Duela gutxi, Javelin Strategy & Research ikerketa-enpresak txosten bat argitaratu zuen, "The State of Strong Authentication 2019". Bere sortzaileek ingurune korporatiboetan eta kontsumo-aplikazioetan zer autentifikazio-metodo erabiltzen diren buruzko informazioa bildu zuten, eta ondorio interesgarriak ere atera zituzten autentifikazio sendoaren etorkizunari buruz.
Lehen zatiaren itzulpena txostenaren egileen ondorioekin, guk . Eta orain zure arreta aurkezten dizuegu bigarren zatia - datuekin eta grafikoekin.
Itzultzailetik
Ez dut lehen zatiko izen bereko bloke osoa guztiz kopiatuko, baina paragrafo bat bikoiztuko dut.
Zifra eta gertaera guztiak aldaketa txikienik gabe aurkezten dira, eta haiekin ados ez bazaude, hobe da itzultzailearekin ez eztabaidatzea, txostenaren egileekin baizik. Eta hona hemen nire iruzkinak (aipamen moduan jarrita eta testuan markatuta italiarra) dira nire balio-judizioa eta pozik eztabaidatuko dut horietako bakoitzari buruz (baita itzulpenaren kalitateari buruz ere).
Erabiltzaileen autentifikazioa
2017az geroztik, kontsumo-aplikazioetan autentifikazio sendoaren erabilera nabarmen hazi da, hein handi batean gailu mugikorretarako autentifikazio kriptografiko-metodoen erabilgarritasunagatik, nahiz eta enpresen ehuneko apur bat txikiagoak erabiltzen dituen autentifikazio sendoa Interneteko aplikazioetarako.
Oro har, beren negozioan autentifikazio sendoa erabiltzen duten enpresen ehunekoa hirukoiztu egin da 5an %2017etik 16an %2018ra (3. irudia).
Web aplikazioetarako autentifikazio sendoa erabiltzeko gaitasuna mugatua da oraindik (nabigatzaile batzuen bertsio oso berriek soilik token kriptografikoekin interakzioa onartzen dutelako, baina arazo hau konpon daiteke software gehigarria instalatuz, esaterako. ), beraz, enpresa askok metodo alternatiboak erabiltzen dituzte lineako autentifikaziorako, hala nola, behin-behineko pasahitzak sortzen dituzten gailu mugikorrentzako programak.
Hardware-gako kriptografikoak (hemen FIDO estandarrak betetzen dituztenak bakarrik esan nahi dugu), hala nola Google, Feitian, One Span eta Yubico-k eskaintzen dituztenak autentifikazio sendorako erabil daitezke mahaigaineko ordenagailuetan eta ordenagailu eramangarrietan software gehigarririk instalatu gabe (arakatzaile gehienek dagoeneko onartzen dutelako FIDOren WebAuthn estandarra), baina enpresen % 3k bakarrik erabiltzen du funtzio hau erabiltzaileak saioa hasteko.
Token kriptografikoen alderaketa (adibidez ) eta FIDO estandarren arabera lan egiten duten gako sekretuak txosten honen esparrutik kanpo daude, baina baita nire iruzkinak ere. Laburbilduz, bi token motak antzeko algoritmoak eta funtzionamendu-printzipioak erabiltzen dituzte. FIDO tokenak arakatzaileen saltzaileek hobeto onartzen dituzte, nahiz eta hori laster aldatuko den arakatzaile gehiago onartzen duten heinean . Baina token kriptografiko klasikoak PIN kode baten bidez babestuta daude, dokumentu elektronikoak sina ditzakete eta bi faktoreko autentifikaziorako erabil daitezke Windows (edozein bertsio), Linux eta Mac OS X-n, hainbat programazio-lengoaiatarako APIak dituzte, 2FA eta elektronikoa ezartzeko aukera ematen dutenak. sinadura mahaigaineko, mugikorreko eta webeko aplikazioetan eta Errusian ekoitzitako tokenek Errusiako GOST algoritmoak onartzen dituzte. Edonola ere, token kriptografikoa, zein estandarrekin sortu den, autentifikazio metodo fidagarriena eta erosoena da.
