Нядаўна даследчая кампанія "Javelin Strategy & Research" апублікавала справаздачу "The State of Strong Authentication 2019". Яго стваральнікі сабралі інфармацыю аб тым якія спосабы аўтэнтыфікацыі выкарыстоўваюцца ў карпаратыўным асяроддзі і карыстацкіх дадатках, а таксама зрабілі цікаўныя высновы аб будучыні строгай аўтэнтыфікацыі.
Пераклад першай часткі з высновамі аўтараў справаздачы, мы . А зараз прадстаўляем вашай увазе другую частку — з дадзенымі і графікамі.
Ад перакладчыка
Не буду цалкам капіраваць увесь аднайменны блок з першай часткі, але адзін абзац усё ж прадублірую.
Усе лічбы і факты прыведзены без найменшых змен, і калі вы з імі не згодны, то спрачацца лепш не з перакладчыкам, а з аўтарамі справаздачы. А вось мае каментары (звярстаны як цытаты, а ў тэксце адзначаны італікам) з'яўляюцца маім ацэначным меркаваннем і па кожным з іх я буду рады паспрачацца (як і па якасці перакладу).
Карыстацкая аўтэнтыфікацыя
З 2017 год прымяненне строгай аўтэнтыфікацыі ў карыстацкіх дадатках рэзка вырасла, у асноўным з-за даступнасці крыптаграфічных метадаў аўтэнтыфікацыі на мабільных прыладах, хоць толькі крыху меншы працэнт кампаній выкарыстоўваюць строгую аўтэнтыфікацыю для інтэрнэт-прыкладанняў.
У цэлым, працэнт кампаній, якія выкарыстоўваюць строгую аўтэнтыфікацыю ў сваім бізнэсе павялічылася ўтрая з 5% у 2017 да 16% у 2018 (малюнак 3).
Магчымасці па выкарыстанні строгай аўтэнтыфікацыі для web-прыкладанняў да гэтага часу абмежаваныя (з-за таго, што толькі зусім новыя версіі некаторых браўзэраў падтрымліваюць узаемадзеянне з крыптаграфічнымі токенамі, аднак гэтая праблема вырашаецца з дапамогай усталёўкі дадатковага ПА, такога як ), таму многія кампаніі выкарыстоўваюць альтэрнатыўныя метады для онлайн аўтэнтыфікацыі, такія як праграмы для мабільных прылад, якія генеруюць аднаразовыя паролі.
Апаратныя крыптаграфічныя ключы (тут маюцца на ўвазе толькі адпаведныя стандартам FIDO), такія як прапанаваныя Google, Feitian, One Span, і Yubico могуць быць скарыстаны для строгай аўтэнтыфікацыі без усталёўкі дадатковага ПЗ на стацыянарных кампутарах і наўтбуках (таму што большасць браўзэраў ужо падтрымлівае стандарт WebAuthn ад FIDO), але толькі 3% кампаній выкарыстоўвае гэтую магчымасць для лагіна сваіх карыстальнікаў.
Параўнанне крыптаграфічных токенаў (накшталт ) і сакрэтных ключоў, якія працуюць па стандартах FIDO, выходзіць не толькі за рамкі дадзенай справаздачы, але і маіх каментароў да яе. Калі зусім, коратка, то абодва віды токенаў выкарыстоўваюць падобныя алгарытмы і прынцыпы працы. Такены FIDO на дадзены момант лепш падтрымліваюцца вытворцамі браўзэраў, праўда сітуацыя хутка зменіцца па меры таго, як усё больш браўзэраў будуць падтрымліваць . Затое класічныя крыптаграфічныя токены абаронены PIN-кодам, могуць падпісваць электронныя дакументы і выкарыстоўвацца для двухфактарнай аўтэнтыфікацыі ў Windows (любой версіі), Linux і Mac OS X, маюць API для розных моў праграмавання, якія дазваляюць рэалізаваць 2ФА і ЭП у настольных, мабільных і Web прыкладаннях , А токены вырабленыя ў Расіі падтрымліваюць расійскія алгарытмы ДАСТ. У любым выпадку, крыптаграфічны токен, па-за залежнасцю ад таго, па якім стандарце ён створаны, з'яўляецца найболей надзейным і зручным метадам аўтэнтыфікацыі.
