Nedávno výzkumná společnost Javelin Strategy & Research zveřejnila zprávu „Stav silné autentizace 2019“. Jeho tvůrci shromáždili informace o tom, jaké metody autentizace se používají ve firemních prostředích a spotřebitelských aplikacích, a také učinili zajímavé závěry o budoucnosti silné autentizace.
Překlad první části se závěry autorů zprávy, my . A nyní předkládáme vaší pozornosti druhou část – s daty a grafy.
Od překladatele
Nebudu úplně kopírovat celý stejnojmenný blok z první části, ale přesto zduplikuji jeden odstavec.
Všechna čísla a fakta jsou uváděna bez sebemenších změn a pokud s nimi nesouhlasíte, pak je lepší polemizovat ne s překladatelem, ale s autory zprávy. A zde jsou mé komentáře (uvedené jako citace a označené v textu italština) jsou mým hodnotovým soudem a o každém z nich (stejně jako o kvalitě překladu) se rád poperu.
Ověření uživatele
Od roku 2017 prudce vzrostlo používání silné autentizace ve spotřebitelských aplikacích, a to především díky dostupnosti kryptografických autentizačních metod na mobilních zařízeních, i když pouze o něco menší procento společností používá silnou autentizaci pro internetové aplikace.
Celkově se procento společností, které ve svém podnikání používají silnou autentizaci, ztrojnásobilo z 5 % v roce 2017 na 16 % v roce 2018 (obrázek 3).
Možnost používat silnou autentizaci pro webové aplikace je stále omezená (vzhledem k tomu, že interakci s kryptografickými tokeny podporují pouze velmi nové verze některých prohlížečů, lze však tento problém vyřešit instalací dalšího softwaru, jako je např. ), takže mnoho společností používá alternativní metody pro online ověřování, jako jsou programy pro mobilní zařízení, které generují jednorázová hesla.
Hardwarové kryptografické klíče (zde máme na mysli pouze ty, které splňují normy FIDO(protože většina prohlížečů již podporuje standard WebAuthn od FIDO), ale pouze 3 % společností tuto funkci využívají k přihlášení svých uživatelů.
Porovnání kryptografických tokenů (např ) a tajných klíčů fungujících podle standardů FIDO je nad rámec této zprávy, ale i mých komentářů k ní. Stručně řečeno, oba typy tokenů používají podobné algoritmy a provozní principy. Tokeny FIDO jsou v současnosti lépe podporovány prodejci prohlížečů, i když se to brzy změní, protože bude podporovat více prohlížečů . Klasické kryptografické tokeny jsou ale chráněny PIN kódem, mohou podepisovat elektronické dokumenty a mohou být použity pro dvoufaktorovou autentizaci ve Windows (libovolná verze), Linuxu a Mac OS X, mají API pro různé programovací jazyky, což umožňuje implementovat 2FA a elektronické podpis v desktopových, mobilních a webových aplikacích a tokeny vyrobené v Rusku podporují ruské algoritmy GOST. V každém případě je kryptografický token, bez ohledu na to, jakým standardem je vytvořen, nejspolehlivější a nejpohodlnější metodou ověřování.
Kromě zabezpečení: Další výhody silné autentizace
Není žádným překvapením, že použití silné autentizace je úzce spjato s důležitostí dat, která firma uchovává. Společnosti, které uchovávají citlivé osobní údaje (PII), jako jsou čísla sociálního pojištění nebo osobní zdravotní informace (PHI), čelí největšímu právnímu a regulačnímu tlaku. Toto jsou společnosti, které jsou nejagresivnějšími zastánci silné autentizace. Tlak na podniky se zvyšuje očekáváním zákazníků, kteří chtějí vědět, že organizace, kterým důvěřují se svými nejcitlivějšími daty, používají silné metody ověřování. Organizace, které zpracovávají citlivé PII nebo PHI, mají více než dvakrát vyšší pravděpodobnost použití silného ověřování než organizace, které ukládají pouze kontaktní informace uživatelů (obrázek 7).
Firmy bohužel zatím nejsou ochotny zavádět silné autentizační metody. Téměř třetina osob s rozhodovací pravomocí považuje hesla za nejúčinnější metodu autentizace ze všech těch, které jsou uvedeny na obrázku 9, a 43 % považuje hesla za nejjednodušší metodu autentizace.
Tento graf nám dokazuje, že vývojáři podnikových aplikací po celém světě jsou stejní... Nevidí výhodu implementace pokročilých mechanismů zabezpečení přístupu k účtu a sdílejí stejné mylné představy. A pouze akce regulátorů mohou situaci změnit.
