Koartlyn publisearre ûndersyksbedriuw Javelin Strategy & Research in rapport, "The State of Strong Authentication 2019." De makkers dêrfan sammele ynformaasje oer hokker autentikaasjemetoaden wurde brûkt yn bedriuwsomjouwings en konsumintapplikaasjes, en makken ek nijsgjirrige konklúzjes oer de takomst fan sterke autentikaasje.
Oersetting fan it earste diel mei de konklúzjes fan de skriuwers fan it rapport, wy . En no presintearje wy jo oandacht it twadde diel - mei gegevens en grafiken.
Fan de oersetter
Ik sil it hiele blok mei deselde namme net folslein kopiearje fan it earste diel, mar ik sil noch ien paragraaf duplisearje.
Alle sifers en feiten wurde presintearre sûnder de minste feroarings, en as jo it net iens binne, dan is it better om net mei de oersetter te pleitsjen, mar mei de skriuwers fan it rapport. En hjir binne myn opmerkingen (oplein as sitaten, en markearre yn 'e tekst Italiaansk) binne myn weardeoardiel en ik sil graach oer elk fan har (lykas oer de kwaliteit fan 'e oersetting) argumearje.
Meidogger Autentikaasje
Sûnt 2017 is it gebrûk fan sterke autentikaasje yn konsuminteapplikaasjes hurd groeid, foar in grut part troch de beskikberens fan kryptografyske autentikaasjemetoaden op mobile apparaten, hoewol mar in wat lytser persintaazje bedriuwen brûke sterke autentikaasje foar ynternetapplikaasjes.
Oer it algemien fertrijefâldige it persintaazje bedriuwen dy't sterke autentikaasje brûke yn har bedriuw fan 5% yn 2017 nei 16% yn 2018 (figuer 3).
De mooglikheid om sterke autentikaasje te brûken foar webapplikaasjes is noch beheind (fanwege it feit dat allinich heul nije ferzjes fan guon browsers ynteraksje mei kryptografyske tokens stypje, kin dit probleem lykwols oplost wurde troch ekstra software te ynstallearjen lykas ), sadat in protte bedriuwen alternative metoaden brûke foar online autentikaasje, lykas programma's foar mobile apparaten dy't ienmalige wachtwurden generearje.
Hardware kryptografyske kaaien (hjir bedoele wy allinnich dyjingen dy't foldogge oan FIDO noarmen), lykas dy oanbean troch Google, Feitian, One Span, en Yubico kinne brûkt wurde foar sterke autentikaasje sûnder ekstra software te ynstallearjen op buroblêden en laptops (om't de measte browsers al de WebAuthn-standert fan FIDO stypje), mar allinich 3% fan bedriuwen brûke dizze funksje om har brûkers oan te melden.
Fergeliking fan kryptografyske tokens (lykas ) en geheime kaaien dy't wurkje neffens FIDO noarmen is bûten it berik fan dit rapport, mar ek myn opmerkingen derop. Koartsein, beide soarten tokens brûke ferlykbere algoritmen en bestjoeringsprinsipes. FIDO-tokens wurde op it stuit better stipe troch browserferkeapers, hoewol dit gau sil feroarje as mear browsers stypje . Mar klassike kryptografyske tokens wurde beskerme troch in PIN-koade, kinne elektroanyske dokuminten ûndertekenje en wurde brûkt foar twa-faktora-autentikaasje yn Windows (elke ferzje), Linux en Mac OS X, hawwe API's foar ferskate programmeartalen, wêrtroch jo 2FA en elektroanysk kinne ymplementearje hantekening yn buroblêd, mobyl en webapplikaasjes, en tokens produsearre yn Ruslân stypje Russyske GOST-algoritmen. Yn alle gefallen is in kryptografysk token, nettsjinsteande hokker standert it is makke troch, de meast betroubere en handige autentikaasjemetoade.
