Bu yaxınlarda araşdırma şirkəti Javelin Strategy & Research "The State of Strong Authentication 2019" adlı hesabat dərc etdi. Onun yaradıcıları korporativ mühitlərdə və istehlakçı tətbiqlərində hansı autentifikasiya üsullarından istifadə edildiyi barədə məlumat toplayıb, həmçinin güclü autentifikasiyanın gələcəyi haqqında maraqlı nəticələr çıxarıblar.
Birinci hissənin hesabat müəlliflərinin gəldiyi nəticələrlə tərcüməsi, biz . İndi isə ikinci hissəni - verilənlər və qrafiklərlə diqqətinizə təqdim edirik.
Tərcüməçidən
Mən eyni adlı bütün bloku birinci hissədən tamamilə köçürməyəcəyəm, amma yenə də bir abzasın dublikatını çıxaracağam.
Bütün rəqəmlər və faktlar zərrə qədər dəyişmədən təqdim olunur və əgər onlarla razılaşmırsınızsa, o zaman tərcüməçi ilə deyil, hesabat müəllifləri ilə mübahisə etmək daha yaxşıdır. Budur mənim şərhlərim (sitat şəklində verilmiş və mətndə qeyd edilmişdir kursiv) mənim dəyər mühakimələrimdir və mən onların hər biri (həmçinin tərcümənin keyfiyyəti ilə bağlı) üzrə mübahisə etməkdən məmnun qalacağam.
İstifadəçi Doğrulaması
2017-ci ildən etibarən, istehlakçı proqramlarında güclü autentifikasiyadan istifadə, əsasən mobil cihazlarda kriptoqrafik autentifikasiya üsullarının mövcudluğu hesabına kəskin şəkildə artıb, baxmayaraq ki, şirkətlərin yalnız bir qədər kiçik faizi İnternet proqramları üçün güclü autentifikasiyadan istifadə edir.
Ümumilikdə, öz biznesində güclü autentifikasiyadan istifadə edən şirkətlərin faizi 5-ci ildəki 2017%-dən 16-ci ildə 2018%-ə qədər üç dəfə artıb (Şəkil 3).
Veb tətbiqləri üçün güclü autentifikasiyadan istifadə etmək imkanı hələ də məhduddur (Bəzi brauzerlərin yalnız çox yeni versiyalarının kriptoqrafik tokenlərlə qarşılıqlı əlaqəni dəstəklədiyinə görə, lakin bu problem əlavə proqram təminatının quraşdırılması ilə həll edilə bilər. ), belə ki, bir çox şirkət onlayn autentifikasiya üçün alternativ üsullardan, məsələn, birdəfəlik parollar yaradan mobil qurğular üçün proqramlardan istifadə edir.
Avadanlıq kriptoqrafik açarları (burada yalnız FIDO standartlarına uyğun gələnləri nəzərdə tuturuq), məsələn, Google, Feitian, One Span və Yubico tərəfindən təklif olunanlar masaüstü kompüterlərdə və noutbuklarda əlavə proqram təminatı quraşdırmadan güclü autentifikasiya üçün istifadə edilə bilər (çünki əksər brauzerlər artıq FIDO-dan WebAuthn standartını dəstəkləyir), lakin şirkətlərin yalnız 3%-i öz istifadəçilərinə daxil olmaq üçün bu funksiyadan istifadə edir.
Kriptoqrafik tokenlərin müqayisəsi (məsələn ) və FIDO standartlarına uyğun işləyən gizli açarlar bu hesabatın əhatə dairəsi xaricindədir, həm də mənim şərhlərim. Bir sözlə, hər iki token növü oxşar alqoritmlərdən və iş prinsiplərindən istifadə edir. FIDO tokenləri hazırda brauzer satıcıları tərəfindən daha yaxşı dəstəklənir, baxmayaraq ki, daha çox brauzer dəstəklədikcə bu tezliklə dəyişəcək . Lakin klassik kriptoqrafik tokenlər PİN kodu ilə qorunur, elektron sənədləri imzalaya bilər və Windows (istənilən versiya), Linux və Mac OS X-də iki faktorlu autentifikasiya üçün istifadə edilə bilər, müxtəlif proqramlaşdırma dilləri üçün API-lərə malikdir, 2FA və elektron proqramları həyata keçirməyə imkan verir. masa üstü, mobil və veb proqramlarında imza və Rusiyada istehsal olunan tokenlər Rusiya QOST alqoritmlərini dəstəkləyir. İstənilən halda, kriptoqrafik token, hansı standartla yaradılmasından asılı olmayaraq, ən etibarlı və əlverişli autentifikasiya üsuludur.