Апроч бяспекі: іншыя перавагі строгай аўтэнтыфікацыі
Нядзіўна, што ўжыванне строгай аўтэнтыфікацыі цесна злучана з важнасцю дадзеных, якія захоўваюцца бізнэсам. З найбольшым юрыдычным і нарматыўным ціскам сутыкаюцца кампаніі, якія захоўваюць канфідэнцыйную асабістую інфармацыю (Personally Identifiable Information - PII), такую як нумары сацыяльнага страхавання або асабістую медыцынскую інфармацыю (Personal Health Information - PHI). Менавіта такія кампаніі з'яўляюцца найболей агрэсіўнымі прыхільнікамі строгай аўтэнтыфікацыі. Ціск на бізнэс узмацняецца чаканнямі кліентаў, якія хочуць ведаць, што арганізацыях, якім яны давяраюць свае найбольш канфідэнцыйныя дадзеныя выкарыстоўваюць надзейныя метады аўтэнтыфікацыі. Арганізацыі, якія апрацоўваюць адчувальны PII або PHI, больш за ў два разу часцей выкарыстоўваюць строгую аўтэнтыфікацыю, чым арганізацыі, якія захоўваюць толькі кантактную інфармацыю карыстальнікаў (малюнак 7).
Нажаль, кампаніі пакуль не жадаюць укараняць надзейныя метады аўтэнтыфікацыі. Амаль трэць асоб, якія прымаюць бізнес-рашэнні, лічаць паролі найбольш эфектыўным з метадаў аўтэнтыфікацыі, сярод усіх пералічаных на малюнку 9, а 43% лічаць паролі самым простым метадам аўтэнтыфікацыі.
Гэтая дыяграма даказвае нам, што распрацоўшчыкі бізнес-прыкладанняў ва ўсім свеце аднолькавыя… Яны не бачаць профіту ў рэалізацыі прасунутых механізмаў абароны доступу да ўліковых запісаў і падзяляюць адны і тыя ж памылкі. І толькі дзеянні рэгулятараў могуць змяніць сітуацыю.
Не будзем чапаць паролі. Але ў што ж трэба верыць, каб лічыць, што кантрольныя пытанні больш бяспечныя, чым крыптаграфічныя токены? Эфектыўнасць кантрольных пытанняў, якія элементарна падбіраюцца ацанілі ў 15%, а не ўзломваных токенаў - усяго ў 10. Хоць бы фільм "Ілюзія падману" паглядзелі б, там хоць і ў алегарычнай форме, але паказана як лёгка штукары выманілі ў бізнесмена-аферыста ўсе неабходныя адказы і пакінулі яго без грошай.
І яшчэ адзін факт, які шмат гаворыць аб кваліфікацыі тых, хто адказвае за механізмы бяспекі ў карыстацкіх прыкладаннях. У іх разуменні працэс уводу пароля з'яўляецца прасцейшай аперацыяй, чым аўтэнтыфікацыя з дапамогай крыптаграфічнага токена. Хоць, здавалася б, што можа быць прасцей падлучэнні токена да USB-порту і ўводу простага PIN-кода.
Важна адзначыць, што ўкараненне строгай аўтэнтыфікацыі дазваляе прадпрыемствам больш не думаць аб метадах аўтэнтыфікацыі і правілах працы, неабходных для блакіроўкі ашуканскіх схем, да задавальнення рэальных запатрабаванняў сваіх кліентаў.
У той час як захаванне нарматыўных патрабаванняў з'яўляецца цалкам разумным галоўным прыярытэтам як для прадпрыемстваў, якія выкарыстоўваюць строгую аўтэнтыфікацыю, так і для тых, якія гэтага не робяць, кампаніі, якія ўжо выкарыстоўваюць строгую аўтэнтыфікацыю, са значна большай верагоднасцю скажуць, што павышэнне лаяльнасці кліентаў з'яўляецца найболей важным паказчыкам, які яны ўлічваюць пры адзнацы метаду аўтэнтыфікацыі. (18% супраць 12%) (малюнак 10).
Карпаратыўная аўтэнтыфікацыя
З 2017 года ўкараненне строгай аўтэнтыфікацыі на прадпрыемствах расце, але крыху сціплей, чым для спажывецкіх прыкладанняў. Доля прадпрыемстваў, якія выкарыстоўваюць строгую аўтэнтыфікацыю павялічылася з 7% у 2017 да 12% у 2018. У адрозненне ад карыстацкіх прыкладанняў, у карпаратыўным асяроддзі выкарыстанне непарольных метадаў аўтэнтыфікацыі некалькі больш распаўсюджана ў web-прыкладаннях, чым на мабільных прыладах. Каля паловы прадпрыемстваў паведамляюць аб выкарыстанні толькі імёнаў карыстальнікаў і пароляў для аўтэнтыфікацыі сваіх карыстальнікаў пры ўваходзе ў сістэму, прычым кожны пяты (22%) таксама належыць выключна на паролі для другаснай аўтэнтыфікацыі пры доступе да асабліва важных даных.гэта значыць карыстач спачатку лагініцца ў дадатак, выкарыстаючы прасцейшы спосаб аўтэнтыфікацыі, а калі захоча павучыць доступ да крытычных дадзеных, тое выканае яшчэ адну працэдуру аўтэнтыфікацыі, на гэты раз звычайна выкарыстоўваючы больш надзейны метад).