Segurtasunetik haratago: autentifikazio sendoaren beste abantaila batzuk
Ez da harritzekoa autentifikazio sendoaren erabilera negozio batek gordetzen dituen datuen garrantziarekin estuki lotuta egotea. Pertsonalki Identifika daitekeen Informazio sentikorra (PII) gordetzen duten enpresek, hala nola, Gizarte Segurantzako zenbakiak edo Osasun Informazio Pertsonala (PHI), lege eta arauzko presio handiena jasaten dute. Hauek dira autentifikazio sendoaren aldeko erasokorrenak diren enpresak. Enpresen gaineko presioa areagotu egiten da datu sentikorrenekin konfiantza duten erakundeek autentifikazio metodo sendoak erabiltzen dituztela jakin nahi duten bezeroen itxaropenek. PII edo PHI sentikorra kudeatzen duten erakundeek autentifikazio sendoa erabiltzeko aukera bi aldiz baino gehiago dute erabiltzaileen harremanetarako informazioa soilik gordetzen duten erakundeek baino (7. irudia).
Zoritxarrez, enpresak ez daude oraindik autentifikazio metodo sendoak ezartzeko prest. Enpresen erabakiak hartzen dituztenen ia herenak pasahitzak autentifikazio-metodorik eraginkorrena dira 9. Irudian zerrendatutako guztien artean, eta % 43k pasahitzak autentifikazio-metodorik errazena direla.
Taula honek mundu osoko negozio-aplikazioen garatzaileak berdinak direla frogatzen digu... Ez dute konturako sarbidearen segurtasun-mekanismo aurreratuak ezartzearen onurarik ikusten eta uste oker berdinak partekatzen dituzte. Eta erregulatzaileen ekintzek bakarrik alda dezakete egoera.
Ez ditzagun pasahitzak ukitu. Baina zer sinetsi behar duzu segurtasun galderak token kriptografikoak baino seguruagoak direla sinesteko? Hautatzen diren kontrol galderen eraginkortasuna % 15ean kalkulatu zen, eta ez hackea daitezkeen tokenak - 10 baino ez. Ikus ezazu gutxienez "Illusion of Deception" filma, non, nahiz eta forma alegorikoa izan, zein erraz aztiak diren erakusten den. enpresaburu-iruzurgile erantzunetatik beharrezko gauza guztiak erakarri zituen eta dirurik gabe utzi zuen.
Eta erabiltzailearen aplikazioetan segurtasun mekanismoez arduratzen direnen kualifikazioei buruz asko esaten duen datu gehiago. Haien ulermenean, pasahitza sartzeko prozesua token kriptografiko bat erabiliz autentifikazioa baino eragiketa sinpleagoa da. Hala ere, badirudi errazagoa izan daitekeela tokena USB ataka batera konektatzea eta PIN kode soil bat sartzea.
Garrantzitsua da, autentifikazio sendoa ezartzeak enpresei iruzurrezko eskemak blokeatzeko behar diren autentifikazio metodoei eta arau operatiboei buruz pentsatzetik aldendu ahal izateko, bezeroen benetako beharrak asetzeko.
Araugintza betetzea arrazoizko lehentasun nagusia den arren, bai autentifikazio sendoa erabiltzen duten enpresentzat bai ez dutenentzat, dagoeneko autentifikazio sendoa erabiltzen duten enpresek askoz ere litekeena da esatea bezeroen leialtasuna handitzea dela autentifikazio bat ebaluatzeko kontuan hartzen duten neurri garrantzitsuena. metodoa. (%18 vs.%12) (10. irudia).
Enpresaren autentifikazioa
2017az geroztik, enpresetan autentifikazio sendoa hartzea hazten ari da, baina kontsumorako aplikazioetarako baino tasa apur bat txikiagoan. Autentifikazio sendoa erabiltzen duten enpresen kuota 7an % 2017tik 12an % 2018ra igo zen. Kontsumitzaileen aplikazioetan ez bezala, enpresa-ingurunean pasahitzak ez diren autentifikazio-metodoak erabiltzea zertxobait ohikoagoa da web aplikazioetan gailu mugikorretan baino. Enpresen erdiak inguru erabiltzaile-izenak eta pasahitzak soilik erabiltzen dituela jakinarazi du erabiltzaileak autentifikatzeko saioa hastean, eta bostetik batek (%22) bigarren mailako autentifikaziorako pasahitzetan oinarritzen da datu sentikorrak atzitzean (hau da, erabiltzailea lehenik aplikazioan sartzen da autentifikazio-metodo sinpleago bat erabiliz, eta datu kritikoetarako sarbidea lortu nahi badu, beste autentifikazio-prozedura bat egingo du, oraingoan metodo fidagarriagoa erabiliz.).
