Наскоро изследователската компания Javelin Strategy & Research публикува доклада „The State of Strong Authentication 2019“. Неговите създатели събраха информация за това какви методи за удостоверяване се използват в корпоративни среди и потребителски приложения, а също така направиха интересни заключения за бъдещето на силната автентификация.
Превод на първата част със заключенията на авторите на доклада, ние . А сега представяме на вашето внимание втората част - с данни и графики.
От преводача
Няма да копирам напълно целия блок със същото име от първата част, но все пак ще дублирам един параграф.
Всички цифри и факти са представени без никакви промени и ако не сте съгласни с тях, тогава е по-добре да спорите не с преводача, а с авторите на доклада. А ето и моите коментари (изложени като цитати и маркирани в текста Италиански) са моя ценностна преценка и ще се радвам да споря по всяка една от тях (както и по отношение на качеството на превода).
Удостоверяване на потребителя
От 2017 г. насам използването на силно удостоверяване в потребителските приложения нарасна рязко, до голяма степен поради наличието на криптографски методи за удостоверяване на мобилни устройства, въпреки че само малко по-малък процент от компаниите използват силно удостоверяване за интернет приложения.
Като цяло процентът на компаниите, използващи силно удостоверяване в своя бизнес, се е утроил от 5% през 2017 г. на 16% през 2018 г. (Фигура 3).
Възможността за използване на силно удостоверяване за уеб приложения все още е ограничена (поради факта, че само много нови версии на някои браузъри поддържат взаимодействие с криптографски токени, но този проблем може да бъде разрешен чрез инсталиране на допълнителен софтуер като ), така че много компании използват алтернативни методи за онлайн удостоверяване, като например програми за мобилни устройства, които генерират еднократни пароли.
Хардуерни криптографски ключове (тук имаме предвид само тези, които отговарят на стандартите на FIDO), като предлаганите от Google, Feitian, One Span и Yubico, могат да се използват за силно удостоверяване без инсталиране на допълнителен софтуер на настолни компютри и лаптопи (защото повечето браузъри вече поддържат стандарта WebAuthn от FIDO), но само 3% от компаниите използват тази функция за влизане на своите потребители.
Сравнение на криптографски токени (като ) и секретни ключове, работещи според стандартите на FIDO, е извън обхвата на този доклад, но също и моите коментари към него. Накратко, и двата типа токени използват сходни алгоритми и принципи на работа. Понастоящем токените FIDO се поддържат по-добре от доставчиците на браузъри, въпреки че това скоро ще се промени, тъй като се поддържат повече браузъри . Но класическите криптографски токени са защитени с ПИН код, могат да подписват електронни документи и да се използват за двуфакторно удостоверяване в Windows (всяка версия), Linux и Mac OS X, имат API за различни езици за програмиране, което ви позволява да внедрите 2FA и електронни подпис в десктоп, мобилни и уеб приложения, а токените, произведени в Русия, поддържат руски GOST алгоритми. Във всеки случай криптографският токен, независимо по какъв стандарт е създаден, е най-надеждният и удобен метод за удостоверяване.
Отвъд сигурността: Други предимства на силното удостоверяване
Не е изненада, че използването на силна автентификация е тясно свързано с важността на данните, които бизнесът съхранява. Компаниите, които съхраняват чувствителна лична информация (PII), като социалноосигурителни номера или лична здравна информация (PHI), са изправени пред най-голям правен и регулаторен натиск. Това са компаниите, които са най-агресивните привърженици на силната автентификация. Натискът върху бизнеса се засилва от очакванията на клиентите, които искат да знаят, че организациите, на които имат доверие с най-чувствителните си данни, използват силни методи за удостоверяване. Организациите, които обработват чувствителни PII или PHI, са повече от два пъти по-склонни да използват силно удостоверяване, отколкото организациите, които съхраняват само информация за контакт на потребителите (Фигура 7).
За съжаление, компаниите все още не желаят да внедрят силни методи за удостоверяване. Близо една трета от вземащите бизнес решения считат паролите за най-ефективния метод за удостоверяване сред всички изброени на фигура 9, а 43% считат паролите за най-простия метод за удостоверяване.
Тази диаграма ни доказва, че разработчиците на бизнес приложения по целия свят са едни и същи... Те не виждат ползата от прилагането на усъвършенствани механизми за защита на достъпа до акаунти и споделят същите погрешни схващания. И само действията на регулаторите могат да променят ситуацията.
