Lastatempe, esplora kompanio Javelin Strategy & Research publikigis raporton, "La Ŝtato de Forta Aŭtentigo 2019." Ĝiaj kreintoj kolektis informojn pri kiaj aŭtentikigmetodoj estas uzataj en kompaniaj medioj kaj konsumantaj aplikoj, kaj ankaŭ faris interesajn konkludojn pri la estonteco de forta aŭtentigo.
Traduko de la unua parto kun la konkludoj de la aŭtoroj de la raporto, ni . Kaj nun ni prezentas al via atento la duan parton - kun datumoj kaj grafikaĵoj.
De la tradukinto
Mi ne komplete kopios la tutan samnoman blokon de la unua parto, sed mi ankoraŭ duobligos unu alineon.
Ĉiuj ciferoj kaj faktoj estas prezentitaj sen la plej etaj ŝanĝoj, kaj se vi ne konsentas kun ili, tiam estas pli bone diskuti ne kun la tradukisto, sed kun la aŭtoroj de la raporto. Kaj jen miaj komentoj (prezentitaj kiel citaĵoj, kaj markitaj en la teksto itala) estas mia valorjuĝo kaj mi volonte argumentos pri ĉiu el ili (kaj ankaŭ pri la kvalito de la traduko).
Uzanto Aŭtentigo
Ekde 2017, la uzo de forta aŭtentigo en konsumantaj aplikoj kreskis akre, plejparte pro la havebleco de kriptaj aŭtentikigmetodoj sur porteblaj aparatoj, kvankam nur iomete pli malgranda procento de kompanioj uzas fortan aŭtentikigon por interretaj aplikoj.
Ĝenerale, la procento de kompanioj uzantaj fortan aŭtentigon en sia komerco triobligis de 5% en 2017 ĝis 16% en 2018 (Figuro 3).
La kapablo uzi fortan aŭtentikigon por TTT-aplikoj ankoraŭ estas limigita (pro la fakto, ke nur tre novaj versioj de iuj retumiloj subtenas interagadon kun ĉifrikaj ĵetonoj, tamen ĉi tiu problemo povas esti solvita instalante plian programaron kiel ekzemple ), do multaj kompanioj uzas alternativajn metodojn por reta aŭtentigo, kiel programoj por porteblaj aparatoj, kiuj generas unufojajn pasvortojn.
Aparataj kriptografaj ŝlosiloj (ĉi tie ni signifas nur tiujn, kiuj konformas al FIDO-normoj), kiel tiuj ofertitaj de Google, Feitian, One Span, kaj Yubico povas esti uzataj por forta aŭtentigo sen instali kroman programaron sur labortablaj komputiloj kaj tekokomputiloj (ĉar plej multaj retumiloj jam subtenas la WebAuthn-normon de FIDO), sed nur 3% de kompanioj uzas ĉi tiun funkcion por ensaluti siajn uzantojn.
Komparo de kriptografaj ĵetonoj (kiel ) kaj sekretaj ŝlosiloj laborantaj laŭ FIDO-normoj estas preter la amplekso de ĉi tiu raporto, sed ankaŭ miaj komentoj al ĝi. Mallonge, ambaŭ specoj de ĵetonoj uzas similajn algoritmojn kaj funkciajn principojn. FIDO-ĵetonoj estas nuntempe pli bone subtenataj de retumiloj, kvankam ĉi tio baldaŭ ŝanĝiĝos kiam pli da retumiloj subtenas . Sed klasikaj kriptografaj ĵetonoj estas protektitaj per PIN-kodo, povas subskribi elektronikajn dokumentojn kaj esti uzataj por dufaktora aŭtentigo en Vindozo (iu ajn versio), Linukso kaj Mac OS X, havas API-ojn por diversaj programlingvoj, ebligante al vi efektivigi 2FA kaj elektronikan. subskribo en labortablaj, poŝtelefonaj kaj TTT-aplikoj, kaj ĵetonoj produktitaj en Rusio subtenas rusajn GOST-algoritmojn. Ĉiukaze, ĉifrika ĵetono, sendepende de kia normo ĝi estas kreita, estas la plej fidinda kaj oportuna aŭtentikiga metodo.
