مؤخرًا، نشرت شركة الأبحاث Javelin Strategy & Research تقريرًا بعنوان "حالة المصادقة القوية لعام 2019". قام منشئوه بجمع معلومات حول طرق المصادقة المستخدمة في بيئات الشركات وتطبيقات المستهلك، كما توصلوا إلى استنتاجات مثيرة للاهتمام حول مستقبل المصادقة القوية.
ترجمة الجزء الأول مع استنتاجات مؤلفي التقرير، نحن . والآن نقدم انتباهكم إلى الجزء الثاني - بالبيانات والرسوم البيانية.
من المترجم
لن أقوم بنسخ الكتلة بأكملها التي تحمل الاسم نفسه من الجزء الأول بالكامل، لكنني سأظل أكرر فقرة واحدة.
يتم عرض جميع الأرقام والحقائق دون أدنى تغييرات، وإذا كنت لا توافق عليها، فمن الأفضل أن تجادل ليس مع المترجم، ولكن مع مؤلفي التقرير. وإليك تعليقاتي (موضحة كاقتباسات، ومحددة في النص مائل) هي حكمي القيمي وسأكون سعيدًا بالمناقشة حول كل منها (وكذلك حول جودة الترجمة).
مصادقة المستخدم
منذ عام 2017، نما استخدام المصادقة القوية في تطبيقات المستهلك بشكل حاد، ويرجع ذلك إلى حد كبير إلى توفر طرق مصادقة التشفير على الأجهزة المحمولة، على الرغم من أن نسبة أقل قليلاً فقط من الشركات تستخدم المصادقة القوية لتطبيقات الإنترنت.
وبشكل عام، تضاعفت نسبة الشركات التي تستخدم مصادقة قوية في أعمالها ثلاث مرات من 5% في عام 2017 إلى 16% في عام 2018 (الشكل 3).
لا تزال القدرة على استخدام المصادقة القوية لتطبيقات الويب محدودة (نظرًا لأن الإصدارات الجديدة جدًا من بعض المتصفحات فقط هي التي تدعم التفاعل مع الرموز المميزة للتشفير، إلا أنه يمكن حل هذه المشكلة عن طريق تثبيت برامج إضافية مثل )، لذلك تستخدم العديد من الشركات طرقًا بديلة للمصادقة عبر الإنترنت، مثل برامج الأجهزة المحمولة التي تنشئ كلمات مرور لمرة واحدة.
مفاتيح تشفير الأجهزة (نعني هنا فقط تلك التي تتوافق مع معايير FIDO)، مثل تلك التي تقدمها Google، وFeitian، وOne Span، وYubico يمكن استخدامها للمصادقة القوية دون تثبيت برامج إضافية على أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة (لأن معظم المتصفحات تدعم بالفعل معيار WebAuthn من FIDO)، ولكن 3% فقط من الشركات تستخدم هذه الميزة لتسجيل دخول مستخدميها.
مقارنة الرموز المميزة للتشفير (مثل ) والمفاتيح السرية التي تعمل وفقًا لمعايير FIDO تقع خارج نطاق هذا التقرير، ولكن أيضًا تعليقاتي عليه. باختصار، يستخدم كلا النوعين من الرموز خوارزميات ومبادئ تشغيل مماثلة. يتم حاليًا دعم رموز FIDO المميزة بشكل أفضل من قبل بائعي المتصفحات، على الرغم من أن هذا سيتغير قريبًا مع دعم المزيد من المتصفحات . لكن رموز التشفير الكلاسيكية محمية برمز PIN، ويمكنها توقيع المستندات الإلكترونية واستخدامها للمصادقة الثنائية في أنظمة التشغيل Windows (أي إصدار)، وLinux وMac OS X، ولها واجهات برمجة التطبيقات (APIs) للغات البرمجة المختلفة، مما يسمح لك بتنفيذ المصادقة الثنائية والمصادقة الإلكترونية التوقيع في تطبيقات سطح المكتب والهاتف المحمول والويب، والرموز المميزة المنتجة في روسيا تدعم خوارزميات GOST الروسية. على أية حال، فإن رمز التشفير، بغض النظر عن المعيار الذي تم إنشاؤه به، هو طريقة المصادقة الأكثر موثوقية وملاءمة.