Təhlükəsizlikdən kənar: Güclü Doğrulamanın Digər Faydaları
Təəccüblü deyil ki, güclü autentifikasiyadan istifadə biznesin saxladığı məlumatların əhəmiyyəti ilə sıx bağlıdır. Sosial Müdafiə nömrələri və ya Fərdi Sağlamlıq Məlumatı (PHI) kimi həssas Şəxsi Müəyyənləşdirilə bilən Məlumatı (PII) saxlayan şirkətlər ən böyük hüquqi və tənzimləyici təzyiqlə üzləşirlər. Bunlar güclü autentifikasiyanın ən aqressiv tərəfdarları olan şirkətlərdir. Ən həssas məlumatları ilə etibar etdikləri təşkilatların güclü autentifikasiya üsullarından istifadə etdiyini bilmək istəyən müştərilərin gözləntiləri bizneslərə təzyiqi artırır. Həssas PII və ya PHI ilə məşğul olan təşkilatlar, yalnız istifadəçilərin əlaqə məlumatlarını saxlayan təşkilatlarla müqayisədə güclü autentifikasiyadan iki dəfə çox istifadə edirlər (Şəkil 7).
Təəssüf ki, şirkətlər hələ də güclü autentifikasiya üsullarını tətbiq etmək istəmirlər. Biznes qərar qəbul edənlərin təxminən üçdə biri parolları Şəkil 9-da sadalananlar arasında ən effektiv autentifikasiya metodu hesab edir və 43% parolları ən sadə autentifikasiya üsulu hesab edir.
Bu diaqram bizə sübut edir ki, bütün dünyada biznes proqram tərtibatçıları eynidir... Onlar hesaba girişin qabaqcıl təhlükəsizlik mexanizmlərini tətbiq etməyin faydasını görmürlər və eyni yanlış fikirləri bölüşürlər. Və yalnız tənzimləyicilərin hərəkətləri vəziyyəti dəyişə bilər.
Parollara toxunmayaq. Bəs təhlükəsizlik suallarının kriptoqrafik tokenlərdən daha təhlükəsiz olduğuna inanmaq üçün nəyə inanmaq lazımdır? Sadəcə seçilən nəzarət suallarının effektivliyi 15% qiymətləndirilib, sındırıla bilən əlamətlər deyil - cəmi 10. Ən azı "Aldatma İllüziyası" filminə baxın, burada alleqorik formada olsa da, sehrbazların nə qədər asan olduğunu göstərir. iş adamı-fırıldaqçı cavablarından bütün lazım olanları aldatdı və onu pulsuz qoydu.
Və daha bir fakt, istifadəçi proqramlarında təhlükəsizlik mexanizmlərinə cavabdeh olan şəxslərin ixtisasları haqqında çox şey deyir. Onların anlayışına görə, parolun daxil edilməsi prosesi kriptoqrafik işarədən istifadə etməklə autentifikasiyadan daha sadə əməliyyatdır. Baxmayaraq ki, tokeni USB portuna qoşmaq və sadə PİN kodu daxil etmək daha asan görünə bilər.
Əsas odur ki, güclü autentifikasiyanın tətbiqi bizneslərə müştərilərinin real ehtiyaclarını ödəmək üçün saxta sxemlərin qarşısını almaq üçün lazım olan autentifikasiya üsulları və əməliyyat qaydaları haqqında düşünməkdən uzaqlaşmaq imkanı verir.
Tənzimləmə uyğunluğu həm güclü autentifikasiyadan istifadə edən, həm də tətbiq etməyən müəssisələr üçün ağlabatan əsas prioritet olsa da, artıq güclü autentifikasiyadan istifadə edən şirkətlər, müştəri loyallığının artırılmasının autentifikasiyanı qiymətləndirərkən nəzərə aldıqları ən vacib metrik olduğunu söyləmək ehtimalı daha çoxdur. üsul. (18% qarşı 12%) (Şəkil 10).
Müəssisə Autentifikasiyası
2017-ci ildən etibarən müəssisələrdə güclü autentifikasiyanın qəbulu artır, lakin istehlakçı tətbiqləri ilə müqayisədə bir qədər aşağı sürətlə. Güclü autentifikasiyadan istifadə edən müəssisələrin payı 7-ci ildəki 2017%-dən 12-ci ildə 2018%-ə yüksəlib. İstehlakçı proqramlardan fərqli olaraq, müəssisə mühitində parolsuz autentifikasiya metodlarından istifadə mobil cihazlarla müqayisədə veb proqramlarda bir qədər daha geniş yayılmışdır. Müəssisələrin təxminən yarısı daxil olarkən istifadəçilərinin autentifikasiyası üçün yalnız istifadəçi adları və parollardan istifadə etdiyini bildirir, hər beş nəfərdən biri (22%) həssas məlumatlara daxil olarkən yalnız ikinci dərəcəli autentifikasiya üçün parollardan istifadə edir (yəni istifadəçi əvvəlcə daha sadə autentifikasiya metodundan istifadə edərək proqrama daxil olur və kritik məlumatlara çıxış əldə etmək istəyirsə, bu dəfə adətən daha etibarlı metoddan istifadə etməklə başqa autentifikasiya prosedurunu həyata keçirəcək.).