Nesahejme na hesla. Čemu ale musíte věřit, abyste uvěřili, že bezpečnostní otázky jsou bezpečnější než kryptografické tokeny? Účinnost kontrolních otázek, které jsou jednoduše vybrány, byla odhadnuta na 15%, a nikoli hacknutelné tokeny - pouze 10. Podívejte se alespoň na film „Illusion of Deception“, kde, i když v alegorické podobě, se ukazuje, jak snadno kouzelníci vylákal z odpovědí obchodníka-podvodníka všechny potřebné věci a nechal ho bez peněz.
A ještě jeden fakt, který mnohé vypovídá o kvalifikaci těch, kteří jsou zodpovědní za bezpečnostní mechanismy v uživatelských aplikacích. V jejich chápání je proces zadávání hesla jednodušší operací než autentizace pomocí kryptografického tokenu. I když by se zdálo, že by mohlo být jednodušší připojit token do USB portu a zadat jednoduchý PIN kód.
Důležité je, že implementace silné autentizace umožňuje podnikům přejít od přemýšlení o metodách autentizace a provozních pravidlech potřebných k blokování podvodných schémat ke splnění skutečných potřeb jejich zákazníků.
Zatímco dodržování předpisů je rozumnou nejvyšší prioritou jak pro podniky, které používají silnou autentizaci, tak pro ty, které ji nepoužívají, společnosti, které již používají silnou autentizaci, mnohem pravděpodobněji tvrdí, že zvýšení loajality zákazníků je nejdůležitější metrikou, kterou berou v úvahu při vyhodnocování autentizace. metoda. (18 % vs. 12 %) (obrázek 10).
Enterprise Authentication
Od roku 2017 zavádění silné autentizace v podnicích roste, ale mírně nižším tempem než u spotřebitelských aplikací. Podíl podniků využívajících silnou autentizaci se zvýšil ze 7 % v roce 2017 na 12 % v roce 2018. Na rozdíl od spotřebitelských aplikací je v podnikovém prostředí používání metod autentizace bez hesla poněkud častější ve webových aplikacích než na mobilních zařízeních. Přibližně polovina podniků uvádí, že k ověřování uživatelů při přihlašování používá pouze uživatelská jména a hesla, přičemž každý pátý (22 %) se také při přístupu k citlivým údajům spoléhá pouze na hesla pro sekundární ověřování (tj. uživatel se nejprve přihlásí do aplikace jednodušší metodou autentizace, a pokud chce získat přístup ke kritickým datům, provede další autentizační proceduru, tentokrát obvykle spolehlivější metodou).
Musíte pochopit, že zpráva nezohledňuje použití kryptografických tokenů pro dvoufaktorovou autentizaci v operačních systémech Windows, Linux a Mac OS X. A to je v současnosti nejrozšířenější využití 2FA. (Bohužel, tokeny vytvořené podle standardů FIDO mohou implementovat 2FA pouze pro Windows 10).
Navíc, pokud implementace 2FA v online a mobilních aplikacích vyžaduje sadu opatření, včetně úprav těchto aplikací, pak k implementaci 2FA ve Windows stačí nakonfigurovat PKI (například na základě Microsoft Certification Server) a zásady autentizace. v reklamě.
A protože ochrana přihlášení k pracovnímu PC a doméně je důležitým prvkem ochrany firemních dat, je implementace dvoufaktorové autentizace stále běžnější.
Dalšími dvěma nejčastějšími způsoby ověřování uživatelů při přihlašování jsou jednorázová hesla poskytovaná prostřednictvím samostatné aplikace (13 % podniků) a jednorázová hesla doručovaná prostřednictvím SMS (12 %). I přesto, že procento využití obou metod je velmi podobné, nejčastěji se ke zvýšení úrovně oprávnění využívá OTP SMS (u 24 % firem). (Obrázek 12).
Nárůst používání silné autentizace v podniku lze pravděpodobně připsat zvýšené dostupnosti implementací kryptografické autentizace v podnikových platformách pro správu identit (jinými slovy, podnikové systémy SSO a IAM se naučily používat tokeny).
Při mobilní autentizaci zaměstnanců a dodavatelů spoléhají podniky více na hesla než na autentizaci v spotřebitelských aplikacích. O něco více než polovina (53 %) podniků používá hesla při ověřování přístupu uživatelů k firemním datům prostřednictvím mobilního zařízení (obrázek 13).
V případě mobilních zařízení by člověk věřil ve velkou sílu biometrie, nebýt mnoha případů falešných otisků prstů, hlasů, tváří a dokonce i duhovek. Jeden dotaz vyhledávače odhalí, že spolehlivá metoda biometrické autentizace prostě neexistuje. Skutečně přesné senzory samozřejmě existují, ale jsou velmi drahé a velké – a nejsou instalovány v chytrých telefonech.
Jedinou fungující metodou 2FA v mobilních zařízeních je proto použití kryptografických tokenů, které se ke smartphonu připojují přes rozhraní NFC, Bluetooth a USB Type-C.
