Hiljuti avaldas uuringufirma Javelin Strategy & Research aruande "Tugeva autentimise seisund 2019". Selle loojad kogusid teavet selle kohta, milliseid autentimismeetodeid kasutatakse ettevõtete keskkondades ja tarbijarakendustes, ning tegid ka huvitavaid järeldusi tugeva autentimise tuleviku kohta.
Esimese osa tõlge koos raporti autorite järeldustega, me . Ja nüüd tutvustame teie tähelepanu teisele osale - andmete ja graafikutega.
Tõlkija käest
Ma ei kopeeri tervet samanimelist plokki esimesest osast täielikult, kuid dubleerin siiski ühe lõigu.
Kõik arvud ja faktid on esitatud ilma vähimate muudatusteta ja kui te nendega ei nõustu, siis on parem vaielda mitte tõlkija, vaid aruande autoritega. Ja siin on minu kommentaarid (esitatud tsitaatidena ja märgitud tekstis itaalia keel) on minu väärtushinnangud ja vaitlen hea meelega igaühe üle (nagu ka tõlke kvaliteedi üle).
Kasutaja autentimine
Alates 2017. aastast on tugeva autentimise kasutamine tarbijarakendustes järsult kasvanud, suuresti tänu krüptograafiliste autentimismeetodite kättesaadavusele mobiilseadmetes, kuigi vaid veidi väiksem protsent ettevõtetest kasutab tugevat autentimist internetirakenduste jaoks.
Üldiselt kolmekordistus oma äritegevuses tugevat autentimist kasutavate ettevõtete osakaal 5%-lt 2017. aastal 16%-le 2018. aastal (joonis 3).
Võimalus kasutada veebirakenduste jaoks tugevat autentimist on endiselt piiratud (kuna ainult mõnede brauserite väga uued versioonid toetavad krüptograafiliste märkidega suhtlemist, saab selle probleemi siiski lahendada lisatarkvara installimisega, näiteks ), seetõttu kasutavad paljud ettevõtted võrguautentimiseks alternatiivseid meetodeid, näiteks mobiilseadmete jaoks mõeldud programme, mis genereerivad ühekordseid paroole.
Riistvara krüptograafilised võtmed (siin peame silmas ainult neid, mis vastavad FIDO standarditele), mida pakuvad Google, Feitian, One Span ja Yubico, saab kasutada tugevaks autentimiseks ilma täiendavat tarkvara installimata laua- ja sülearvutitesse (sest enamik brausereid toetab juba FIDO WebAuthni standardit), kuid ainult 3% ettevõtetest kasutab seda funktsiooni oma kasutajate sisselogimiseks.
Krüptograafiliste märkide (nt ) ja salajased võtmed, mis töötavad vastavalt FIDO standarditele, ei kuulu käesoleva aruande raamidesse, aga ka minu kommentaarid selle kohta. Lühidalt öeldes kasutavad mõlemat tüüpi märgid sarnaseid algoritme ja tööpõhimõtteid. Brauseri müüjad toetavad praegu FIDO märke paremini, kuigi see muutub peagi, kui rohkem brausereid toetab . Kuid klassikalised krüptograafilised märgid on kaitstud PIN-koodiga, võivad allkirjastada elektroonilisi dokumente ja neid saab kasutada kahefaktoriliseks autentimiseks Windowsis (mis tahes versioon), Linuxis ja Mac OS X-is, neil on API-liidesed erinevate programmeerimiskeelte jaoks, mis võimaldab teil rakendada 2FA ja elektroonilist allkiri töölaua-, mobiili- ja veebirakendustes ning Venemaal toodetud märgid toetavad Venemaa GOST-algoritme. Igal juhul on krüptograafiline token, olenemata sellest, millise standardi järgi see on loodud, kõige usaldusväärsem ja mugavam autentimismeetod.