Трэба разумець, што ў справаздачы не ўлічана выкарыстанне крыптаграфічных токенаў для двухфактарнай аўтэнтыфікацыі ў аперацыйных сістэмах Windows, Linux і Mac OS X. А гэта на бягучы момант - самае масавае выкарыстанне 2ФА. (Нажаль, але токены створаныя па стандартах FIDO умеюць рэалізоўваць 2ФА толькі для Windows 10).
Прычым, калі для ўкаранення 2ФА у анлайн і мабільныя прыкладанні неабходзен комплекс мерапрыемстваў, улучальны ў сябе дапрацоўку гэтых прыкладанняў, то для ўкаранення 2ФА у Windows неабходна ўсяго толькі наладзіць PKI (напрыклад, на базе Microsoft Certification Server) і палітыкі аўтэнтыфікацыі ў AD.
А паколькі абарона ўваходу ў працоўны ПК і дамен з'яўляюцца важным элементам абароны карпаратыўных дадзеных, то укараненняў двухфактарнай аўтэнтыфікацыі становіцца ўсё больш.
Наступнымі двума найбольш распаўсюджанымі метадамі аўтэнтыфікацыі карыстальнікаў пры ўваходзе ў сістэму з'яўляюцца аднаразовыя паролі, якія прадстаўляюцца праз асобны дадатак (13% прадпрыемстваў), і аднаразовыя паролі, якія дастаўляюцца з дапамогай SMS (12%). Нягледзячы на тое, што працэнт выкарыстання абодвух метадаў вельмі падобны, але OTP SMS часцей за ўсё выкарыстоўваецца для павышэння ўзроўню аўтарызацыі (у 24% кампаній). (Малюнак 12).
Рост выкарыстання строгай аўтэнтыфікацыі на прадпрыемстве, верагодна, можна растлумачыць узрослай даступнасцю рэалізацый крыптаграфічных метадаў аўтэнтыфікацыі на платформах кіравання ідэнтыфікацыяй прадпрыемства (прасцей кажучы – карпаратыўныя сістэмы SSO і IAM навучыліся выкарыстоўваць токены).
Для мабільнай аўтэнтыфікацыі супрацоўнікаў і падрадчыкаў, прадпрыемствы, у большай ступені належаць на паролі, чым пры аўтэнтыфікацыі ў спажывецкіх дадатках. Крыху больш за палову (53%) прадпрыемстваў выкарыстоўваюць паролі пры аўтэнтыфікацыі доступу карыстальнікаў да дадзеных кампаніі праз мабільную прыладу (малюнак 13).
У выпадку з мабільнымі прыладамі можна было б паверыць у вялікую сілу біяметрыі, калі б не мноства выпадкаў з падробкамі адбіткаў, галасоў, асоб і нават вясёлак. Адзін запыт у пошукавай сістэме пакажа, што надзейнага спосабу біяметрычнай аўтэнтыфікацыі проста не існуе. Па-сапраўднаму дакладныя датчыкі вядома існуюць, але вельмі дарогі і маюць вялікі памер – і ў смартфоны не ўстанаўліваюцца.
Таму адзіным працавальным метадам 2ФА у мабільных прыладах з'яўляецца выкарыстанне крыптаграфічных токенаў, якія падлучаюцца да смартфона па інтэрфейсах NFC, Bluetooth і USB Type-C.
Абарона фінансавых дадзеных кампаніі з'яўляецца галоўнай прычынай інвестыцый у беспарольную аўтэнтыфікацыю (44%) з самым хуткім ростам з 2017 года (павелічэнне на восем працэнтных пунктаў). Далей ідзе абарона інтэлектуальнай уласнасці (40%) і кадравых (HR) дадзеных (39%). І зразумела чаму - мала таго, што каштоўнасць, звязаная з гэтымі тыпамі дадзеных, шырока прызнаецца, так з імі яшчэ і працуе параўнальна невялікая колькасць супрацоўнікаў. Гэта значыць, выдаткі на ўкараненне не такія вялікія, ды і навучыць працаваць з больш складанай сістэмай аўтэнтыфікацыі трэба ўсяго некалькі чалавек. Наадварот, тыпы дадзеных і прылады, да якіх звычайна звяртаюцца большасць супрацоўнікаў прадпрыемства, па-ранейшаму абаронены выключна паролямі. Дакументы супрацоўнікаў, працоўныя станцыі і карпаратыўныя парталы электроннай пошты з'яўляюцца абласцямі найбольшай рызыкі, паколькі толькі чвэрць прадпрыемстваў абараняюць гэтыя актывы з дапамогай беспарольнай аўтэнтыфікацыі (Малюнак 14).
