Recentment, l'empresa d'investigació Javelin Strategy & Research va publicar un informe, "The State of Strong Authentication 2019". Els seus creadors van recopilar informació sobre quins mètodes d'autenticació s'utilitzen en entorns corporatius i aplicacions de consum, i també van treure conclusions interessants sobre el futur de l'autenticació forta.
Traducció de la primera part amb les conclusions dels autors de l'informe, nosaltres . I ara us presentem la segona part, amb dades i gràfics.
Del traductor
No copiaré completament el bloc sencer del mateix nom de la primera part, però encara duplicaré un paràgraf.
Totes les xifres i fets es presenten sense els més petits canvis, i si no hi esteu d'acord, és millor discutir no amb el traductor, sinó amb els autors de l'informe. I aquí teniu els meus comentaris (presentats com a cites i marcats al text italià) són el meu judici de valor i estaré encantat de discutir sobre cadascun d'ells (així com sobre la qualitat de la traducció).
Autenticació d'usuari
Des del 2017, l'ús de l'autenticació forta a les aplicacions de consum ha crescut molt, en gran part a causa de la disponibilitat de mètodes d'autenticació criptogràfica en dispositius mòbils, tot i que només un percentatge lleugerament menor d'empreses utilitzen l'autenticació forta per a aplicacions d'Internet.
En general, el percentatge d'empreses que utilitzen una autenticació forta en el seu negoci es va triplicar del 5% el 2017 al 16% el 2018 (figura 3).
La capacitat d'utilitzar una autenticació forta per a aplicacions web encara és limitada (a causa del fet que només versions molt noves d'alguns navegadors admeten la interacció amb fitxes criptogràfiques, però aquest problema es pot resoldre instal·lant programari addicional com ara ), de manera que moltes empreses utilitzen mètodes alternatius per a l'autenticació en línia, com ara programes per a dispositius mòbils que generen contrasenyes d'un sol ús.
Claus criptogràfiques de maquinari (aquí ens referim només als que compleixen els estàndards FIDO), com els que ofereixen Google, Feitian, One Span i Yubico es poden utilitzar per a una autenticació forta sense instal·lar programari addicional en ordinadors de sobretaula i portàtils (perquè la majoria de navegadors ja admeten l'estàndard WebAuthn de FIDO), però només el 3% de les empreses utilitzen aquesta funció per iniciar sessió als seus usuaris.
Comparació de fitxes criptogràfiques (com ara ) i les claus secretes que funcionen segons els estàndards de FIDO està fora de l'abast d'aquest informe, però també els meus comentaris. En resum, ambdós tipus de fitxes utilitzen algorismes i principis de funcionament similars. Actualment, els proveïdors de navegadors admeten millor els fitxes FIDO, tot i que això canviarà aviat a mesura que hi hagi més navegadors compatibles . Però els tokens criptogràfics clàssics estan protegits per un codi PIN, poden signar documents electrònics i ser utilitzats per a l'autenticació de dos factors a Windows (qualsevol versió), Linux i Mac OS X, tenen API per a diversos llenguatges de programació, que us permeten implementar 2FA i electrònica. La signatura en aplicacions d'escriptori, mòbils i web i els testimonis produïts a Rússia admeten els algorismes GOST russos. En qualsevol cas, un testimoni criptogràfic, independentment de quin estàndard sigui creat, és el mètode d'autenticació més fiable i convenient.
Més enllà de la seguretat: altres avantatges de l'autenticació forta
No és d'estranyar que l'ús de l'autenticació forta estigui estretament lligat a la importància de les dades que emmagatzema una empresa. Les empreses que emmagatzemen informació d'identificació personal (PII) sensibles, com ara números de la Seguretat Social o informació personal de salut (PHI), s'enfronten a la pressió legal i reglamentària més gran. Aquestes són les empreses que són els defensors més agressius de l'autenticació forta. La pressió sobre les empreses s'incrementa per les expectatives dels clients que volen saber que les organitzacions en què confien amb les seves dades més sensibles utilitzen mètodes d'autenticació forts. Les organitzacions que gestionen PII o PHI sensibles tenen més del doble de probabilitats d'utilitzar una autenticació forta que les organitzacions que només emmagatzemen la informació de contacte dels usuaris (figura 7).
Malauradament, les empreses encara no estan disposades a implementar mètodes d'autenticació forts. Gairebé un terç dels que prenen decisions empresarials consideren que les contrasenyes són el mètode d'autenticació més eficaç entre tots els enumerats a la figura 9, i un 43% considera que les contrasenyes són el mètode d'autenticació més senzill.
Aquest gràfic ens demostra que els desenvolupadors d'aplicacions empresarials de tot el món són els mateixos... No veuen el benefici d'implementar mecanismes avançats de seguretat d'accés al compte i comparteixen les mateixes idees errònies. I només les accions dels reguladors poden canviar la situació.
