Recentemente, a cumpagnia di ricerca Javelin Strategy & Research hà publicatu un rapportu, "U Statu di l'Autentificazione Forte 2019". I so creatori anu recullatu infurmazioni nantu à quali metudi di autentificazione sò usati in ambienti corporativi è applicazioni di cunsumatori, è anu ancu fattu cunclusioni interessanti nantu à u futuru di l'autentificazione forte.
Traduzzione di a prima parte cù e cunclusioni di l'autori di u rapportu, noi . È avà avemu prisentatu à a vostra attenzione a seconda parte - cù dati è grafici.
Da u traduttore
Ùn cupiate micca cumplettamente u bloccu tutale di u listessu nome da a prima parte, ma duplicà sempre un paràgrafu.
Tutti i figuri è i fatti sò presentati senza i più minimi cambiamenti, è se ùn avete micca d'accordu cun elli, allora hè megliu discutiri micca cù u traduttore, ma cù l'autori di u rapportu. È quì sò i mo cumenti (disposti cum'è citazioni, è marcati in u testu Talianu) sò u mo ghjudiziu di valore è seraghju cuntentu di argumentà nantu à ognuna di elli (in quantu à a qualità di a traduzzione).
Autentificazione di l'utilizatori
Dapoi u 2017, l'usu di l'autentificazione forte in l'applicazioni di u cunsumu hè cresciutu assai, soprattuttu per via di a dispunibilità di metudi di autentificazione criptografica nantu à i dispositi mobili, ancu s'è solu un percentinu ligeramente più chjucu di l'imprese utilizanu l'autentificazione forte per l'applicazioni Internet.
In generale, a percentuale di cumpagnie chì utilizanu autentificazione forte in a so attività hà triplicatu da 5% in 2017 à 16% in 2018 (Figura 3).
A capacità di utilizà l'autentificazione forte per l'applicazioni web hè sempre limitata (per via di u fattu chì solu versioni assai novi di certi navigatori supportanu l'interazzione cù i tokens criptografici, ma stu prublema pò esse risolta installendu software supplementu cum'è ), tanti cumpagnie utilizanu metudi alternativi per l'autentificazione in linea, cum'è i prugrammi per i dispositi mobili chì generanu password una volta.
Chiavi criptografiche hardware (quì avemu intesu solu quelli chì cumplenu cù i normi FIDO), cum'è quelli offerti da Google, Feitian, One Span è Yubico ponu esse aduprati per autentificazione forte senza installà software supplementu nantu à l'urdinatori è i laptops (perchè a maiò parte di i navigatori supportanu digià u standard WebAuthn da FIDO), ma solu u 3% di l'imprese utilizanu sta funzione per accede à i so utilizatori.
Paragone di tokens criptografici (cum'è ) è i chjavi sicreti chì travaglianu secondu i normi FIDO sò fora di u scopu di stu rapportu, ma ancu i mo cumenti à questu. In corta, i dui tipi di tokens utilizanu algoritmi simili è principii operativi. I tokens FIDO sò attualmente megliu supportati da i venditori di navigatori, anche se questu cambierà prestu quantu più navigatori supportanu . Ma i tokens criptografici classici sò prutetti da un codice PIN, ponu firmà documenti elettronichi è esse utilizati per l'autentificazione à dui fattori in Windows (qualsiasi versione), Linux è Mac OS X, anu API per diverse lingue di prugrammazione, chì permettenu di implementà 2FA è elettronicu. firma in l'applicazioni desktop, mobile è Web, è tokens pruduciuti in Russia supportanu l'algoritmi GOST russi. In ogni casu, un token criptograficu, indipendentemente da quale standard hè creatu, hè u metudu di autentificazione più affidabile è cunvene.
