Bag-ohay lang, ang kompanya sa panukiduki nga Javelin Strategy & Research nagpatik sa usa ka taho, "The State of Strong Authentication 2019." Ang mga tiglalang niini nangolekta og impormasyon mahitungod sa unsa nga mga pamaagi sa pag-authenticate ang gigamit sa mga corporate environment ug consumer applications, ug naghimo usab og makapaikag nga mga konklusyon mahitungod sa umaabot nga lig-on nga pag-authentication.
Paghubad sa unang bahin uban sa mga konklusyon sa mga tagsulat sa report, kami . Ug karon among gipresentar sa imong pagtagad ang ikaduhang bahin - nga adunay mga datos ug mga graph.
Gikan sa tighubad
Dili nako hingpit nga kopyahon ang tibuuk nga bloke sa parehas nga ngalan gikan sa una nga bahin, apan doblehon ko gihapon ang usa ka parapo.
Ang tanan nga mga numero ug mga kamatuoran gipresentar nga walay bisan gamay nga mga pagbag-o, ug kung dili ka mouyon kanila, nan mas maayo nga makiglalis dili sa tighubad, apan sa mga tagsulat sa taho. Ug ania ang akong mga komento (gibutang ingon mga kinutlo, ug gimarkahan sa teksto Italyano) mao ang akong bili sa paghukom ug ako malipay nga makiglalis sa matag usa kanila (ingon man usab sa kalidad sa paghubad).
Panghimatuud sa Gumagamit
Sukad sa 2017, ang paggamit sa lig-on nga panghimatuud sa mga aplikasyon sa konsyumer miuswag pag-ayo, kadaghanan tungod sa pagkaanaa sa mga pamaagi sa pag-authenticate sa cryptographic sa mga mobile device, bisan kung gamay ra nga porsyento sa mga kompanya ang naggamit kusog nga pag-authenticate alang sa mga aplikasyon sa Internet.
Sa kinatibuk-an, ang porsyento sa mga kompanya nga naggamit lig-on nga panghimatuud sa ilang negosyo triple gikan sa 5% sa 2017 hangtod sa 16% sa 2018 (Figure 3).
Ang abilidad sa paggamit sa lig-on nga panghimatuud alang sa mga aplikasyon sa web limitado gihapon (tungod sa kamatuoran nga bag-o lang nga mga bersyon sa pipila ka mga browser ang nagsuporta sa interaksyon sa mga cryptographic token, bisan pa niana kini nga problema masulbad pinaagi sa pag-instalar og dugang nga software sama sa ), daghan kaayong mga kompanya ang naggamit ug alternatibong mga pamaagi para sa online nga pag-authenticate, sama sa mga programa alang sa mga mobile device nga makamugna og usa ka higayon nga mga password.
Hardware cryptographic yawe (dinhi ang among gipasabot mao lamang kadtong nagsunod sa mga sumbanan sa FIDO), sama sa gitanyag sa Google, Feitian, One Span, ug Yubico mahimong magamit alang sa lig-on nga pag-authenticate nga wala mag-install og dugang nga software sa mga desktop computer ug laptop (tungod kay kadaghanan sa mga browser nagsuporta na sa WebAuthn standard gikan sa FIDO), apan 3% ra sa mga kompanya ang naggamit niini nga bahin sa pag-log in sa ilang mga tiggamit.