Preter Sekureco: Aliaj Avantaĝoj de Forta Aŭtentikigo
Ne estas surprize, ke la uzo de forta aŭtentigo estas proksime ligita al la graveco de la datumoj kiujn komercaj vendejoj. Firmaoj, kiuj stokas sentivajn Propre Identeblajn Informojn (PII), kiel ekzemple Sociajn Sekurecajn numerojn aŭ Personajn Sanajn Informojn (PHI), alfrontas la plej grandan laŭleĝan kaj reguligan premon. Ĉi tiuj estas la kompanioj, kiuj estas la plej agresemaj propagandantoj de forta aŭtentigo. Premo sur entreprenoj pliigas la atendojn de klientoj, kiuj volas scii, ke la organizoj, kiujn ili fidas kun siaj plej sentemaj datumoj, uzas fortajn aŭtentigajn metodojn. Organizoj kiuj pritraktas sentemajn PII aŭ PHI estas pli ol duoble pli probablaj uzi fortan aŭtentikigon ol organizoj kiuj stokas nur kontaktinformojn de uzantoj (Figuro 7).
Bedaŭrinde, kompanioj ankoraŭ ne volas efektivigi fortajn aŭtentigajn metodojn. Preskaŭ triono de komercaj deciduloj konsideras pasvortojn la plej efikan aŭtentikigmetodon inter ĉiuj listigitaj en Figuro 9, kaj 43% konsideras pasvortojn la plej simplan aŭtentikigmetodon.
Ĉi tiu diagramo pruvas al ni, ke la programistoj de komercaj aplikaĵoj tra la mondo estas la samaj... Ili ne vidas la avantaĝon de efektivigado de altnivelaj sekurecaj mekanismoj pri aliro al konto kaj kunhavas la samajn miskomprenojn. Kaj nur la agoj de regulistoj povas ŝanĝi la situacion.
Ni ne tuŝu pasvortojn. Sed kion vi devas kredi por kredi, ke sekurecaj demandoj estas pli sekuraj ol kriptografaj ĵetonoj? La efikeco de kontroldemandoj, kiuj estas simple elektitaj, estis taksita je 15%, kaj ne hakeblaj ĵetonoj - nur 10. Almenaŭ spektu la filmon "Iluzio de Trompo", kie, kvankam en alegoria formo, estas montrita kiel facile magiistoj. ellogis ĉiujn necesajn aferojn el komercisto-fraŭdisto respondoj kaj lasis lin sen mono.
Kaj unu plia fakto, kiu diras multon pri la kvalifikoj de tiuj, kiuj respondecas pri sekurecaj mekanismoj en uzantaj aplikaĵoj. Laŭ ilia kompreno, la procezo de enigo de pasvorto estas pli simpla operacio ol aŭtentikigo per kriptografa ĵetono. Kvankam, ŝajnus, ke povus esti pli simple konekti la ĵetonon al USB-haveno kaj enigi simplan PIN-kodon.
Grave, efektivigi fortan aŭtentikigon permesas al entreprenoj malproksimiĝi de pensi pri la aŭtentikigmetodoj kaj funkciaj reguloj necesaj por bloki fraŭdajn kabalojn por renkonti la realajn bezonojn de siaj klientoj.
Dum reguliga observo estas akceptebla ĉefprioritato por ambaŭ entreprenoj kiuj uzas fortan aŭtentikigon kaj tiuj kiuj ne faras, kompanioj kiuj jam uzas fortan aŭtentikigon multe pli verŝajne diras, ke pliigi klientlojalecon estas la plej grava metriko, kiun ili konsideras kiam ili taksas aŭtentikigon. metodo. (18% kontraŭ 12%) (Figuro 10).
Entreprena Aŭtentigo
Ekde 2017, la adopto de forta aŭtentigo en entreprenoj kreskas, sed kun iom pli malalta rapideco ol por konsumantaj aplikoj. La proporcio de entreprenoj uzantaj fortan aŭtentikigon pliiĝis de 7% en 2017 ĝis 12% en 2018. Male al konsumantaj aplikoj, en la entreprena medio la uzo de ne-pasvortaj aŭtentikigmetodoj estas iom pli ofta en retejo-aplikoj ol en porteblaj aparatoj. Proksimume duono de entreprenoj raportas uzi nur uzantnomojn kaj pasvortojn por aŭtentikigi siajn uzantojn dum ensaluto, kun unu el kvin (22%) ankaŭ dependas nur de pasvortoj por sekundara aŭtentigo dum aliro al sentemaj datumoj (tio estas, la uzanto unue ensalutas en la aplikaĵon uzante pli simplan aŭtentikigmetodon, kaj se li volas akiri aliron al kritikaj datumoj, li faros alian aŭtentigan proceduron, ĉi-foje kutime uzante pli fidindan metodon.).