Al di là di a Sicurezza: Altri Beneficii di l'Autentificazione Forte
Ùn hè micca surprisa chì l'utilizazione di l'autentificazione forte hè strettamente ligata à l'impurtanza di e dati chì l'imprese cumercianu. L'imprese chì guardanu l'Informazione Personalmente Identificabile (PII), cum'è i numeri di a Seguretat Soziale o l'Informazione di Salute Personale (PHI), facenu a più grande pressione legale è regulatoria. Quessi sò l'imprese chì sò i proponenti più aggressivi di l'autentificazione forte. A pressione nantu à l'imprese hè aumentata da l'aspettattivi di i clienti chì volenu sapè chì l'urganisazione chì fiducia cù i so dati più sensittivi utilizanu metudi d'autentificazione forti. L'urganisazioni chì trattanu PII o PHI sensittivi sò più di duie volte più probabili di utilizà autentificazione forte cà l'urganisazioni chì guardanu solu l'infurmazioni di cuntattu di l'utilizatori (Figura 7).
Sfortunatamente, l'imprese ùn sò ancu disposti à implementà metudi d'autentificazione forti. Quasi un terzu di i decisori di l'imprese consideranu e password u metudu di autentificazione più efficace trà tutti quelli elencati in a Figura 9, è u 43% cunsidereghja e password u metudu di autentificazione più simplice.
Questa carta prova à noi chì i sviluppatori di l'applicazioni cummerciale in u mondu sò listessi... Ùn vedenu micca u benefiziu di implementà i meccanismi avanzati di sicurezza d'accessu à u contu è sparte i stessi misconceptions. È solu l'azzioni di i regulatori ponu cambià a situazione.
Ùn tocchemu micca e password. Ma chì avete da crede per crede chì e dumande di sicurezza sò più sicure chè i tokens criptografici? L'efficacità di e dumande di cuntrollu, chì sò simpliciamente selezziunate, hè stata stimata à 15%, è micca tokens pirate - solu 10. Almenu fighjate a film "Illusion of Deception", induve, ancu s'ellu in una forma allegorica, hè mostratu quantu faciuli maghi. attirò tutte e cose necessarie da e risposte di un imprenditore-swindler è l'abbandunò senza soldi.
È un fattu più chì dice assai di e qualifiche di quelli chì sò rispunsevuli di i miccanismi di sicurità in l'applicazioni d'utilizatori. In a so capiscitura, u prucessu di inserisce una password hè una operazione più simplice di l'autentificazione cù un token criptograficu. Ancu s'ellu pare chì puderia esse più simplice per cunnette u token à un portu USB è inserisce un codice PIN simplice.
Impurtante, l'implementazione di l'autentificazione forte permette à l'imprese di alluntanassi da pensà à i metudi di autentificazione è e regule operative necessarii per bluccà schemi fraudulenti per risponde à i bisogni reali di i so clienti.
Mentre chì a conformità regulatoria hè una priorità raghjunata per e duie imprese chì utilizanu autentificazione forte è quelli chì ùn l'anu micca, l'imprese chì utilizanu già una autentificazione forte sò assai più probabili di dì chì l'aumentu di a fidelizazione di i clienti hè a metrica più impurtante chì cunsidereghjanu quandu evaluanu una autentificazione. metudu. (18% versus 12%) (Figura 10).
Autentificazione Enterprise
Dapoi u 2017, l'adopzione di l'autentificazione forte in l'imprese hè in crescita, ma à un ritmu ligeramente più bassu chè per l'applicazioni di i cunsumatori. A parte di l'imprese chì utilizanu autentificazione forte hà aumentatu da 7% in 2017 à 12% in 2018. A cuntrariu di l'applicazioni di u cunsumadore, in l'ambiente di l'impresa l'usu di metudi di autentificazione senza password hè un pocu più cumuni in l'applicazioni web chì in i dispositi mobile. Circa a mità di l'imprese informanu chì utilizanu solu nomi d'utilizatore è password per autentificà i so utilizatori quandu si accede, cù unu in cinque (22%) chì si basa ancu solu in password per l'autentificazione secundaria quandu accede à dati sensibili (vale à dì, l'utilizatore accede prima à l'applicazione utilizendu un metudu di autentificazione più simplice, è s'ellu vole accede à i dati critichi, hà da realizà un altru prucessu di autentificazione, sta volta di solitu utilizendu un metudu più affidabile.).