Pagkumpara sa cryptographic token (sama sa ) ug sekretong mga yawe nga nagtrabaho sumala sa FIDO nga mga sumbanan kay lapas pa sa kasangkaran niini nga taho, apan usab ang akong mga komento niini. Sa laktud, ang duha ka matang sa mga token naggamit sa susama nga mga algorithm ug mga prinsipyo sa operasyon. Ang mga token sa FIDO karon mas maayo nga gisuportahan sa mga tigbaligya sa browser, bisan kung kini sa dili madugay mabag-o kung gisuportahan ang daghang mga browser . Apan ang mga klasiko nga cryptographic token gipanalipdan sa usa ka PIN code, mahimong mopirma sa mga elektronik nga dokumento ug magamit alang sa duha ka hinungdan nga pag-authenticate sa Windows (bisan unsang bersyon), Linux ug Mac OS X, adunay mga API alang sa lainlaing mga sinultian nga programming, nga gitugotan ka nga ipatuman ang 2FA ug elektroniko. pirma sa desktop, mobile ug Web applications , ug mga token nga gihimo sa Russia nagsuporta sa Russian GOST algorithms. Sa bisan unsa nga kaso, ang usa ka cryptographic token, bisan unsa pa ang sumbanan nga gihimo niini, mao ang labing kasaligan ug kombenyente nga pamaagi sa pag-authenticate.
Labaw sa Seguridad: Ubang mga Benepisyo sa Kusog nga Pagpamatuod
Dili ikatingala nga ang paggamit sa lig-on nga panghimatuud hugot nga gihigot sa kamahinungdanon sa datos nga gitipigan sa usa ka negosyo. Ang mga kompanya nga nagtipig sa sensitibo nga Personally Identifiable Information (PII), sama sa mga numero sa Social Security o Personal Health Information (PHI), nag-atubang sa labing dako nga ligal ug regulatory pressure. Kini ang mga kompanya nga labing agresibo nga tigpasiugda sa lig-on nga panghimatuud. Ang presyur sa mga negosyo gipataas sa mga gipaabut sa mga kostumer nga gusto mahibal-an nga ang mga organisasyon nga ilang gisaligan sa ilang labing sensitibo nga datos naggamit kusog nga mga pamaagi sa pag-authenticate. Ang mga organisasyon nga nagdumala sa sensitibo nga PII o PHI labaw pa sa doble nga posibilidad nga mogamit lig-on nga panghimatuud kaysa mga organisasyon nga nagtipig lamang sa impormasyon sa pagkontak sa mga tiggamit (Figure 7).
Ikasubo, ang mga kompanya dili pa andam nga ipatuman ang lig-on nga mga pamaagi sa pag-authenticate. Dul-an sa ikatulo nga bahin sa mga naghimog desisyon sa negosyo nag-isip sa mga password nga labing epektibo nga paagi sa pag-authenticate sa tanan nga gilista sa Figure 9, ug 43% nag-isip sa mga password nga labing yano nga pamaagi sa pag-authenticate.
Kini nga tsart nagpamatuod kanamo nga ang mga nag-develop sa aplikasyon sa negosyo sa tibuok kalibutan managsama... Wala nila makita ang kaayohan sa pagpatuman sa mga advanced nga mekanismo sa seguridad sa pag-access sa account ug nag-ambit sa parehas nga sayop nga pagsabut. Ug ang mga aksyon lamang sa mga regulator ang makausab sa sitwasyon.
Dili nato hilabtan ang mga password. Apan unsa ang kinahanglan nimong tuohan aron tuohan nga ang mga pangutana sa seguridad mas luwas kaysa mga token sa cryptographic? Ang pagka-epektibo sa mga pangutana sa pagkontrol, nga gipili lamang, gibana-bana sa 15%, ug dili hackable nga mga token - 10 lamang. Labing menos tan-awa ang pelikula nga "Illusion of Deception", diin, bisan pa sa usa ka alegoriko nga porma, gipakita kung unsa kadali ang mga salamangkero. nagdani sa tanan nga gikinahanglan nga mga butang gikan sa usa ka negosyante-manglimbong nga mga tubag ug gibiyaan siya nga walay kwarta.
Ug usa pa ka kamatuoran nga nag-ingon daghang bahin sa mga kwalipikasyon sa mga responsable sa mga mekanismo sa seguridad sa mga aplikasyon sa tiggamit. Sa ilang pagsabot, ang proseso sa pagsulod sa usa ka password mas simple nga operasyon kay sa pag-authenticate gamit ang cryptographic token. Bisan pa, ingon og mas sayon ang pagkonektar sa token sa usa ka USB port ug pagsulod sa usa ka yano nga PIN code.
