
Hiljuti avaldas uurimisettevõte „Javelin Strategy & Research“ aruande „The State of Strong Authentication 2019“. Selle koostajad kogusid teavet selle kohta, milliseid autentimisviise kasutatakse ettevõtete keskkonnas ja kasutajarakendustes, ning tegid huvitavaid järeldusi tugeva autentimise tuleviku kohta.
Esimese osa tõlge aruande autorite järeldustega, . Nüüd esitame teie tähelepanu teise osa — koos andmete ja diagrammidega.
Tõlkijalt
Ma ei hakka kogu sama nime kandvat lõiku esimesest osast täielikult kopeerima, kuid ühe lõigu siiski dubleerin.
Kõik numbrid ja faktid on toodud ilma vähimagi muutmiseta, ja kui te nendega ei nõustu, siis on parem vaielda mitte tõlkijaga, vaid aruande autoritega. Aga minu kommentaarid (vormindatud kui tsitaadid ja tekstis on märgitud kaldkirjas) on minu hinnanguline arvamus ja igas nende osas olen ma rõõmuga vaidlema, (nagu ka tõlke kvaliteedi üle).
Kasutaja autentimine
Alates 2017. aastast on ranget autentimist kasutavate kasutajakettide rakenduste osakaal oluliselt tõusnud, peamiselt tänu sellele, et krüpteerimise meetodid on mobiilseadmetes laialdaselt kättesaadavad, kuigi veidi vähem ettevõtteid kasutab ranget autentimist veebirakenduste jaoks.
Üldiselt on ettevõtete osakaal, kes kasutavad ranget autentimist oma äritegevuses, suurenenud kolmekordselt, tõustes 2017. aastast 5% -lt 2018. aastaks 16%-ni (joonis 3).

Ranget autentimist veebirakendustes on endiselt piiratud (selle tõttu, et vaid mõnede brauserite täiesti uued versioonid toetavad krüptograafiliste tokenite suhtlemist, kuid seda probleemi saab lahendada täiendava tarkvara installimisega, näiteks ), seetõttu kasutavad paljud ettevõtted veebiautentimise alternatiivseid meetodeid, näiteks mobiilirakendusi, mis genereerivad ühekordseid paroole.
Riistvara krüptograafilised võtmed (siin mõeldakse vaid vastavuses FIDO standarditega), nagu Google, Feitian, One Span ja Yubico pakuvad ranget autentimist ilma, et oleks vaja lisatarkvara installida lauaarvutites ja sülearvutites (sest enamik brausereid toetab juba FIDO WebAuthn standardit), kuid ainult 3% ettevõtteid kasutab seda võimalust oma kasutajate sisselogimiseks.
Krüptograafiliste tokenite võrdlemine (nagu ) ja FIDO standarditele vastavate salajaste võtmete vahel ulatub mitte ainult selle aruande raamidest, vaid ka minu kommentaaridest selle juurde. Üldiselt kasutavad mõlemad tokenitüübid sarnaseid algoritme ja tööpõhimõtteid. FIDO tokenid on hetkel paremini toetatud brauseritootjate poolt, kuigi olukord muutub peagi, kui üha rohkem brausereid toetab . Siiski on klassikalised krüptograafilised tokenid kaitstud PIN-koodiga, suudavad allkirjastada elektroonilisi dokumente ja neid saab kasutada kaheastmeliseks autentimiseks Windowsis (iga versioon), Linuxis ja Mac OS X-is. Neil on API erinevatele programmeerimiskeeltele, mis võimaldavad 2FA ja EDS-i rakendada lauaarvutite, mobiilsete ja veebirakendustes, ning Venemaal toodetud tokenid toetavad Venemaa GOST algoritme. Igatahes on krüptograafiline token, olenemata sellest, millist standardit see järgib, kõige usaldusväärsem ja mugavam autentimismetood.