Наогул, карпаратыўная электронная пошта - вельмі небяспечная і "дзіравая" штука, ступень патэнцыйнай небяспекі якой недаацэненая большасцю ІТ-дырэктараў. Штодня супрацоўнікі атрымліваюць дзясяткі лістоў, дык чаму б сярод іх не апынуцца хаця б аднаму фішынгаваму (гэта значыць ашуканскаму). Гэты ліст будзе аформлены ў стылі лістоў кампаніі, таму супрацоўнік без асцярогі націсне на спасылку ў гэтым лісце. Ну а далей можа быць што заўгодна, напрыклад, загрузка віруса на атакаваную машыну ці сліў пароляў (у тым ліку метадам сацыяльнага інжынірынгу, праз увод у створаную зламыснікам фальшывую форму аўтэнтыфікацыі).
Каб падобныя рэчы не здараліся, электронныя лісты павінны быць падпісаны. Тады адразу будзе зразумела, які ліст стварыў легальны супрацоўнік, а які зламыснік. У Outlook / Exchange, напрыклад, электронны подпіс на аснове крыптаграфічных токенаў уключаецца даволі хутка і проста і можа быць выкарыстана сумесна з двухфактарнай аўтэнтыфікацыяй ў ПК і дамены Windows.
Сярод тых кіраўнікоў, якія належаць выключна на аўтэнтыфікацыю па паролі ўнутры прадпрыемства, дзве траціны (66%) робяць гэта, таму што лічаць, што паролі забяспечваюць дастатковую бяспеку для таго тыпу інфармацыі, якую іх кампанія павінна абараніць (малюнак 15).
Але метады строгай аўтэнтыфікацыі становяцца ўсё больш распаўсюджанымі. У многім з-за таго, што павышаецца іх даступнасць. Усё больш сістэм кіравання ідэнтыфікацыяй і доступам (IAM), браўзэраў і аперацыйных сістэм падтрымлівае аўтэнтыфікацыю з дапамогай крыптаграфічных токенаў.
Ёсць у строгай аўтэнтыфікацыі і яшчэ адна перавага. Паколькі пароль больш не выкарыстоўваецца (заменены на просты PIN-код), то няма і запытаў ад супрацоўнікаў з просьбай памяняць забыты пароль. Што ў сваю чаргу змяншае нагрузку на ІТ-дэпартамент прадпрыемства.
Вынікі і высновы
- Кіраўнікі часта не валодаюць неабходнымі ведамі, якія дазваляюць ацаніць рэальную эфектыўнасць розных варыянтаў аўтэнтыфікацыі. Яны прывыклі давяраць такім састарэлым спосабам абароны як паролі і сакрэтныя пытанні проста таму, што "раней гэта працавала".
- Карыстальнікі гэтымі ведамі валодаюць яшчэ у меншай ступені, для іх галоўнае – прастата і зручнасць. Пакуль у іх няма заахвочвальных матываў выбіраць больш абароненыя рашэнні.
- У распрацоўнікаў карыстацкіх прыкладанняў часцяком няма прычын, каб укараняць двухфактарную аўтэнтыфікацыю наўзамен парольнай. Канкурэнцыя па ўзроўні абароны ў карыстацкіх дадатках адсутнічае.
- Уся адказнасць за ўзлом перакладзена на карыстальніка. Назваў аднаразовы пароль зламысніку - вінаваты. Твой пароль перахапілі або падгледзелі - вінаваты. Не запатрабаваў ад распрацоўніка выкарыстоўваць у прадукце надзейныя метады аўтэнтыфікацыі - вінаваты.
- Правільны рэгулятар у першую чаргу павінен патрабаваць ад кампаній укаранення рашэнняў, якія блакуюць уцечкі дадзеных (у прыватнасці двухфактарная аўтэнтыфікацыя), а не караць за ужо адбытую уцечку дадзеных.
- Некаторыя распрацоўшчыкі ПА спрабуюць прадаць спажыўцам старыя і не асабліва надзейныя рашэння у прыгожым пакаванні "інавацыйнага" прадукта. Напрыклад, аўтэнтыфікацыя, шляхам прывязкі да канкрэтнага смартфона або выкарыстанне біяметрыі. Як відаць са справаздачы, па сучаснасці надзейным можа быць толькі рашэнне на аснове строгай аўтэнтыфікацыі, гэта значыць крыптаграфічных токенаў.
- Адзін і той жа крыптаграфічны токен можна выкарыстоўваць для цэлага шэрагу задач: для строгай аўтэнтыфікацыі у аперацыйнай сістэме прадпрыемства, у карпаратыўным і карыстацкім дадатку, для электроннага подпісу фінансавых транзакцый (важна для банкаўскіх дадаткаў), дакументаў і электроннай пошты.
Крыніца: habr.com