Récemment, la société de recherche Javelin Strategy & Research a publié un rapport intitulé « The State of Strong Authentication 2019 ». Ses créateurs ont collecté des informations sur les méthodes d'authentification utilisées dans les environnements d'entreprise et les applications grand public, et ont également tiré des conclusions intéressantes sur l'avenir de l'authentification forte.
Traduction de la première partie avec les conclusions des auteurs du rapport, nous . Et maintenant, nous présentons à votre attention la deuxième partie - avec des données et des graphiques.
Du traducteur
Je ne copierai pas complètement tout le bloc du même nom de la première partie, mais je dupliquerai quand même un paragraphe.
Tous les chiffres et tous les faits sont présentés sans le moindre changement, et si vous n'êtes pas d'accord avec eux, il est préférable de discuter non pas avec le traducteur, mais avec les auteurs du rapport. Et voici mes commentaires (présentés sous forme de citations et marqués dans le texte italien) sont mon jugement de valeur et je me ferai un plaisir d'argumenter sur chacun d'eux (ainsi que sur la qualité de la traduction).
Authentification d'utilisateur
Depuis 2017, le recours à l’authentification forte dans les applications grand public a fortement augmenté, en grande partie en raison de la disponibilité de méthodes d’authentification cryptographiques sur les appareils mobiles, même si seul un pourcentage légèrement inférieur d’entreprises utilisent l’authentification forte pour les applications Internet.
Dans l’ensemble, le pourcentage d’entreprises utilisant l’authentification forte dans leur activité a triplé, passant de 5 % en 2017 à 16 % en 2018 (Figure 3).
La possibilité d'utiliser une authentification forte pour les applications Web est encore limitée (en raison du fait que seules les toutes nouvelles versions de certains navigateurs prennent en charge l'interaction avec les jetons cryptographiques, ce problème peut cependant être résolu en installant des logiciels supplémentaires tels que ), c'est pourquoi de nombreuses entreprises utilisent des méthodes alternatives d'authentification en ligne, telles que des programmes pour appareils mobiles qui génèrent des mots de passe à usage unique.
Clés cryptographiques matérielles (nous entendons ici uniquement ceux qui sont conformes aux normes FIDO), tels que ceux proposés par Google, Feitian, One Span et Yubico, peuvent être utilisés pour une authentification forte sans installer de logiciel supplémentaire sur les ordinateurs de bureau et portables (car la plupart des navigateurs prennent déjà en charge le standard WebAuthn de FIDO), mais seulement 3 % des entreprises utilisent cette fonctionnalité pour connecter leurs utilisateurs.
Comparaison des jetons cryptographiques (comme ) et les clés secrètes fonctionnant selon les normes FIDO dépassent le cadre de ce rapport, mais aussi de mes commentaires. En bref, les deux types de jetons utilisent des algorithmes et des principes de fonctionnement similaires. Les jetons FIDO sont actuellement mieux pris en charge par les fournisseurs de navigateurs, bien que cela changera bientôt à mesure que de plus en plus de navigateurs le prendront en charge. . Mais les jetons cryptographiques classiques sont protégés par un code PIN, peuvent signer des documents électroniques et être utilisés pour l'authentification à deux facteurs sous Windows (n'importe quelle version), Linux et Mac OS X, disposent d'API pour différents langages de programmation, vous permettant de mettre en œuvre 2FA et électronique. la signature dans les applications de bureau, mobiles et Web, ainsi que les jetons produits en Russie prennent en charge les algorithmes russes GOST. Dans tous les cas, un jeton cryptographique, quelle que soit la norme par laquelle il est créé, constitue la méthode d'authentification la plus fiable et la plus pratique.