Beyond Security: Oare foardielen fan sterke autentikaasje
It is gjin ferrassing dat it gebrûk fan sterke autentikaasje nau bûn is oan it belang fan 'e gegevens dy't in bedriuw opslaat. Bedriuwen dy't gefoelige persoanlik identifisearjende ynformaasje (PII) opslaan, lykas nûmers fan sosjale feiligens of persoanlike sûnensynformaasje (PHI), stean foar de grutste juridyske en regeljouwingsdruk. Dit binne de bedriuwen dy't de meast agressive foarstanners binne fan sterke autentikaasje. Druk op bedriuwen wurdt ferhege troch de ferwachtings fan klanten dy't witte wolle dat de organisaasjes dy't se fertrouwe mei har meast gefoelige gegevens, sterke autentikaasjemetoaden brûke. Organisaasjes dy't gefoelige PII of PHI behannelje, hawwe mear as twa kear safolle kâns om sterke autentikaasje te brûken as organisaasjes dy't allinich kontaktynformaasje fan brûkers opslaan (figuer 7).
Spitigernôch binne bedriuwen noch net ree om sterke autentikaasjemetoaden te ymplementearjen. Hast in tredde fan saaklike beslútmakkers beskôgje wachtwurden as de meast effektive autentikaasjemetoade ûnder al dejingen dy't neamd binne yn figuer 9, en 43% beskôget wachtwurden as de ienfâldichste autentikaasjemetoade.
Dit diagram bewiist ús dat ûntwikkelders fan bedriuwsapplikaasjes om 'e wrâld itselde binne ... Se sjogge net it foardiel fan it útfieren fan avansearre akkount tagongsfeiligensmeganismen en diele deselde misferstannen. En allinich de aksjes fan regulators kinne de situaasje feroarje.
Lit ús wachtwurden net oanreitsje. Mar wat moatte jo leauwe om te leauwen dat feiligensfragen feiliger binne dan kryptografyske tokens? De effektiviteit fan kontrôlefragen, dy't gewoan selektearre binne, waard rûsd op 15%, en net hackbere tokens - allinich 10. Besjoch op syn minst de film "Illusion of Deception", wêr't, hoewol yn in allegoaryske foarm, it wurdt sjen litten hoe maklik tsjoenders lokke alle nedige dingen út in sakeman-oplichter antwurden en liet him sûnder jild.
En noch ien feit dat in protte seit oer de kwalifikaasjes fan dyjingen dy't ferantwurdlik binne foar feiligensmeganismen yn brûkersapplikaasjes. Yn har begryp is it proses fan it ynfieren fan in wachtwurd in ienfâldiger operaasje dan autentikaasje mei in kryptografysk token. Hoewol, it liket derop dat it makliker wêze kin om it token te ferbinen mei in USB-poarte en in ienfâldige PIN-koade yn te fieren.
Wichtich is dat it ymplementearjen fan sterke autentikaasje bedriuwen makket om fuort te gean fan it tinken oer de autentikaasjemetoaden en operasjonele regels dy't nedich binne om frauduleuze regelingen te blokkearjen om te foldwaan oan 'e echte behoeften fan har klanten.
Hoewol it neilibjen fan regeljouwing in ridlike topprioriteit is foar sawol bedriuwen dy't sterke autentikaasje brûke as dejingen dy't dat net brûke, sille bedriuwen dy't al sterke autentikaasje brûke, folle mear wierskynlik sizze dat it ferheegjen fan klantloyaliteit de wichtichste metrik is dy't se beskôgje by it evaluearjen fan in autentikaasje metoade. (18% tsjin 12%) (figuer 10).
Enterprise Authentication
Sûnt 2017 is oannimmen fan sterke autentikaasje yn bedriuwen groeid, mar yn in wat leger taryf dan foar konsuminteapplikaasjes. It oandiel fan bedriuwen dy't sterke autentikaasje brûke, ferhege fan 7% yn 2017 nei 12% yn 2018. Oars as konsumintapplikaasjes, yn 'e ûndernimmingsomjouwing is it gebrûk fan metoaden foar net-wachtwurdferifikaasje wat faker yn webapplikaasjes as op mobile apparaten. Sawat de helte fan 'e bedriuwen rapportearret allinich brûkersnammen en wachtwurden te brûken om har brûkers te ferifiearjen by it oanmelden, mei ien op 'e fiif (22%) dy't ek allinich fertrouwe op wachtwurden foar sekundêre autentikaasje by tagong ta gefoelige gegevens (dat is, de brûker meldt him earst oan by de applikaasje mei in ienfâldiger autentikaasjemetoade, en as hy tagong wol ta krityske gegevens, sil hy in oare autentikaasjeproseduere útfiere, dizze kear meastal mei in betrouberere metoade).