Lisaks turvalisusele: teised rangema autentimise eelised
Pole üllatav, et rangete autentimismeetodite kasutamine on tihedalt seotud ettevõtte salastatud andmete olulisusega. Suurimale juriidilisele ja regulatiivsele survele on allutatud ettevõtted, kes hoiavad konfidentsiaalset isiklikku teavet (isikutuvastamiseks vajaliku teabe — PII), nagu sotsiaalkindlustuse numbrid või isiklikud meditsiinilised andmed (isiklikud terviseandmed — PHI). Just need ettevõtted on kõige aktiivsemad rangete autentimismeetodite pooldajad. Surve ettevõtte tegevusele suureneb klientide ootuste tõttu, kes soovivad teada, et organisatsioonid, kellele nad usaldavad oma kõige konfidentsiaalsemad andmed, kasutavad usaldusväärseid autentimismeetodeid. Organisatsioonid, mis töötlevad tundlikku PII-d või PHI-d, kasutavad ranget autentimist üle kahe ja poole korra sagedamini kui need, kes hoiavad ainult kasutajate kontaktteavet (joonis 7).

Kahjuks ei soovi ettevõtted veel usaldusväärseid autentimismeetodeid rakendada. Peaaegu kolmandik äriliste otsuste langetajatest peab paroole kõige tõhusamaks autentimisviisiks, mis on loetletud joonisel 9, ja 43% peab paroole kõige lihtsamaks autentimisviisiks.

See diagramm tõestab meile, et ärirakenduste arendajad üle kogu maailma on ühesugused… Nad ei näe kasu arenenud juurdepääsukaitse mehhanismide rakendamisest ning jagavad samu väärarusaamu. Ainult regulatiivsete meetmete rakendamine saab olukorda muuta.
Ärme puutu paroole. Kuid millesse tuleb uskuda, et arvata, et kontrollküsimused on turvalisemad kui krüptograafilised tokenid? Kontrollküsimuste efektiivsus, mis on elementaarselt koostatud, hinnati 15% ja häkkimisele vastupidavate tokenite efektiivsus vaid 10% peale. Vähemalt võiks nad vaadata filmi "Illusioonide õhkkond", seal on kuigi allegoorilises vormis näidatud, kui lihtne oli illusioonistidel ärimehelt kõik vajalikud vastused välja petta ja ta rahata jätta.
Ja veel üks fakt, mis räägib palju nende kvalifikatsioonist, kes vastutavad kasutajarakenduste turvamehhanismide eest. Nende arusaamades on parooli sisestamisprotsess lihtsam tegevus kui autentimine krüptograafilise tokeni abil. Kuigi näiliselt ei saa midagi lihtsamat olla kui tokeni ühendamine USB-porti ja lihtsa PIN-koodi sisestamine.
Oluline on märkida, et rangema autentimise rakendamine võimaldab ettevõtetel enam mitte mõelda autentimise meetoditele ja tööreeglitele, mis on vajalikud pettuste skeemide takistamiseks, vastates tõeliselt oma klientide vajadustele.
Kuigi regulatiivsete nõuete järgimine on mõistlik prioriteet nii ettevõtetele, kes kasutavad ranget autentimist, kui ka neile, kes ei kasuta, ütlevad ettevõtted, kes juba kasutavad ranget autentimist, tõenäolisemalt, et klientide lojaalsuse suurendamine on kõige olulisem näitaja, mida nad arvestavad autentimismeetodi hindamisel. (18% vs 12%) (joonis 10).

Tööstuslik autentimine
Alates 2017. aastast on rangete autentimismeetodite rakendamine ettevõtetes kasvanud, kuigi veidi aeglasemas tempos kui tarbijarakendustes. Ettevõtete osakaal, kes kasutavad ranget autentimist, on suurenenud 7%-lt 2017. aastal 12%-ni 2018. aastal. Erinevalt tarbijarakendustest on ettevõttekeskkonnas mitte-paroolimeetodite kasutamine veebi rakendustes veidi levinum kui mobiilirakendustes. Umbes pooled ettevõtted teatavad, et nad kasutavad oma kasutajate autentimiseks süsteemi sisselogimisel vaid kasutajanimesid ja paroole, kusjuures iga viies (22%) tugineb ka eranditult paroolidele teise autentimisprotseduuri jaoks, et pääseda ligi eriti olulistele andmetele.st kasutaja logib esmalt rakendusse sisse lihtsama autentimismeetodiga ning kui ta soovib pääseda juurde kriitilistele andmetele, läbib ta veel ühe autentimisprotseduuri, tavaliselt kasutades seekord usaldusväärsemat meetodit.).