Au-delà de la sécurité : autres avantages de l’authentification forte
Il n'est pas surprenant que le recours à l'authentification forte soit étroitement lié à l'importance des données stockées par une entreprise. Les entreprises qui stockent des informations personnelles identifiables (PII) sensibles, telles que des numéros de sécurité sociale ou des informations personnelles sur la santé (PHI), sont confrontées à la plus grande pression juridique et réglementaire. Ce sont les entreprises qui sont les plus agressives en faveur de l’authentification forte. La pression sur les entreprises est renforcée par les attentes des clients qui veulent savoir que les organisations à qui elles confient leurs données les plus sensibles utilisent des méthodes d'authentification fortes. Les organisations qui gèrent des informations personnelles ou des données personnelles confidentielles sont deux fois plus susceptibles d'utiliser une authentification forte que les organisations qui stockent uniquement les informations de contact des utilisateurs (Figure 7).
Malheureusement, les entreprises ne sont pas encore disposées à mettre en œuvre des méthodes d’authentification forte. Près d'un tiers des décideurs d'entreprise considèrent les mots de passe comme la méthode d'authentification la plus efficace parmi toutes celles répertoriées dans la figure 9, et 43 % considèrent les mots de passe comme la méthode d'authentification la plus simple.
Ce graphique nous prouve que les développeurs d'applications métiers du monde entier sont les mêmes... Ils ne voient pas l'intérêt de mettre en œuvre des mécanismes avancés de sécurité d'accès aux comptes et partagent les mêmes idées fausses. Et seules les actions des régulateurs peuvent changer la donne.
Ne touchons pas aux mots de passe. Mais que faut-il croire pour croire que les questions de sécurité sont plus sécurisées que les jetons cryptographiques ? L'efficacité des questions de contrôle, qui sont simplement sélectionnées, a été estimée à 15 %, et non des jetons piratables - à seulement 10. Regardez au moins le film « Illusion of Deception », où, bien que sous une forme allégorique, il est montré avec quelle facilité les magiciens a attiré toutes les choses nécessaires des réponses d'un homme d'affaires-escroc et l'a laissé sans argent.
Et encore un fait qui en dit long sur les qualifications de ceux qui sont responsables des mécanismes de sécurité dans les applications utilisateur. Selon eux, le processus de saisie d'un mot de passe est une opération plus simple que l'authentification à l'aide d'un jeton cryptographique. Cependant, il semblerait qu'il soit plus simple de connecter le token à un port USB et de saisir un simple code PIN.
Il est important de noter que la mise en œuvre d’une authentification forte permet aux entreprises de ne plus réfléchir aux méthodes d’authentification et aux règles opérationnelles nécessaires pour bloquer les stratagèmes frauduleux et de répondre aux besoins réels de leurs clients.
Bien que la conformité réglementaire soit une priorité absolue, tant pour les entreprises qui utilisent l'authentification forte que pour celles qui ne l'utilisent pas, les entreprises qui utilisent déjà l'authentification forte sont beaucoup plus susceptibles de déclarer que la fidélisation de la clientèle est l'indicateur le plus important qu'elles prennent en compte lors de l'évaluation d'une authentification. méthode. (18 % contre 12 %) (Figure 10).
Authentification d'entreprise
Depuis 2017, l’adoption de l’authentification forte dans les entreprises s’est développée, mais à un rythme légèrement inférieur à celui des applications grand public. La part des entreprises utilisant l'authentification forte est passée de 7 % en 2017 à 12 % en 2018. Contrairement aux applications grand public, dans l'environnement d'entreprise, l'utilisation de méthodes d'authentification sans mot de passe est un peu plus courante dans les applications Web que sur les appareils mobiles. Environ la moitié des entreprises déclarent utiliser uniquement des noms d'utilisateur et des mots de passe pour authentifier leurs utilisateurs lors de la connexion, une sur cinq (22 %) s'appuyant également uniquement sur des mots de passe pour une authentification secondaire lors de l'accès à des données sensibles (c'est-à-dire que l'utilisateur se connecte d'abord à l'application en utilisant une méthode d'authentification plus simple, et s'il souhaite accéder aux données critiques, il effectuera une autre procédure d'authentification, cette fois en utilisant généralement une méthode plus fiable.).