No toquem contrasenyes. Però què cal creure per creure que les preguntes de seguretat són més segures que les fitxes criptogràfiques? L'efectivitat de les preguntes de control, que simplement es seleccionen, es va estimar en un 15%, i no fitxes piratejables, només 10. Almenys mireu la pel·lícula "Il·lusió de l'engany", on, encara que en forma al·legòrica, es mostra amb quina facilitat els mags va atreure totes les coses necessàries de les respostes d'un empresari-estafador i el va deixar sense diners.
I una dada més que diu molt de les qualificacions dels responsables dels mecanismes de seguretat en les aplicacions d'usuari. Segons la seva comprensió, el procés d'introduir una contrasenya és una operació més senzilla que l'autenticació mitjançant un testimoni criptogràfic. Tot i que, sembla que podria ser més senzill connectar el testimoni a un port USB i introduir un codi PIN senzill.
És important destacar que la implementació d'una autenticació forta permet a les empreses deixar de pensar en els mètodes d'autenticació i les regles operatives necessàries per bloquejar esquemes fraudulents per satisfer les necessitats reals dels seus clients.
Tot i que el compliment normatiu és una prioritat màxima raonable tant per a les empreses que utilitzen una autenticació forta com per a les que no la fan, les empreses que ja utilitzen una autenticació forta són molt més propenses a dir que augmentar la fidelitat dels clients és la mètrica més important que tenen en compte a l'hora d'avaluar una autenticació. mètode. (18% vs. 12%) (Figura 10).
Autenticació empresarial
Des del 2017, l'adopció de l'autenticació forta a les empreses ha anat creixent, però a un ritme lleugerament inferior al de les aplicacions de consum. La proporció d'empreses que utilitzen autenticació forta va augmentar del 7% el 2017 al 12% el 2018. A diferència de les aplicacions de consum, a l'entorn empresarial l'ús de mètodes d'autenticació sense contrasenya és una mica més habitual a les aplicacions web que als dispositius mòbils. Aproximadament la meitat de les empreses informen que només fan servir noms d'usuari i contrasenyes per autenticar els seus usuaris quan inicien sessió, amb una de cada cinc (22%) que també confia únicament en contrasenyes per a l'autenticació secundària quan accedeix a dades sensibles (és a dir, l'usuari inicia sessió primer a l'aplicació mitjançant un mètode d'autenticació més senzill i, si vol accedir a dades crítiques, realitzarà un altre procediment d'autenticació, aquesta vegada normalment utilitzant un mètode més fiable.).
Cal entendre que l'informe no té en compte l'ús de fitxes criptogràfiques per a l'autenticació de dos factors en els sistemes operatius Windows, Linux i Mac OS X. I aquest és l'ús més estès de 2FA actualment. (Per desgràcia, els testimonis creats segons els estàndards FIDO només poden implementar 2FA per a Windows 10).
A més, si la implementació de 2FA en aplicacions en línia i mòbils requereix un conjunt de mesures, inclosa la modificació d'aquestes aplicacions, per implementar 2FA a Windows només cal configurar PKI (per exemple, basat en Microsoft Certification Server) i polítiques d'autenticació. en AD.
I com que protegir l'inici de sessió a un ordinador i un domini de treball és un element important per protegir les dades corporatives, la implementació de l'autenticació de dos factors és cada cop més habitual.
Els dos mètodes més habituals següents per autenticar usuaris quan inicien sessió són les contrasenyes d'un sol ús proporcionades mitjançant una aplicació independent (13% de les empreses) i les contrasenyes d'un sol ús enviades per SMS (12%). Malgrat que el percentatge d'ús d'ambdós mètodes és molt similar, l'OTP SMS s'utilitza més sovint per augmentar el nivell d'autorització (en un 24% de les empreses). (Figura 12).
L'augment de l'ús de l'autenticació forta a l'empresa probablement es pot atribuir a l'augment de la disponibilitat d'implementacions d'autenticació criptogràfica a les plataformes de gestió d'identitats empresarials (és a dir, els sistemes SSO i IAM empresarials han après a utilitzar fitxes).
Per a l'autenticació mòbil d'empleats i contractistes, les empreses depenen més de les contrasenyes que de l'autenticació en aplicacions de consum. Poc més de la meitat (53%) de les empreses utilitzen contrasenyes quan autentiquen l'accés dels usuaris a les dades de l'empresa mitjançant un dispositiu mòbil (figura 13).
En el cas dels dispositius mòbils, es creuria en el gran poder de la biometria, si no fos pels molts casos d'empremtes dactilars, veus, rostres i fins i tot iris falses. Una consulta del motor de cerca revelarà que simplement no existeix un mètode fiable d'autenticació biomètrica. Per descomptat, existeixen sensors realment precisos, però són molt cars i de grans dimensions i no estan instal·lats als telèfons intel·ligents.
Per tant, l'únic mètode 2FA que funciona en dispositius mòbils és l'ús de fitxes criptogràfiques que es connecten al telèfon intel·ligent mitjançant interfícies NFC, Bluetooth i USB Type-C.