Importante, ang pagpatuman sa lig-on nga authentication nagtugot sa mga negosyo sa pagpalayo sa paghunahuna mahitungod sa mga pamaagi sa pag-authenticate ug mga lagda sa operasyon nga gikinahanglan aron babagan ang mga malimbungon nga mga laraw aron matubag ang tinuod nga mga panginahanglan sa ilang mga kustomer.
Samtang ang pagsunod sa regulasyon usa ka makatarunganon nga panguna nga prayoridad alang sa duha nga mga negosyo nga naggamit lig-on nga pag-authenticate ug kadtong wala, ang mga kompanya nga naggamit na og lig-on nga pag-authenticate mas lagmit nga moingon nga ang pagdugang sa pagkamaunongon sa kostumer mao ang labing hinungdanon nga sukatan nga ilang gikonsiderar sa pagtimbang-timbang sa usa ka pag-authenticate. pamaagi. (18% kumpara sa 12%) (Figure 10).
Enterprise Authentication
Sukad sa 2017, ang pagsagop sa lig-on nga panghimatuud sa mga negosyo nagkadako, apan sa usa ka gamay nga ubos nga rate kaysa sa mga aplikasyon sa konsumedor. Ang bahin sa mga negosyo nga naggamit ug lig-on nga panghimatuud misaka gikan sa 7% sa 2017 ngadto sa 12% sa 2018. Dili sama sa mga aplikasyon sa konsyumer, sa palibot sa negosyo ang paggamit sa mga pamaagi sa pag-authentication nga dili password medyo mas komon sa mga aplikasyon sa web kaysa sa mga mobile device. Mga katunga sa mga negosyo ang nagtaho nga naggamit lamang sa mga username ug password aron mapamatud-an ang ilang mga tiggamit kung nag-log in, nga adunay usa sa lima (22%) nga nagsalig lamang sa mga password alang sa ikaduha nga pag-authenticate kung nag-access sa sensitibo nga datos (kana mao, ang user una nga nag-log in sa aplikasyon gamit ang usa ka mas simple nga pamaagi sa pag-authenticate, ug kung gusto niya nga makakuha og access sa kritikal nga datos, maghimo siya og laing pamaagi sa pag-authenticate, niining panahona kasagaran naggamit og mas kasaligan nga pamaagi).
Kinahanglan nimong masabtan nga ang taho wala magtagad sa paggamit sa mga cryptographic token alang sa duha ka hinungdan nga panghimatuud sa mga operating system nga Windows, Linux ug Mac OS X. Ug kini karon ang labing kaylap nga paggamit sa 2FA. (Alaut, ang mga token nga gihimo sumala sa mga sumbanan sa FIDO mahimo’g ipatuman ang 2FA alang lamang sa Windows 10).
Dugang pa, kung ang pagpatuman sa 2FA sa online ug mobile nga mga aplikasyon nanginahanglan usa ka hugpong sa mga lakang, lakip ang pagbag-o sa kini nga mga aplikasyon, nan aron ipatuman ang 2FA sa Windows kinahanglan nimo nga i-configure ang PKI (pananglitan, base sa Microsoft Certification Server) ug mga palisiya sa pag-authenticate. sa AD.
Ug tungod kay ang pagpanalipod sa pag-login sa usa ka trabaho nga PC ug domain usa ka importante nga elemento sa pagpanalipod sa datos sa korporasyon, ang pagpatuman sa duha ka hinungdan nga panghimatuud nahimong mas komon.
Ang sunod nga duha ka labing kasagaran nga mga pamaagi sa pag-authenticate sa mga tiggamit kung nag-log in mao ang usa ka higayon nga mga password nga gihatag pinaagi sa usa ka bulag nga app (13% sa mga negosyo) ug usa ka higayon nga mga password nga gihatag pinaagi sa SMS (12%). Bisan pa sa kamatuoran nga ang porsyento sa paggamit sa duha ka mga pamaagi parehas kaayo, ang OTP SMS kasagarang gigamit aron madugangan ang lebel sa pagtugot (sa 24% sa mga kompanya). (Figure 12).