ما وراء الأمان: فوائد أخرى للمصادقة القوية
ليس من المستغرب أن يرتبط استخدام المصادقة القوية ارتباطًا وثيقًا بأهمية البيانات التي تخزنها الشركة. تواجه الشركات التي تقوم بتخزين معلومات تعريف شخصية حساسة (PII)، مثل أرقام الضمان الاجتماعي أو المعلومات الصحية الشخصية (PHI)، أكبر الضغوط القانونية والتنظيمية. هذه هي الشركات التي تعد من أكثر المؤيدين للمصادقة القوية. يزداد الضغط على الشركات بسبب توقعات العملاء الذين يرغبون في معرفة أن المؤسسات التي يثقون بها فيما يتعلق ببياناتهم الأكثر حساسية تستخدم أساليب مصادقة قوية. إن المؤسسات التي تتعامل مع معلومات تحديد الهوية الشخصية (PII) أو المعلومات الصحية المحمية (PHI) الحساسة تزيد احتمالية استخدامها لمصادقة قوية بأكثر من الضعف مقارنة بالمؤسسات التي تقوم فقط بتخزين معلومات الاتصال الخاصة بالمستخدمين (الشكل 7).
ولسوء الحظ، فإن الشركات ليست مستعدة بعد لتطبيق أساليب مصادقة قوية. يعتبر ما يقرب من ثلث صناع القرار في مجال الأعمال أن كلمات المرور هي طريقة المصادقة الأكثر فعالية بين جميع تلك المذكورة في الشكل 9، ويعتبر 43% منهم أن كلمات المرور هي أبسط طريقة مصادقة.
يثبت لنا هذا المخطط أن مطوري تطبيقات الأعمال حول العالم هم نفس الشيء... فهم لا يرون فائدة تنفيذ آليات أمان الوصول إلى الحساب المتقدمة ويتشاركون نفس المفاهيم الخاطئة. وفقط تصرفات المنظمين يمكن أن تغير الوضع.
دعونا لا نلمس كلمات المرور. ولكن ما الذي يجب عليك تصديقه حتى تصدق أن الأسئلة الأمنية أكثر أمانًا من الرموز المشفرة؟ تم تقدير فعالية أسئلة التحكم، التي تم اختيارها ببساطة، بنسبة 15٪، وليس الرموز القابلة للاختراق - 10 فقط. على الأقل شاهد فيلم "وهم الخداع"، حيث، على الرغم من أنه في شكل استعاري، يظهر مدى سهولة السحرة استدرج كل الأشياء الضرورية من إجابات رجل الأعمال المحتال وتركه بدون مال.
وحقيقة أخرى تقول الكثير عن مؤهلات المسؤولين عن آليات الأمان في تطبيقات المستخدم. في فهمهم، تعد عملية إدخال كلمة المرور عملية أبسط من المصادقة باستخدام رمز التشفير. على الرغم من أنه قد يكون من الأسهل توصيل الرمز المميز بمنفذ USB وإدخال رمز PIN بسيط.
والأهم من ذلك، أن تنفيذ المصادقة القوية يسمح للشركات بالابتعاد عن التفكير في طرق المصادقة والقواعد التشغيلية اللازمة لمنع المخططات الاحتيالية لتلبية الاحتياجات الحقيقية لعملائها.
في حين أن الامتثال التنظيمي يمثل أولوية قصوى معقولة لكل من الشركات التي تستخدم مصادقة قوية وتلك التي لا تستخدمها، فإن الشركات التي تستخدم بالفعل مصادقة قوية من المرجح أن تقول إن زيادة ولاء العملاء هو المقياس الأكثر أهمية الذي تأخذه في الاعتبار عند تقييم المصادقة طريقة. (18% مقابل 12%) (الشكل 10).
مصادقة المؤسسة
منذ عام 2017، تزايد اعتماد المصادقة القوية في المؤسسات، ولكن بمعدل أقل قليلاً من تطبيقات المستهلك. ارتفعت حصة المؤسسات التي تستخدم المصادقة القوية من 7% في عام 2017 إلى 12% في عام 2018. وعلى عكس تطبيقات المستهلك، يعد استخدام أساليب المصادقة بدون كلمة مرور في بيئة المؤسسة أكثر شيوعًا إلى حد ما في تطبيقات الويب منه على الأجهزة المحمولة. أبلغ ما يقرب من نصف الشركات عن استخدام أسماء المستخدمين وكلمات المرور فقط لمصادقة مستخدميها عند تسجيل الدخول، مع اعتماد واحد من كل خمسة (22%) أيضًا فقط على كلمات المرور للمصادقة الثانوية عند الوصول إلى البيانات الحساسة (أي أن المستخدم يقوم أولاً بتسجيل الدخول إلى التطبيق باستخدام طريقة مصادقة أبسط، وإذا أراد الوصول إلى البيانات المهمة، فسيقوم بتنفيذ إجراء مصادقة آخر، هذه المرة عادةً باستخدام طريقة أكثر موثوقية).
