Kürzlich veröffentlichte das Forschungsunternehmen Javelin Strategy & Research einen Bericht mit dem Titel „The State of Strong Authentication 2019“. Seine Ersteller haben Informationen darüber gesammelt, welche Authentifizierungsmethoden in Unternehmensumgebungen und Verbraucheranwendungen verwendet werden, und auch interessante Schlussfolgerungen über die Zukunft der starken Authentifizierung gezogen.
Übersetzung des ersten Teils mit den Schlussfolgerungen der Autoren des Berichts, wir . Und nun präsentieren wir Ihnen den zweiten Teil – mit Daten und Grafiken.
Vom Übersetzer
Ich werde nicht den gesamten gleichnamigen Block aus dem ersten Teil vollständig kopieren, aber ich werde trotzdem einen Absatz duplizieren.
Alle Zahlen und Fakten werden ohne die geringsten Änderungen dargestellt. Wenn Sie damit nicht einverstanden sind, argumentieren Sie besser nicht mit dem Übersetzer, sondern mit den Autoren des Berichts. Und hier sind meine Kommentare (als Zitate dargestellt und im Text markiert). Italienisch) sind mein Werturteil und ich werde gerne zu jedem einzelnen davon (sowie zur Qualität der Übersetzung) argumentieren.
Benutzerauthentifizierung
Seit 2017 hat der Einsatz starker Authentifizierung in Verbraucheranwendungen stark zugenommen, was vor allem auf die Verfügbarkeit kryptografischer Authentifizierungsmethoden auf Mobilgeräten zurückzuführen ist, obwohl nur ein geringfügig geringerer Prozentsatz der Unternehmen starke Authentifizierung für Internetanwendungen verwendet.
Insgesamt verdreifachte sich der Anteil der Unternehmen, die in ihrem Unternehmen eine starke Authentifizierung nutzen, von 5 % im Jahr 2017 auf 16 % im Jahr 2018 (Abbildung 3).
Die Möglichkeit, eine starke Authentifizierung für Webanwendungen zu verwenden, ist noch begrenzt (Aufgrund der Tatsache, dass nur sehr neue Versionen einiger Browser die Interaktion mit kryptografischen Token unterstützen, kann dieses Problem jedoch durch die Installation zusätzlicher Software gelöst werden, z ), so nutzen viele Unternehmen alternative Methoden zur Online-Authentifizierung, etwa Programme für mobile Geräte, die Einmalpasswörter generieren.
Hardware-Kryptografieschlüssel (hier meinen wir nur diejenigen, die den FIDO-Standards entsprechen), wie sie beispielsweise von Google, Feitian, One Span und Yubico angeboten werden, können für eine starke Authentifizierung verwendet werden, ohne dass zusätzliche Software auf Desktop-Computern und Laptops installiert werden muss (denn die meisten Browser unterstützen bereits den WebAuthn-Standard von FIDO), aber nur 3 % der Unternehmen nutzen diese Funktion, um ihre Benutzer anzumelden.
Vergleich kryptografischer Token (wie ) und geheime Schlüssel, die nach FIDO-Standards funktionieren, gehen über den Rahmen dieses Berichts hinaus, ebenso wie meine Kommentare dazu. Kurz gesagt, beide Arten von Token verwenden ähnliche Algorithmen und Funktionsprinzipien. FIDO-Tokens werden derzeit von Browser-Anbietern besser unterstützt, obwohl sich dies bald ändern wird, da mehr Browser dies unterstützen . Klassische kryptografische Token sind jedoch durch einen PIN-Code geschützt, können elektronische Dokumente signieren und für die Zwei-Faktor-Authentifizierung unter Windows (jede Version), Linux und Mac OS X verwendet werden. Sie verfügen über APIs für verschiedene Programmiersprachen, sodass Sie 2FA und elektronisch implementieren können Signatur in Desktop-, Mobil- und Webanwendungen und in Russland hergestellte Token unterstützen russische GOST-Algorithmen. In jedem Fall ist ein kryptografischer Token, unabhängig davon, nach welchem Standard er erstellt wurde, die zuverlässigste und bequemste Authentifizierungsmethode.