Ang pagtaas sa paggamit sa lig-on nga pag-authenticate sa negosyo lagmit nga gipasangil sa dugang nga pagkaanaa sa mga pagpatuman sa cryptographic nga pag-authenticate sa mga platform sa pagdumala sa identidad sa negosyo (sa ato pa, ang mga sistema sa SSO ug IAM sa negosyo nakakat-on sa paggamit sa mga token).
Alang sa mobile authentication sa mga empleyado ug mga kontraktor, ang mga negosyo mas nagsalig sa mga password kaysa sa pag-authenticate sa mga aplikasyon sa konsyumer. Sobra lang sa katunga (53%) sa mga negosyo ang naggamit og mga password sa dihang nagpamatuod sa pag-access sa user sa data sa kompanya pinaagi sa mobile device (Figure 13).
Sa kaso sa mga mobile device, ang usa ka tawo motuo sa dako nga gahum sa biometrics, kung dili alang sa daghang mga kaso sa peke nga fingerprints, tingog, nawong ug bisan irises. Ang usa ka pangutana sa search engine magpadayag nga ang usa ka kasaligan nga pamaagi sa biometric nga pag-ila wala gyud. Tinuod nga tukma nga mga sensor, siyempre, naglungtad, apan kini mahal kaayo ug dako ang gidak-on - ug wala ma-install sa mga smartphone.
Busa, ang nagtrabaho lamang nga pamaagi sa 2FA sa mga mobile device mao ang paggamit sa mga cryptographic token nga nagkonektar sa smartphone pinaagi sa NFC, Bluetooth ug USB Type-C nga mga interface.
Ang pagpanalipod sa datos sa pinansya sa usa ka kompanya mao ang panguna nga hinungdan sa pagpamuhunan sa walay password nga pag-authenticate (44%), nga adunay labing paspas nga pagtubo sukad sa 2017 (usa ka pagtaas sa walo ka porsyento nga puntos). Gisundan kini sa pagpanalipod sa intellectual property (40%) ug personnel (HR) data (39%). Ug klaro kung ngano - dili lamang ang kantidad nga nalangkit sa kini nga mga matang sa datos kaylap nga giila, apan medyo gamay nga mga empleyado ang nagtrabaho kauban nila. Kana mao, ang mga gasto sa pagpatuman dili kaayo dako, ug pipila lamang ka mga tawo ang kinahanglan nga bansayon sa pagtrabaho sa usa ka mas komplikado nga sistema sa pag-authenticate. Sa kasukwahi, ang mga tipo sa datos ug aparato nga kanunay nga gi-access sa kadaghanan sa mga empleyado sa negosyo gipanalipdan gihapon sa mga password. Ang mga dokumento sa empleyado, workstation, ug corporate email portal mao ang mga lugar nga adunay labing dako nga risgo, tungod kay ang usa ka quarter lamang sa mga negosyo nanalipod niini nga mga kabtangan nga walay password nga pag-authenticate (Figure 14).
Sa kinatibuk-an, ang corporate email usa ka delikado kaayo ug leaky nga butang, ang lebel sa potensyal nga kapeligrohan nga gipakaubos sa kadaghanan sa mga CIO. Ang mga empleyado makadawat og daghang mga email kada adlaw, busa nganong dili iapil ang labing menos usa ka phishing (nga mao, malimbungon) nga email sa ilang taliwala. Kini nga sulat maporma sa estilo sa mga sulat sa kompanya, aron ang empleyado mobati nga komportable sa pag-klik sa link niini nga sulat. Aw, unya bisan unsa nga mahitabo, pananglitan, pag-download sa usa ka virus sa giatake nga makina o pag-leak sa mga password (lakip na pinaagi sa social engineering, pinaagi sa pagsulod sa usa ka peke nga porma sa pag-authenticate nga gihimo sa tig-atake).
