اخیراً، شرکت تحقیقاتی Javelin Strategy & Research گزارشی با عنوان «وضعیت احراز هویت قوی 2019» منتشر کرده است. سازندگان آن اطلاعاتی را در مورد روشهای احراز هویت در محیطهای شرکتی و برنامههای کاربردی مصرفکننده جمعآوری کردند و همچنین نتایج جالبی در مورد آینده احراز هویت قوی گرفتند.
ترجمه قسمت اول با نتیجه گیری نویسندگان گزارش، ما . و اکنون بخش دوم را - با داده ها و نمودارها - به شما توجه می کنیم.
از مترجم
من کل بلوک به همین نام را از قسمت اول به طور کامل کپی نمی کنم، اما همچنان یک پاراگراف را کپی می کنم.
همه ارقام و حقایق بدون کوچکترین تغییری ارائه می شوند و اگر با آنها موافق نیستید، بهتر است نه با مترجم، بلکه با نویسندگان گزارش بحث کنید. و در اینجا نظرات من (به صورت نقل قول ارائه شده و در متن مشخص شده است ایتالیایی) قضاوت ارزشی من هستند و خوشحال خواهم شد که در مورد هر یک از آنها (و همچنین کیفیت ترجمه) بحث کنم.
احراز هویت کاربر
از سال 2017، استفاده از احراز هویت قوی در برنامه های کاربردی مصرف کننده به شدت افزایش یافته است، که عمدتاً به دلیل در دسترس بودن روش های احراز هویت رمزنگاری در دستگاه های تلفن همراه است، اگرچه تنها درصد کمی کمتر از شرکت ها از احراز هویت قوی برای برنامه های کاربردی اینترنتی استفاده می کنند.
به طور کلی، درصد شرکت هایی که از احراز هویت قوی در تجارت خود استفاده می کنند از 5 درصد در سال 2017 به 16 درصد در سال 2018 سه برابر شده است (شکل 3).
توانایی استفاده از احراز هویت قوی برای برنامه های کاربردی وب هنوز محدود است (با توجه به اینکه فقط نسخه های بسیار جدید برخی از مرورگرها از تعامل با توکن های رمزنگاری پشتیبانی می کنند، اما این مشکل با نصب نرم افزارهای اضافی مانند بسیاری از شرکتها از روشهای جایگزین برای احراز هویت آنلاین استفاده میکنند، مانند برنامههایی برای دستگاههای تلفن همراه که رمزهای عبور یکبار مصرف تولید میکنند.
کلیدهای رمزنگاری سخت افزاری (در اینجا منظور ما فقط آنهایی است که با استانداردهای FIDO مطابقت دارند)، مانند مواردی که توسط Google، Feitian، One Span و Yubico ارائه می شوند، می توانند برای احراز هویت قوی بدون نصب نرم افزارهای اضافی بر روی رایانه های رومیزی و لپ تاپ ها استفاده شوند (زیرا اکثر مرورگرها از استاندارد WebAuthn از FIDO پشتیبانی می کنند)، اما تنها 3 درصد از شرکت ها از این ویژگی برای ورود کاربران خود استفاده می کنند.
مقایسه توکن های رمزنگاری (مانند ) و عملکرد کلیدهای مخفی بر اساس استانداردهای FIDO خارج از حوصله این گزارش و همچنین نظرات من در مورد آن است. به طور خلاصه، هر دو نوع توکن از الگوریتم ها و اصول عملیاتی مشابهی استفاده می کنند. توکنهای FIDO در حال حاضر توسط فروشندگان مرورگر بهتر پشتیبانی میشوند، اگرچه به زودی با پشتیبانی بیشتر مرورگرها این موضوع تغییر خواهد کرد . اما توکنهای رمزنگاری کلاسیک توسط یک کد پین محافظت میشوند، میتوانند اسناد الکترونیکی را امضا کنند و برای احراز هویت دو مرحلهای در ویندوز (هر نسخه)، لینوکس و Mac OS X استفاده شوند، دارای API برای زبانهای برنامهنویسی مختلف هستند که به شما امکان میدهد 2FA و الکترونیکی را پیادهسازی کنید. امضا در برنامه های دسکتاپ، موبایل و وب و توکن های تولید شده در روسیه از الگوریتم های GOST روسی پشتیبانی می کند. در هر صورت، یک توکن رمزنگاری، صرف نظر از اینکه با چه استانداردی ایجاد شده است، مطمئن ترین و راحت ترین روش احراز هویت است.
