For nylig udgav forskningsvirksomheden Javelin Strategy & Research en rapport, "The State of Strong Authentication 2019." Dets skabere indsamlede information om, hvilke autentificeringsmetoder der bruges i virksomhedsmiljøer og forbrugerapplikationer, og kom også med interessante konklusioner om fremtiden for stærk autentificering.
Oversættelse af første del med konklusionerne fra forfatterne af rapporten, vi . Og nu præsenterer vi din opmærksomhed anden del - med data og grafer.
Fra oversætteren
Jeg vil ikke helt kopiere hele blokken af samme navn fra den første del, men jeg vil stadig duplikere et afsnit.
Alle tal og fakta præsenteres uden de mindste ændringer, og hvis du ikke er enig i dem, så er det bedre at argumentere ikke med oversætteren, men med rapportens forfattere. Og her er mine kommentarer (udlagt som citater og markeret i teksten italiensk) er min værdivurdering, og jeg vil med glæde argumentere for hver af dem (såvel som om kvaliteten af oversættelsen).
Brugergodkendelse
Siden 2017 er brugen af stærk autentificering i forbrugerapplikationer vokset kraftigt, hovedsageligt på grund af tilgængeligheden af kryptografiske autentificeringsmetoder på mobile enheder, selvom kun en lidt mindre procentdel af virksomhederne bruger stærk autentificering til internetapplikationer.
Samlet set er procentdelen af virksomheder, der bruger stærk autentificering i deres forretning, tredoblet fra 5 % i 2017 til 16 % i 2018 (figur 3).
Muligheden for at bruge stærk godkendelse til webapplikationer er stadig begrænset (på grund af det faktum, at kun helt nye versioner af nogle browsere understøtter interaktion med kryptografiske tokens, kan dette problem dog løses ved at installere yderligere software som f.eks. ), så mange virksomheder bruger alternative metoder til online-godkendelse, såsom programmer til mobile enheder, der genererer engangsadgangskoder.
Hardware kryptografiske nøgler (her mener vi kun dem, der overholder FIDO-standarderne), såsom dem, der tilbydes af Google, Feitian, One Span og Yubico, kan bruges til stærk autentificering uden at installere yderligere software på stationære computere og bærbare computere (fordi de fleste browsere allerede understøtter WebAuthn-standarden fra FIDO), men kun 3 % af virksomhederne bruger denne funktion til at logge på deres brugere.
Sammenligning af kryptografiske tokens (som ) og hemmelige nøgler, der fungerer i henhold til FIDO-standarder, ligger uden for denne rapports rammer, men også mine kommentarer til den. Kort sagt bruger begge typer tokens lignende algoritmer og driftsprincipper. FIDO-tokens er i øjeblikket bedre understøttet af browserleverandører, selvom dette snart vil ændre sig, efterhånden som flere browsere understøtter . Men klassiske kryptografiske tokens er beskyttet af en PIN-kode, kan underskrive elektroniske dokumenter og bruges til to-faktor autentificering i Windows (enhver version), Linux og Mac OS X, har API'er til forskellige programmeringssprog, så du kan implementere 2FA og elektronisk signatur i desktop-, mobil- og webapplikationer og tokens produceret i Rusland understøtter russiske GOST-algoritmer. Under alle omstændigheder er et kryptografisk token, uanset hvilken standard det er skabt af, den mest pålidelige og bekvemme godkendelsesmetode.
Beyond Security: Andre fordele ved stærk autentificering
Det er ingen overraskelse, at brugen af stærk autentificering er tæt forbundet med vigtigheden af de data, en virksomhed gemmer. Virksomheder, der opbevarer følsomme personligt identificerbare oplysninger (PII), såsom CPR-numre eller Personal Health Information (PHI), står over for det største juridiske og regulatoriske pres. Det er de virksomheder, der er de mest aggressive fortalere for stærk autentificering. Presset på virksomhederne øges af forventningerne fra kunder, der ønsker at vide, at de organisationer, de stoler på med deres mest følsomme data, bruger stærke autentificeringsmetoder. Organisationer, der håndterer følsomme PII eller PHI, er mere end dobbelt så tilbøjelige til at bruge stærk autentificering end organisationer, der kun gemmer brugernes kontaktoplysninger (figur 7).
Desværre er virksomheder endnu ikke villige til at implementere stærke autentificeringsmetoder. Næsten en tredjedel af forretningsbeslutningstagere betragter adgangskoder som den mest effektive godkendelsesmetode blandt alle dem, der er anført i figur 9, og 43 % betragter adgangskoder som den enkleste godkendelsesmetode.
Dette diagram beviser for os, at forretningsapplikationsudviklere over hele verden er de samme... De ser ikke fordelen ved at implementere avancerede kontoadgangssikkerhedsmekanismer og deler de samme misforståelser. Og kun regulatorernes handlinger kan ændre situationen.