Да не пипаме паролите. Но какво трябва да вярвате, за да повярвате, че въпросите за сигурност са по-сигурни от криптографските токени? Ефективността на контролните въпроси, които са просто избрани, беше оценена на 15%, а не на хакнати токени - само 10. Поне гледайте филма „Илюзия за измама“, където, макар и в алегорична форма, се показва колко лесно магьосниците измъкна всичко необходимо от отговори на бизнесмен-измамник и го остави без пари.
И още един факт, който говори много за квалификацията на тези, които отговарят за механизмите за сигурност в потребителските приложения. Според тяхното разбиране процесът на въвеждане на парола е по-проста операция от удостоверяването с помощта на криптографски токен. Въпреки че изглежда, че може да е по-лесно да свържете токена към USB порт и да въведете прост ПИН код.
Важно е, че прилагането на силно удостоверяване позволява на бизнеса да се отдалечи от мисленето за методите за удостоверяване и оперативните правила, необходими за блокиране на измамни схеми, за да отговори на реалните нужди на своите клиенти.
Въпреки че спазването на нормативните изисквания е разумен основен приоритет както за фирмите, които използват силно удостоверяване, така и за тези, които не го правят, компаниите, които вече използват силно удостоверяване, са много по-склонни да кажат, че увеличаването на лоялността на клиентите е най-важният показател, който те вземат предвид при оценката на удостоверяване метод. (18% срещу 12%) (Фигура 10).
Корпоративна автентификация
От 2017 г. възприемането на силна автентификация в предприятията расте, но с малко по-ниска скорост, отколкото при потребителските приложения. Делът на предприятията, използващи силно удостоверяване, се е увеличил от 7% през 2017 г. на 12% през 2018 г. За разлика от потребителските приложения, в корпоративната среда използването на методи за удостоверяване без парола е малко по-често срещано в уеб приложенията, отколкото на мобилните устройства. Около половината от фирмите съобщават, че използват само потребителски имена и пароли за удостоверяване на своите потребители при влизане, като всеки пети (22%) също разчита единствено на пароли за вторично удостоверяване при достъп до чувствителни данни (това означава, че потребителят първо влиза в приложението, като използва по-прост метод за удостоверяване и ако иска да получи достъп до критични данни, той ще извърши друга процедура за удостоверяване, този път обикновено използвайки по-надежден метод).
Трябва да разберете, че докладът не взема предвид използването на криптографски токени за двуфакторно удостоверяване в операционните системи Windows, Linux и Mac OS X. И това в момента е най-широко разпространеното използване на 2FA. (Уви, токените, създадени според стандартите на FIDO, могат да реализират 2FA само за Windows 10).
Освен това, ако прилагането на 2FA в онлайн и мобилни приложения изисква набор от мерки, включително модификация на тези приложения, тогава за внедряване на 2FA в Windows трябва само да конфигурирате PKI (например въз основа на Microsoft Certification Server) и политики за удостоверяване в AD.
И тъй като защитата на влизането в работен компютър и домейн е важен елемент от защитата на корпоративните данни, внедряването на двуфакторно удостоверяване става все по-често срещано.
Следващите два най-често срещани метода за удостоверяване на потребителите при влизане са еднократни пароли, предоставени чрез отделно приложение (13% от фирмите) и еднократни пароли, доставени чрез SMS (12%). Въпреки факта, че процентът на използване на двата метода е много сходен, OTP SMS най-често се използва за повишаване на нивото на авторизация (в 24% от компаниите). (Фигура 12).
Увеличаването на използването на силно удостоверяване в предприятието вероятно може да се отдаде на увеличената наличност на внедрявания за криптографско удостоверяване в корпоративните платформи за управление на идентичността (с други думи, корпоративните SSO и IAM системи са се научили да използват токени).
За мобилно удостоверяване на служители и изпълнители предприятията разчитат повече на пароли, отколкото за удостоверяване в потребителски приложения. Малко над половината (53%) от предприятията използват пароли, когато удостоверяват потребителския достъп до фирмените данни през мобилно устройство (Фигура 13).
В случая с мобилните устройства човек би повярвал в голямата сила на биометричните данни, ако не бяха многото случаи на фалшиви пръстови отпечатъци, гласове, лица и дори ириси. Една заявка в търсачката ще разкрие, че надежден метод за биометрично удостоверяване просто не съществува. Наистина точни сензори, разбира се, съществуват, но те са много скъпи и големи по размер - и не се инсталират в смартфони.
