Tutkimusyhtiö Javelin Strategy & Research julkaisi äskettäin raportin "The State of Strong Authentication 2019". Sen tekijät keräsivät tietoa siitä, mitä autentikointimenetelmiä käytetään yritysympäristöissä ja kuluttajasovelluksissa, ja tekivät myös mielenkiintoisia johtopäätöksiä vahvan autentikoinnin tulevaisuudesta.
Ensimmäisen osan käännös ja raportin tekijöiden päätelmät, me . Ja nyt esittelemme huomiosi toisen osan - datalla ja kaavioilla.
Kääntäjältä
En kopioi koko samannimistä lohkoa kokonaan ensimmäisestä osasta, mutta kopioin silti yhden kappaleen.
Kaikki luvut ja tosiasiat esitetään ilman pienimpiä muutoksia, ja jos et ole samaa mieltä niiden kanssa, on parempi väittää ei kääntäjän, vaan raportin tekijöiden kanssa. Ja tässä on minun kommenttini (lainauksina ja merkitty tekstiin italialainen) ovat arvoarvioni, ja väitän mielelläni jokaisesta niistä (sekä käännöksen laadusta).
Käyttäjän todennus
Vuodesta 2017 lähtien vahvan autentikoinnin käyttö kuluttajasovelluksissa on kasvanut voimakkaasti, mikä johtuu suurelta osin kryptografisten todennusmenetelmien saatavuudesta mobiililaitteissa, vaikka vain hieman pienempi osa yrityksistä käyttää vahvaa todennusta Internet-sovelluksissa.
Kaiken kaikkiaan vahvaa todentamista liiketoiminnassaan käyttävien yritysten osuus kolminkertaistui vuoden 5 2017 prosentista 16 prosenttiin vuonna 2018 (kuva 3).
Mahdollisuus käyttää vahvaa todennusta verkkosovelluksissa on edelleen rajoitettu (johtuen siitä, että vain joidenkin selainten hyvin uudet versiot tukevat vuorovaikutusta kryptografisten tokenien kanssa, mutta tämä ongelma voidaan ratkaista asentamalla lisäohjelmistoja, kuten ), joten monet yritykset käyttävät vaihtoehtoisia verkkotodennusmenetelmiä, kuten mobiililaitteiden ohjelmia, jotka luovat kertakäyttöisiä salasanoja.
Laitteiston salausavaimet (Tässä tarkoitamme vain niitä, jotka ovat FIDO-standardien mukaisia), kuten Googlen, Feitianin, One Spanin ja Yubicon tarjoamia, voidaan käyttää vahvaan todentamiseen ilman lisäohjelmiston asentamista pöytätietokoneisiin ja kannettaviin (koska useimmat selaimet tukevat jo FIDO:n WebAuthn-standardia), mutta vain 3 % yrityksistä käyttää tätä ominaisuutta käyttäjiensä kirjautumiseen.
Salausmerkkien vertailu (esim ) ja FIDO-standardien mukaisesti toimivat salaiset avaimet eivät kuulu tämän raportin piiriin, mutta myös siihen liittyvät kommenttini. Lyhyesti sanottuna molemmat tunnukset käyttävät samanlaisia algoritmeja ja toimintaperiaatteita. Selaintoimittajat tukevat tällä hetkellä paremmin FIDO-tunnuksia, vaikka tämä muuttuu pian, kun useat selaimet tukevat . Mutta klassiset salaustunnukset on suojattu PIN-koodilla, ne voivat allekirjoittaa sähköisiä asiakirjoja ja niitä voidaan käyttää kaksivaiheiseen todentamiseen Windowsissa (mikä tahansa versio), Linuxissa ja Mac OS X:ssä, niissä on API eri ohjelmointikielille, mikä mahdollistaa 2FA:n ja sähköisen käytön. allekirjoitus työpöytä-, mobiili- ja verkkosovelluksissa ja Venäjällä tuotetut tunnukset tukevat venäläisiä GOST-algoritmeja. Joka tapauksessa salaustunnus, riippumatta siitä, millä standardilla se on luotu, on luotettavin ja kätevin todennusmenetelmä.