Lad os ikke røre ved adgangskoder. Men hvad skal du tro for at tro, at sikkerhedsspørgsmål er mere sikre end kryptografiske tokens? Effektiviteten af kontrolspørgsmål, som blot er udvalgt, blev anslået til 15%, og ikke hackbare tokens - kun 10. Se i det mindste filmen "Illusion of Deception", hvor det, selvom det er i en allegorisk form, er vist, hvor let magikere lokkede alle de nødvendige ting ud af en forretningsmand-svindler svar og efterlod ham uden penge.
Og endnu et faktum, der siger meget om kvalifikationerne hos dem, der er ansvarlige for sikkerhedsmekanismer i brugerapplikationer. Efter deres forståelse er processen med at indtaste en adgangskode en enklere operation end godkendelse ved hjælp af et kryptografisk token. Selvom det ser ud til, at det kan være nemmere at tilslutte tokenet til en USB-port og indtaste en simpel PIN-kode.
Vigtigere er det, at implementering af stærk autentificering giver virksomheder mulighed for at gå væk fra at tænke på de autentificeringsmetoder og operationelle regler, der er nødvendige for at blokere svigagtige ordninger til at opfylde deres kunders reelle behov.
Mens lovgivningsoverholdelse er en rimelig topprioritet for både virksomheder, der bruger stærk godkendelse og dem, der ikke gør det, er virksomheder, der allerede bruger stærk godkendelse, meget mere tilbøjelige til at sige, at øget kundeloyalitet er det vigtigste mål, de overvejer, når de evaluerer en godkendelse metode. (18 % vs. 12 %) (figur 10).
Virksomhedsgodkendelse
Siden 2017 er brugen af stærk autentificering i virksomheder vokset, men med en lidt lavere hastighed end for forbrugerapplikationer. Andelen af virksomheder, der bruger stærk autentificering, steg fra 7 % i 2017 til 12 % i 2018. I modsætning til forbrugerapplikationer er brugen af autentificeringsmetoder uden adgangskode noget mere almindelig i webapplikationer end på mobile enheder i virksomhedsmiljøet. Omkring halvdelen af virksomhederne rapporterer, at de kun bruger brugernavne og adgangskoder til at autentificere deres brugere, når de logger på, med en ud af fem (22%), der også udelukkende stoler på adgangskoder til sekundær godkendelse, når de får adgang til følsomme data (det vil sige, at brugeren først logger ind på applikationen ved hjælp af en enklere godkendelsesmetode, og hvis han ønsker at få adgang til kritiske data, vil han udføre en anden godkendelsesprocedure, denne gang normalt ved hjælp af en mere pålidelig metode).
Du skal forstå, at rapporten ikke tager højde for brugen af kryptografiske tokens til to-faktor-autentificering i operativsystemerne Windows, Linux og Mac OS X. Og dette er i øjeblikket den mest udbredte brug af 2FA. (Ak, tokens oprettet i henhold til FIDO-standarder kan kun implementere 2FA til Windows 10).
Desuden, hvis implementeringen af 2FA i online- og mobilapplikationer kræver et sæt foranstaltninger, herunder ændring af disse applikationer, behøver du kun at konfigurere PKI (f.eks. baseret på Microsoft Certification Server) og godkendelsespolitikker for at implementere 2FA i Windows i AD.
Og da beskyttelse af login til en arbejds-pc og domæne er et vigtigt element i beskyttelsen af virksomhedsdata, bliver implementeringen af to-faktor-autentificering mere og mere almindelig.
De næste to mest almindelige metoder til autentificering af brugere, når de logger ind, er engangsadgangskoder leveret via en separat app (13 % af virksomhederne) og engangsadgangskoder leveret via SMS (12 %). På trods af at procentdelen af brugen af begge metoder er meget ens, bruges OTP SMS oftest til at øge autorisationsniveauet (i 24 % af virksomhederne). (Figur 12).
Stigningen i brugen af stærk autentificering i virksomheden kan sandsynligvis tilskrives den øgede tilgængelighed af kryptografiske autentificeringsimplementeringer i virksomhedens identitetsstyringsplatforme (med andre ord har virksomhedens SSO- og IAM-systemer lært at bruge tokens).
For mobil autentificering af medarbejdere og entreprenører er virksomhederne mere afhængige af adgangskoder end til autentificering i forbrugerapplikationer. Lidt over halvdelen (53%) af virksomhederne bruger adgangskoder, når de autentificerer brugeradgang til virksomhedsdata via en mobilenhed (figur 13).
I tilfælde af mobile enheder, ville man tro på den store kraft af biometri, hvis ikke for de mange tilfælde af falske fingeraftryk, stemmer, ansigter og endda iris. En søgemaskineforespørgsel vil afsløre, at en pålidelig metode til biometrisk autentificering simpelthen ikke eksisterer. Der findes selvfølgelig rigtig nøjagtige sensorer, men de er meget dyre og store i størrelsen – og er ikke installeret i smartphones.
Derfor er den eneste fungerende 2FA-metode i mobile enheder brugen af kryptografiske tokens, der forbinder til smartphonen via NFC, Bluetooth og USB Type-C-grænseflader.