Ulertu behar duzu txostenak ez duela kontuan hartzen Windows, Linux eta Mac OS X sistema eragileetan bi faktoreko autentifikaziorako token kriptografikoen erabilera. Eta hori da gaur egun 2FAren erabilerarik hedatuena. (Ai, FIDO estandarren arabera sortutako tokenek 2FA ezar dezakete Windows 10-rako soilik).
Gainera, lineako eta mugikorretarako aplikazioetan 2FA ezartzeak neurri multzo bat eskatzen badu, aplikazio horien aldaketa barne, orduan 2FA Windows-en ezartzeko PKI (adibidez, Microsoft Certification Server-en oinarrituta) eta autentifikazio-politikak konfiguratu besterik ez dituzu behar. ADn.
Eta laneko PC eta domeinu batean saioa babestea datu korporatiboak babesteko elementu garrantzitsua denez, bi faktoreko autentifikazioa ezartzea gero eta ohikoagoa da.
Saioa hastean erabiltzaileak autentifikatzeko hurrengo bi metodo ohikoenak aplikazio bereizi baten bidez emandako pasahitzak (enpresen % 13) eta SMS bidez emandako pasahitzak (% 12) dira. Bi metodoen erabilera-portzentajea oso antzekoa den arren, OTP SMSa baimen-maila handitzeko erabiltzen da gehien (enpresen % 24an). (12. irudia).
Enpresan autentifikazio sendoaren erabileraren gorakada ziurrenik enpresen identitatea kudeatzeko plataformetan autentifikazio kriptografikoaren inplementazioen erabilgarritasun handiagoari egotz daiteke (bestela esanda, enpresa SSO eta IAM sistemek tokenak erabiltzen ikasi dute).
Langileen eta kontratisten autentifikazio mugikorrerako, enpresek gehiago fidatzen dira pasahitzetan kontsumitzaileen aplikazioetako autentifikazioan baino. Enpresen erdiak (% 53) pasahitzak erabiltzen ditu erabiltzaileak gailu mugikor baten bidez konpainiaren datuetarako sarbidea autentifikatzerakoan (13. irudia).
Gailu mugikorren kasuan, biometriaren botere handian sinetsiko litzateke, hatz-markak, ahotsak, aurpegiak eta baita irisak ere faltsuen kasu ugariengatik ez bada. Bilatzaile baten kontsulta batek agerian utziko du autentifikazio biometrikorako metodo fidagarririk ez dagoela. Benetan zehatzak diren sentsoreak existitzen dira, noski, baina oso garestiak eta tamaina handikoak dira, eta ez daude telefono adimendunetan instalatuta.
Hori dela eta, gailu mugikorretan funtzionatzen duen 2FA metodo bakarra telefonoarekin NFC, Bluetooth eta USB motako C interfazeen bidez konektatzen diren token kriptografikoak erabiltzea da.
Enpresa baten finantza-datuak babestea da pasahitz gabeko autentifikazioan inbertitzeko arrazoi nagusia (% 44), 2017az geroztik hazkunderik azkarrena izan baita (portzentaje zortzi puntu gehiago). Ondoren, jabetza intelektualaren (% 40) eta langileen (HR) datuak (% 39) babestea daude. Eta argi dago zergatik: datu mota hauekin lotutako balioa oso aitortzen ez ezik, langile gutxik lan egiten dute haiekin. Hau da, ezarpen-kostuak ez dira hain handiak, eta pertsona gutxi batzuk bakarrik trebatu behar dira autentifikazio-sistema konplexuago batekin lan egiteko. Aitzitik, enpresa-langile gehienek ohizkoan sartzen dituzten datu eta gailu motak pasahitzek soilik babesten dituzte oraindik. Langileen dokumentuak, lan-estazioak eta korporazio-posta elektronikoaren atariak dira arrisku handieneko eremuak, enpresen laurdenak soilik babesten baititu aktibo horiek pasahitz gabeko autentifikazioarekin (14. irudia).
