
Kürzlich veröffentlichte das Forschungsunternehmen „Javelin Strategy & Research“ den Bericht „Der Stand der starken Authentifizierung 2019“. Die Autoren sammelten Informationen darüber, welche Authentifizierungsmethoden in der Unternehmensumgebung und in Benutzeranwendungen verwendet werden und zogen interessante Schlussfolgerungen über die Zukunft der starken Authentifizierung.
Wir haben bereits die erste Hälfte mit den Ergebnissen der Autoren des Berichts . Jetzt präsentieren wir Ihnen den zweiten Teil – mit Daten und Grafiken.
Vom Übersetzer
Ich werde nicht den gesamten gleichnamigen Abschnitt aus dem ersten Teil komplett kopieren, aber einen Absatz werde ich dennoch wiederholen.
Alle Zahlen und Fakten sind unverändert, und wenn Sie nicht einverstanden sind, sollten Sie nicht mit dem Übersetzer, sondern mit den Autoren des Berichts diskutieren. Meine Kommentare (in Form von Zitaten formatiert und im Text als kursiv) gekennzeichnet, sind meine subjektiven Einschätzungen, über die ich jederzeit gerne diskutieren würde (ebenso wie über die Qualität der Übersetzung).
Benutzerauthentifizierung
Seit 2017 hat die Anwendung von starker Authentifizierung in Benutzeranwendungen stark zugenommen, hauptsächlich aufgrund der Verfügbarkeit kryptographischer Authentifizierungsmethoden auf mobilen Geräten, obwohl ein etwas kleinerer Prozentsatz der Unternehmen starke Authentifizierung für Webanwendungen nutzt.
Insgesamt hat sich der Prozentsatz der Unternehmen, die starke Authentifizierung in ihrem Geschäft anwenden, seit 2017 von 5 % auf 16 % im Jahr 2018 verdreifacht (siehe Abbildung 3).

Die Möglichkeiten zur Nutzung strenger Authentifizierung für Webanwendungen sind bisher begrenzt (da nur die neuesten Versionen einiger Browser die Interaktion mit kryptographischen Tokens unterstützen. Dieses Problem kann jedoch durch die Installation zusätzlicher Software wie ) gelöst werden. Daher nutzen viele Unternehmen alternative Methoden zur Online-Authentifizierung, wie etwa mobile Apps, die Einmalpasswörter generieren.
Hardware-Kryptographietokens (hier sind nur die FIDO-konformen Tokens gemeint), wie sie von Google, Feitian, One Span und Yubico angeboten werden, können für die strenge Authentifizierung verwendet werden, ohne dass zusätzliche Software auf stationären Computern und Laptops installiert werden muss (da die meisten Browser bereits den FIDO WebAuthn-Standard unterstützen), doch nur 3 % der Unternehmen nutzen diese Möglichkeit für die Anmeldung ihrer Nutzer.
Ein Vergleich von kryptographischen Tokens (wie ) und Sicherheitskeys, die nach FIDO-Standards arbeiten, gehen über den Rahmen dieses Berichts und meiner Kommentare dazu hinaus. Kurz gesagt, nutzen beide Token-Typen ähnliche Algorithmen und Funktionsprinzipien. FIDO-Token werden momentan besser von Browser-Herstellern unterstützt, jedoch wird sich dies bald ändern, da immer mehr Browser Unterstützung bieten werden. . Im Gegensatz dazu sind klassische kryptografische Token durch einen PIN-Code geschützt, können elektronische Dokumente signieren und für die Zwei-Faktor-Authentifizierung in Windows (jeder Version), Linux und Mac OS X verwendet werden. Sie bieten APIs für verschiedene Programmiersprachen, die die Implementierung von 2FA und digitaler Signatur in Desktop-, mobilen und Webanwendungen ermöglichen. Tokens, die in Russland hergestellt werden, unterstützen die russischen GOST-Algorithmen. In jedem Fall ist ein kryptografischer Token, unabhängig davon, nach welchem Standard er erstellt wurde, die zuverlässigsten und praktischste Methode der Authentifizierung.



Neben der Sicherheit: Weitere Vorteile der strengen Authentifizierung
Es ist nicht überraschend, dass die Anwendung strenger Authentifizierung eng mit der Bedeutung der vom Unternehmen gespeicherten Daten verbunden ist. Unternehmen, die vertrauliche persönliche Informationen (personenbezogene Daten – PII) wie Sozialversicherungsnummern oder persönliche Gesundheitsinformationen (Personal Health Information – PHI) speichern, sehen sich dem größten rechtlichen und regulatorischen Druck ausgesetzt. Diese Unternehmen sind die entschiedensten Befürworter strenger Authentifizierung. Der Druck auf Unternehmen wird durch die Erwartungen der Kunden verstärkt, die sicherstellen möchten, dass die Organisationen, denen sie ihre sensibelsten Daten anvertrauen, zuverlässige Authentifizierungsmethoden verwenden. Organisationen, die sensible PII oder PHI verarbeiten, setzen mehr als doppelt so häufig strenge Authentifizierung ein als Organisationen, die nur Kontaktdaten der Nutzer speichern (Abbildung 7).