Vous devez comprendre que le rapport ne prend pas en compte l'utilisation de jetons cryptographiques pour l'authentification à deux facteurs dans les systèmes d'exploitation Windows, Linux et Mac OS X. Et il s'agit actuellement de l'utilisation la plus répandue du 2FA. (Hélas, les jetons créés selon les normes FIDO ne peuvent implémenter 2FA que pour Windows 10).
De plus, si la mise en œuvre de 2FA dans les applications en ligne et mobiles nécessite un ensemble de mesures, y compris la modification de ces applications, alors pour mettre en œuvre 2FA sous Windows, il vous suffit de configurer la PKI (par exemple, basée sur Microsoft Certification Server) et les politiques d'authentification. en addition.
Et comme la protection de la connexion à un PC et à un domaine de travail est un élément important de la protection des données d'entreprise, la mise en œuvre d'une authentification à deux facteurs devient de plus en plus courante.
Les deux autres méthodes les plus courantes pour authentifier les utilisateurs lors de la connexion sont les mots de passe à usage unique fournis via une application distincte (13 % des entreprises) et les mots de passe à usage unique transmis par SMS (12 %). Malgré le fait que le pourcentage d'utilisation des deux méthodes soit très similaire, le SMS OTP est le plus souvent utilisé pour augmenter le niveau d'autorisation (dans 24 % des entreprises). (Figure 12).
L’augmentation du recours à l’authentification forte dans les entreprises peut probablement être attribuée à la disponibilité accrue d’implémentations d’authentification cryptographique dans les plateformes de gestion des identités d’entreprise (en d’autres termes, les systèmes SSO et IAM d’entreprise ont appris à utiliser des jetons).
Pour l'authentification mobile des employés et des sous-traitants, les entreprises s'appuient davantage sur les mots de passe que pour l'authentification dans les applications grand public. Un peu plus de la moitié (53 %) des entreprises utilisent des mots de passe pour authentifier l'accès des utilisateurs aux données de l'entreprise via un appareil mobile (Figure 13).
Dans le cas des appareils mobiles, on croirait au grand pouvoir de la biométrie, sans les nombreux cas de fausses empreintes digitales, voix, visages et même iris. Une requête d’un moteur de recherche révélera qu’il n’existe tout simplement pas de méthode fiable d’authentification biométrique. Il existe bien sûr des capteurs véritablement précis, mais ils sont très chers et de grande taille - et ne sont pas installés dans les smartphones.
Par conséquent, la seule méthode 2FA efficace sur les appareils mobiles est l’utilisation de jetons cryptographiques qui se connectent au smartphone via les interfaces NFC, Bluetooth et USB Type-C.
La protection des données financières d'une entreprise est la principale raison d'investir dans l'authentification sans mot de passe (44 %), avec la croissance la plus rapide depuis 2017 (une augmentation de huit points de pourcentage). Viennent ensuite la protection de la propriété intellectuelle (40%) et des données du personnel (RH) (39%). Et la raison est claire : non seulement la valeur associée à ces types de données est largement reconnue, mais relativement peu d'employés travaillent avec elles. Autrement dit, les coûts de mise en œuvre ne sont pas si importants et seules quelques personnes doivent être formées pour travailler avec un système d'authentification plus complexe. En revanche, les types de données et d’appareils auxquels la plupart des employés des entreprises accèdent régulièrement sont toujours protégés uniquement par des mots de passe. Les documents des employés, les postes de travail et les portails de messagerie d'entreprise sont les domaines les plus à risque, car seul un quart des entreprises protègent ces actifs avec une authentification sans mot de passe (Figure 14).