Über die Sicherheit hinaus: Weitere Vorteile einer starken Authentifizierung
Es überrascht nicht, dass der Einsatz einer starken Authentifizierung eng mit der Bedeutung der von einem Unternehmen gespeicherten Daten verknüpft ist. Unternehmen, die sensible personenbezogene Daten (PII) wie Sozialversicherungsnummern oder persönliche Gesundheitsinformationen (PHI) speichern, stehen unter dem größten rechtlichen und regulatorischen Druck. Dies sind die Unternehmen, die die starke Authentifizierung am stärksten befürworten. Der Druck auf Unternehmen wird durch die Erwartungen der Kunden erhöht, die wissen möchten, dass die Organisationen, denen sie ihre sensibelsten Daten anvertrauen, starke Authentifizierungsmethoden verwenden. Organisationen, die vertrauliche PII oder PHI verarbeiten, verwenden mit mehr als doppelt so hoher Wahrscheinlichkeit eine starke Authentifizierung als Organisationen, die nur die Kontaktinformationen der Benutzer speichern (Abbildung 7).
Leider sind Unternehmen noch nicht bereit, starke Authentifizierungsmethoden zu implementieren. Fast ein Drittel der Entscheidungsträger in Unternehmen halten Passwörter für die effektivste Authentifizierungsmethode unter allen in Abbildung 9 aufgeführten Methoden, und 43 % halten Passwörter für die einfachste Authentifizierungsmethode.
Dieses Diagramm beweist uns, dass es bei den Entwicklern von Geschäftsanwendungen auf der ganzen Welt gleich ist ... Sie sehen den Nutzen der Implementierung erweiterter Sicherheitsmechanismen für den Kontozugriff nicht und teilen die gleichen Missverständnisse. Und nur die Maßnahmen der Regulierungsbehörden können die Situation ändern.
Lassen Sie uns Passwörter nicht anfassen. Aber was muss man glauben, um zu glauben, dass Sicherheitsfragen sicherer sind als kryptografische Token? Die Wirksamkeit von Kontrollfragen, die einfach ausgewählt werden, wurde auf 15 % geschätzt, die von nicht hackbaren Token auf nur 10. Schauen Sie sich zumindest den Film „Illusion of Deception“ an, in dem, wenn auch in allegorischer Form, gezeigt wird, wie leicht Zauberer sind entlockte einem Geschäftsmann-Betrüger mit seinen Antworten alles Nötige und ließ ihn ohne Geld zurück.
Und noch eine Tatsache, die viel über die Qualifikation derjenigen aussagt, die für Sicherheitsmechanismen in Benutzeranwendungen verantwortlich sind. Nach ihrem Verständnis ist die Eingabe eines Passworts ein einfacherer Vorgang als die Authentifizierung mithilfe eines kryptografischen Tokens. Allerdings scheint es einfacher zu sein, den Token an einen USB-Anschluss anzuschließen und einen einfachen PIN-Code einzugeben.
Wichtig ist, dass die Implementierung einer starken Authentifizierung es Unternehmen ermöglicht, nicht mehr über die Authentifizierungsmethoden und Betriebsregeln nachzudenken, die zum Blockieren betrügerischer Systeme erforderlich sind, sondern den tatsächlichen Bedürfnissen ihrer Kunden gerecht zu werden.
Während die Einhaltung gesetzlicher Vorschriften sowohl für Unternehmen, die eine starke Authentifizierung verwenden, als auch für Unternehmen, die dies nicht tun, eine vernünftige oberste Priorität hat, sagen Unternehmen, die bereits eine starke Authentifizierung verwenden, viel eher, dass die Steigerung der Kundenbindung die wichtigste Messgröße ist, die sie bei der Bewertung einer Authentifizierung berücksichtigen Methode. (18 % vs. 12 %) (Abbildung 10).
Unternehmensauthentifizierung
Seit 2017 nimmt die Einführung starker Authentifizierung in Unternehmen zu, allerdings etwas langsamer als bei Verbraucheranwendungen. Der Anteil der Unternehmen, die eine starke Authentifizierung verwenden, stieg von 7 % im Jahr 2017 auf 12 % im Jahr 2018. Im Gegensatz zu Verbraucheranwendungen ist die Verwendung von Authentifizierungsmethoden ohne Passwort in Webanwendungen im Unternehmensumfeld etwas häufiger als auf mobilen Geräten. Etwa die Hälfte der Unternehmen gibt an, bei der Anmeldung nur Benutzernamen und Passwörter zur Authentifizierung ihrer Benutzer zu verwenden, wobei jedes Fünfte (22 %) beim Zugriff auf sensible Daten auch ausschließlich Passwörter zur sekundären Authentifizierung verwendet (Das heißt, der Benutzer meldet sich zunächst mit einer einfacheren Authentifizierungsmethode bei der Anwendung an. Wenn er Zugriff auf kritische Daten erhalten möchte, führt er einen weiteren Authentifizierungsvorgang durch, diesmal normalerweise mit einer zuverlässigeren Methode).
