Nedavno je istraživačka kompanija Javelin Strategy & Research objavila izvještaj „Stanje jake autentifikacije 2019.“ Njegovi kreatori prikupili su informacije o tome koje metode autentifikacije se koriste u korporativnim okruženjima i potrošačkim aplikacijama, a također su donijeli zanimljive zaključke o budućnosti jake autentifikacije.
Prevod prvog dijela sa zaključcima autora izvještaja, mi . A sada vam predstavljamo drugi dio - sa podacima i grafikonima.
Od prevodioca
Neću u potpunosti kopirati cijeli blok istog imena iz prvog dijela, ali ću ipak duplirati jedan pasus.
Sve brojke i činjenice prikazane su bez najmanjih promjena, a ako se ne slažete s njima, onda je bolje raspravljati se ne s prevodiocem, već s autorima izvještaja. A evo i mojih komentara (izloženih kao citati, i označenih u tekstu talijanski) su moj vrijednosni sud i rado ću se raspravljati o svakom od njih (kao io kvaliteti prijevoda).
Autentifikacija korisnika
Od 2017. godine upotreba jake autentifikacije u potrošačkim aplikacijama je naglo porasla, uglavnom zbog dostupnosti metoda kriptografske autentifikacije na mobilnim uređajima, iako samo nešto manji postotak kompanija koristi jaku autentifikaciju za internet aplikacije.
Sve u svemu, procenat kompanija koje koriste snažnu autentifikaciju u svom poslovanju se utrostručio sa 5% u 2017. na 16% u 2018. (Slika 3).
Mogućnost korištenja jake autentifikacije za web aplikacije je još uvijek ograničena (zbog činjenice da samo nove verzije nekih pretraživača podržavaju interakciju sa kriptografskim tokenima, međutim ovaj problem se može riješiti instalacijom dodatnog softvera kao što je ), tako da mnoge kompanije koriste alternativne metode za online autentifikaciju, kao što su programi za mobilne uređaje koji generiraju jednokratne lozinke.
Hardverski kriptografski ključevi (ovdje mislimo samo na one koji su u skladu sa FIDO standardima), kao što su oni koje nude Google, Feitian, One Span i Yubico mogu se koristiti za snažnu autentifikaciju bez instaliranja dodatnog softvera na desktop računare i laptope (jer većina pretraživača već podržava FIDO standard WebAuthn), ali samo 3% kompanija koristi ovu funkciju za prijavu svojih korisnika.
Poređenje kriptografskih tokena (npr ) i tajnih ključeva koji rade po FIDO standardima je van okvira ovog izvještaja, ali i mojih komentara na njega. Ukratko, obje vrste tokena koriste slične algoritme i principe rada. FIDO tokeni su trenutno bolje podržani od strane dobavljača pretraživača, iako će se to uskoro promijeniti kako više pretraživača podržava . Ali klasični kriptografski tokeni zaštićeni su PIN kodom, mogu potpisivati elektronske dokumente i koristiti se za dvofaktorsku autentifikaciju u Windowsima (bilo koja verzija), Linuxu i Mac OS X-u, imaju API-je za različite programske jezike, što vam omogućava da implementirate 2FA i elektronske potpis u desktop, mobilnim i web aplikacijama i tokeni proizvedeni u Rusiji podržavaju ruske GOST algoritme. U svakom slučaju, kriptografski token, bez obzira po kojem standardu je kreiran, je najpouzdaniji i najprikladniji način autentifikacije.
Izvan sigurnosti: druge prednosti jake autentifikacije
Nije iznenađujuće da je upotreba jake autentifikacije usko povezana sa važnošću podataka koje pohranjuje kompanija. Kompanije koje pohranjuju osjetljive lične podatke (PII), kao što su brojevi socijalnog osiguranja ili lične zdravstvene informacije (PHI), suočavaju se s najvećim pravnim i regulatornim pritiskom. Ovo su kompanije koje su najagresivniji zagovornici jake autentifikacije. Pritisak na preduzeća je pojačan očekivanjima kupaca koji žele da znaju da organizacije kojima veruju sa svojim najosjetljivijim podacima koriste jake metode autentifikacije. Organizacije koje rukuju osjetljivim PII ili PHI imaju više nego dvostruko veću vjerovatnoću da će koristiti snažnu autentifikaciju od organizacija koje pohranjuju samo kontakt informacije korisnika (Slika 7).
Nažalost, kompanije još uvijek nisu spremne implementirati jake metode autentifikacije. Gotovo trećina donosilaca poslovnih odluka smatra lozinke najefikasnijim metodom autentifikacije među svim onima navedenim na slici 9, a 43% smatra lozinke najjednostavnijim metodom autentifikacije.
Ovaj grafikon nam dokazuje da su programeri poslovnih aplikacija širom svijeta isti... Oni ne vide korist od implementacije naprednih sigurnosnih mehanizama pristupa nalogu i dijele iste zablude. I samo djelovanje regulatora može promijeniti situaciju.