Vi devas kompreni, ke la raporto ne konsideras la uzon de kriptografaj ĵetonoj por dufaktora aŭtentigo en la operaciumoj Vindozo, Linukso kaj Mac OS X. Kaj ĉi tio estas nuntempe la plej disvastigita uzo de 2FA. (Ve, ĵetonoj kreitaj laŭ FIDO-normoj povas efektivigi 2FA nur por Windows 10).
Krome, se la efektivigo de 2FA en interretaj kaj moveblaj aplikoj postulas aron da mezuroj, inkluzive de la modifo de ĉi tiuj aplikoj, tiam por efektivigi 2FA en Vindozo vi nur bezonas agordi PKI (ekzemple, bazitan sur Microsoft Certification Server) kaj aŭtentikigpolitikojn. en AD.
Kaj ĉar protekti la ensaluton al laborkomputilo kaj domajno estas grava elemento por protekti kompaniajn datumojn, la efektivigo de dufaktora aŭtentikigo fariĝas pli kaj pli ofta.
La sekvaj du plej oftaj metodoj por aŭtentikigi uzantojn dum ensaluto estas unufojaj pasvortoj provizitaj per aparta programo (13% de entreprenoj) kaj unufojaj pasvortoj liveritaj per SMS (12%). Malgraŭ la fakto, ke la procento de uzo de ambaŭ metodoj estas tre simila, OTP SMS estas plej ofte uzata por pliigi la nivelon de rajtigo (en 24% de kompanioj). (Figuro 12).
La pliiĝo en la uzo de forta aŭtentikigo en la entrepreno verŝajne povas esti atribuita al la pliigita havebleco de kriptaj konfirmefektivigoj en entreprenaj identecadministradplatformoj (alivorte, entreprenaj SSO kaj IAM-sistemoj lernis uzi ĵetonojn).
Por poŝtelefona aŭtentigo de dungitoj kaj entreprenistoj, entreprenoj fidas pli multe je pasvortoj ol por aŭtentigo en konsumantaj aplikoj. Iom pli ol duono (53%) de entreprenoj uzas pasvortojn kiam aŭtentikigas uzantaliron al kompanio-datumoj per poŝtelefono (Figuro 13).
En la kazo de porteblaj aparatoj, oni kredus je la granda potenco de biometrio, se ne por la multaj kazoj de falsaj fingrospuroj, voĉoj, vizaĝoj kaj eĉ irisoj. Unu serĉilo-demando malkaŝos, ke fidinda metodo de biometria aŭtentikigo simple ne ekzistas. Vere precizaj sensiloj, kompreneble, ekzistas, sed ili estas tre multekostaj kaj grandaj en grandeco - kaj ne estas instalitaj en saĝtelefonoj.
Sekve, la sola funkcianta 2FA-metodo en porteblaj aparatoj estas la uzo de kriptografaj ĵetonoj, kiuj konektas al la inteligenta telefono per interfacoj NFC, Bluetooth kaj USB Tipo-C.
Protekti financajn datumojn de kompanio estas la ĉefa kialo por investi en senpasvorta aŭtentikigo (44%), kun la plej rapida kresko ekde 2017 (pliiĝo de ok elcentaj punktoj). Sekvas la protekto de intelekta proprieto (40%) kaj personaro (HR) datumoj (39%). Kaj estas klare kial - ne nur la valoro asociita kun ĉi tiuj tipoj de datumoj estas vaste rekonita, sed relative malmultaj dungitoj laboras kun ili. Tio estas, la efektivigkostoj ne estas tiom grandaj, kaj nur kelkaj homoj devas esti trejnitaj por labori kun pli kompleksa aŭtentikiga sistemo. Kontraste, la specoj de datumoj kaj aparatoj, kiujn la plej multaj entreprenaj dungitoj rutine aliras, ankoraŭ estas protektitaj nur per pasvortoj. Dungitaj dokumentoj, laborstacioj kaj kompaniaj retpoŝtaj portaloj estas la areoj de plej granda risko, ĉar nur kvarono de entreprenoj protektas ĉi tiujn aktivaĵojn per senpasvorta aŭtentigo (Figuro 14).