فراتر از امنیت: سایر مزایای احراز هویت قوی
جای تعجب نیست که استفاده از احراز هویت قوی ارتباط نزدیکی با اهمیت داده هایی که یک کسب و کار ذخیره می کند دارد. شرکتهایی که اطلاعات حساس شخصی (PII) مانند شمارههای تامین اجتماعی یا اطلاعات سلامت شخصی (PHI) را ذخیره میکنند، با بیشترین فشار قانونی و نظارتی روبرو هستند. اینها شرکت هایی هستند که تهاجمی ترین طرفداران احراز هویت قوی هستند. فشار بر کسبوکارها با انتظارات مشتریانی که میخواهند بدانند که سازمانهایی که با حساسترین دادههایشان اعتماد دارند، از روشهای احراز هویت قوی استفاده میکنند، افزایش مییابد. سازمان هایی که PII یا PHI حساس را مدیریت می کنند، بیش از دو برابر بیشتر از سازمان هایی که فقط اطلاعات تماس کاربران را ذخیره می کنند، از احراز هویت قوی استفاده می کنند (شکل 7).
متأسفانه، شرکت ها هنوز مایل به پیاده سازی روش های احراز هویت قوی نیستند. نزدیک به یک سوم از تصمیم گیرندگان تجاری، رمزهای عبور را موثرترین روش احراز هویت در میان تمام موارد ذکر شده در شکل 9 می دانند و 43 درصد رمزهای عبور را ساده ترین روش احراز هویت می دانند.
این نمودار به ما ثابت می کند که توسعه دهندگان برنامه های کاربردی تجاری در سراسر جهان یکسان هستند... آنها منفعتی از پیاده سازی مکانیزم های امنیتی پیشرفته دسترسی به حساب کاربری نمی بینند و تصورات نادرست مشابهی دارند. و فقط اقدامات تنظیم کننده ها می تواند وضعیت را تغییر دهد.
به رمزهای عبور دست نزنیم. اما برای باور اینکه سؤالات امنیتی از توکن های رمزنگاری ایمن تر هستند، چه چیزی را باید باور کنید؟ اثربخشی سؤالات کنترلی، که به سادگی انتخاب می شوند، 15٪ تخمین زده شد، و نه توکن های قابل هک - فقط 10. حداقل فیلم "توهم فریب" را تماشا کنید، جایی که، اگرچه به شکل تمثیلی، نشان داده می شود که جادوگران چقدر راحت هستند. همه چیزهای لازم را از پاسخ یک تاجر-کلاهبردار بیرون کشید و او را بدون پول رها کرد.
و یک واقعیت دیگر که چیزهای زیادی در مورد صلاحیت افرادی که مسئول مکانیسم های امنیتی در برنامه های کاربری هستند، می گوید. در درک آنها، فرآیند وارد کردن رمز عبور عملیات سادهتری نسبت به احراز هویت با استفاده از یک رمز رمزنگاری است. اگرچه، به نظر می رسد که اتصال توکن به پورت USB و وارد کردن یک کد پین ساده ساده تر باشد.
مهمتر از همه، اجرای احراز هویت قوی به کسب و کارها این امکان را می دهد که از تفکر در مورد روش های احراز هویت و قوانین عملیاتی مورد نیاز برای جلوگیری از طرح های تقلبی برای رفع نیازهای واقعی مشتریان خود دور شوند.
در حالی که رعایت مقررات یک اولویت معقول و معقول برای کسبوکارهایی است که از احراز هویت قوی استفاده میکنند و برای کسبوکارهایی که از احراز هویت قوی استفاده نمیکنند، شرکتهایی که قبلاً از احراز هویت قوی استفاده میکنند احتمال بیشتری دارد که بگویند افزایش وفاداری مشتری مهمترین معیاری است که در هنگام ارزیابی احراز هویت در نظر میگیرند. روش. (18% در مقابل 12%) (شکل 10).
احراز هویت سازمانی
از سال 2017، پذیرش احراز هویت قوی در شرکت ها در حال رشد بوده است، اما با نرخ کمی کمتر از برنامه های کاربردی مصرف کننده. سهم شرکتهایی که از احراز هویت قوی استفاده میکنند از 7 درصد در سال 2017 به 12 درصد در سال 2018 افزایش یافته است. برخلاف برنامههای کاربردی مصرفکننده، در محیط سازمانی استفاده از روشهای احراز هویت بدون رمز عبور در برنامههای کاربردی وب تا حدودی بیشتر از دستگاههای تلفن همراه رایج است. حدود نیمی از کسبوکارها گزارش دادهاند که هنگام ورود به سیستم، فقط از نامهای کاربری و رمزهای عبور برای احراز هویت کاربران خود استفاده میکنند، به طوری که از هر پنج (22%) یک نفر برای احراز هویت ثانویه در هنگام دسترسی به دادههای حساس، تنها به رمزهای عبور متکی است.یعنی کاربر ابتدا با استفاده از روش احراز هویت سادهتر وارد برنامه میشود و اگر بخواهد به دادههای حیاتی دسترسی پیدا کند، روش احراز هویت دیگری را انجام میدهد، این بار معمولاً از روش مطمئنتری استفاده میکند.).