Jo moatte begripe dat it rapport gjin rekken hâldt mei it gebrûk fan kryptografyske tokens foar twa-faktora-autentikaasje yn 'e bestjoeringssystemen Windows, Linux en Mac OS X. En dit is op it stuit it meast wiidferspraat gebrûk fan 2FA. (Och, tokens makke neffens FIDO-standerts kinne 2FA allinich ymplementearje foar Windows 10).
Boppedat, as de ymplemintaasje fan 2FA yn online en mobile applikaasjes in set fan maatregels fereasket, ynklusyf de wiziging fan dizze applikaasjes, dan moatte jo allinich PKI konfigurearje (bygelyks basearre op Microsoft Certification Server) en autentikaasjebelied om 2FA yn Windows te ymplementearjen. yn AD.
En sûnt it beskermjen fan de oanmelding op in wurk PC en domein is in wichtich elemint fan it beskermjen fan bedriuwsgegevens, de ymplemintaasje fan twa-faktor autentikaasje wurdt hieltyd faker.
De folgjende twa meast foarkommende metoaden foar it ferifiearjen fan brûkers by it oanmelden binne ienmalige wachtwurden oanbean fia in aparte app (13% fan bedriuwen) en ienmalige wachtwurden levere fia SMS (12%). Nettsjinsteande it feit dat it persintaazje gebrûk fan beide metoaden tige ferlykber is, wurdt OTP SMS meast brûkt om it autorisaasjenivo te ferheegjen (yn 24% fan bedriuwen). (ôfbylding 12).
De opkomst yn it brûken fan sterke autentikaasje yn 'e ûndernimming kin wierskynlik wurde taskreaun oan' e ferhege beskikberens fan kryptografyske autentikaasje-ymplementaasjes yn bedriuwsidentiteitsbehearplatfoarms (mei oare wurden, enterprise SSO- en IAM-systemen hawwe leard tokens te brûken).
Foar mobile autentikaasje fan meiwurkers en oannimmers fertrouwe bedriuwen sterker op wachtwurden dan foar autentikaasje yn konsuminteapplikaasjes. Krekt mear as de helte (53%) fan bedriuwen brûkt wachtwurden by it autentisearjen fan brûkerstagong ta bedriuwsgegevens fia in mobyl apparaat (figuer 13).
Yn it gefal fan mobile apparaten soe men leauwe yn 'e grutte krêft fan biometry, as net foar de protte gefallen fan falske fingerprinten, stimmen, gesichten en sels irissen. Ien sykmasjinefraach sil sjen litte dat in betroubere metoade fan biometryske autentikaasje gewoan net bestiet. Echt krekte sensoren besteane fansels, mar se binne heul djoer en grut yn grutte - en binne net ynstalleare yn smartphones.
Dêrom is de ienige wurkjende 2FA-metoade yn mobile apparaten it brûken fan kryptografyske tokens dy't ferbine mei it smartphone fia NFC, Bluetooth en USB Type-C-ynterfaces.
It beskermjen fan finansjele gegevens fan in bedriuw is de wichtichste reden foar ynvestearjen yn autentikaasje sûnder wachtwurd (44%), mei de rapste groei sûnt 2017 (in ferheging fan acht persintaazjepunten). Dit wurdt folge troch de beskerming fan yntellektueel eigendom (40%) en personiel (HR) gegevens (39%). En it is dúdlik wêrom - net allinich is de wearde dy't ferbûn is mei dizze soarten gegevens breed erkend, mar relatyf in pear meiwurkers wurkje mei har. Dat is, de útfieringskosten binne net sa grut, en mar in pear minsken moatte wurde oplaat om te wurkjen mei in komplekser autentikaasjesysteem. Yn tsjinstelling binne de soarten gegevens en apparaten wêr't de measte ûndernimmersmeiwurkers regelmjittich tagong ta binne noch allinich beskerme troch wachtwurden. Meiwurkersdokuminten, wurkstasjons en bedriuwe-e-postportalen binne de gebieten mei it grutste risiko, om't mar in kwart fan bedriuwen dizze aktiva beskermje mei wachtwurdleaze autentikaasje (figuer 14).