Ĝenerale, kompania retpoŝto estas tre danĝera kaj lika afero, kies grado de ebla danĝero estas subtaksata de plej multaj CIO-oj. Dungitoj ricevas dekojn da retpoŝtoj ĉiutage, do kial ne inkluzivi almenaŭ unu retpoŝton pri phishing (tio estas fraŭda) inter ili. Ĉi tiu letero estos formatita en la stilo de firmaaj leteroj, do la dungito sentos sin komforta klakante la ligilon en ĉi tiu letero. Nu, tiam io ajn povas okazi, ekzemple, elŝuti viruson sur la atakitan maŝinon aŭ liki pasvortojn (inkluzive per socia inĝenierado, enmetante falsan aŭtentikigformularon kreitan de la atakanto).
Por malhelpi tiajn aferojn okazi, retpoŝtoj devas esti subskribitaj. Tiam tuj estos klare, kiu letero estis kreita de legitima dungito kaj kiu de atakanto. En Outlook/Exchange, ekzemple, kriptografaj ĵeton-bazitaj elektronikaj subskriboj estas ebligitaj sufiĉe rapide kaj facile kaj povas esti uzataj kune kun dufaktora aŭtentigo tra komputiloj kaj Windows-domajnoj.
Inter tiuj ekzekutivoj, kiuj dependas nur de pasvorta aŭtentigo ene de la entrepreno, du trionoj (66%) faras tion ĉar ili kredas, ke pasvortoj provizas sufiĉan sekurecon por la speco de informoj, kiun ilia kompanio bezonas protekti (Figuro 15).
Sed fortaj aŭtentikigmetodoj iĝas pli oftaj. Plejparte pro la fakto, ke ilia havebleco pliiĝas. Pliiĝanta nombro da sistemoj de identeco kaj aliradministrado (IAM), retumiloj kaj operaciumoj subtenas aŭtentikigon per kriptografaj ĵetonoj.
Forta aŭtentigo havas alian avantaĝon. Ĉar la pasvorto ne plu estas uzata (anstataŭigita per simpla PIN), ne ekzistas petoj de dungitoj petante ilin ŝanĝi la forgesitan pasvorton. Kiu siavice reduktas la ŝarĝon sur la IT-fako de la entrepreno.
Rezultoj kaj konkludoj
- Manaĝeroj ofte ne havas la necesajn sciojn por taksi reala efikeco de diversaj aŭtentigaj elektoj. Ili kutimas fidi tiajn malmoderna sekurecaj metodoj kiel pasvortoj kaj sekurecaj demandoj simple ĉar "ĝi funkciis antaŭe."
- Uzantoj ankoraŭ havas ĉi tiun scion malpli, por ili la ĉefa afero estas simpleco kaj komforto. Tiel longe kiel ili ne havas instigon elekti pli sekuraj solvoj.
- Programistoj de kutimaj aplikoj ofte nenialefektivigi dufaktoran aŭtentikigon anstataŭ pasvortan aŭtentikigon. Konkurado en la nivelo de protekto en uzantaj aplikaĵoj neniu.
- Plena respondeco pri la hako ŝanĝita al la uzanto. Donis la unufojan pasvorton al la atakanto - kulpigi. Via pasvorto estis kaptita aŭ spionita - kulpigi. Ne postulis, ke la programisto uzu fidindajn aŭtentigajn metodojn en la produkto - kulpigi.
- Ĝuste reguligisto Unue devus postuli kompaniojn efektivigi solvojn tion bloko datumfuĝoj (aparte dufaktora aŭtentigo), prefere ol puni jam okazis datumfluo.
- Iuj programistoj provas vendi al konsumantoj malnovaj kaj ne precipe fidindaj solvoj en bela pakaĵo "noviga" produkto. Ekzemple, aŭtentigo per ligado al specifa inteligenta telefono aŭ uzante biometrikon. Kiel videblas el la raporto, laŭ vere fidinda Povas ekzisti nur solvo bazita sur forta aŭtentigo, tio estas, kriptografaj ĵetonoj.
- La sama kriptografa ĵetono povas esti uzata por kelkaj taskoj: por forta aŭtentigo en la entreprena operaciumo, en kompaniaj kaj uzantaj aplikoj, por elektronika subskribo financaj transakcioj (gravaj por bankaplikoj), dokumentoj kaj retpoŝto.
fonto: www.habr.com