Turvallisuuden lisäksi: Muita vahvan todennuksen etuja
Ei ole yllätys, että vahvan autentikoinnin käyttö on kiinteästi sidoksissa yrityksen tallentaman tiedon tärkeyteen. Yritykset, jotka säilyttävät arkaluontoisia henkilökohtaisia tunnistetietoja (PII), kuten sosiaaliturvatunnuksia tai henkilökohtaisia terveystietoja (PHI), kohtaavat suurimman oikeudellisen ja sääntelyn paineen. Nämä yritykset ovat aggressiivisimmat vahvan todennuksen kannattajat. Yritysten painetta lisäävät asiakkaiden odotukset, jotka haluavat tietää, että organisaatiot, joihin he uskovat arkaluontoisimman tietonsa, käyttävät vahvoja todennusmenetelmiä. Organisaatiot, jotka käsittelevät arkaluonteisia henkilökohtaisia tunnistetietoja tai henkilökohtaisia henkilötietoja, käyttävät yli kaksi kertaa todennäköisemmin vahvaa todennusta kuin organisaatiot, jotka tallentavat vain käyttäjien yhteystietoja (Kuva 7).
Valitettavasti yritykset eivät vielä ole halukkaita ottamaan käyttöön vahvoja todennusmenetelmiä. Lähes kolmasosa yrityspäättäjistä pitää salasanoja tehokkaimpana todennusmenetelmänä kaikista kuvassa 9 luetelluista, ja 43 % pitää salasanoja yksinkertaisimpana todennusmenetelmänä.
Tämä kaavio todistaa meille, että yrityssovellusten kehittäjät ympäri maailmaa ovat samoja... He eivät näe edistyneiden tilien pääsyn suojausmekanismien käyttöönoton etua, ja heillä on samat väärinkäsitykset. Ja vain sääntelyviranomaisten toimet voivat muuttaa tilannetta.
Älkäämme koskeko salasanoihin. Mutta mitä sinun täytyy uskoa uskoaksesi, että turvakysymykset ovat turvallisempia kuin kryptografiset tunnukset? Yksinkertaisesti valittujen kontrollikysymysten tehokkuudeksi arvioitiin 15 % ja ei-hakkeroitaviin tokeneihin - vain 10. Katso ainakin elokuva "Illusion of Deception", jossa, vaikkakin allegorisessa muodossa, näytetään kuinka helposti taikurit ovat houkutteli kaikki tarvittavat asiat ulos liikemies-huijarin vastauksista ja jätti hänet ilman rahaa.
Ja vielä yksi seikka, joka kertoo paljon käyttäjäsovellusten suojausmekanismeista vastaavien pätevyydestä. Heidän käsityksensä salasanan syöttäminen on yksinkertaisempi toimenpide kuin salaustunnuksella tapahtuva todennus. Vaikuttaa kuitenkin siltä, että voisi olla yksinkertaisempaa liittää token USB-porttiin ja antaa yksinkertainen PIN-koodi.
Tärkeää on, että vahvan todennuksen käyttöönotto antaa yrityksille mahdollisuuden siirtyä petollisten järjestelmien estämiseen tarvittavien todennusmenetelmien ja toimintasääntöjen pohtimisesta asiakkaidensa todellisten tarpeiden täyttämiseen.
Vaikka säännösten noudattaminen on kohtuullinen prioriteetti sekä vahvaa todennusta käyttäville yrityksille, että niille, jotka eivät käytä sitä, yritykset, jotka jo käyttävät vahvaa todennusta, sanovat paljon todennäköisemmin, että asiakasuskollisuuden lisääminen on tärkein mittari, jonka ne harkitsevat todennusta arvioidessaan. menetelmä. (18 % vs. 12 %) (kuvio 10).
Enterprise Authentication
Vuodesta 2017 lähtien vahvan autentikoinnin käyttöönotto yrityksissä on ollut kasvussa, mutta hieman hitaammin kuin kuluttajasovelluksissa. Vahvaa tunnistamista käyttävien yritysten osuus kasvoi vuoden 7 2017 prosentista 12 prosenttiin vuonna 2018. Toisin kuin kuluttajasovelluksissa, yritysympäristössä ei-salasanatodennusmenetelmien käyttö on jonkin verran yleisempää verkkosovelluksissa kuin mobiililaitteissa. Noin puolet yrityksistä ilmoittaa käyttävänsä vain käyttäjätunnuksia ja salasanoja käyttäjiensä todentamiseen kirjautuessaan sisään, ja joka viides (22 %) luottaa myös vain salasanoihin toissijaisessa todennuksen yhteydessä arkaluontoisten tietojen käsittelyssä (eli käyttäjä kirjautuu ensin sovellukseen yksinkertaisemmalla todennusmenetelmällä ja jos hän haluaa päästä käsiksi kriittisiin tietoihin, hän suorittaa toisen todennustoimenpiteen, tällä kertaa yleensä luotettavammalla menetelmällä).