Sie müssen verstehen, dass der Bericht die Verwendung kryptografischer Token für die Zwei-Faktor-Authentifizierung in den Betriebssystemen Windows, Linux und Mac OS X nicht berücksichtigt. Und dies ist derzeit die am weitesten verbreitete Verwendung von 2FA. (Leider können nach FIDO-Standards erstellte Token 2FA nur für Windows 10 implementieren).
Wenn die Implementierung von 2FA in Online- und Mobilanwendungen darüber hinaus eine Reihe von Maßnahmen erfordert, einschließlich der Änderung dieser Anwendungen, müssen Sie zur Implementierung von 2FA in Windows lediglich PKI (z. B. basierend auf dem Microsoft Certification Server) und Authentifizierungsrichtlinien konfigurieren in der Werbung.
Und da der Schutz der Anmeldung an einem Arbeits-PC und einer Domäne ein wichtiger Bestandteil des Schutzes von Unternehmensdaten ist, wird die Implementierung einer Zwei-Faktor-Authentifizierung immer häufiger eingesetzt.
Die beiden nächsthäufigsten Methoden zur Authentifizierung von Benutzern beim Anmelden sind Einmalpasswörter, die über eine separate App übermittelt werden (13 % der Unternehmen) und Einmalpasswörter, die per SMS übermittelt werden (12 %). Obwohl der Nutzungsanteil beider Methoden sehr ähnlich ist, wird OTP-SMS am häufigsten zur Erhöhung des Autorisierungsgrads eingesetzt (in 24 % der Unternehmen). (Abbildung 12).
Der zunehmende Einsatz starker Authentifizierung im Unternehmen kann wahrscheinlich auf die zunehmende Verfügbarkeit kryptografischer Authentifizierungsimplementierungen in Plattformen für das Identitätsmanagement von Unternehmen zurückgeführt werden (mit anderen Worten: Unternehmens-SSO- und IAM-Systeme haben gelernt, Token zu verwenden).
Bei der mobilen Authentifizierung von Mitarbeitern und Auftragnehmern verlassen sich Unternehmen stärker auf Passwörter als bei der Authentifizierung in Verbraucheranwendungen. Etwas mehr als die Hälfte (53 %) der Unternehmen verwenden Passwörter, wenn sie den Benutzerzugriff auf Unternehmensdaten über ein mobiles Gerät authentifizieren (Abbildung 13).
Im Falle mobiler Geräte würde man an die große Macht der Biometrie glauben, wenn es nicht viele Fälle von gefälschten Fingerabdrücken, Stimmen, Gesichtern und sogar Iris gäbe. Eine Suchanfrage in einer Suchmaschine zeigt, dass es einfach keine zuverlässige Methode zur biometrischen Authentifizierung gibt. Natürlich gibt es wirklich genaue Sensoren, aber sie sind sehr teuer und groß – und werden nicht in Smartphones eingebaut.
Daher ist die einzige funktionierende 2FA-Methode in mobilen Geräten die Verwendung kryptografischer Token, die über NFC-, Bluetooth- und USB-Typ-C-Schnittstellen eine Verbindung zum Smartphone herstellen.
Der Schutz der Finanzdaten eines Unternehmens ist der Hauptgrund für die Investition in eine passwortlose Authentifizierung (44 %), mit dem stärksten Wachstum seit 2017 (ein Anstieg um acht Prozentpunkte). Es folgen der Schutz des geistigen Eigentums (40 %) und der Personaldaten (HR) (39 %). Und es ist klar, warum – nicht nur, dass der mit dieser Art von Daten verbundene Wert allgemein anerkannt ist, sondern auch relativ wenige Mitarbeiter damit arbeiten. Das heißt, die Implementierungskosten sind nicht so hoch und es müssen nur wenige Personen für die Arbeit mit einem komplexeren Authentifizierungssystem geschult werden. Im Gegensatz dazu sind die Arten von Daten und Geräten, auf die die meisten Unternehmensmitarbeiter routinemäßig zugreifen, immer noch ausschließlich durch Passwörter geschützt. Mitarbeiterdokumente, Workstations und Unternehmens-E-Mail-Portale stellen die Bereiche mit dem größten Risiko dar, da nur ein Viertel der Unternehmen diese Vermögenswerte durch passwortlose Authentifizierung schützt (Abbildung 14).