Nemojmo dirati lozinke. Ali u šta morate vjerovati da biste vjerovali da su sigurnosna pitanja sigurnija od kriptografskih tokena? Efikasnost kontrolnih pitanja, koja se jednostavno biraju, procijenjena je na 15%, a ne hakovanih žetona - samo 10. Pogledajte barem film “Iluzija obmane”, gdje je, iako u alegorijskom obliku, prikazano kako lako mađioničari izvukla sve potrebne stvari iz odgovora biznismena-prevaranata i ostavila ga bez novca.
I još jedna činjenica koja mnogo govori o kvalifikacijama onih koji su odgovorni za sigurnosne mehanizme u korisničkim aplikacijama. Po njihovom razumijevanju, proces unosa lozinke je jednostavnija operacija od provjere autentičnosti pomoću kriptografskog tokena. Iako bi se činilo da bi bilo jednostavnije povezati token na USB port i unijeti jednostavan PIN kod.
Važno je da implementacija jake autentifikacije omogućava preduzećima da se odmaknu od razmišljanja o metodama autentikacije i operativnim pravilima potrebnim za blokiranje lažnih šema i da zadovolje stvarne potrebe svojih klijenata.
Dok je usklađenost s propisima razuman glavni prioritet i za kompanije koje koriste snažnu autentifikaciju i za one koje je ne koriste, kompanije koje već koriste snažnu autentifikaciju mnogo će vjerojatnije reći da je povećanje lojalnosti kupaca najvažniji pokazatelj koji uzimaju u obzir kada procjenjuju autentifikaciju. metoda. (18% naspram 12%) (Slika 10).
Enterprise Authentication
Od 2017. usvajanje jake autentifikacije u preduzećima raste, ali nešto nižom stopom nego za potrošačke aplikacije. Udio poduzeća koja koriste snažnu autentifikaciju porastao je sa 7% u 2017. na 12% u 2018. Za razliku od potrošačkih aplikacija, u poslovnom okruženju korištenje metoda provjere autentičnosti bez lozinke nešto je češće u web aplikacijama nego na mobilnim uređajima. Otprilike polovina preduzeća navodi da koristi samo korisnička imena i lozinke za provjeru autentičnosti svojih korisnika prilikom prijavljivanja, pri čemu se jedno od pet (22%) također oslanja isključivo na lozinke za sekundarnu autentifikaciju kada pristupa osjetljivim podacima (odnosno korisnik se prvo prijavljuje u aplikaciju koristeći jednostavniju metodu autentifikacije, a ako želi pristupiti kritičnim podacima, izvršit će drugu proceduru autentifikacije, ovaj put obično koristeći pouzdaniju metodu).
Morate shvatiti da izvještaj ne uzima u obzir upotrebu kriptografskih tokena za dvofaktorsku autentifikaciju u operativnim sistemima Windows, Linux i Mac OS X. A ovo je trenutno najraširenija upotreba 2FA. (Jao, tokeni kreirani prema FIDO standardima mogu implementirati 2FA samo za Windows 10).
Štaviše, ako implementacija 2FA u online i mobilne aplikacije zahtijeva niz mjera, uključujući modifikaciju ovih aplikacija, tada za implementaciju 2FA u Windowsu trebate samo konfigurirati PKI (na primjer, baziran na Microsoft Certification Server) i politike provjere autentičnosti u AD.
A pošto je zaštita prijave na radni računar i domen važan element zaštite korporativnih podataka, implementacija dvofaktorske autentifikacije postaje sve češća.
Sljedeće dvije najčešće metode za autentifikaciju korisnika prilikom prijavljivanja su jednokratne lozinke koje se dostavljaju putem zasebne aplikacije (13% preduzeća) i jednokratne lozinke koje se isporučuju putem SMS-a (12%). Uprkos činjenici da je procenat upotrebe oba metoda veoma sličan, OTP SMS se najčešće koristi za povećanje nivoa autorizacije (u 24% kompanija). (Slika 12).
Porast upotrebe jake autentifikacije u preduzeću se verovatno može pripisati povećanju dostupnosti implementacija kriptografske autentifikacije u platformama za upravljanje identitetom preduzeća (drugim rečima, SSO i IAM sistemi preduzeća su naučili da koriste tokene).
Za mobilnu autentifikaciju zaposlenih i izvođača, preduzeća se više oslanjaju na lozinke nego na autentifikaciju u potrošačkim aplikacijama. Nešto više od polovine (53%) preduzeća koristi lozinke prilikom autentifikacije pristupa korisnika podacima kompanije putem mobilnog uređaja (Slika 13).
U slučaju mobilnih uređaja, vjerovalo bi se u veliku moć biometrije, da nije u brojnim slučajevima lažnih otisaka prstiju, glasova, lica, pa čak i šarenica. Jedan upit pretraživača će otkriti da pouzdana metoda biometrijske autentifikacije jednostavno ne postoji. Zaista precizni senzori, naravno, postoje, ali su vrlo skupi i velikih dimenzija - i nisu ugrađeni u pametne telefone.
Stoga je jedina funkcionalna 2FA metoda u mobilnim uređajima korištenje kriptografskih tokena koji se povezuju sa pametnim telefonom putem NFC, Bluetooth i USB Type-C sučelja.
