorde as die eenvoudigste verifikasiemetode.
Hierdie grafiek bewys aan ons dat besigheidstoepassingsontwikkelaars regoor die wêreld dieselfde is... Hulle sien nie die voordeel daarvan in die implementering van gevorderde rekeningtoegangssekuriteitsmeganismes nie en deel dieselfde wanopvattings. En slegs die optrede van reguleerders kan die situasie verander.
Laat ons nie aan wagwoorde raak nie. Maar wat moet jy glo om te glo dat sekuriteitsvrae veiliger is as kriptografiese tekens? Die doeltreffendheid van beheervrae, wat eenvoudig gekies word, is geskat op 15%, en nie hackbare tokens nie - slegs 10. Kyk ten minste na die film "Illusion of Deception", waar, hoewel in 'n allegoriese vorm, dit gewys word hoe maklik towenaars het al die nodige goed uit 'n sakeman-swendelaar antwoorde gelok en hom sonder geld gelaat.
En nog een feit wat baie sê oor die kwalifikasies van diegene wat verantwoordelik is vir sekuriteitsmeganismes in gebruikerstoepassings. Volgens hulle is die proses om 'n wagwoord in te voer 'n eenvoudiger operasie as verifikasie met 'n kriptografiese teken. Alhoewel, dit wil voorkom asof dit makliker kan wees om die token aan 'n USB-poort te koppel en 'n eenvoudige PIN-kode in te voer.
Dit is belangrik dat die implementering van sterk verifikasie besighede in staat stel om weg te beweeg van die nadenke oor die verifikasiemetodes en operasionele reëls wat nodig is om bedrieglike skemas te blokkeer om aan die werklike behoeftes van hul kliënte te voldoen.
Terwyl regulatoriese nakoming 'n redelike topprioriteit is vir beide besighede wat sterk stawing gebruik en dié wat dit nie doen nie, is maatskappye wat reeds sterk stawing gebruik, baie meer geneig om te sê dat die verhoging van kliëntelojaliteit die belangrikste maatstaf is wat hulle oorweeg wanneer hulle 'n stawing evalueer metode. (18% vs. 12%) (Figuur 10).
Ondernemingstawing
Sedert 2017 het die aanvaarding van sterk verifikasie in ondernemings gegroei, maar teen 'n effens laer koers as vir verbruikerstoepassings. Die aandeel ondernemings wat sterk stawing gebruik, het toegeneem van 7% in 2017 tot 12% in 2018. Anders as verbruikerstoepassings, is die gebruik van nie-wagwoord-verifikasiemetodes ietwat meer algemeen in webtoepassings as op mobiele toestelle in die ondernemingsomgewing. Ongeveer die helfte van besighede rapporteer dat hulle slegs gebruikersname en wagwoorde gebruik om hul gebruikers te staaf wanneer hulle aanmeld, met een uit elke vyf (22%) wat ook uitsluitlik staatmaak op wagwoorde vir sekondêre stawing wanneer hulle toegang tot sensitiewe data verkry (dit wil sê, die gebruiker meld eers by die toepassing aan met 'n eenvoudiger stawingsmetode, en as hy toegang tot kritieke data wil verkry, sal hy nog 'n stawingsprosedure uitvoer, hierdie keer gewoonlik met 'n meer betroubare metode).
Jy moet verstaan dat die verslag nie die gebruik van kriptografiese tokens vir twee-faktor-verifikasie in die bedryfstelsels Windows, Linux en Mac OS X in ag neem nie. En dit is tans die mees wydverspreide gebruik van 2FA. (Ai, tokens wat volgens FIDO-standaarde geskep is, kan 2FA slegs vir Windows 10 implementeer).
Verder, as die implementering van 2FA in aanlyn- en mobiele toepassings 'n stel maatreëls vereis, insluitend die wysiging van hierdie toepassings, moet u slegs PKI (byvoorbeeld gebaseer op Microsoft Certification Server) en verifikasiebeleide om 2FA in Windows te implementeer in AD.
En aangesien die beskerming van die aanmelding op 'n werkrekenaar en domein 'n belangrike element is om korporatiewe data te beskerm, word die implementering van tweefaktor-verifikasie al hoe meer algemeen.
Die volgende twee mees algemene metodes om gebruikers te staaf wanneer hulle aanmeld, is eenmalige wagwoorde wat deur 'n aparte toepassing verskaf word (13% van besighede) en eenmalige wagwoorde wat per SMS afgelewer word (12%). Ten spyte van die feit dat die persentasie van gebruik van beide metodes baie soortgelyk is, word OTP SMS meestal gebruik om die vlak van magtiging te verhoog (in 24% van maatskappye). (Figuur 12).
Die toename in die gebruik van sterk verifikasie in die onderneming kan waarskynlik toegeskryf word aan die verhoogde beskikbaarheid van kriptografiese verifikasie-implementerings in ondernemingsidentiteitbestuurplatforms (met ander woorde, ondernemings SSO- en IAM-stelsels het geleer om tokens te gebruik).
Vir mobiele verifikasie van werknemers en kontrakteurs maak ondernemings meer staat op wagwoorde as vir verifikasie in verbruikerstoepassings. Net meer as die helfte (53%) van ondernemings gebruik wagwoorde wanneer gebruikerstoegang tot maatskappydata deur 'n mobiele toestel geverifieer word (Figuur 13).
In die geval van mobiele toestelle sou 'n mens glo in die groot krag van biometrie, as nie vir die baie gevalle van vals vingerafdrukke, stemme, gesigte en selfs irisse nie. Een soekenjin-navraag sal onthul dat 'n betroubare metode van biometriese verifikasie eenvoudig nie bestaan nie. Daar bestaan natuurlik werklik akkurate sensors, maar hulle is baie duur en groot in grootte – en word nie in slimfone geïnstalleer nie.
