Recientemente, la empresa de investigación Javelin Strategy & Research publicó un informe, "El estado de la autenticación sólida 2019". Sus creadores recopilaron información sobre qué métodos de autenticación se utilizan en entornos corporativos y aplicaciones de consumo, y también sacaron conclusiones interesantes sobre el futuro de la autenticación sólida.
Traducción de la primera parte con las conclusiones de los autores del informe, podemos . Y ahora les presentamos la segunda parte, con datos y gráficos.
Del traductor
No copiaré completamente todo el bloque del mismo nombre de la primera parte, pero sí duplicaré un párrafo.
Todas las cifras y hechos se presentan sin el menor cambio, y si no está de acuerdo con ellos, es mejor discutir no con el traductor, sino con los autores del informe. Y aquí están mis comentarios (presentados como citas y marcados en el texto). italiano) son mi juicio de valor y estaré encantado de discutir sobre cada uno de ellos (así como sobre la calidad de la traducción).
Autenticacion de usuario
Desde 2017, el uso de autenticación sólida en aplicaciones de consumo ha aumentado considerablemente, en gran parte debido a la disponibilidad de métodos de autenticación criptográfica en dispositivos móviles, aunque solo un porcentaje ligeramente menor de empresas utiliza autenticación sólida para aplicaciones de Internet.
En general, el porcentaje de empresas que utilizan autenticación segura en sus negocios se triplicó del 5% en 2017 al 16% en 2018 (Figura 3).
La capacidad de utilizar autenticación segura para aplicaciones web aún es limitada (Debido al hecho de que solo las versiones muy nuevas de algunos navegadores admiten la interacción con tokens criptográficos, sin embargo, este problema se puede resolver instalando software adicional como ), por lo que muchas empresas utilizan métodos alternativos para la autenticación en línea, como programas para dispositivos móviles que generan contraseñas de un solo uso.
Claves criptográficas de hardware (aquí nos referimos sólo a aquellos que cumplen con los estándares FIDO), como los que ofrecen Google, Feitian, One Span y Yubico, se pueden utilizar para una autenticación sólida sin instalar software adicional en computadoras de escritorio y portátiles (porque la mayoría de los navegadores ya soportan el estándar WebAuthn de FIDO), pero sólo el 3% de las empresas utiliza esta función para iniciar sesión en sus usuarios.
Comparación de tokens criptográficos (como ) y claves secretas que funcionan según los estándares FIDO está fuera del alcance de este informe, pero también de mis comentarios al mismo. En resumen, ambos tipos de tokens utilizan algoritmos y principios operativos similares. Actualmente, los proveedores de navegadores admiten mejor los tokens FIDO, aunque esto pronto cambiará a medida que más navegadores los admitan. . Pero los tokens criptográficos clásicos están protegidos por un código PIN, pueden firmar documentos electrónicos y usarse para la autenticación de dos factores en Windows (cualquier versión), Linux y Mac OS X, tienen API para varios lenguajes de programación, lo que le permite implementar 2FA y electrónica. la firma en aplicaciones de escritorio, móviles y web, y los tokens producidos en Rusia admiten los algoritmos GOST rusos. En cualquier caso, un token criptográfico, independientemente del estándar con el que se cree, es el método de autenticación más fiable y conveniente.
Más allá de la seguridad: otros beneficios de una autenticación sólida
No sorprende que el uso de una autenticación fuerte esté estrechamente relacionado con la importancia de los datos que almacena una empresa. Las empresas que almacenan información de identificación personal (PII) confidencial, como números de seguridad social o información de salud personal (PHI), enfrentan la mayor presión legal y regulatoria. Estas son las empresas que defienden más agresivamente la autenticación fuerte. La presión sobre las empresas se ve aumentada por las expectativas de los clientes que quieren saber que las organizaciones a las que confían sus datos más confidenciales utilizan métodos de autenticación sólidos. Las organizaciones que manejan PII o PHI confidenciales tienen más del doble de probabilidades de utilizar una autenticación sólida que las organizaciones que solo almacenan la información de contacto de los usuarios (Figura 7).
Desafortunadamente, las empresas aún no están dispuestas a implementar métodos de autenticación sólidos. Casi un tercio de los tomadores de decisiones empresariales considera que las contraseñas son el método de autenticación más efectivo entre todos los enumerados en la Figura 9, y el 43% considera que las contraseñas son el método de autenticación más simple.
Este gráfico nos demuestra que los desarrolladores de aplicaciones empresariales de todo el mundo son iguales... No ven el beneficio de implementar mecanismos avanzados de seguridad de acceso a cuentas y comparten los mismos conceptos erróneos. Y sólo las acciones de los reguladores pueden cambiar la situación.