Zaštita finansijskih podataka kompanije glavni je razlog za ulaganje u autentifikaciju bez lozinke (44%), uz najbrži rast od 2017. (povećanje od osam procentnih poena). Slijedi zaštita intelektualne svojine (40%) i podataka o kadru (HR) (39%). I jasno je zašto - ne samo da je vrijednost povezana s ovim vrstama podataka široko priznata, već i relativno mali broj zaposlenih radi s njima. Odnosno, troškovi implementacije nisu tako veliki i samo nekoliko ljudi treba biti obučeno za rad sa složenijim sistemom autentifikacije. Nasuprot tome, tipovi podataka i uređaja kojima većina zaposlenih u preduzeću rutinski pristupa i dalje su zaštićeni isključivo lozinkama. Dokumenti zaposlenih, radne stanice i korporativni portali za e-poštu su područja najvećeg rizika, jer samo četvrtina preduzeća štiti ovu imovinu autentifikacijom bez lozinke (Slika 14).
Općenito, korporativna e-pošta je vrlo opasna i nepropusna stvar, čiji stepen potencijalne opasnosti većina CIO-a potcjenjuje. Zaposleni primaju na desetine e-mailova svaki dan, pa zašto među njih ne uvrstiti barem jedan phishing (tj. lažni) email. Ovo pismo će biti oblikovano u stilu pisama kompanije, tako da će se zaposleni osjećati ugodno klikom na link u ovom pismu. Pa, onda se svašta može dogoditi, na primjer, preuzimanje virusa na napadnutu mašinu ili curenje lozinki (uključujući i društveni inženjering, unošenjem lažnog obrasca za autentifikaciju koji je kreirao napadač).
Da se ovakve stvari ne bi dešavale, mejlovi moraju biti potpisani. Tada će odmah biti jasno koje je pismo kreirao legitimni zaposlenik, a koje napadač. U Outlook/Exchangeu, na primjer, elektronički potpisi zasnovani na kriptografskim tokenima omogućeni su prilično brzo i lako i mogu se koristiti u kombinaciji s dvofaktorskom autentifikacijom na PC-u i Windows domenima.
Među onim rukovodiocima koji se oslanjaju isključivo na autentifikaciju lozinkom unutar preduzeća, dvije trećine (66%) to čini jer vjeruju da lozinke pružaju dovoljnu sigurnost za vrstu informacija koje njihova kompanija treba da zaštiti (slika 15).
Ali jake metode autentifikacije postaju sve češće. Uglavnom zbog činjenice da se njihova dostupnost povećava. Sve veći broj sistema za upravljanje identitetom i pristupom (IAM), pretraživača i operativnih sistema podržava autentifikaciju pomoću kriptografskih tokena.
Jaka autentifikacija ima još jednu prednost. S obzirom da se lozinka više ne koristi (zamijenjena jednostavnim PIN-om), nema zahtjeva zaposlenih u kojima se traži promjena zaboravljene lozinke. Što zauzvrat smanjuje opterećenje IT odjela poduzeća.
Rezultati i zaključci
- Menadžeri često nemaju potrebno znanje za procjenu pravi efikasnost različitih opcija autentifikacije. Navikli su da vjeruju takvima zastarjelo sigurnosne metode kao što su lozinke i sigurnosna pitanja jednostavno zato što je "radilo prije."
- Korisnici i dalje imaju ovo znanje manje, za njih je glavna stvar jednostavnost i pogodnost. Sve dok nemaju podsticaj da biraju sigurnija rješenja.
- Često programeri prilagođenih aplikacija nema razlogaimplementirati dvofaktorsku autentifikaciju umjesto provjere autentičnosti lozinkom. Konkurencija u nivou zaštite u korisničkim aplikacijama ne.
- Potpuna odgovornost za hakiranje prebačen na korisnika. Dao jednokratnu lozinku napadaču - kriviti. Vaša lozinka je presretnuta ili špijunirana - kriviti. Nije zahtijevao od programera da koristi pouzdane metode provjere autentičnosti u proizvodu - kriviti.
- Tačno regulator primarno trebalo bi zahtijevati od kompanija da implementiraju rješenja koja blok curenja podataka (posebno dvofaktorska autentifikacija), a ne kažnjavanje već se dogodilo curenje podataka.
- Neki programeri softvera pokušavaju prodati potrošačima star i ne posebno pouzdan rešenja u prelepom pakovanju "inovativni" proizvod. Na primjer, autentifikacija povezivanjem na određeni pametni telefon ili korištenjem biometrije. Kako se vidi iz izvještaja, prema zaista pouzdan Može postojati samo rješenje koje se temelji na jakoj autentifikaciji, odnosno kriptografskim tokenima.
- Isto kriptografski token se može koristiti za niz zadataka: za jaka autentifikacija u poslovnom operativnom sistemu, u korporativnim i korisničkim aplikacijama, za elektronski potpis finansijske transakcije (važno za bankarske aplikacije), dokumente i e-poštu.
izvor: www.habr.com