Aron mapugngan ang mga butang nga sama niini nga mahitabo, kinahanglan nga pirmahan ang mga email. Unya maklaro dayon kung unsang sulat ang gihimo sa usa ka lehitimong empleyado ug diin sa usa ka tig-atake. Sa Outlook/Exchange, pananglitan, ang cryptographic token-based nga electronic signatures kay dali ug sayon ug mahimong gamiton dungan sa two-factor authentication sa tibuok PC ug Windows domains.
Taliwala sa mga ehekutibo nga nagsalig lamang sa pag-authenticate sa password sulod sa negosyo, dos-tersiya (66%) ang nagbuhat niini tungod kay nagtuo sila nga ang mga password naghatag og igong seguridad alang sa matang sa impormasyon nga gikinahanglan sa ilang kompanya nga panalipdan (Figure 15).
Apan ang lig-on nga mga pamaagi sa pag-authenticate nahimong mas komon. Kadaghanan tungod sa kamatuoran nga ang ilang pagkaanaa nagkadaghan. Ang nagkadaghang ihap sa identity ug access management (IAM) nga sistema, browser, ug operating system nagsuporta sa pag-authenticate gamit ang cryptographic token.
Ang lig-on nga panghimatuud adunay lain nga bentaha. Tungod kay ang password wala na gigamit (gipuli sa usa ka yano nga PIN), wala’y mga hangyo gikan sa mga empleyado nga naghangyo kanila nga usbon ang nakalimtan nga password. Nga sa baylo nagpamenos sa karga sa departamento sa IT sa negosyo.
Mga sangputanan ug konklusyon
- Ang mga manedyer sa kasagaran walay gikinahanglan nga kahibalo aron masusi tinuod pagka-epektibo sa lainlaing mga kapilian sa pag-authenticate. Naanad na sila sa pagsalig sa ingon karaan na mga pamaagi sa seguridad sama sa mga password ug mga pangutana sa seguridad tungod lang kay "kini nagtrabaho kaniadto."
- Ang mga tiggamit aduna pa niini nga kahibalo gamay ra, alang kanila ang nag-unang butang mao kayano ug kasayon. Basta wala silay insentibo sa pagpili mas luwas nga mga solusyon.
- Ang mga nag-develop sa naandan nga mga aplikasyon kanunay Walay rasonsa pag-implementar sa two-factor authentication imbes sa password authentication. Ang kompetisyon sa lebel sa proteksyon sa mga aplikasyon sa tiggamit dili.
- Bug-os nga responsibilidad alang sa hack gibalhin sa tiggamit. Gihatag ang usa ka higayon nga password sa tig-atake - mabasol. Ang imong password gi-intercept o gi-espiya - mabasol. Wala kinahanglana ang developer nga mogamit kasaligan nga mga pamaagi sa pag-authenticate sa produkto - mabasol.
- Kanang regulator una sa tanan kinahanglan nga mangayo sa mga kompanya sa pagpatuman sa mga solusyon nga block data leaks (sa partikular nga two-factor authentication), kay sa pagsilot nahitabo na data leak.
- Ang ubang mga software developers naningkamot sa pagbaligya sa mga konsumedor daan ug dili labi ka kasaligan mga solusyon sa nindot nga packaging "bag-o" nga produkto. Pananglitan, ang pag-authenticate pinaagi sa pag-link sa usa ka piho nga smartphone o paggamit sa biometrics. Ingon sa makita gikan sa taho, sumala sa kasaligan gyud Adunay mahimo lamang nga usa ka solusyon base sa lig-on nga panghimatuud, nga mao, cryptographic token.
- Pareho ra cryptographic token mahimong gamiton alang sa usa ka gidaghanon sa mga buluhaton: kay lig-on nga panghimatuud sa enterprise operating system, sa corporate ug user nga mga aplikasyon, alang sa electronic nga pirma pinansyal nga mga transaksyon (importante alang sa mga aplikasyon sa banking), mga dokumento ug email.
Source: www.habr.com