Yn 't algemien is bedriuws-e-post in heul gefaarlik en lekkend ding, wêrfan de mjitte fan potinsjele gefaar wurdt ûnderskat troch de measte CIO's. Meiwurkers ûntfange alle dagen tsientallen e-mails, dus wêrom net op syn minst ien phishing (dat is, frauduleus) e-post ûnder har opnimme. Dizze brief sil wurde opmakke yn 'e styl fan bedriuwsbrieven, sadat de meiwurker har noflik sil fiele troch te klikken op de keppeling yn dizze brief. No, dan kin fan alles barre, bygelyks it downloaden fan in firus op 'e oanfallen masine of it lekken fan wachtwurden (ynklusyf fia sosjale technyk, troch it ynfieren fan in falske autentikaasjeformulier makke troch de oanfaller).
Om foar te kommen dat soksoarte dingen barre moatte e-mails ûndertekene wurde. Dan wurdt daliks dúdlik hokker brief makke is troch in legitime meiwurker en hokker troch in oanfaller. Yn Outlook/Exchange, bygelyks, binne kryptografyske token-basearre elektroanyske hantekeningen frij fluch en maklik ynskeakele en kinne wurde brûkt yn kombinaasje mei twa-faktora-autentikaasje oer PC's en Windows-domeinen.
Under dy bestjoerders dy't allinich fertrouwe op wachtwurdautentikaasje binnen it bedriuw, docht twatredde (66%) dat om't se leauwe dat wachtwurden genôch feiligens leverje foar it type ynformaasje dat har bedriuw moat beskermje (figuer 15).
Mar sterke autentikaasjemetoaden wurde gewoaner. Foar in grut part te tankjen oan it feit dat harren beskikberens tanimt. In tanimmend oantal identiteits- en tagongsbehearsystemen (IAM), browsers en bestjoeringssystemen stypje autentikaasje mei kryptografyske tokens.
Sterke autentikaasje hat in oar foardiel. Sûnt it wachtwurd net mear brûkt wurdt (ferfongen troch in ienfâldige PIN), binne d'r gjin oanfragen fan meiwurkers dy't har freegje om it fergetten wachtwurd te feroarjen. Wat op syn beurt de lêst op 'e IT-ôfdieling fan' e ûndernimming ferminderet.
Resultaten en konklúzjes
- Managers hawwe faak net de nedige kennis om te beoardieljen echt effektiviteit fan ferskate autentikaasje opsjes. Se binne wend om soks te fertrouwen ferâldere feiligensmetoaden lykas wachtwurden en feiligensfragen gewoan om't "it earder wurke."
- Brûkers hawwe noch dizze kennis minder, foar harren is it wichtichste ding ienfâld en gemak. Salang't se gjin stimulâns hawwe om te kiezen feiliger oplossings.
- Untwikkelders fan oanpaste applikaasjes faak gjin redenom twa-faktorautentikaasje te ymplementearjen ynstee fan wachtwurdferifikaasje. Konkurrinsje yn it nivo fan beskerming yn brûkersapplikaasjes ôfwêzich.
- Folsleine ferantwurdlikens foar de hack oerbrocht nei de brûker. Jou it ienmalige wachtwurd oan de oanfaller - beskuldigje. Jo wachtwurd is ûnderskept of bespionearre - beskuldigje. Hie de ûntwikkelder net nedich om betroubere autentikaasjemetoaden te brûken yn it produkt - beskuldigje.
- Rjochts regelje Earst moatte easkje bedriuwen te fieren oplossings dy't blok gegevens lekken (benammen twa-faktor autentikaasje), yn stee fan straffen al bard data lek.
- Guon software-ûntwikkelders besykje te ferkeapjen oan konsuminten âld en net bysûnder betrouber oplossings yn prachtige ferpakking "ynnovatyf" produkt. Bygelyks, autentikaasje troch te keppeljen nei in spesifike smartphone of mei help fan biometrie. Sa't bliken docht út it rapport, neffens echt betrouber D'r kin allinich in oplossing wêze basearre op sterke autentikaasje, dat is, kryptografyske tokens.
- Itselde kryptografyske token kin brûkt wurde foar in oantal taken: foar sterke autentikaasje yn it bedriuw bestjoeringssysteem, yn bedriuws- en brûkersapplikaasjes, foar Elektroanyske Hantekening finansjele transaksjes (wichtich foar bankapplikaasjes), dokuminten en e-post.
Boarne: www.habr.com