عليك أن تفهم أن التقرير لا يأخذ في الاعتبار استخدام الرموز المشفرة للمصادقة الثنائية في أنظمة التشغيل Windows وLinux وMac OS X. وهذا هو الاستخدام الأكثر انتشارًا حاليًا للمصادقة الثنائية. (للأسف، يمكن للرموز المميزة التي تم إنشاؤها وفقًا لمعايير FIDO تنفيذ المصادقة الثنائية (2FA) لنظام التشغيل Windows 2 فقط).
علاوة على ذلك، إذا كان تنفيذ المصادقة الثنائية في تطبيقات الهاتف المحمول عبر الإنترنت يتطلب مجموعة من التدابير، بما في ذلك تعديل هذه التطبيقات، فإن تنفيذ المصادقة الثنائية في نظام التشغيل Windows تحتاج فقط إلى تكوين PKI (على سبيل المثال، استنادًا إلى خادم شهادات Microsoft) وسياسات المصادقة في الإعلان.
وبما أن حماية تسجيل الدخول إلى جهاز كمبيوتر ومجال العمل يعد عنصرًا مهمًا لحماية بيانات الشركة، فقد أصبح تنفيذ المصادقة الثنائية أكثر شيوعًا.
الطريقتان التاليتان الأكثر شيوعًا لمصادقة المستخدمين عند تسجيل الدخول هما كلمات المرور لمرة واحدة المقدمة من خلال تطبيق منفصل (13% من الشركات) وكلمات المرور لمرة واحدة التي يتم تسليمها عبر الرسائل القصيرة (12%). على الرغم من أن نسبة استخدام كلتا الطريقتين متشابهة جدًا، إلا أن الرسائل النصية القصيرة لمرة واحدة (OTP) تُستخدم غالبًا لزيادة مستوى الترخيص (في 24٪ من الشركات). (الشكل 12).
من المحتمل أن يُعزى الارتفاع في استخدام المصادقة القوية في المؤسسة إلى زيادة توافر تطبيقات مصادقة التشفير في منصات إدارة هوية المؤسسة (وبعبارة أخرى، تعلمت أنظمة SSO وIAM في المؤسسة استخدام الرموز المميزة).
بالنسبة للمصادقة المتنقلة للموظفين والمقاولين، تعتمد المؤسسات بشكل كبير على كلمات المرور أكثر من المصادقة في تطبيقات المستهلك. يستخدم ما يزيد قليلاً عن نصف المؤسسات (53%) كلمات المرور عند مصادقة وصول المستخدم إلى بيانات الشركة من خلال جهاز محمول (الشكل 13).
في حالة الأجهزة المحمولة، قد يؤمن المرء بالقوة الهائلة للقياسات الحيوية، لولا الحالات العديدة لبصمات الأصابع والأصوات والوجوه وحتى قزحية العين. سيكشف استعلام محرك بحث واحد عن عدم وجود طريقة موثوقة للمصادقة البيومترية. توجد أجهزة استشعار دقيقة حقًا، بالطبع، لكنها باهظة الثمن وكبيرة الحجم - ولا يتم تثبيتها في الهواتف الذكية.
ولذلك، فإن طريقة المصادقة الثنائية العاملة الوحيدة في الأجهزة المحمولة هي استخدام الرموز المشفرة التي تتصل بالهاتف الذكي عبر واجهات NFC وBluetooth وUSB Type-C.
تعد حماية البيانات المالية للشركة السبب الرئيسي للاستثمار في المصادقة بدون كلمة مرور (44%)، مع أسرع نمو منذ عام 2017 (زيادة قدرها ثماني نقاط مئوية). تليها حماية الملكية الفكرية (40%) وبيانات الموظفين (الموارد البشرية) (39%). والسبب واضح - ليس فقط القيمة المرتبطة بهذه الأنواع من البيانات معترف بها على نطاق واسع، ولكن عدد قليل نسبيًا من الموظفين يعملون معها. أي أن تكاليف التنفيذ ليست كبيرة جدًا، ولا يحتاج سوى عدد قليل من الأشخاص إلى التدريب على العمل باستخدام نظام مصادقة أكثر تعقيدًا. وفي المقابل، فإن أنواع البيانات والأجهزة التي يصل إليها معظم موظفي المؤسسات بشكل روتيني لا تزال محمية بكلمات المرور فقط. تعد مستندات الموظفين ومحطات العمل وبوابات البريد الإلكتروني الخاصة بالشركة هي المناطق الأكثر تعرضًا للخطر، حيث أن ربع الشركات فقط تحمي هذه الأصول من خلال مصادقة بدون كلمة مرور (الشكل 14).