Ochrana finančních údajů společnosti je hlavním důvodem pro investice do autentizace bez hesla (44 %) s nejrychlejším růstem od roku 2017 (nárůst o osm procentních bodů). Následuje ochrana duševního vlastnictví (40 %) a personálních (HR) dat (39 %). A je jasné proč – nejenže je hodnota spojená s těmito typy dat široce uznávána, ale pracuje s nimi relativně málo zaměstnanců. To znamená, že náklady na implementaci nejsou tak velké a pro práci se složitějším autentizačním systémem je potřeba zaškolit jen pár lidí. Naproti tomu typy dat a zařízení, ke kterým většina zaměstnanců podniku běžně přistupuje, jsou stále chráněny výhradně hesly. Zaměstnanecké dokumenty, pracovní stanice a podnikové e-mailové portály jsou oblastmi s největším rizikem, protože pouze čtvrtina podniků chrání tato aktiva pomocí ověřování bez hesla (obrázek 14).
Obecně je firemní email velmi nebezpečná a děravá věc, jejíž míru potenciální nebezpečnosti většina CIO podceňuje. Zaměstnanci dostávají desítky emailů denně, tak proč mezi ně nezařadit alespoň jeden phishingový (tedy podvodný) email. Tento dopis bude naformátován ve stylu firemních dopisů, takže zaměstnanec se bude cítit pohodlně kliknutím na odkaz v tomto dopise. Pak se může stát cokoli, například stažení viru na napadený stroj nebo únik hesel (včetně prostřednictvím sociálního inženýrství, zadáním falešného ověřovacího formuláře vytvořeného útočníkem).
Aby k takovým věcem nedocházelo, musí být e-maily podepsány. Pak bude hned jasné, který dopis vytvořil legitimní zaměstnanec a který útočník. Například v aplikaci Outlook/Exchange jsou elektronické podpisy založené na kryptografických tokenech povoleny poměrně rychle a snadno a lze je použít ve spojení s dvoufaktorovou autentizací napříč počítači a doménami Windows.
Mezi těmi manažery, kteří se v rámci podniku spoléhají výhradně na ověřování heslem, to dvě třetiny (66 %) dělají, protože věří, že hesla poskytují dostatečné zabezpečení pro typ informací, které jejich společnost potřebuje chránit (obrázek 15).
Silné autentizační metody jsou však stále běžnější. Z velké části kvůli tomu, že se jejich dostupnost zvyšuje. Rostoucí počet systémů správy identity a přístupu (IAM), prohlížečů a operačních systémů podporuje ověřování pomocí kryptografických tokenů.
Silná autentizace má ještě jednu výhodu. Vzhledem k tomu, že heslo již není používáno (nahrazeno jednoduchým PIN), nejsou od zaměstnanců vyžadovány žádné požadavky na změnu zapomenutého hesla. Což zase snižuje zátěž podnikového IT oddělení.
Shrnutí a závěry
- Manažeři často nemají potřebné znalosti k posouzení nemovitý účinnost různých možností autentizace. Jsou zvyklí takovým důvěřovat zastaralý bezpečnostní metody, jako jsou hesla a bezpečnostní otázky, jednoduše proto, že „to dříve fungovalo“.
- Uživatelé tyto znalosti stále mají méně, pro ně je hlavní jednoduchost a pohodlí. Dokud nemají motivaci k výběru bezpečnější řešení.
- Vývojáři vlastních aplikací často bez důvoduimplementovat dvoufaktorové ověřování namísto ověřování heslem. Konkurence v úrovni ochrany v uživatelských aplikacích Ne.
- Plná odpovědnost za hack přesunuto na uživatele. Poskytl útočníkovi jednorázové heslo - obviňovat. Vaše heslo bylo zachyceno nebo sledováno - obviňovat. Nevyžadoval, aby vývojář používal spolehlivé metody ověřování v produktu - obviňovat.
- Správně regulátor především by měla vyžadovat, aby společnosti implementovaly řešení, která blok úniky dat (zejména dvoufaktorové ověřování), spíše než trestání už se stalo únik dat.
- Někteří vývojáři softwaru se snaží prodat spotřebitelům staré a ne příliš spolehlivé řešení v krásném balení „inovativní“ produkt. Například autentizace propojením s konkrétním chytrým telefonem nebo pomocí biometrie. Jak je vidět ze zprávy, podle skutečně spolehlivé Může existovat pouze řešení založené na silné autentizaci, tedy kryptografických tokenech.
- Stejný lze použít kryptografický token řadu úkolů: pro silná autentizace v podnikovém operačním systému, v podnikových a uživatelských aplikacích, pro elektronický podpis finanční transakce (důležité pro bankovní aplikace), dokumenty a e-mail.
Zdroj: www.habr.com