En général, la messagerie électronique d'entreprise est une chose très dangereuse et qui fuit, dont le degré de danger potentiel est sous-estimé par la plupart des DSI. Les employés reçoivent des dizaines d’e-mails chaque jour, alors pourquoi ne pas inclure parmi eux au moins un e-mail de phishing (c’est-à-dire frauduleux). Cette lettre sera formatée dans le style des lettres de l'entreprise, afin que l'employé se sente à l'aise en cliquant sur le lien contenu dans cette lettre. Eh bien, tout peut arriver, par exemple le téléchargement d'un virus sur la machine attaquée ou la fuite de mots de passe (y compris via l'ingénierie sociale, en saisissant un faux formulaire d'authentification créé par l'attaquant).
Pour éviter que de telles choses ne se produisent, les e-mails doivent être signés. Il sera alors immédiatement clair quelle lettre a été créée par un employé légitime et laquelle par un attaquant. Dans Outlook/Exchange, par exemple, les signatures électroniques basées sur des jetons cryptographiques sont activées assez rapidement et facilement et peuvent être utilisées conjointement avec l'authentification à deux facteurs sur les PC et les domaines Windows.
Parmi les dirigeants qui s'appuient uniquement sur l'authentification par mot de passe au sein de l'entreprise, les deux tiers (66 %) le font parce qu'ils estiment que les mots de passe offrent une sécurité suffisante pour le type d'informations que leur entreprise doit protéger (Figure 15).
Mais les méthodes d’authentification forte sont de plus en plus courantes. En grande partie dû au fait que leur disponibilité augmente. Un nombre croissant de systèmes, de navigateurs et de systèmes d'exploitation de gestion des identités et des accès (IAM) prennent en charge l'authentification à l'aide de jetons cryptographiques.
L'authentification forte présente un autre avantage. Le mot de passe n’étant plus utilisé (remplacé par un simple code PIN), il n’y a aucune demande des salariés leur demandant de changer le mot de passe oublié. Ce qui réduit la charge du service informatique de l’entreprise.
Résultats et conclusions
- Les managers n’ont souvent pas les connaissances nécessaires pour évaluer réel l'efficacité des diverses options d'authentification. Ils sont habitués à faire confiance à de tels obsolète des méthodes de sécurité comme les mots de passe et les questions de sécurité simplement parce que « cela fonctionnait avant ».
- Les utilisateurs ont toujours cette connaissance moins, pour eux l'essentiel est simplicité et commodité. Tant qu'ils ne sont pas incités à choisir des solutions plus sécurisées.
- Les développeurs d'applications personnalisées souvent sans raisonpour mettre en œuvre une authentification à deux facteurs au lieu de l'authentification par mot de passe. Concurrence dans le niveau de protection des applications utilisateur Non.
- L'entière responsabilité du piratage transféré à l'utilisateur. J'ai donné le mot de passe à usage unique à l'attaquant - est à blâmer. Votre mot de passe a été intercepté ou espionné - est à blâmer. N'a pas exigé du développeur qu'il utilise des méthodes d'authentification fiables dans le produit - est à blâmer.
- Droite régulateur tout d'abord devrait obliger les entreprises à mettre en œuvre des solutions qui bloc fuites de données (notamment authentification à deux facteurs), plutôt que de sanctionner déjà arrivé fuite de données.
- Certains développeurs de logiciels tentent de vendre aux consommateurs vieux et pas particulièrement fiable solutions dans un bel emballage produit « innovant ». Par exemple, l'authentification en se connectant à un smartphone spécifique ou en utilisant la biométrie. Comme le montre le rapport, selon vraiment fiable Il ne peut exister qu’une solution basée sur une authentification forte, c’est-à-dire des jetons cryptographiques.
- Le même le jeton cryptographique peut être utilisé pour un certain nombre de tâches: pour authentification forte dans le système d'exploitation de l'entreprise, dans les applications d'entreprise et utilisateur, par exemple signature électronique transactions financières (importantes pour les applications bancaires), documents et courrier électronique.
Source: habr.com