باید بدانید که این گزارش استفاده از نشانههای رمزنگاری را برای احراز هویت دو مرحلهای در سیستمعاملهای Windows، Linux و Mac OS X در نظر نمیگیرد. و این در حال حاضر گستردهترین استفاده از 2FA است. (افسوس، توکن های ایجاد شده بر اساس استانداردهای FIDO می توانند 2FA را فقط برای ویندوز 10 پیاده سازی کنند).
علاوه بر این، اگر اجرای 2FA در برنامه های آنلاین و تلفن همراه نیاز به مجموعه اقداماتی از جمله اصلاح این برنامه ها دارد، برای پیاده سازی 2FA در ویندوز فقط باید PKI (به عنوان مثال، بر اساس Microsoft Certification Server) و سیاست های احراز هویت را پیکربندی کنید. در آگهی.
و از آنجایی که محافظت از ورود به رایانه شخصی و دامنه کاری یک عنصر مهم برای محافظت از داده های شرکت است، اجرای احراز هویت دو مرحله ای روز به روز رایج تر می شود.
دو روش متداول بعدی برای احراز هویت کاربران هنگام ورود به سیستم عبارتند از گذرواژههای یکبار مصرف ارائه شده از طریق یک برنامه جداگانه (13٪ از مشاغل) و گذرواژههای یک بار مصرف ارسال شده از طریق پیامک (12٪). علیرغم این واقعیت که درصد استفاده از هر دو روش بسیار مشابه است، پیامک OTP اغلب برای افزایش سطح مجوز (در 24٪ از شرکت ها) استفاده می شود. (شکل 12).
افزایش استفاده از احراز هویت قوی در سازمان را احتمالاً میتوان به افزایش در دسترس بودن پیادهسازی احراز هویت رمزنگاری در پلتفرمهای مدیریت هویت سازمانی نسبت داد (به عبارت دیگر، سیستمهای SSO و IAM سازمانی استفاده از توکنها را یاد گرفتهاند).
برای احراز هویت از طریق تلفن همراه کارمندان و پیمانکاران، شرکت ها بیشتر به گذرواژه ها متکی هستند تا احراز هویت در برنامه های کاربردی مصرف کننده. فقط بیش از نیمی (53٪) از شرکت ها هنگام تأیید اعتبار دسترسی کاربر به داده های شرکت از طریق دستگاه تلفن همراه از رمز عبور استفاده می کنند (شکل 13).
در مورد دستگاههای تلفن همراه، اگر موارد متعدد اثر انگشت، صدا، صورت و حتی عنبیه جعلی نبود، میتوان به قدرت بزرگ بیومتریک اعتقاد داشت. یک جستجوی موتور جستجو نشان می دهد که روش قابل اعتمادی برای احراز هویت بیومتریک وجود ندارد. سنسورهای واقعا دقیق، البته، وجود دارند، اما آنها بسیار گران قیمت و اندازه بزرگ هستند - و در گوشی های هوشمند نصب نمی شوند.
بنابراین، تنها روش کارآمد 2FA در دستگاه های تلفن همراه، استفاده از توکن های رمزنگاری است که از طریق رابط های NFC، بلوتوث و USB Type-C به گوشی هوشمند متصل می شوند.
حفاظت از داده های مالی یک شرکت، با بیشترین رشد از سال 44 (با افزایش هشت درصدی) دلیل اصلی سرمایه گذاری در احراز هویت بدون رمز عبور (2017 درصد) است. پس از آن حفاظت از مالکیت معنوی (40٪) و اطلاعات پرسنل (HR) (39٪) قرار دارد. و واضح است که چرا - نه تنها ارزش مرتبط با این نوع داده ها به طور گسترده شناخته شده است، بلکه تعداد نسبتا کمی از کارمندان با آنها کار می کنند. یعنی هزینه های پیاده سازی آنقدر زیاد نیست و فقط چند نفر باید آموزش ببینند تا با سیستم احراز هویت پیچیده تری کار کنند. در مقابل، انواع دادهها و دستگاههایی که اغلب کارمندان سازمانی به طور معمول به آنها دسترسی دارند، هنوز تنها با رمز عبور محافظت میشوند. اسناد کارکنان، ایستگاه های کاری و پورتال های ایمیل شرکتی بیشترین خطر را دارند، زیرا تنها یک چهارم کسب و کارها از این دارایی ها با احراز هویت بدون رمز عبور محافظت می کنند (شکل 14).