Daarom is die enigste werkende 2FA-metode in mobiele toestelle die gebruik van kriptografiese tokens wat met die slimfoon verbind word via NFC, Bluetooth en USB Type-C-koppelvlakke.
Die beskerming van 'n maatskappy se finansiële data is die belangrikste rede vir belegging in wagwoordlose verifikasie (44%), met die vinnigste groei sedert 2017 ('n toename van agt persentasiepunte). Dit word gevolg deur die beskerming van intellektuele eiendom (40%) en personeel (HR) data (39%). En dit is duidelik hoekom – nie net word die waarde wat met hierdie tipe data geassosieer word wyd erken nie, maar relatief min werknemers werk daarmee. Dit wil sê, die implementeringskoste is nie so groot nie, en slegs 'n paar mense hoef opgelei te word om met 'n meer komplekse verifikasiestelsel te werk. Daarteenoor word die tipe data en toestelle waartoe meeste ondernemingswerknemers gereeld toegang verkry steeds slegs deur wagwoorde beskerm. Werknemersdokumente, werkstasies en korporatiewe e-posportale is die areas met die grootste risiko, aangesien slegs 'n kwart van besighede hierdie bates beskerm met wagwoordlose verifikasie (Figuur 14).
Oor die algemeen is korporatiewe e-pos 'n baie gevaarlike en lekkende ding, waarvan die mate van potensiële gevaar deur die meeste CIO's onderskat word. Werknemers ontvang elke dag dosyne e-posse, so hoekom nie ten minste een uitvissing (dit is, bedrieglike) e-pos onder hulle insluit nie. Hierdie brief sal in die styl van maatskappybriewe geformateer word, so die werknemer sal gemaklik voel om op die skakel in hierdie brief te klik. Wel, dan kan enigiets gebeur, byvoorbeeld die aflaai van 'n virus op die aangeval masjien of lekkende wagwoorde (insluitend deur sosiale ingenieurswese, deur 'n vals verifikasievorm in te voer wat deur die aanvaller geskep is).
Om te verhoed dat sulke dinge gebeur, moet e-posse onderteken word. Dan sal dit dadelik duidelik wees watter brief deur 'n wettige werknemer geskep is en watter deur 'n aanvaller. In Outlook/Exchange, byvoorbeeld, word kriptografiese token-gebaseerde elektroniese handtekeninge redelik vinnig en maklik geaktiveer en kan in samewerking met twee-faktor-verifikasie oor rekenaars en Windows-domeine gebruik word.
Onder die bestuurders wat uitsluitlik op wagwoordverifikasie binne die onderneming staatmaak, doen twee derdes (66%) dit omdat hulle glo wagwoorde bied voldoende sekuriteit vir die tipe inligting wat hul maatskappy moet beskerm (Figuur 15).
Maar sterk verifikasiemetodes word al hoe meer algemeen. Grootliks te wyte aan die feit dat hul beskikbaarheid toeneem. 'n Toenemende aantal identiteits- en toegangsbestuurstelsels, blaaiers en bedryfstelsels ondersteun verifikasie met behulp van kriptografiese tokens.
Sterk verifikasie het nog 'n voordeel. Aangesien die wagwoord nie meer gebruik word nie (vervang met 'n eenvoudige PIN), is daar geen versoeke van werknemers wat hulle vra om die vergete wagwoord te verander nie. Wat weer die las op die onderneming se IT-afdeling verminder.
Samevatting en gevolgtrekkings
- Bestuurders het dikwels nie die nodige kennis om te assesseer nie werklike doeltreffendheid van verskeie verifikasie opsies. Hulle is gewoond daaraan om sulkes te vertrou verouderd sekuriteitsmetodes soos wagwoorde en sekuriteitsvrae bloot omdat "dit voorheen gewerk het."
- Gebruikers het steeds hierdie kennis minder, vir hulle is die belangrikste ding eenvoud en gemak. Solank hulle geen aansporing het om te kies nie veiliger oplossings.
- Ontwikkelaars van pasgemaakte toepassings dikwels geen redeom twee-faktor-verifikasie in plaas van wagwoord-verifikasie te implementeer. Mededinging in die vlak van beskerming in gebruikerstoepassings geen.
- Volle verantwoordelikheid vir die hack na die gebruiker verskuif. Het die eenmalige wagwoord aan die aanvaller gegee - te blameer. Jou wagwoord is onderskep of op gespioeneer - te blameer. Het nie van die ontwikkelaar vereis om betroubare verifikasiemetodes in die produk te gebruik nie - te blameer.
- reg reguleerder In die eerste plek moet van maatskappye vereis om oplossings te implementeer wat blok datalekkasies (veral tweefaktor-verifikasie), eerder as om te straf reeds gebeur het datalek.
- Sommige sagteware-ontwikkelaars probeer om aan verbruikers te verkoop oud en nie besonder betroubaar nie oplossings in pragtige verpakking "innoverende" produk. Byvoorbeeld, stawing deur aan 'n spesifieke slimfoon te koppel of biometrie te gebruik. Soos blyk uit die verslag, is volgens werklik betroubaar Daar kan slegs 'n oplossing wees gebaseer op sterk verifikasie, dit wil sê kriptografiese tekens.
- Dieselfde kriptografiese teken kan gebruik word vir 'n aantal take: vir sterk verifikasie in die onderneming se bedryfstelsel, in korporatiewe en gebruikerstoepassings, vir elektroniese handtekening finansiële transaksies (belangrik vir bankaansoeke), dokumente en e-pos.
Bron: will.com