Avete bisognu di capisce chì u rapportu ùn piglia micca in contu l'usu di tokens criptografici per l'autentificazione di dui fattori in i sistemi operativi Windows, Linux è Mac OS X. È questu hè oghje l'usu più diffusa di 2FA. (Alas, tokens creati sicondu i normi FIDO ponu implementà 2FA solu per Windows 10).
Inoltre, se l'implementazione di 2FA in l'applicazioni in linea è mobili richiede un inseme di misure, cumprese a mudificazione di queste applicazioni, allora per implementà 2FA in Windows hè solu bisognu di cunfigurà PKI (per esempiu, basatu in Microsoft Certification Server) è pulitiche di autentificazione. in AD.
E postu chì a prutezzione di u login à un PC di travagliu è u duminiu hè un elementu impurtante di prutezzione di e dati corporativi, l'implementazione di l'autentificazione à dui fattori hè diventata più è più cumuna.
I prossimi dui metudi più cumuni per l'autentificazione di l'utilizatori quandu si accede sò password una volta furnite attraversu una app separata (13% di l'imprese) è password una volta mandate via SMS (12%). Nunustanti lu fattu ca lu pircintuali di usu di i dui metudi hè assai simile, OTP SMS hè più spessu usatu per aumentà u livellu di l'autorizazione (in 24% di l'imprese). (Figura 12).
L'aumentu di l'usu di l'autentificazione forte in l'impresa pò esse attribuita à a dispunibilità aumentata di implementazioni di autentificazione criptografica in e plataforme di gestione di l'identità di l'impresa (in altre parolle, i sistemi SSO è IAM di l'impresa anu amparatu à utilizà tokens).
Per l'autenticazione mobile di l'impiegati è di l'imprese, l'imprese si basanu più forte nantu à e password chè per l'autentificazione in l'applicazioni di u cunsumadore. Pocu più di a mità (53%) di l'imprese utilizanu password quandu autentificanu l'accessu di l'utilizatori à e dati di a cumpagnia attraversu un dispositivu mobile (Figura 13).
In u casu di i dispositi mobili, unu crede in a grande putenza di a biometria, s'ellu ùn hè micca per i tanti casi di falsi fingerprints, voci, facci è ancu iris. Una dumanda di u mutore di ricerca revelarà chì un metudu affidabile di autentificazione biometrica ùn esiste micca. I sensori veramente precisi, sicuru, esistenu, ma sò assai caru è grande in grandezza - è ùn sò micca stallati in smartphones.
Per quessa, l'unicu metudu 2FA di travagliu in i dispositi mobili hè l'usu di tokens criptografici chì cunnette à u smartphone via NFC, Bluetooth è interfacce USB Type-C.
A prutezzione di e dati finanziarii di una cumpagnia hè u mutivu principale per investisce in l'autentificazione senza password (44%), cù a crescita più veloce da u 2017 (un aumentu di ottu punti percentuali). Questu hè seguitu da a prutezzione di a pruprietà intellettuale (40%) è di e dati di u persunale (HR) (39%). È hè chjaru perchè - ùn hè micca solu u valore assuciatu cù sti tipi di dati largamente ricunnisciutu, ma relativamente pochi impiegati travaglianu cun elli. Questu hè, i costi di implementazione ùn sò micca cusì grande, è solu uni pochi di persone anu da esse furmatu per travaglià cù un sistema di autentificazione più cumplessu. In cuntrastu, i tipi di dati è dispusitivi chì a maiò parte di l'impiegati di l'impresa accede in rutina sò sempre prutetti solu da password. I ducumenti di l'impiegati, e stazioni di travagliu è i portali di e-mail corporativi sò l'area di più risicu, postu chì solu un quartu di l'imprese prutegge questi assi cù l'autentificazione senza password (Figura 14).