Lisaks turvalisusele: tugeva autentimise muud eelised
Pole üllatav, et tugeva autentimise kasutamine on tihedalt seotud ettevõtte salvestatavate andmete tähtsusega. Ettevõtted, mis säilitavad tundlikku isikut tuvastavat teavet (PII), nagu sotsiaalkindlustuse numbrid või isiklikud terviseandmed (PHI), seisavad silmitsi suurima juriidilise ja regulatiivse survega. Need on ettevõtted, kes on tugeva autentimise kõige agressiivsemad pooldajad. Survet ettevõtetele suurendavad klientide ootused, kes tahavad teada, et organisatsioonid, kellele nad usaldavad oma kõige tundlikumaid andmeid, kasutavad tugevaid autentimismeetodeid. Tundlikke isikut tuvastavaid isikuandmeid või isikuandmeid käsitlevad organisatsioonid kasutavad tugevat autentimist kaks korda tõenäolisemalt kui organisatsioonid, mis salvestavad ainult kasutajate kontaktteavet (joonis 7).
Kahjuks ei ole ettevõtted veel nõus tugevaid autentimismeetodeid rakendama. Peaaegu kolmandik äriotsuste langetajatest peab paroole kõige tõhusamaks autentimismeetodiks kõigist joonisel 9 loetletud meetoditest ja 43% peab paroole kõige lihtsamaks autentimismeetodiks.
See diagramm tõestab meile, et ärirakenduste arendajad üle maailma on samad... Nad ei näe täiustatud kontole juurdepääsu turvamehhanismide rakendamisest kasu ja jagavad samu väärarusaamu. Ja ainult regulaatorite tegevus võib olukorda muuta.
Ärgem puudutagem paroole. Kuid mida peate uskuma, et uskuda, et turvaküsimused on turvalisemad kui krüptomärgid? Lihtsalt valitud kontrollküsimuste tõhusus oli hinnanguliselt 15%, mitte häkitavate žetoonide puhul - ainult 10. Vaadake vähemalt filmi "Petmise illusioon", kus, kuigi allegoorilises vormis, näidatakse, kui kergesti võlurid on meelitas ärimehe-petturi vastustest kõik vajalikud asjad välja ja jättis ta rahata.
Ja veel üks fakt, mis ütleb palju kasutajarakenduste turvamehhanismide eest vastutavate inimeste kvalifikatsiooni kohta. Nende arusaamade kohaselt on parooli sisestamise protsess lihtsam toiming kui autentimine krüptomärgi abil. Kuigi näib, et lihtsam on ühendada žetoon USB-porti ja sisestada lihtne PIN-kood.
Oluline on see, et tugeva autentimise rakendamine võimaldab ettevõtetel loobuda pettusskeemide blokeerimiseks vajalike autentimismeetodite ja tegevusreeglite mõtlemisest klientide tegelike vajaduste rahuldamiseks.
Kuigi eeskirjade järgimine on mõistlik prioriteet nii tugevat autentimist kasutavate kui ka mitte kasutavate ettevõtete jaoks, väidavad juba tugevat autentimist kasutavad ettevõtted palju tõenäolisemalt, et klientide lojaalsuse suurendamine on kõige olulisem mõõdik, mida nad autentimise hindamisel arvesse võtavad. meetod. (18% vs 12%) (joonis 10).
Ettevõtte autentimine
Alates 2017. aastast on tugeva autentimise kasutuselevõtt ettevõtetes kasvanud, kuid veidi aeglasemalt kui tarbijarakenduste puhul. Tugevat autentimist kasutavate ettevõtete osakaal kasvas 7. aasta 2017%-lt 12. aastal 2018%-le. Erinevalt tarbijarakendustest on ettevõttekeskkonnas paroolivaba autentimismeetodite kasutamine veebirakendustes mõnevõrra levinum kui mobiilseadmetes. Umbes pooled ettevõtetest teatavad, et kasutavad sisselogimisel kasutajate autentimiseks ainult kasutajanimesid ja paroole, kusjuures iga viies (22%) tugineb tundlikele andmetele juurdepääsul ainult paroolidele teiseseks autentimiseks (see tähendab, et kasutaja logib esmalt rakendusse sisse lihtsama autentimismeetodi abil ja kui ta soovib pääseda ligi kriitilistele andmetele, teeb ta teise autentimisprotseduuri, seekord tavaliselt usaldusväärsema meetodiga).