به طور کلی، ایمیل شرکتی یک چیز بسیار خطرناک و نشتی است که درجه خطر احتمالی آن توسط اکثر CIOها دست کم گرفته می شود. کارمندان روزانه ده ها ایمیل دریافت می کنند، پس چرا حداقل یک ایمیل فیشینگ (یعنی تقلبی) را در میان آنها قرار ندهید. این نامه به سبک نامه های شرکت فرمت می شود، بنابراین کارمند با کلیک بر روی لینک موجود در این نامه احساس راحتی می کند. خوب، پس هر اتفاقی ممکن است بیفتد، به عنوان مثال، دانلود یک ویروس بر روی دستگاه مورد حمله یا افشای رمزهای عبور (از جمله از طریق مهندسی اجتماعی، با وارد کردن یک فرم احراز هویت جعلی ایجاد شده توسط مهاجم).
برای جلوگیری از چنین اتفاقاتی، ایمیل ها باید امضا شوند. سپس بلافاصله مشخص خواهد شد که کدام نامه توسط یک کارمند قانونی و کدام توسط یک مهاجم ایجاد شده است. به عنوان مثال، در Outlook/Exchange، امضاهای الکترونیکی مبتنی بر توکن رمزنگاری به سرعت و به راحتی فعال می شوند و می توانند در ارتباط با احراز هویت دو مرحله ای در رایانه های شخصی و دامنه های ویندوز استفاده شوند.
در میان آن دسته از مدیرانی که تنها به احراز هویت رمز عبور در سازمان متکی هستند، دو سوم (66٪) این کار را انجام می دهند، زیرا معتقدند رمزهای عبور امنیت کافی برای نوع اطلاعاتی را که شرکت آنها باید محافظت کند، فراهم می کند (شکل 15).
اما روش های احراز هویت قوی رایج تر می شوند. تا حد زیادی به دلیل این واقعیت است که در دسترس بودن آنها در حال افزایش است. تعداد فزایندهای از سیستمها، مرورگرها و سیستمهای عامل مدیریت هویت و دسترسی (IAM) از احراز هویت با استفاده از نشانههای رمزنگاری پشتیبانی میکنند.
احراز هویت قوی یک مزیت دیگر نیز دارد. از آنجایی که رمز عبور دیگر استفاده نمی شود (با یک پین ساده جایگزین شده است)، هیچ درخواستی از کارمندان برای تغییر رمز فراموش شده وجود ندارد. که به نوبه خود بار روی بخش فناوری اطلاعات شرکت را کاهش می دهد.
نتایج و نتیجه گیری
- مدیران اغلب دانش لازم برای ارزیابی را ندارند واقعی اثربخشی گزینه های مختلف احراز هویت آنها عادت کرده اند به چنین چیزی اعتماد کنند منسوخ شده روشهای امنیتی مانند گذرواژهها و سوالات امنیتی صرفاً به این دلیل که «قبلاً کار میکرد».
- کاربران هنوز این دانش را دارند کمتر، برای آنها نکته اصلی این است سادگی و راحتی. تا زمانی که انگیزه ای برای انتخاب نداشته باشند راه حل های امن تر.
- توسعه دهندگان برنامه های کاربردی سفارشی اغلب بی دلیلبرای پیاده سازی احراز هویت دو مرحله ای به جای احراز هویت رمز عبور. رقابت در سطح حفاظت در برنامه های کاربردی کاربر بدون.
- مسئولیت کامل هک به کاربر منتقل شد. رمز عبور یکبار مصرف را به مهاجم داده است - سرزنش. رمز عبور شما رهگیری یا جاسوسی شده است - سرزنش. توسعه دهنده نیازی به استفاده از روش های احراز هویت قابل اعتماد در محصول نداشت - سرزنش.
- درست تنظیم کننده اول از همه باید شرکت ها را ملزم به اجرای راه حل هایی کنند که مسدود کردن نشت داده ها (به ویژه احراز هویت دو عاملی)، به جای مجازات قبلا اتفاق افتاده است نشت داده ها
- برخی از توسعه دهندگان نرم افزار سعی در فروش به مصرف کنندگان دارند قدیمی و به خصوص قابل اعتماد نیست راه حل در بسته بندی زیبا محصول "نوآورانه". به عنوان مثال، احراز هویت با پیوند دادن به یک تلفن هوشمند خاص یا با استفاده از بیومتریک. همانطور که از این گزارش پیداست، بر اساس واقعا قابل اعتماد تنها راه حلی می تواند مبتنی بر احراز هویت قوی، یعنی توکن های رمزنگاری باشد.
- همینطور توکن رمزنگاری می تواند برای تعدادی از وظایف: برای احراز هویت قوی در سیستم عامل سازمانی، در برنامه های کاربردی شرکتی و کاربری، برای امضای الکترونیک تراکنش های مالی (مهم برای برنامه های بانکی)، اسناد و ایمیل.
منبع: www.habr.com