Leider möchten Unternehmen bisher keine zuverlässigen Authentifizierungsmethoden implementieren. Fast ein Drittel der Entscheidungsträger im Geschäftsbereich betrachtet Passwörter als die effektivste Methode zur Authentifizierung unter allen in Abbildung 9 aufgeführten, während 43 % Passwörter als die einfachste Authentifizierungsmethode ansehen.

Dieses Diagramm beweist, dass Entwickler von Geschäftsanwendungen weltweit ähnlich ticken… Sie sehen keinen Nutzen in der Umsetzung fortschrittlicher Zugriffsmechanismen und teilen dieselben Missverständnisse. Nur das Handeln der Regulierungsbehörden kann die Situation verändern.
Lassen wir die Passwörter außen vor. Aber woran muss man glauben, um zu denken, dass Sicherheitsfragen sicherer sind als kryptographische Tokens? Die Effizienz von Sicherheitsfragen, die leicht erraten werden können, wurde auf 15 % geschätzt, während nicht knackbare Tokens nur bei 10 % liegen. Hätten sie sich zumindest den Film 'Now You See Me' angesehen, auch wenn in allegorischer Form zeigt dieser, wie leicht Zauberer einem betrügerischen Geschäftsmann alle benötigten Antworten entlockten und ihn ohne Geld zurückließen.
Eine weitere interessante Tatsache, die viel über die Qualifikation derjenigen aussagt, die für die Sicherheitsmechanismen in Benutzeranwendungen verantwortlich sind: In ihrem Verständnis ist der Prozess der Eingabe eines Passworts eine einfachere Operation als die Authentifizierung mit einem kryptografischen Token. Dabei könnte es auf den ersten Blick einfacher erscheinen, ein Token an den USB-Port anzuschließen und einen einfachen PIN-Code einzugeben.
Es ist wichtig zu betonen, dass die Implementierung strenger Authentifizierung es Unternehmen ermöglicht, sich nicht mehr Gedanken über Authentifizierungsmethoden und -richtlinien machen zu müssen, die erforderlich sind, um betrügerische Schemata zu blockieren, sondern sich auf die tatsächlichen Bedürfnisse ihrer Kunden zu konzentrieren.
Während die Einhaltung von Vorschriften ein durchaus vernünftiger Hauptfokus sowohl für Unternehmen ist, die strenge Authentifizierung verwenden, als auch für diejenigen, die dies nicht tun, geben Unternehmen, die bereits strenge Authentifizierung nutzen, mit viel größerer Wahrscheinlichkeit an, dass die Steigerung der Kundenloyalität der wichtigste Indikator ist, den sie bei der Bewertung der Authentifizierungsmethode berücksichtigen. (18 % gegenüber 12 %) (siehe Abbildung 10).

Unternehmensauthentifizierung
Seit 2017 wächst die Einführung der strengen Authentifizierung in Unternehmen, jedoch etwas bescheidener als bei Verbraucheranwendungen. Der Anteil der Unternehmen, die strenge Authentifizierung verwenden, stieg von 7 % im Jahr 2017 auf 12 % im Jahr 2018. Im Unterschied zu Verbraucheranwendungen ist der Einsatz von passwortlosen Authentifizierungsmethoden in der Unternehmensumgebung in Webanwendungen etwas verbreiteter als in mobilen Anwendungen. Rund die Hälfte der Unternehmen berichtet, ausschließlich Benutzernamen und Passwörter für die Authentifizierung ihrer Benutzer beim Anmelden zu verwenden, wobei jeder Fünfte (22 %) sich auch ausschließlich auf Passwörter für die sekundäre Authentifizierung beim Zugriff auf besonders wichtige Daten verlässt.Das bedeutet, der Benutzer meldet sich zunächst bei der Anwendung mit einer einfacheren Authentifizierungsmethode an und muss, wenn er Zugang zu kritischen Daten erhalten möchte, eine weitere Authentifizierungsprozedur durchführen, wobei in diesem Fall in der Regel eine sicherere Methode verwendet wird.).