La protecció de les dades financeres d'una empresa és la principal raó per invertir en l'autenticació sense contrasenya (44%), amb el creixement més ràpid des del 2017 (un augment de vuit punts percentuals). A continuació, la protecció de la propietat intel·lectual (40%) i les dades de personal (RH) (39%). I és clar per què, no només es reconeix àmpliament el valor associat a aquest tipus de dades, sinó que relativament pocs empleats hi treballen. És a dir, els costos d'implementació no són tan grans i només cal formar unes poques persones per treballar amb un sistema d'autenticació més complex. En canvi, els tipus de dades i dispositius als quals accedeixen habitualment la majoria dels empleats de l'empresa encara estan protegits únicament per contrasenyes. Els documents dels empleats, les estacions de treball i els portals de correu electrònic corporatius són les àrees de major risc, ja que només una quarta part de les empreses protegeixen aquests actius amb l'autenticació sense contrasenya (figura 14).
En general, el correu electrònic corporatiu és una cosa molt perillosa i amb fuites, el grau de perill potencial del qual està subestimat per la majoria dels CIO. Els empleats reben desenes de correus electrònics cada dia, així que per què no incloure almenys un correu electrònic de pesca (és a dir, fraudulent) entre ells. Aquesta carta estarà formatada a l'estil de les cartes d'empresa, de manera que l'empleat es sentirà còmode fent clic a l'enllaç d'aquesta carta. Bé, aleshores pot passar qualsevol cosa, per exemple, descarregar un virus a la màquina atacada o filtrar contrasenyes (inclòs mitjançant l'enginyeria social, introduint un formulari d'autenticació fals creat per l'atacant).
Per evitar que passin coses com aquestes, els correus electrònics han d'estar signats. Aleshores quedarà clar immediatament quina carta va ser creada per un empleat legítim i quina per un atacant. A Outlook/Exchange, per exemple, les signatures electròniques basades en testimonis criptogràfics s'activen de manera bastant ràpida i senzilla i es poden utilitzar juntament amb l'autenticació de dos factors en ordinadors i dominis de Windows.
Entre els directius que confien únicament en l'autenticació de contrasenyes dins de l'empresa, dos terços (66%) ho fan perquè creuen que les contrasenyes proporcionen una seguretat suficient per al tipus d'informació que la seva empresa necessita protegir (figura 15).
Però els mètodes d'autenticació forts són cada cop més habituals. En gran part pel fet que la seva disponibilitat està augmentant. Un nombre creixent de sistemes de gestió d'identitat i accés (IAM), navegadors i sistemes operatius admeten l'autenticació mitjançant testimonis criptogràfics.
L'autenticació forta té un altre avantatge. Com que la contrasenya ja no s'utilitza (se substitueix per un simple PIN), no hi ha sol·licituds dels empleats que els demanin que canviïn la contrasenya oblidada. El que al seu torn redueix la càrrega del departament informàtic de l'empresa.
Resultats i conclusions
- Els directius sovint no tenen els coneixements necessaris per avaluar real l'eficàcia de les diferents opcions d'autenticació. Estan acostumats a confiar així antiquat mètodes de seguretat com les contrasenyes i les preguntes de seguretat simplement perquè "funcionava abans".
- Els usuaris encara tenen aquest coneixement menys, per a ells el més important és simplicitat i comoditat. Sempre que no tinguin incentius per triar solucions més segures.
- Desenvolupadors d'aplicacions personalitzades sovint cap motiuper implementar l'autenticació de dos factors en lloc de l'autenticació de contrasenya. Competència en el nivell de protecció en aplicacions d'usuari no.
- Total responsabilitat pel pirateig desplaçat a l'usuari. Va donar la contrasenya única a l'atacant - culpar. La teva contrasenya ha estat interceptada o espiada - culpar. No va requerir que el desenvolupador utilitzés mètodes d'autenticació fiables al producte: culpar.
- Correcte regulador abans de res hauria d'exigir a les empreses que implementin solucions que bloc filtracions de dades (en particular, l'autenticació de dos factors), en lloc de sancionar ja ha passat fuga de dades.
- Alguns desenvolupadors de programari intenten vendre als consumidors antics i poc fiables solucions en un bonic embalatge producte "innovador". Per exemple, l'autenticació mitjançant l'enllaç a un telèfon intel·ligent específic o mitjançant la biometria. Com es pot veure a l'informe, segons veritablement fiable Només hi pot haver una solució basada en una autenticació forta, és a dir, fitxes criptogràfiques.
- El mateix es pot utilitzar el testimoni criptogràfic una sèrie de tasques: per autenticació forta en el sistema operatiu empresarial, en aplicacions corporatives i d'usuaris, per Signatura Electrònica transaccions financeres (importants per a aplicacions bancàries), documents i correu electrònic.
Font: www.habr.com