Sinun on ymmärrettävä, että raportissa ei oteta huomioon salaustunnusten käyttöä kaksivaiheisessa todennuksen käyttöjärjestelmissä Windows, Linux ja Mac OS X. Ja tämä on tällä hetkellä yleisin 2FA:n käyttö. (Valitettavasti FIDO-standardien mukaan luodut tunnukset voivat toteuttaa 2FA:n vain Windows 10:ssä).
Lisäksi, jos 2FA:n käyttöönotto online- ja mobiilisovelluksissa vaatii joukon toimenpiteitä, mukaan lukien näiden sovellusten muokkaaminen, 2FA:n toteuttamiseksi Windowsissa tarvitsee vain määrittää PKI (esimerkiksi Microsoft Certification Serveriin perustuva) ja todennuskäytännöt. mainoksessa.
Ja koska sisäänkirjautumisen suojaaminen työtietokoneeseen ja verkkotunnukseen on tärkeä osa yrityksen tietojen suojaamista, kaksivaiheisen todennuksen käyttöönotto on yleistymässä.
Seuraavat kaksi yleisintä tapaa todentaa käyttäjät sisäänkirjautumisen yhteydessä ovat erillisen sovelluksen kautta annettavat kertakäyttöiset salasanat (13 % yrityksistä) ja kertakäyttöiset salasanat tekstiviestillä (12 %). Huolimatta siitä, että molempien menetelmien käyttöprosentti on hyvin samanlainen, OTP SMS:ää käytetään useimmiten valtuutustason nostamiseen (24 %:lla yrityksistä). (Kuva 12).
Vahvan todennuksen käytön lisääntyminen yrityksessä voi johtua todennäköisesti salaustodennustoteutusten lisääntyneestä saatavuudesta yrityksen identiteetinhallintaalustoilla (toisin sanoen yrityksen SSO- ja IAM-järjestelmät ovat oppineet käyttämään tunnuksia).
Yritykset turvautuvat työntekijöiden ja urakoitsijoiden mobiilitunnistukseen enemmän salasanoihin kuin kuluttajasovellusten todentamiseen. Hieman yli puolet (53 %) yrityksistä käyttää salasanoja todentaessaan käyttäjien pääsyä yrityksen tietoihin mobiililaitteen kautta (Kuva 13).
Mobiililaitteiden tapauksessa voisi uskoa biometristen tietojen suureen voimaan, elleivät monet väärennetyt sormenjäljet, äänet, kasvot ja jopa iirikset. Yksi hakukonekysely paljastaa, että luotettavaa biometristä todennusmenetelmää ei yksinkertaisesti ole olemassa. Todella tarkkoja antureita on tietysti olemassa, mutta ne ovat erittäin kalliita ja suuria - eikä niitä asenneta älypuhelimiin.
Siksi ainoa toimiva 2FA-menetelmä mobiililaitteissa on salaustunnusten käyttö, jotka muodostavat yhteyden älypuhelimeen NFC-, Bluetooth- ja USB Type-C -liitäntöjen kautta.
Yrityksen taloustietojen suojaaminen on suurin syy investoida salasanattomaan tunnistamiseen (44 %), ja kasvu on nopeinta sitten vuoden 2017 (kasvua kahdeksan prosenttiyksikköä). Tämän jälkeen tulevat immateriaalioikeuksien suoja (40 %) ja henkilöstötietojen suojaaminen (39 %). Ja on selvää, miksi – tämäntyyppisten tietojen arvo ei ole vain laajalti tunnustettu, vaan suhteellisen harvat työntekijät työskentelevät niiden kanssa. Toisin sanoen käyttöönottokustannukset eivät ole niin suuret, ja vain harvat ihmiset tarvitsevat koulutusta työskentelemään monimutkaisemman todennusjärjestelmän kanssa. Sitä vastoin tietotyypit ja laitteet, joita useimmat yrityksen työntekijät käyttävät rutiininomaisesti, on edelleen suojattu yksinomaan salasanoin. Työntekijöiden asiakirjat, työasemat ja yrityssähköpostiportaalit ovat suurimmat riskialueet, sillä vain neljännes yrityksistä suojaa nämä omaisuudet salasanattomalla todennuksella (Kuva 14).