Siz başa düşməlisiniz ki, hesabatda Windows, Linux və Mac OS X əməliyyat sistemlərində iki faktorlu autentifikasiya üçün kriptoqrafik tokenlərdən istifadə nəzərə alınmır. Və bu, hazırda 2FA-nın ən geniş yayılmış istifadəsidir. (Təəssüf ki, FIDO standartlarına uyğun olaraq yaradılmış tokenlər yalnız Windows 2 üçün 10FA tətbiq edə bilər).
Bundan əlavə, onlayn və mobil tətbiqlərdə 2FA-nın tətbiqi bu proqramların modifikasiyası da daxil olmaqla bir sıra tədbirlər tələb edirsə, Windows-da 2FA tətbiq etmək üçün yalnız PKI-ni (məsələn, Microsoft Certification Server əsasında) və autentifikasiya siyasətlərini konfiqurasiya etməlisiniz. AD.
İş kompüterinə və domenə girişin qorunması korporativ məlumatların qorunmasının vacib elementi olduğundan, iki faktorlu autentifikasiyanın tətbiqi getdikcə daha çox yayılmışdır.
İstifadəçilərin daxil olarkən autentifikasiyası üçün növbəti iki ən çox yayılmış üsul ayrıca proqram vasitəsilə təqdim edilən birdəfəlik parollar (bizneslərin 13%-i) və SMS vasitəsilə çatdırılan birdəfəlik parollardır (12%). Hər iki metoddan istifadə faizinin çox oxşar olmasına baxmayaraq, OTP SMS ən çox icazə səviyyəsini artırmaq üçün istifadə olunur (şirkətlərin 24% -ində). (Şəkil 12).
Müəssisədə güclü autentifikasiyadan istifadənin artması, çox güman ki, müəssisə şəxsiyyətinin idarə edilməsi platformalarında kriptoqrafik autentifikasiya tətbiqlərinin əlçatanlığının artması ilə əlaqələndirilə bilər (başqa sözlə, müəssisə SSO və IAM sistemləri tokenlərdən istifadə etməyi öyrəniblər).
İşçilərin və podratçıların mobil autentifikasiyası üçün müəssisələr istehlakçı proqramlarında autentifikasiyadan daha çox parollara etibar edirlər. Müəssisələrin yarıdan bir qədər çoxu (53%) mobil cihaz vasitəsilə şirkət məlumatlarına istifadəçi girişinin autentifikasiyası zamanı parollardan istifadə edir (Şəkil 13).
Mobil cihazlara gəldikdə, saxta barmaq izləri, səslər, üzlər və hətta irislərin çoxluğu olmasaydı, biometrikanın böyük gücünə inanmaq olardı. Bir axtarış motoru sorğusu biometrik autentifikasiyanın etibarlı metodunun sadəcə mövcud olmadığını aşkar edəcək. Həqiqətən dəqiq sensorlar, əlbəttə ki, mövcuddur, lakin onlar çox bahalı və ölçüləri böyükdür - və smartfonlarda quraşdırılmır.
Buna görə də, mobil cihazlarda yeganə işləyən 2FA üsulu smartfona NFC, Bluetooth və USB Type-C interfeysləri vasitəsilə qoşulan kriptoqrafik tokenlərin istifadəsidir.
Şirkətin maliyyə məlumatlarının qorunması 44-ci ildən bəri ən sürətli artımla (səkkiz faiz bəndi artım) parolsuz autentifikasiyaya sərmayə qoymağın əsas səbəbidir (2017%). Bunun ardınca əqli mülkiyyət (40%) və kadr (HR) məlumatlarının (39%) qorunması gəlir. Və bunun səbəbi aydındır - təkcə bu tip məlumatlarla əlaqəli dəyər geniş şəkildə tanınmır, həm də nisbətən az işçi onlarla işləyir. Yəni həyata keçirmə xərcləri o qədər də böyük deyil və yalnız bir neçə nəfərin daha mürəkkəb autentifikasiya sistemi ilə işləmək üçün təlim keçməsi lazımdır. Bunun əksinə olaraq, əksər müəssisə işçilərinin müntəzəm olaraq daxil olduğu məlumat və cihazlar növləri hələ də yalnız parollarla qorunur. İşçi sənədləri, iş stansiyaları və korporativ e-poçt portalları ən böyük risk sahələridir, çünki müəssisələrin yalnız dörddə biri bu aktivləri parolsuz autentifikasiya ilə qoruyur (Şəkil 14).