Es ist wichtig zu verstehen, dass der Bericht die Verwendung von kryptografischen Tokens zur Zwei-Faktor-Authentifizierung in den Betriebssystemen Windows, Linux und Mac OS X nicht berücksichtigt. Derzeit ist dies die gängigste Anwendung von 2FA. (Leider können Tokens, die nach FIDO-Standards erstellt wurden, 2FA nur für Windows 10 implementieren).
Während die Implementierung von 2FA in Online- und Mobilanwendungen ein umfassendes Maßnahmenpaket erfordert, einschließlich der Anpassung dieser Anwendungen, ist für die Einführung von 2FA in Windows lediglich die Konfiguration einer PKI (beispielsweise auf Basis des Microsoft Certification Server) und der Authentifizierungspolitik in AD erforderlich.
Da der Schutz des Zugangs zu Arbeits-PCs und Domänen ein wichtiger Bestandteil des Schutzes von Unternehmensdaten ist, nehmen die Implementierungen der Zwei-Faktor-Authentifizierung zu.
Die beiden häufigsten Methoden zur Benutzerauthentifizierung beim Anmelden sind einmalige Passwörter, die über eine separate Anwendung bereitgestellt werden (13 % der Unternehmen), sowie einmalige Passwörter, die per SMS zugestellt werden (12 %). Obwohl der Anteil der Nutzung beider Methoden sehr ähnlich ist, wird OTP SMS am häufigsten verwendet, um das Authentifizierungsniveau zu erhöhen (in 24 % der Unternehmen). (Abbildung 12).

Der Anstieg der Nutzung strenger Authentifizierung in Unternehmen ist wahrscheinlich auf die gestiegene Verfügbarkeit von Implementierungen kryptographischer Authentifizierungsmethoden auf Unternehmens-Identitätsmanagement-Plattformen zurückzuführen (einfacher gesagt – Unternehmens-SSO- und IAM-Systeme haben gelernt, Tokens zu verwenden).
Zur mobilen Authentifizierung von Mitarbeitern und Vertragspartnern setzen Unternehmen in deutlich höherem Maße auf Passwörter als bei der Authentifizierung in Verbraucheranwendungen. Etwas mehr als die Hälfte (53 %) der Unternehmen verwendet Passwörter zur Authentifizierung des Zugriffs auf Unternehmensdaten über mobile Geräte (Abbildung 13).
Im Fall von mobilen Geräten könnte man an die große Macht der Biometrie glauben, wenn nicht die zahlreichen Fälle von gefälschten Fingerabdrücken, Stimmen, Gesichtern und sogar Iriden wären. Eine Suchanfrage in einer Suchmaschine zeigt, dass es einfach keinen vertrauenswürdigen biometrischen Authentifizierungsweg gibt. Wirklich präzise Sensoren existieren zwar, sind aber sehr teuer und groß – und können nicht in Smartphones eingebaut werden.
Deshalb ist die einzige funktionierende Methode für die Zwei-Faktor-Authentifizierung (2FA) bei mobilen Geräten die Verwendung von kryptografischen Tokens, die über NFC-, Bluetooth- und USB Type-C-Schnittstellen mit dem Smartphone verbunden werden.

Der Schutz der Unternehmensfinanzen ist der Hauptgrund für Investitionen in passwortlose Authentifizierung (44 %) und verzeichnet das schnellste Wachstum seit 2017 (ein Anstieg um acht Prozentpunkte). Es folgen der Schutz geistigen Eigentums (40 %) und von Personal (HR)-Daten (39 %). Und das ist verständlich – nicht nur wird der Wert, der mit diesen Datentypen verbunden ist, allgemein anerkannt, sondern es arbeitet auch vergleichsweise nur eine kleine Anzahl von Mitarbeitern mit ihnen. Das bedeutet, dass die Implementierungskosten nicht so hoch sind, und es bedarf lediglich einiger Mitarbeiter, um mit einem komplexeren Authentifizierungssystem vertraut zu machen. Im Gegensatz dazu sind die Datentypen und Geräte, auf die die meisten Mitarbeiter eines Unternehmens üblicherweise zugreifen, nach wie vor ausschließlich durch Passwörter geschützt. Mitarbeiterdokumente, Arbeitsstationen und Unternehmens-E-Mail-Portale sind die Bereiche mit dem höchsten Risiko, da nur ein Viertel der Unternehmen diese Vermögenswerte durch passwortlose Authentifizierung absichert (Abbildung 14).