Peate mõistma, et aruanne ei võta arvesse krüptomärkide kasutamist kahefaktorilise autentimise jaoks operatsioonisüsteemides Windows, Linux ja Mac OS X. Ja see on praegu 2FA kõige levinum kasutus. (Paraku saavad FIDO standardite kohaselt loodud märgid rakendada 2FA-d ainult Windows 10 jaoks).
Veelgi enam, kui 2FA juurutamine võrgu- ja mobiilirakendustes nõuab meetmete komplekti, sealhulgas nende rakenduste muutmist, siis 2FA juurutamiseks Windowsis peate konfigureerima ainult PKI (näiteks Microsoft Certification Serveril põhineva) ja autentimispoliitikad. aastal AD.
Ja kuna tööarvuti ja domeeni sisselogimise kaitsmine on ettevõtte andmete kaitsmise oluline element, on kahefaktorilise autentimise rakendamine muutumas üha tavalisemaks.
Järgmised kaks levinumat meetodit kasutajate autentimiseks sisselogimisel on ühekordsed paroolid, mis antakse eraldi rakenduse kaudu (13% ettevõtetest) ja ühekordsed paroolid, mis edastatakse SMS-iga (12%). Vaatamata sellele, et mõlema meetodi kasutusprotsent on väga sarnane, kasutatakse volituste taseme tõstmiseks kõige sagedamini OTP SMS-i (24% ettevõtetest). (Joonis 12).
Tugeva autentimise kasutuse kasvu ettevõttes võib tõenäoliselt seostada krüptograafilise autentimise juurutuste suurenenud kättesaadavusega ettevõtte identiteedihaldusplatvormides (teisisõnu, ettevõtte SSO- ja IAM-süsteemid on õppinud tokeneid kasutama).
Töötajate ja töövõtjate mobiilsel autentimisel toetuvad ettevõtted rohkem paroolidele kui tarbijarakendustes autentimisele. Veidi üle poole (53%) ettevõtetest kasutavad paroole, et autentida kasutajate juurdepääsu ettevõtte andmetele läbi mobiilseadme (Joonis 13).
Mobiilseadmete puhul võiks uskuda biomeetria suurde jõudu, kui mitte arvukad võltsitud sõrmejälgede, häälte, nägude ja isegi iiriste juhtumid. Üks otsingumootori päring paljastab, et usaldusväärset biomeetrilise autentimise meetodit lihtsalt ei eksisteeri. Tõeliselt täpsed andurid on loomulikult olemas, kuid need on väga kallid ja suured – ja neid ei paigaldata nutitelefonidesse.
Seetõttu on mobiilseadmetes ainus töötav 2FA meetod krüptograafiliste žetoonide kasutamine, mis ühendatakse nutitelefoniga NFC, Bluetoothi ja USB Type-C liideste kaudu.
Ettevõtte finantsandmete kaitsmine on peamine põhjus paroolita autentimisse investeerimiseks (44%), mis on kiireim kasv alates 2017. aastast (kasv kaheksa protsendipunkti). Sellele järgneb intellektuaalomandi kaitse (40%) ja personaliandmete kaitse (39%). Ja on selge, miks – mitte ainult ei tunnustata laialdaselt seda tüüpi andmetega seotud väärtust, vaid ka suhteliselt vähesed töötajad töötavad nendega. See tähendab, et juurutamise kulud ei ole nii suured ja keerukama autentimissüsteemiga töötamiseks tuleb koolitada vaid üksikuid inimesi. Seevastu andmetüübid ja seadmed, millele enamik ettevõtte töötajaid tavapäraselt juurde pääsevad, on endiselt kaitstud ainult paroolidega. Suurima riskiga valdkonnad on töötajate dokumendid, tööjaamad ja ettevõtete meiliportaalid, kuna ainult veerand ettevõtetest kaitseb neid varasid paroolita autentimisega (joonis 14).