Beskyttelse af en virksomheds økonomiske data er hovedårsagen til at investere i autentificering uden adgangskode (44%), med den hurtigste vækst siden 2017 (en stigning på otte procentpoint). Dette efterfølges af beskyttelse af intellektuel ejendomsret (40 %) og personale (HR) data (39 %). Og det er tydeligt hvorfor – ikke kun er værdien forbundet med disse typer data bredt anerkendt, men relativt få medarbejdere arbejder med dem. Det vil sige, at implementeringsomkostningerne ikke er så store, og kun få personer skal uddannes til at arbejde med et mere komplekst autentificeringssystem. I modsætning hertil er de typer data og enheder, som de fleste virksomhedsansatte rutinemæssigt får adgang til, stadig kun beskyttet af adgangskoder. Medarbejderdokumenter, arbejdsstationer og virksomheds-e-mail-portaler er de områder med størst risiko, da kun en fjerdedel af virksomhederne beskytter disse aktiver med adgangskodefri godkendelse (Figur 14).
Generelt er virksomheds-e-mail en meget farlig og utæt ting, hvis grad af potentielle fare er undervurderet af de fleste CIO'er. Medarbejdere modtager snesevis af e-mails hver dag, så hvorfor ikke inkludere mindst én phishing-e-mail (det vil sige svigagtig) blandt dem. Dette brev vil blive formateret i stil med firmabreve, så medarbejderen vil føle sig tryg ved at klikke på linket i dette brev. Nå, så kan alt ske, for eksempel download af en virus på den angrebne maskine eller lækkende adgangskoder (inklusive gennem social engineering, ved at indtaste en falsk godkendelsesformular oprettet af angriberen).
For at forhindre ting som dette i at ske, skal e-mails være underskrevet. Så vil det med det samme være klart, hvilket brev der er oprettet af en legitim medarbejder, og hvilket af en angriber. I Outlook/Exchange, for eksempel, aktiveres kryptografiske token-baserede elektroniske signaturer ret hurtigt og nemt og kan bruges i forbindelse med to-faktor autentificering på tværs af pc'er og Windows-domæner.
Blandt de ledere, der udelukkende er afhængige af adgangskodegodkendelse inden for virksomheden, gør to tredjedele (66%) det, fordi de mener, at adgangskoder giver tilstrækkelig sikkerhed til den type information, som deres virksomhed skal beskytte (Figur 15).
Men stærke autentificeringsmetoder bliver mere almindelige. Hovedsageligt på grund af det faktum, at deres tilgængelighed er stigende. Et stigende antal identitets- og adgangsstyringssystemer (IAM), browsere og operativsystemer understøtter godkendelse ved hjælp af kryptografiske tokens.
Stærk autentificering har en anden fordel. Da adgangskoden ikke længere bruges (erstattes med en simpel pinkode), er der ingen anmodninger fra medarbejdere, der beder dem om at ændre den glemte adgangskode. Hvilket igen reducerer belastningen på virksomhedens it-afdeling.
Resumé og konklusioner
- Ledere har ofte ikke den nødvendige viden til at vurdere ægte effektiviteten af forskellige godkendelsesmuligheder. De er vant til at stole på sådanne forældet sikkerhedsmetoder som adgangskoder og sikkerhedsspørgsmål, simpelthen fordi "det virkede før."
- Brugerne har stadig denne viden mindre, for dem er det vigtigste enkelhed og bekvemmelighed. Så længe de ikke har noget incitament til at vælge mere sikre løsninger.
- Udviklere af brugerdefinerede applikationer ofte ingen grundat implementere tofaktorautentificering i stedet for adgangskodegodkendelse. Konkurrence i beskyttelsesniveauet i brugerapplikationer Ingen.
- Fuldt ansvar for hacket flyttet til brugeren. Gav engangsadgangskoden til angriberen - skyldig. Din adgangskode blev opsnappet eller spioneret på - skyldig. Krævede ikke udvikleren at bruge pålidelige godkendelsesmetoder i produktet - skyldig.
- højre regulator først og fremmest bør kræve, at virksomhederne implementerer løsninger, der blok datalækage (især to-faktor autentificering), snarere end at straffe allerede sket datalæk.
- Nogle softwareudviklere forsøger at sælge til forbrugere gammel og ikke særlig pålidelig løsninger i smuk indpakning "innovativt" produkt. For eksempel autentificering ved at linke til en specifik smartphone eller bruge biometri. Som det fremgår af rapporten, iflg virkelig pålidelige Der kan kun være en løsning baseret på stærk autentificering, det vil sige kryptografiske tokens.
- Det samme kryptografisk token kan bruges til en række opgaver: til stærk autentificering i virksomhedens operativsystem, i virksomheds- og brugerapplikationer, for Elektronisk signatur finansielle transaktioner (vigtigt for bankapplikationer), dokumenter og e-mail.
Kilde: www.habr.com