In generale, l'email corporativu hè una cosa assai periculosa è leaky, u gradu di periculu potenziale di quale hè sottovalutatu da a maiò parte di i CIO. L'impiegati ricevenu decine di e-mail ogni ghjornu, perchè ùn include micca almenu un email di phishing (vale à dì, fraudulent) trà elli. Sta lettera serà furmatu in u stilu di lettere di l'impresa, cusì l'impiigatu si senti còmode clicchendu nantu à u ligame in questa lettera. Ebbè, allora qualcosa pò accade, per esempiu, scaricamentu di un virus nantu à a macchina attaccata o filtrazione di password (cumpresu attraversu l'ingegneria suciale, inserendu una forma di autentificazione falsa creata da l'attaccante).
Per impediscenu cose cum'è questu, l'email deve esse firmatu. Allora serà immediatamente chjaru chì lettera hè stata creata da un impiegatu legittimu è quale da un attaccante. In Outlook / Exchange, per esempiu, e firme elettroniche basate in token criptografici sò attivate abbastanza rapidamente è facilmente è ponu esse aduprate in cunghjunzione cù l'autentificazione à dui fatturi in i PC è i domini Windows.
Trà quelli esecutivi chì si basanu solu nantu à l'autentificazione di password in l'impresa, dui terzi (66%) facenu cusì perchè crede chì e password furnisce una sicurezza sufficiente per u tipu d'infurmazioni chì a so cumpagnia deve prutege (Figura 15).
Ma i metudi di autentificazione forte sò diventati più cumuni. In gran parte per u fattu chì a so dispunibilità hè in crescita. Un numeru crescente di sistemi di gestione di l'identità è di l'accessu (IAM), i navigatori è i sistemi operativi supportanu l'autentificazione cù tokens criptografici.
L'autentificazione forte hà un altru vantaghju. Siccomu a password ùn hè più utilizata (sustituitu cù un PIN simplice), ùn ci sò micca richieste di l'impiegati chì li dumandanu di cambià a password dimenticata. Chì à u turnu riduce a carica nantu à u dipartimentu IT di l'impresa.
Risultati è cunclusioni
- I gestori spessu ùn anu micca a cunniscenza necessaria per valutà veru efficacità di diverse opzioni di autenticazione. Sò abituati à cunfidenza tali anticu metudi di sicurità cum'è e password è e dumande di sicurezza solu perchè "hà travagliatu prima".
- L'utilizatori anu sempre sta cunniscenza menu, per elli u principale hè simplicità è comodità. Sempre ch'elli ùn anu micca incitazione à sceglie suluzione più sicura.
- Sviluppatori di applicazioni persunalizati spessu senza ragioneper implementà l'autentificazione à dui fattori invece di l'autentificazione di password. Cumpetizione in u livellu di prutezzione in l'applicazioni d'utilizatori assenza.
- A piena rispunsabilità per u pirate spustatu à l'utilizatore. Dà a password una volta à l'attaccante - culpisce. A vostra password hè stata interceptata o spiata - culpisce. Ùn hà micca bisognu à u sviluppatore di utilizà metudi di autentificazione affidabili in u pruduttu - culpisce.
- Pò ghjustu regulatore In prima cosa duverebbe dumandà à e cumpagnie di implementà e soluzioni chì bluccatu fughe di dati (in particulare l'autentificazione à dui fattori), piuttostu cà punizioni digià accadutu fuga di dati.
- Certi sviluppatori di software cercanu di vende à i cunsumatori vechju è micca particularmente affidabile suluzioni in un bellu imballaggio pruduttu "innovatore". Per esempiu, l'autentificazione liendu à un smartphone specificu o utilizendu a biometria. Comu pò esse vistu da u rapportu, secondu veramente affidabile Ci pò esse solu una suluzione basata nantu à autentificazione forte, vale à dì, tokens criptografici.
- U listessu token cryptographic pò ièssiri usatu pi un numeru di compiti: per autentificazione forte in u sistema operatore di l'impresa, in l'applicazioni corporative è d'utilizatori, per firma elettronica transazzione finanziaria (impurtante per l'applicazioni bancarie), documenti è email.
Source: www.habr.com