بشكل عام، يعد البريد الإلكتروني للشركات أمرًا خطيرًا للغاية ومتسربًا، حيث يتم التقليل من درجة الخطر المحتمل من قبل معظم مديري تكنولوجيا المعلومات. يتلقى الموظفون العشرات من رسائل البريد الإلكتروني كل يوم، فلماذا لا يتم تضمين بريد إلكتروني واحد على الأقل للتصيد (أي الاحتيال) بينهم. سيتم تنسيق هذه الرسالة بأسلوب رسائل الشركة، لذلك سيشعر الموظف بالراحة عند النقر على الرابط الموجود في هذه الرسالة. حسنًا، يمكن أن يحدث أي شيء، على سبيل المثال، تنزيل فيروس على الجهاز الذي تمت مهاجمته أو تسريب كلمات المرور (بما في ذلك من خلال الهندسة الاجتماعية، عن طريق إدخال نموذج مصادقة مزيف أنشأه المهاجم).
لمنع حدوث أشياء كهذه، يجب توقيع رسائل البريد الإلكتروني. وبعد ذلك سيكون من الواضح على الفور أي خطاب تم إنشاؤه بواسطة موظف شرعي وأي خطاب تم إنشاؤه بواسطة المهاجم. في Outlook/Exchange، على سبيل المثال، يتم تمكين التوقيعات الإلكترونية المستندة إلى رمز التشفير بسرعة وسهولة ويمكن استخدامها جنبًا إلى جنب مع المصادقة الثنائية عبر أجهزة الكمبيوتر الشخصية ومجالات Windows.
ومن بين هؤلاء المديرين التنفيذيين الذين يعتمدون فقط على مصادقة كلمة المرور داخل المؤسسة، فإن الثلثين (66٪) يفعلون ذلك لأنهم يعتقدون أن كلمات المرور توفر أمانًا كافيًا لنوع المعلومات التي تحتاج شركاتهم إلى حمايتها (الشكل 15).
لكن طرق المصادقة القوية أصبحت أكثر شيوعًا. ويرجع ذلك إلى حد كبير إلى حقيقة أن توافرها آخذ في الازدياد. يدعم عدد متزايد من أنظمة إدارة الهوية والوصول (IAM) والمتصفحات وأنظمة التشغيل المصادقة باستخدام الرموز المميزة للتشفير.
المصادقة القوية لها ميزة أخرى. نظرًا لأن كلمة المرور لم تعد مستخدمة (تم استبدالها برقم PIN بسيط)، فلا توجد طلبات من الموظفين لتغيير كلمة المرور المنسية. وهذا بدوره يقلل العبء على قسم تكنولوجيا المعلومات في المؤسسة.
النتائج والاستنتاجات
- في كثير من الأحيان لا يمتلك المديرون المعرفة اللازمة للتقييم حقيقي فعالية خيارات المصادقة المختلفة. لقد اعتادوا على الثقة في مثل هذا عفا عليها الزمن أساليب الأمان مثل كلمات المرور وأسئلة الأمان ببساطة لأنها "كانت تعمل من قبل".
- لا يزال لدى المستخدمين هذه المعرفة أقلبالنسبة لهم الشيء الرئيسي هو البساطة والراحة. طالما ليس لديهم أي حافز للاختيار حلول أكثر أمانا.
- مطورو التطبيقات المخصصة في كثير من الأحيان بدون سببلتنفيذ المصادقة الثنائية بدلاً من مصادقة كلمة المرور. المنافسة في مستوى الحماية في تطبيقات المستخدم لا.
- المسؤولية الكاملة عن الاختراق انتقلت إلى المستخدم. إعطاء كلمة المرور لمرة واحدة للمهاجم - مذنب. تم اعتراض كلمة المرور الخاصة بك أو التجسس عليها - مذنب. لم يطلب من المطور استخدام طرق مصادقة موثوقة في المنتج - مذنب.
- حق منظم بادئ ذي بدء يجب أن تطلب من الشركات تنفيذ الحلول التي حاجز تسرب البيانات (خاصة المصادقة الثنائية)، بدلاً من العقاب حصل بالفعل تسرب البيانات.
- يحاول بعض مطوري البرامج البيع للمستهلكين قديمة وغير موثوقة بشكل خاص حلول في عبوة جميلة منتج "مبتكر". على سبيل المثال، المصادقة عن طريق الارتباط بهاتف ذكي معين أو استخدام القياسات الحيوية. كما يتبين من التقرير، وفقا ل يمكن الاعتماد عليها حقا لا يمكن أن يكون هناك سوى حل يعتمد على المصادقة القوية، أي الرموز المميزة للتشفير.
- نفس الشيء يمكن استخدام رمز التشفير ل عدد من المهام: إلى عن على مصادقة قوية في نظام تشغيل المؤسسة، في تطبيقات الشركات والمستخدمين التوقيع الالكتروني المعاملات المالية (مهمة للتطبيقات المصرفية) والمستندات والبريد الإلكتروني.
المصدر: www.habr.com