Oro har, posta elektroniko korporatiboa oso gauza arriskutsua eta iheskorra da, eta horren arrisku potentzial maila gutxietsi egiten dute CIO gehienek. Langileek egunero dozenaka mezu elektroniko jasotzen dituzte, beraz, zergatik ez sartu gutxienez phishing (hau da, iruzurrezko) mezu elektroniko bat horien artean. Gutun hau enpresa-gutunen estiloan formatua izango da, beraz, langilea eroso sentituko da gutun honetako estekan klik eginez. Bada, orduan edozer gerta daiteke, adibidez, erasotutako makinan birus bat deskargatzea edo pasahitzak isurtzea (ingeniaritza sozialaren bidez barne, erasotzaileak sortutako autentifikazio inprimaki faltsu bat sartuz).
Horrelako gauzak gerta ez daitezen, mezu elektronikoak sinatu behar dira. Orduan, berehala argituko da zein gutun sortu duen legezko langile batek eta zein erasotzaile batek. Outlook/Exchangen, adibidez, token kriptografikoetan oinarritutako sinadura elektronikoak nahiko azkar eta erraz gaitzen dira eta bi faktoreko autentifikazioarekin batera erabil daitezke ordenagailuetan eta Windows domeinuetan.
Enpresa barruko pasahitzaren autentifikazioan soilik oinarritzen diren exekutiboen artean, bi herenek (% 66) egiten dute pasahitzek segurtasun nahikoa ematen dutela uste dutelako bere enpresak babestu behar duen informazio motarako (15. irudia).
Baina autentifikazio metodo sendoak gero eta ohikoagoak dira. Haien erabilgarritasuna gero eta handiagoa delako. Identitatea eta sarbideen kudeaketa (IAM) sistemak, arakatzaileak eta sistema eragileak gero eta gehiago onartzen dute autentifikazioa token kriptografikoak erabiliz.
Autentifikazio sendoak beste abantaila bat du. Pasahitza jada erabiltzen ez denez (PIN soil batekin ordezkatuta), ez dago langileen eskaerarik ahaztutako pasahitza aldatzeko eskatuz. Horrek, aldi berean, enpresaren IT sailaren karga murrizten du.
Emaitzak eta ondorioak
- Zuzendariek askotan ez dute ebaluatzeko beharrezko ezagutzarik benetakoa autentifikazio-aukera ezberdinen eraginkortasuna. Halakoetan konfiantza egitera ohituta daude zaharkitua pasahitzak eta segurtasun galderak bezalako segurtasun-metodoak "lehen funtzionatu zuelako" besterik ez.
- Erabiltzaileek oraindik badute ezagutza hori gutxiago, beraientzat gauza nagusia da soiltasuna eta erosotasuna. Betiere, aukeratzeko pizgarririk ez badute irtenbide seguruagoak.
- Aplikazio pertsonalizatuen garatzaileak sarritan arrazoirik ezpasahitz autentifikazioaren ordez bi faktoreko autentifikazioa ezartzeko. Erabiltzaileen aplikazioetan babes mailan lehiatzea no.
- Hackearen erantzukizun osoa erabiltzailearengana aldatu da. Erasotzaileari behin-behineko pasahitza eman - errua. Zure pasahitza atzeman edo espiatu da - errua. Ez dio garatzaileari produktuan autentifikazio-metodo fidagarriak erabiltzea eskatzen - errua.
- ΠΡΠ Β° Β° Β° »» Β»ΠΠΠ arautzaile lehenik eta behin enpresei eskatu beharko lieke irtenbideak ezar ditzatela blokeatu datu-filtrazioak (bereziki bi faktoreko autentifikazioa), zigortu beharrean dagoeneko gertatu da datuen ihesa.
- Software garatzaile batzuk kontsumitzaileei saltzen saiatzen ari dira zaharra eta ez bereziki fidagarria irtenbide ontzi eder batean produktu "berritzailea". Esaterako, autentifikazioa smartphone zehatz bati lotuz edo biometria erabiliz. Txostenean ikusten denez, dioenez benetan fidagarria Autentifikazio sendoan oinarritutako irtenbide bat bakarrik egon daiteke, hau da, token kriptografikoak.
- Berdina token kriptografikoa erabil daiteke hainbat zeregin: egiteko autentifikazio sendoa enpresa-sistema eragilean, korporazio- eta erabiltzaile-aplikazioetan, horretarako sinadura elektronikoa finantza-eragiketak (banku-aplikazioetarako garrantzitsuak), dokumentuak eta posta elektronikoa.
Iturria: www.habr.com