Üldiselt on ettevõtte e-post väga ohtlik ja lekkiv asi, mille potentsiaalse ohu astet enamik CIOsid alahindab. Töötajad saavad iga päev kümneid e-kirju, nii et miks mitte lisada nende hulka vähemalt üks andmepüügi (st petturlik) meil. See kiri vormistatakse ettevõtte kirjade stiilis, nii et töötaja tunneb end mugavalt selles kirjas oleval lingil klõpsates. Noh, siis võib kõike juhtuda, näiteks rünnatavasse masinasse viiruse laadimine või paroolide lekitamine (sh sotsiaalse manipuleerimise kaudu, sisestades ründaja loodud võltsitud autentimisvormi).
Et selliseid asju ei juhtuks, tuleb meilid allkirjastada. Siis on kohe selge, millise kirja lõi legitiimne töötaja ja millise ründaja. Näiteks Outlook/Exchange'is lubatakse krüptomärgipõhised elektroonilised allkirjad üsna kiiresti ja lihtsalt ning neid saab kasutada koos kahefaktorilise autentimisega arvutites ja Windowsi domeenides.
Nendest juhtidest, kes usaldavad ettevõttes ainult parooliga autentimist, teevad kaks kolmandikku (66%) seda seetõttu, et nende arvates pakuvad paroolid piisavat turvalisust seda tüüpi teabe jaoks, mida nende ettevõte peab kaitsma (joonis 15).
Kuid tugevad autentimismeetodid muutuvad üha tavalisemaks. Suuresti tänu sellele, et nende kättesaadavus suureneb. Üha suurem hulk identiteedi- ja juurdepääsuhalduse (IAM) süsteeme, brausereid ja operatsioonisüsteeme toetab autentimist krüptomärkide abil.
Tugeval autentimisel on veel üks eelis. Kuna parooli enam ei kasutata (asendatakse lihtsa PIN-koodiga), siis ei tule ka töötajatelt taotlusi unustatud parooli muutmiseks. Mis omakorda vähendab ettevõtte IT-osakonna koormust.
Kokkuvõte ja järeldused
- Juhtidel pole sageli hindamiseks vajalikke teadmisi päris erinevate autentimisvõimaluste tõhusus. Nad on harjunud selliseid usaldama aegunud turvameetodid, nagu paroolid ja turvaküsimused, lihtsalt sellepärast, et "see töötas enne".
- Need teadmised on kasutajatel endiselt alles vähem, nende jaoks on peamine lihtsus ja mugavus. Kuni neil pole motivatsiooni valida turvalisemad lahendused.
- Kohandatud rakenduste arendajad sageli ilma põhjusetarakendada parooliga autentimise asemel kahefaktorilist autentimist. Konkurents kasutajarakenduste kaitsetasemes ei.
- Täielik vastutus häkkimise eest nihkunud kasutajale. Andis ründajale ühekordse parooli - süüdistama. Teie parool peeti kinni või luurati - süüdistama. Ei nõudnud arendajalt tootes usaldusväärsete autentimismeetodite kasutamist - süüdistama.
- Õige regulaator esiteks peaks nõudma ettevõtetelt selliste lahenduste rakendamist blokk andmete lekkimine (eriti kahefaktoriline autentimine), mitte karistamine juba juhtunud andmete lekkimine.
- Mõned tarkvaraarendajad üritavad tarbijatele müüa vana ja mitte eriti usaldusväärne lahendused ilusas pakendis "uuenduslik" toode. Näiteks autentimine konkreetse nutitelefoniga linkimise või biomeetria abil. Nagu aruandest näha, vastavalt tõeliselt usaldusväärne Saab olla ainult tugeval autentimisel ehk krüptograafilistel märkidel põhinev lahendus.
- Sama jaoks saab kasutada krüptomärki hulk ülesandeid: eest tugev autentimine ettevõtte operatsioonisüsteemis, ettevõtte ja kasutajarakendustes elektrooniline allkiri finantstehingud (oluline pangarakenduste puhul), dokumendid ja e-post.
Allikas: www.habr.com