No toquemos las contraseñas. Pero, ¿qué hay que creer para creer que las preguntas de seguridad son más seguras que los tokens criptográficos? La efectividad de las preguntas de control, que simplemente se seleccionan, se estimó en un 15%, y las fichas no pirateables, solo en un 10%. Al menos mire la película "La ilusión del engaño", donde, aunque en forma alegórica, se muestra con qué facilidad los magos Sacó todas las cosas necesarias de las respuestas de un empresario-estafador y lo dejó sin dinero.
Y un dato más que dice mucho sobre la cualificación de quienes se encargan de los mecanismos de seguridad en las aplicaciones de los usuarios. Según ellos, el proceso de ingresar una contraseña es una operación más simple que la autenticación mediante un token criptográfico. Aunque parecería que sería más sencillo conectar el token a un puerto USB e introducir un código PIN simple.
Es importante destacar que la implementación de una autenticación sólida permite a las empresas dejar de pensar en los métodos de autenticación y las reglas operativas necesarias para bloquear esquemas fraudulentos y satisfacer las necesidades reales de sus clientes.
Si bien el cumplimiento normativo es una prioridad razonable tanto para las empresas que utilizan una autenticación sólida como para las que no, es mucho más probable que las empresas que ya utilizan una autenticación sólida digan que aumentar la lealtad del cliente es la métrica más importante que consideran al evaluar una autenticación. método. (18% vs. 12%) (Figura 10).
Autenticación empresarial
Desde 2017, la adopción de autenticación sólida en las empresas ha ido creciendo, pero a un ritmo ligeramente menor que para las aplicaciones de consumo. La proporción de empresas que utilizan autenticación segura aumentó del 7% en 2017 al 12% en 2018. A diferencia de las aplicaciones de consumo, en el entorno empresarial el uso de métodos de autenticación sin contraseña es algo más común en aplicaciones web que en dispositivos móviles. Aproximadamente la mitad de las empresas informan que utilizan únicamente nombres de usuario y contraseñas para autenticar a sus usuarios cuando inician sesión, y una de cada cinco (22%) también depende únicamente de contraseñas para la autenticación secundaria cuando accede a datos confidenciales (es decir, el usuario primero inicia sesión en la aplicación utilizando un método de autenticación más simple y, si desea obtener acceso a datos críticos, realizará otro procedimiento de autenticación, esta vez generalmente utilizando un método más confiable.).
Debe comprender que el informe no tiene en cuenta el uso de tokens criptográficos para la autenticación de dos factores en los sistemas operativos Windows, Linux y Mac OS X. Y este es actualmente el uso más extendido de 2FA. (Por desgracia, los tokens creados según los estándares FIDO pueden implementar 2FA solo para Windows 10).
Además, si la implementación de 2FA en aplicaciones móviles y en línea requiere un conjunto de medidas, incluida la modificación de estas aplicaciones, entonces para implementar 2FA en Windows solo necesita configurar PKI (por ejemplo, basada en Microsoft Certification Server) y políticas de autenticación. en anuncio.
Y dado que proteger el inicio de sesión en una PC y un dominio del trabajo es un elemento importante para proteger los datos corporativos, la implementación de la autenticación de dos factores es cada vez más común.
Los siguientes dos métodos más comunes para autenticar a los usuarios al iniciar sesión son las contraseñas de un solo uso proporcionadas a través de una aplicación separada (13% de las empresas) y las contraseñas de un solo uso enviadas a través de SMS (12%). A pesar de que el porcentaje de uso de ambos métodos es muy similar, los SMS OTP son los más utilizados para aumentar el nivel de autorización (en el 24% de las empresas). (Figura 12).
El aumento en el uso de autenticación fuerte en la empresa probablemente puede atribuirse a la mayor disponibilidad de implementaciones de autenticación criptográfica en las plataformas de gestión de identidades empresariales (en otras palabras, los sistemas SSO e IAM empresariales han aprendido a utilizar tokens).
Para la autenticación móvil de empleados y contratistas, las empresas dependen más de las contraseñas que para la autenticación en aplicaciones de consumo. Poco más de la mitad (53%) de las empresas utilizan contraseñas al autenticar el acceso de los usuarios a los datos de la empresa a través de un dispositivo móvil (Figura 13).
En el caso de los dispositivos móviles, uno creería en el gran poder de la biometría, si no fuera por los numerosos casos de huellas dactilares, voces, rostros e incluso iris falsos. Una consulta en un motor de búsqueda revelará que simplemente no existe un método confiable de autenticación biométrica. Por supuesto, existen sensores verdaderamente precisos, pero son muy caros y de gran tamaño, y no están instalados en los teléfonos inteligentes.
Por lo tanto, el único método 2FA que funciona en dispositivos móviles es el uso de tokens criptográficos que se conectan al teléfono inteligente a través de interfaces NFC, Bluetooth y USB tipo C.