Oluline on mõista, et aruandes ei ole arvesse võetud krüptograafiliste tokenite kasutamist kahefaktorilises autentimises Windowsi, Linuxi ja Mac OS X operatsioonisüsteemides. Praegu on see kahefaktorilise autentimise kõige levinum kasutamine. (Kahjuks suudavad FIDO standardite kohaselt loodud tokenid eksponeerida 2FA-d vaid Windows 10 jaoks).
Lisaks, kui kahefaktorilise autentimise rakendamine veebis ja mobiilirakendustes nõuab mitmeid meetmeid, sealhulgas nende rakenduste täiustamist, siis Windowsis kahefaktorilise autentimise rakendamiseks on vajalik vaid PKI seadistamine (näiteks Microsoft Certification Serveri baasil) ja autentimispoliitikate seadistamine AD-s.
Kuna tööarvutisse ja domeeni sisselogimise kaitse on oluline element ettevõtte andmete kaitsmiseks, siis kahefaktorilise autentimise rakendamine muutub järjest populaarsemaks.
Kaks kõige levinumat kasutaja autentimise meetodit süsteemi sisselogimisel on ühekordsed paroolid, mis saadetakse eraldi rakenduse kaudu (13% ettevõtetest), ja ühekordsed paroolid, mis saadetakse SMS-iga (12%). Kuigi mõlema meetodi kasutamise protsent on üsna sarnane, kasutatakse SMS-i OTP-d sagedamini autoriseerimistaseme tõstmiseks (24% ettevõtetest). (Joonis 12).

Tõenäoliselt on range autentimise kasutamise kasv ettevõttes seletatav krüptograafiliste autentimismeetodite rakenduste suurema kättesaadavusega ettevõtte identiteedihalduse platvormidel (teisisõnu – ettevõtte SSO ja IAM süsteemid on õppinud kasutama tokeneid).
Töötajate ja alltöövõtjate mobiilsete autentimiste jaoks toetuvad ettevõtted rohkem paroolidele kui tarbijarakenduste autentimise puhul. Veidi üle poole (53%) ettevõtetest kasutab parooli ettevõtte andmetele juurdepääsu autentimiseks mobiilseadme kaudu (joonis 13).
Mobiilseadmete puhul võiks uskuda biometria suurt jõudu, kui mitte arvestada mitmeid juhtumeid, kus on esinenud sõrmejälgede, häälte, nägude ja isegi iiriste valeandmeid. Üks otsing internetis näitab, et usaldusväärset biometreetöötlemise viisi ei ole tegelikult olemas. Tõeliselt täpsed andurid eksisteerivad, kuid need on üsna kallid ja suure suurusega — ei paigaldata nutitelefonidesse.
Seetõttu on ainus tõhus 2FA meetod mobiilseadmetes krüptograafiliste tokenite kasutamine, mis ühendatakse nutitelefoniga NFC, Bluetooth ja USB Type-C liideste kaudu.

Ettevõtte rahaliste andmete kaitsmine on peamine põhjus investeerida paroolivabasse autentimisse (44%), mille kasvu on alates 2017. aastast kiiruselt kõige suurem (kasv kaheksa protsendipunkti võrra). Järgneb intellektuaalomandi kaitse (40%) ja töötajate (HR) andmete kaitse (39%). Ja see pole üllatav — mitte ainult andmete väärtust, mis on nendega seotud, tunnustatakse laialdaselt, vaid ka nende haldamisega tegelevaid töötajaid on suhteliselt vähe. Seega pole rakenduskulud suured ja keerukama autentimissüsteemi kasutamiseks on vaja õpetada vaid mõnda inimest. Vastupidi, enamiku ettevõtte töötajate poolt tavaliselt käsitletavad andmed ja seadmed on endiselt kaitstud üksnes paroolidega. Töötajate dokumendid, tööjaamad ja ettevõtte e-posti portaali kaitse on nädalamakse riski kõige suuremad alad, kuna vaid veerand ettevõtetest kaitseb neid varasid paroolivaba autentimisega (Joonis 14).