Yleisesti ottaen yritysten sähköposti on erittäin vaarallinen ja vuotava asia, jonka mahdollisen vaaran astetta useimmat tietohallintojohtajat aliarvioivat. Työntekijät saavat kymmeniä sähköposteja joka päivä, joten mikset sisällytä heidän joukkoon vähintään yhtä tietojenkalasteluviestiä (eli vilpillistä). Tämä kirje muotoillaan yrityksen kirjeiden tyyliin, joten työntekijä tuntee olonsa mukavaksi napsauttamalla tässä kirjeessä olevaa linkkiä. No, silloin voi tapahtua mitä tahansa, esimerkiksi viruksen lataamista hyökkääjälle koneelle tai salasanojen vuotamista (myös sosiaalisen manipuloinnin avulla, syöttämällä hyökkääjän luomaan väärennetyn todennuslomakkeen).
Jotta tällaisia asioita ei tapahdu, sähköpostit on allekirjoitettava. Silloin on heti selvää, minkä kirjeen on luonut laillinen työntekijä ja minkä hyökkääjä. Esimerkiksi Outlook/Exchangessa salaustunnistepohjaiset sähköiset allekirjoitukset otetaan käyttöön melko nopeasti ja helposti, ja niitä voidaan käyttää kaksivaiheisen todennuksen yhteydessä PC- ja Windows-toimialueissa.
Niistä johtajista, jotka luottavat yksinomaan salasanatodennukseen yrityksessä, kaksi kolmasosaa (66 %) tekee niin, koska he uskovat, että salasanat tarjoavat riittävän suojan yrityksensä tarvitsemille tiedoille (Kuva 15).
Vahvat todennusmenetelmät ovat kuitenkin yleistymässä. Suurelta osin siksi, että niiden saatavuus lisääntyy. Yhä useammat IAM-järjestelmät, selaimet ja käyttöjärjestelmät tukevat todentamista salaustunnuksilla.
Vahvalla todennuksella on toinen etu. Koska salasanaa ei enää käytetä (korvattu yksinkertaisella PIN-koodilla), työntekijät eivät pyydä heitä vaihtamaan unohdettua salasanaa. Mikä puolestaan vähentää yrityksen IT-osaston kuormitusta.
Yhteenveto ja päätelmät
- Esimiehillä ei useinkaan ole tarvittavaa tietoa arvioidakseen todellinen eri todennusvaihtoehtojen tehokkuus. He ovat tottuneet luottamaan sellaisiin vanhentunut suojausmenetelmiä, kuten salasanoja ja turvakysymyksiä, yksinkertaisesti siksi, että "se toimi ennen".
- Käyttäjillä on edelleen tämä tieto Vähemmän, heille tärkeintä on yksinkertaisuus ja mukavuus. Niin kauan kuin heillä ei ole kannustinta valita turvallisempia ratkaisuja.
- Mukautettujen sovellusten kehittäjät usein ei syytäottaa käyttöön kaksivaiheisen todennuksen salasanatodennuksen sijaan. Kilpailu käyttäjäsovellusten suojaustasosta ei.
- Täysi vastuu hakkeroinnista siirtynyt käyttäjälle. Annoit hyökkääjälle kertaluonteisen salasanan - syyttää. Salasanasi siepattiin tai sitä vakoiltiin - syyttää. Ei vaatinut kehittäjää käyttämään luotettavia todennusmenetelmiä tuotteessa - syyttää.
- oikea säädin ensinnäkin pitäisi vaatia yrityksiä ottamaan käyttöön ratkaisuja lohko tietovuodot (erityisesti kaksivaiheinen todennus) rankaisemisen sijaan jo tapahtunut tietovuoto.
- Jotkut ohjelmistokehittäjät yrittävät myydä kuluttajille vanha ja ei erityisen luotettava ratkaisut kauniissa pakkauksessa "innovatiivinen" tuote. Esimerkiksi todennus linkittämällä tiettyyn älypuhelimeen tai käyttämällä biometrisiä tietoja. Kuten raportista voidaan nähdä, mukaan todella luotettava Voi olla vain vahvaan todentamiseen, eli kryptografisiin tokeneihin, perustuva ratkaisu.
- Sama kryptografista merkkiä voidaan käyttää useita tehtäviä: varten vahva todennus yrityksen käyttöjärjestelmässä, yritys- ja käyttäjäsovelluksissa, varten Sähköinen allekirjoitus rahoitustapahtumat (tärkeää pankkisovellusten kannalta), asiakirjat ja sähköposti.
Lähde: will.com