La protección de los datos financieros de una empresa es la principal razón para invertir en autenticación sin contraseña (44%), con el crecimiento más rápido desde 2017 (un aumento de ocho puntos porcentuales). Le sigue la protección de la propiedad intelectual (40%) y los datos personales (RRHH) (39%). Y está claro por qué: no sólo se reconoce ampliamente el valor asociado a este tipo de datos, sino que relativamente pocos empleados trabajan con ellos. Es decir, los costos de implementación no son tan grandes y solo es necesario capacitar a unas pocas personas para trabajar con un sistema de autenticación más complejo. Por el contrario, los tipos de datos y dispositivos a los que acceden habitualmente la mayoría de los empleados empresariales todavía están protegidos únicamente por contraseñas. Los documentos de los empleados, las estaciones de trabajo y los portales de correo electrónico corporativo son las áreas de mayor riesgo, ya que solo una cuarta parte de las empresas protegen estos activos con autenticación sin contraseña (Figura 14).
En general, el correo electrónico corporativo es algo muy peligroso y con filtraciones, cuyo grado de peligro potencial es subestimado por la mayoría de los CIO. Los empleados reciben decenas de correos electrónicos cada día, así que ¿por qué no incluir al menos un correo electrónico de phishing (es decir, fraudulento) entre ellos? Esta carta tendrá el formato de las cartas de la empresa, por lo que el empleado se sentirá cómodo haciendo clic en el enlace de esta carta. Bueno, entonces puede pasar cualquier cosa, por ejemplo, descargar un virus en la máquina atacada o filtrar contraseñas (incluso mediante ingeniería social, ingresando un formulario de autenticación falso creado por el atacante).
Para evitar que sucedan cosas como esta, los correos electrónicos deben estar firmados. Entonces quedará inmediatamente claro qué carta fue creada por un empleado legítimo y cuál por un atacante. En Outlook/Exchange, por ejemplo, las firmas electrónicas basadas en tokens criptográficos se habilitan con bastante rapidez y facilidad y se pueden usar junto con la autenticación de dos factores en PC y dominios de Windows.
Entre los ejecutivos que dependen únicamente de la autenticación de contraseñas dentro de la empresa, dos tercios (66%) lo hacen porque creen que las contraseñas brindan suficiente seguridad para el tipo de información que su empresa necesita proteger (Figura 15).
Pero los métodos de autenticación fuertes son cada vez más comunes. En gran parte debido a que su disponibilidad está aumentando. Un número cada vez mayor de sistemas de gestión de identidad y acceso (IAM), navegadores y sistemas operativos admiten la autenticación mediante tokens criptográficos.
La autenticación sólida tiene otra ventaja. Dado que la contraseña ya no se utiliza (se reemplaza con un PIN simple), no hay solicitudes de los empleados para cambiar la contraseña olvidada. Lo que a su vez reduce la carga del departamento de TI de la empresa.
Resultados y conclusiones
- Los gerentes a menudo no tienen el conocimiento necesario para evaluar real efectividad de varias opciones de autenticación. Están acostumbrados a confiar en tales obsoleto métodos de seguridad como contraseñas y preguntas de seguridad simplemente porque "funcionaban antes".
- Los usuarios todavía tienen este conocimiento. menos, para ellos lo principal es simplicidad y conveniencia. Mientras no tengan incentivos para elegir soluciones más seguras.
- Los desarrolladores de aplicaciones personalizadas a menudo Sin razónimplementar la autenticación de dos factores en lugar de la autenticación de contraseña. Competencia en el nivel de protección en las aplicaciones de usuario. No.
- Total responsabilidad por el hack. trasladado al usuario. Le dio la contraseña de un solo uso al atacante. es el culpable. Su contraseña fue interceptada o espiada - es el culpable. No requería que el desarrollador utilizara métodos de autenticación confiables en el producto. es el culpable.
- A la derecha regulador в первую очередь debería exigir a las empresas que implementen soluciones que bloquear fugas de datos (en particular la autenticación de dos factores), en lugar de castigar ya pasó fuga de datos.
- Algunos desarrolladores de software están intentando vender a los consumidores. viejo y no particularmente confiable soluciones en un hermoso empaque "producto innovador. Por ejemplo, autenticación mediante vinculación a un teléfono inteligente específico o mediante biometría. Como se desprende del informe, según verdaderamente confiable Sólo puede haber una solución basada en una autenticación fuerte, es decir, tokens criptográficos.
- Lo mismo El token criptográfico se puede utilizar para una serie de tareas: por autenticación fuerte en el sistema operativo empresarial, en aplicaciones corporativas y de usuario, para firma electronica transacciones financieras (importantes para aplicaciones bancarias), documentos y correo electrónico.
Fuente: habr.com