Tegelikult on ettevõtte e-post äärmiselt ohtlik ja "auguline" asi, mille potentsiaalset ohtu alahindavad enamik IT-direktoreid. Iga päev saavad töötajad kümneid kirju, seega miks mitte näiteks ühes neist olla kalastuskiri (st petlik kiri). See kiri on vormistatud nagu ettevõtte kiri, mistõttu töötaja vajutab muretu südamega kirjas olevale lingile. Edasi võib juhtuda ükskõik mis, näiteks viiruse allalaadimine rünnaku alla langenud masinasse või paroolide lekkimine (sealhulgas sotsiaalse manipuleerimise teel, sisestades kurjategijate loodud vale autentimisvormi).
Et selliseid asju ei juhtuks, peavad e-kirjad olema digitaalallkirjastatud. Siis on kohe selge, millise kirja on loonud seaduslik töötaja ja millise kurjategija. Outlooki / Exchange'is näiteks aktiveeritakse krüptograafiliste tokenite põhine digitaalallkiri üsna kiiresti ja lihtsalt ning seda saab kasutada koos kahefaktorilise autentimisega Windowsi PC-d ja domeene.
Neid juhtide seas, kes toetuvad ettevõttesisesele parooliautentimisele, usub kaks kolmandikku (66%), et paroolid pakuvad piisavat turvalisust nende ettevõtetele vajaliku teabe kaitseks (joonis 15).
Kuid rangema autentimise meetodid muutuvad üha levinumaks. Suuresti selle tõttu, et need muutuvad kergemini kättesaadavaks. Üha rohkem identiteedi- ja juurdepääsuhaldussüsteeme (IAM), brausereid ja operatsioonisüsteeme toetavad krüptograafiliste tokenite autentimist.
Rangemal autentimisel on veel üks eelis. Kuna parooli ei kasutata enam (ainult lihtne PIN-kood), ei tule enam töötajatelt palveid unustatud parooli muutmiseks, mis omakorda vähendab ettevõtte IT-osakonna koormust.

Kokkuvõtted ja järeldused
- Juhtidel on sageli puudulikud teadmised, et hinnata reaalset efektiivsust erinevate autentimise variantide kohta. Nad on harjunud usaldama selliseid vananenud jõudnud on turvameetodite, nagu paroolid ja salajased küsimused, kohta lihtsalt seetõttu, et „varem see töötas“.
- Kasutajatel on need teadmised veel vähemal määral, nende jaoks on peamine – lihtsus ja mugavus. Seni pole neil soovitavaid põhjuseid valida kaitsemehhanisme.
- Kohandatud rakenduste arendajatel on sageli puuduvad põhjused, et asendada paroolide võtmine kahefaktorilise autentimisega. Kasutajarakenduste kaitsetaseme konkurents on puudub.
- Kogu vastutus häkkimise eest on kasutaja õlgadel.Kui andsite kurjategijale ühekordse parooli – oletame, et saite süüdi.Teie parool püüti kinni või nähti pealt – oletame, et saite süüdi.. Ei nõudnud arendajalt usaldusväärsete autentimismeetodite kasutamist tootes – oletame, et saite süüdi..
- Tõhus reguleerija peaks esmalt nõudma ettevõtetelt lahenduste rakendamist, mis tõkestavad andmete lekkeid (sealhulgas kahefaktoriline autentimine), mitte karistama juba toimunud andmelekkete eest. Mõned tarkvaraarendajad püüavad müüa tarbijatele
- vananenud ja mitte eriti usaldusväärseid lahendusi ilusas pakendis. ilus pakkes «uuendatud» toote kohta. Näiteks autentimine, sidudes seda konkreetse nutitelefoniga või kasutades biometrilisi andmeid. Nagu aruandest näha, tõeliselt usaldusväärne võib olla ainult lahendus, mis põhineb range autentimise, st krüptograafiliste tokenite, kasutamisel.
- Sama krüptograafilist tokenit saab kasutada suurte ülesannete jaoks: range autentimine ettevõtte operatsioonisüsteemis, ettevõtte ja kasutaja rakenduses, elektroonilise allkirja rahavoogude (kuidas on oluline banki rakenduste puhul), dokumentide ja e-kirjade puhul.
Allikas: habr.com