Im Allgemeinen sind Unternehmens-E-Mails eine sehr gefährliche und undichte Stelle, deren potenzielle Gefahr von den meisten CIOs unterschätzt wird. Mitarbeiter erhalten jeden Tag Dutzende E-Mails. Warum also nicht mindestens eine Phishing-E-Mail (also eine betrügerische E-Mail) dazuzählen? Dieser Brief wird im Stil von Firmenbriefen formatiert sein, sodass der Mitarbeiter kein Problem damit hat, auf den Link in diesem Brief zu klicken. Nun, dann kann alles passieren, zum Beispiel das Herunterladen eines Virus auf den angegriffenen Rechner oder das Durchsickern von Passwörtern (auch durch Social Engineering, indem ein vom Angreifer erstelltes gefälschtes Authentifizierungsformular eingegeben wird).
Damit so etwas nicht passiert, müssen E-Mails signiert werden. Dann ist sofort klar, welcher Brief von einem legitimen Mitarbeiter und welcher von einem Angreifer erstellt wurde. In Outlook/Exchange werden beispielsweise kryptografische tokenbasierte elektronische Signaturen recht schnell und einfach aktiviert und können in Verbindung mit der Zwei-Faktor-Authentifizierung über PCs und Windows-Domänen hinweg verwendet werden.
Von den Führungskräften, die sich im Unternehmen ausschließlich auf die Passwortauthentifizierung verlassen, tun dies zwei Drittel (66 %), weil sie glauben, dass Passwörter ausreichend Sicherheit für die Art von Informationen bieten, die ihr Unternehmen schützen muss (Abbildung 15).
Aber starke Authentifizierungsmethoden werden immer häufiger eingesetzt. Vor allem aufgrund der Tatsache, dass ihre Verfügbarkeit zunimmt. Immer mehr Identitäts- und Zugriffsverwaltungssysteme (IAM), Browser und Betriebssysteme unterstützen die Authentifizierung mithilfe kryptografischer Token.
Eine starke Authentifizierung hat einen weiteren Vorteil. Da das Passwort nicht mehr verwendet wird (ersetzt durch eine einfache PIN), gibt es keine Aufforderungen von Mitarbeitern, das vergessene Passwort zu ändern. Dies wiederum reduziert die Belastung der IT-Abteilung des Unternehmens.
Ergebnisse und Schlussfolgerungen
- Führungskräfte verfügen oft nicht über das nötige Wissen zur Beurteilung echt Wirksamkeit verschiedener Authentifizierungsoptionen. Sie sind es gewohnt, solchen zu vertrauen veraltet Sicherheitsmethoden wie Passwörter und Sicherheitsfragen, einfach weil „es vorher funktioniert hat“.
- Dieses Wissen ist bei den Anwendern immer noch vorhanden weniger, für sie ist die Hauptsache Einfachheit und Bequemlichkeit. Solange sie keinen Anreiz haben, sich zu entscheiden sicherere Lösungen.
- Entwickler benutzerdefinierter Anwendungen häufig kein Grundeine Zwei-Faktor-Authentifizierung statt einer Passwort-Authentifizierung zu implementieren. Wettbewerb um das Schutzniveau in Benutzeranwendungen kein.
- Volle Verantwortung für den Hack auf den Benutzer verlagert. Dem Angreifer das Einmalpasswort gegeben - beschuldigen. Ihr Passwort wurde abgefangen oder ausspioniert - beschuldigen. Der Entwickler musste im Produkt keine zuverlässigen Authentifizierungsmethoden verwenden – beschuldigen.
- Rechts Regler vor allem Unternehmen sollten dazu verpflichtet werden, Lösungen zu implementieren Block Datenlecks (insbesondere Zwei-Faktor-Authentifizierung) zu verhindern, statt sie zu bestrafen Schon passiert Datenleck.
- Einige Softwareentwickler versuchen, an Verbraucher zu verkaufen alt und nicht besonders zuverlässig Lösungen in schöner Verpackung „innovatives“ Produkt. Zum Beispiel die Authentifizierung durch die Verknüpfung mit einem bestimmten Smartphone oder die Nutzung biometrischer Daten. Wie aus dem Bericht hervorgeht, heißt es wirklich zuverlässig Es kann nur eine Lösung geben, die auf starker Authentifizierung, also kryptografischen Token, basiert.
- Das gleiche kryptografisches Token kann verwendet werden für eine Reihe von Aufgaben: für starke Authentifizierung im Unternehmensbetriebssystem, in Unternehmens- und Benutzeranwendungen, z elektronische Unterschrift Finanztransaktionen (wichtig für Bankanwendungen), Dokumente und E-Mail.
Source: habr.com