Generell ist die Unternehmens-E-Mail eine recht gefährliche und "löchrige" Sache, deren potenzielle Risiken von den meisten IT-Leitern unterschätzt werden. Täglich erhalten Mitarbeiter Dutzende von E-Mails, also warum sollte darunter nicht wenigstens eine Phishing-Nachricht sein (d.h. eine betrügerische)? Diese E-Mail wird im Stil der Unternehmenskommunikation gestaltet sein, sodass der Mitarbeiter bedenkenlos auf den Link in dieser Nachricht klicken könnte. Und dann kann alles Mögliche passieren, zum Beispiel das Herunterladen eines Virus auf das angegriffene Gerät oder der Diebstahl von Passwörtern (auch durch Social Engineering, indem die Benutzer in ein vom Angreifer erstelltes gefälschtes Authentifizierungsformular eingeben).
Um solche Vorfälle zu vermeiden, müssen E-Mails signiert werden. Dann ist auf einen Blick erkennbar, welche Nachricht von einem legitimen Mitarbeiter erstellt wurde und welche von einem Angreifer stammt. In Outlook/Exchange beispielsweise kann die elektronische Signatur auf Basis kryptografischer Tokens recht schnell und einfach aktiviert werden und kann zusammen mit der Zwei-Faktor-Authentifizierung für PCs und Windows-Domänen verwendet werden.
Unter den Führungskräften, die ausschließlich auf Passwort-Authentifizierung innerhalb des Unternehmens setzen, glauben zwei Drittel (66 %), dass Passwörter ausreichend Sicherheit für die Art von Informationen bieten, die ihr Unternehmen schützen muss (Abbildung 15).
Allerdings werden strengere Authentifizierungsmethoden immer verbreiteter. Dies liegt unter anderem daran, dass sie zunehmend zugänglich werden. Immer mehr Identitäts- und Zugangsmanagementsysteme (IAM), Browser und Betriebssysteme unterstützen die Authentifizierung mittels kryptographischer Tokens.
Ein weiteres Vorteil der strengen Authentifizierung ist, dass Passwörter nicht mehr verwendet werden (sie wurden durch einen einfachen PIN-Code ersetzt), was bedeutet, dass es keine Anfragen von Mitarbeitern mehr gibt, die um eine Passwortänderung bitten. Dies verringert wiederum die Belastung der IT-Abteilung des Unternehmens.

Ergebnisse und Schlussfolgerungen
- Führungskräfte verfügen oft nicht über das notwendige Wissen, um die tatsächliche Effektivität verschiedener Authentifizierungsoptionen zu bewerten. Sie neigen dazu, sich auf solche veralteten Schutzmethoden wie Passwörter und Sicherheitsfragen werden einfach weiterhin verwendet, weil „es früher funktioniert hat“.
- Die Benutzer verfügen noch über dieses Wissen in noch geringerem Maße, für sie zählt vor allem – die Einfachheit und Benutzerfreundlichkeit. Solange sie keinen Anreiz haben, sich für sicherere Lösungen zu entscheiden.
- , haben Entwickler von Benutzeranwendungen oft keinen Grund, um die Zwei-Faktor-Authentifizierung anstelle der Passwortauthentifizierung einzuführen. Der Wettbewerb um das Sicherheitsniveau in Benutzeranwendungen nicht vorhanden.
- Die gesamte Verantwortung für einen Hack liegt beim Benutzer.Wenn du ein Einmalpasswort an einen Angreifer weitergibst – bist du schuld.Wurde dein Passwort abgefangen oder beobachtet – bist du schuld.. Hast du von den Entwicklern nicht gefordert, zuverlässige Authentifizierungsmethoden in das Produkt zu implementieren – bist du schuld..
- Der richtige Regulierer sollte in erster Linie von den Unternehmen verlangen, Lösungen zu implementieren, die Datenlecks blockieren (insbesondere Zwei-Faktor-Authentifizierung), anstatt für eine bereits erfolgt Datenpanne zu bestrafen. Einige Softwareentwickler versuchen, den Verbrauchern
- alte und nicht besonders zuverlässige Lösungen in einer schönen Verpackung zu verkaufen. в красивой упаковке eines «innovativen» Produkts. Zum Beispiel die Authentifizierung über die Bindung an ein bestimmtes Smartphone oder die Nutzung biometrischer Verfahren. Wie aus dem Bericht hervorgeht, wirklich zuverlässig kann nur eine Lösung auf Basis einer strengen Authentifizierung sein, also kryptografischer Tokens.
- Der gleiche kryptografische Token kann für eine ganze Reihe von Aufgaben verwendet werden: für strenge Authentifizierung im Betriebssystem des Unternehmens, in Unternehmens- und Benutzeranwendungen, für elektronische Signaturen finanzieller Transaktionen (von großer Bedeutung für Bankanwendungen), Dokumente und E-Mails.
Quelle: habr.com