Ümumiyyətlə, korporativ e-poçt çox təhlükəli və sızan bir şeydir, potensial təhlükə dərəcəsi əksər CIO-lar tərəfindən qiymətləndirilmir. İşçilər hər gün onlarla e-məktub alırlar, niyə onların arasında ən azı bir fişinq (yəni fırıldaqçılıq) e-poçtunu daxil etməyəsiniz. Bu məktub şirkət məktubları üslubunda formatlanacaq, ona görə də işçi bu məktubdakı linkə klikləməklə özünü rahat hiss edəcək. Yaxşı, o zaman hər şey ola bilər, məsələn, hücuma məruz qalan maşına virus yükləmək və ya parolları sızdırmaq (o cümlədən sosial mühəndislik vasitəsilə, təcavüzkarın yaratdığı saxta autentifikasiya formasına daxil olmaqla).
Bu kimi halların qarşısını almaq üçün e-poçtlar imzalanmalıdır. O zaman hansı məktubun qanuni işçi, hansının təcavüzkar tərəfindən yaradıldığı dərhal aydın olacaq. Məsələn, Outlook/Exchange-də kriptoqrafik token əsaslı elektron imzalar kifayət qədər tez və asanlıqla işə salınır və kompüterlər və Windows domenləri arasında iki faktorlu autentifikasiya ilə birlikdə istifadə edilə bilər.
Müəssisə daxilində yalnız parol identifikasiyasına güvənən rəhbər işçilər arasında, üçdə ikisi (66%) parolların şirkətlərinin mühafizə etməli olduqları məlumat növü üçün kifayət qədər təhlükəsizlik təmin etdiyinə inandıqları üçün bunu edir (Şəkil 15).
Lakin güclü autentifikasiya üsulları daha çox yayılmışdır. Əsasən onların əlçatanlığının artması ilə əlaqədardır. Artan sayda şəxsiyyət və girişin idarə edilməsi (IAM) sistemləri, brauzerlər və əməliyyat sistemləri kriptoqrafik tokenlərdən istifadə edərək autentifikasiyanı dəstəkləyir.
Güclü identifikasiyanın başqa bir üstünlüyü var. Parol artıq istifadə edilmədiyindən (sadə PİN kodu ilə əvəz olunub), unudulmuş parolun dəyişdirilməsini xahiş edən işçilərdən heç bir sorğu yoxdur. Bu da öz növbəsində müəssisənin İT departamentinin yükünü azaldır.
Xülasə və Nəticələr
- Menecerlər çox vaxt qiymətləndirmək üçün lazımi biliyə malik deyillər real müxtəlif autentifikasiya seçimlərinin effektivliyi. Onlar belə inanmağa öyrəşiblər köhnəlmişdir parollar və təhlükəsizlik sualları kimi təhlükəsizlik üsulları sadəcə "əvvəllər işlədiyi" üçün.
- İstifadəçilər hələ də bu biliklərə malikdirlər az, onlar üçün əsas odur sadəlik və rahatlıq. Nə qədər ki, onların seçim etmək həvəsi yoxdur daha təhlükəsiz həllər.
- Xüsusi proqramların tərtibatçıları tez-tez səbəbsizparol identifikasiyası əvəzinə iki faktorlu autentifikasiyanı həyata keçirmək. İstifadəçi proqramlarında qorunma səviyyəsində rəqabət Heç bir.
- Hack üçün tam məsuliyyət istifadəçiyə keçdi. Təcavüzkara birdəfəlik parol verdi - günahlandırmaq. Parolunuz ələ keçirilib və ya casusluq edilib - günahlandırmaq. Tərtibatçıdan məhsulda etibarlı autentifikasiya üsullarından istifadə etməyi tələb etmədi - günahlandırmaq.
- Doğru tənzimləyici Əvvəlcə olan həlləri şirkətlərdən tələb etməlidir blok məlumat sızması (xüsusilə iki faktorlu autentifikasiya) cəzalandırmaq əvəzinə artıq baş verib məlumat sızması.
- Bəzi proqram tərtibatçıları istehlakçılara satmağa çalışırlar köhnə və xüsusilə etibarlı deyil həllər gözəl qablaşdırmada "innovativ" məhsul. Məsələn, müəyyən bir smartfona qoşulmaqla və ya biometrikdən istifadə etməklə autentifikasiya. Məlumata görə, hesabatdan göründüyü kimi həqiqətən etibarlı Yalnız güclü autentifikasiyaya, yəni kriptoqrafik tokenlərə əsaslanan həll yolu ola bilər.
- Eyni kriptoqrafik token üçün istifadə edilə bilər bir sıra vəzifələr: üçün güclü autentifikasiya müəssisə əməliyyat sistemində, korporativ və istifadəçi proqramlarında, üçün Elektron imza maliyyə əməliyyatları (bank proqramları üçün vacibdir), sənədlər və e-poçt.
Mənbə: www.habr.com