Следователно единственият работещ 2FA метод в мобилните устройства е използването на криптографски токени, които се свързват със смартфона чрез NFC, Bluetooth и USB Type-C интерфейси.
Защитата на финансовите данни на компанията е основната причина за инвестиране в удостоверяване без парола (44%), с най-бърз растеж от 2017 г. (увеличение от осем процентни пункта). Следват защитата на интелектуалната собственост (40%) и данните за персонала (HR) (39%). И е ясно защо - не само стойността, свързана с тези видове данни, е широко призната, но и относително малко служители работят с тях. Тоест разходите за внедряване не са толкова големи и само няколко души трябва да бъдат обучени да работят с по-сложна система за удостоверяване. Обратно, типовете данни и устройства, до които повечето корпоративни служители имат рутинен достъп, все още са защитени единствено с пароли. Документите на служителите, работните станции и порталите за корпоративна електронна поща са зоните с най-голям риск, тъй като само една четвърт от фирмите защитават тези активи с удостоверяване без парола (Фигура 14).
Като цяло, корпоративният имейл е много опасно и пропускащо нещо, степента на потенциална опасност от което се подценява от повечето ИТ директори. Служителите получават десетки имейли всеки ден, така че защо да не включите поне един фишинг (т.е. измамнически) имейл сред тях. Това писмо ще бъде форматирано в стила на фирмените писма, така че служителят ще се чувства удобно, като кликне върху връзката в това писмо. Е, тогава всичко може да се случи, например изтегляне на вирус на атакуваната машина или изтичане на пароли (включително чрез социално инженерство, чрез въвеждане на фалшив формуляр за удостоверяване, създаден от нападателя).
За да не се случват подобни неща, имейлите трябва да бъдат подписани. Тогава веднага ще стане ясно кое писмо е създадено от законен служител и кое от нападател. В Outlook/Exchange, например, електронните подписи, базирани на криптографски токени, се активират доста бързо и лесно и могат да се използват заедно с двуфакторно удостоверяване в компютри и домейни на Windows.
Сред тези ръководители, които разчитат единствено на удостоверяване с парола в предприятието, две трети (66%) го правят, защото смятат, че паролите осигуряват достатъчна сигурност за типа информация, която тяхната компания трябва да защити (Фигура 15).
Но силните методи за удостоверяване стават все по-често срещани. До голяма степен поради факта, че тяхната наличност нараства. Все по-голям брой системи за управление на идентичност и достъп (IAM), браузъри и операционни системи поддържат удостоверяване с помощта на криптографски токени.
Силното удостоверяване има друго предимство. Тъй като паролата вече не се използва (заменена с обикновен ПИН), няма искания от служители да променят забравената парола. Което от своя страна намалява натоварването на ИТ отдела на предприятието.
Резултати и заключения
- Мениджърите често нямат необходимите познания за оценка истински ефективността на различните опции за удостоверяване. Свикнали са да се доверяват на такива остарял методи за сигурност като пароли и въпроси за сигурност, просто защото „работеше преди“.
- Потребителите все още имат това знание по-малко, за тях основното е простота и удобство. Стига да нямат стимул да избират по-сигурни решения.
- Често разработчици на потребителски приложения без причиназа прилагане на двуфакторно удостоверяване вместо удостоверяване с парола. Конкуренция в нивото на защита на потребителските приложения Не.
- Пълна отговорност за хака прехвърлени към потребителя. Даде еднократната парола на нападателя - виновен. Вашата парола е била прихваната или шпионирана - виновен. Не изисква от разработчика да използва надеждни методи за удостоверяване в продукта - виновен.
- прав регулатор на първо място трябва да изисква от компаниите да прилагат решения, които блок изтичане на данни (по-специално двуфакторно удостоверяване), а не наказване вече се случи изтичане на данни.
- Някои разработчици на софтуер се опитват да продават на потребителите стар и не особено надежден решения в красива опаковка "иновативен" продукт. Например удостоверяване чрез свързване към конкретен смартфон или използване на биометрични данни. Видно от справката, съгл наистина надежден Може да има решение само на основата на силна автентификация, тоест криптографски токени.
- Същото може да се използва криптографски токен редица задачи: за силна автентификация в корпоративната операционна система, в корпоративни и потребителски приложения, за електронен подпис финансови транзакции (важно за банкови приложения), документи и имейл.
Източник: www.habr.com