O chionn ghoirid, dh’ fhoillsich a’ chompanaidh rannsachaidh Javelin Strategy & Research an aithisg “The State of Strong Authentication 2019”. Chruinnich an luchd-cruthachaidh fiosrachadh mu na dòighean dearbhaidh a thathas a’ cleachdadh ann an àrainneachdan corporra agus tagraidhean luchd-cleachdaidh, agus rinn iad cuideachd co-dhùnaidhean inntinneach mu na tha an dàn do dhearbhadh làidir.
Eadar-theangachadh den chiad phàirt le co-dhùnaidhean ùghdaran na h-aithisg, tha sinn . Agus a-nis bidh sinn a 'toirt thugaibh an dàrna pàirt - le dàta agus grafaichean.
Bhon eadar-theangair
Cha dèan mi leth-bhreac gu tur den bhloc gu lèir den aon ainm bhon chiad phàirt, ach dùblaichidh mi aon pharagraf fhathast.
Tha na figearan agus na fìrinnean uile air an taisbeanadh às aonais na h-atharrachaidhean as lugha, agus mura h-eil thu ag aontachadh riutha, tha e nas fheàrr argamaid a dhèanamh chan ann leis an eadar-theangair, ach le ùghdaran na h-aithisg. Agus seo na beachdan agam (air an cur sìos mar luachan, agus air an comharrachadh san teacsa Eadailteach) a bheil mo bhreithneachadh luach agus bidh mi toilichte argamaid a dhèanamh air gach fear dhiubh (a bharrachd air càileachd an eadar-theangachaidh).
Dearbhadh cleachdaiche
Bho 2017, tha cleachdadh dearbhaidh làidir ann an tagraidhean luchd-cleachdaidh air a dhol suas gu mòr, gu ìre mhòr mar thoradh air na tha ri fhaighinn de dhòighean dearbhaidh criptografach air innealan gluasadach, ged nach eil ach ceudad beagan nas lugha de chompanaidhean a ’cleachdadh dearbhadh làidir airson tagraidhean eadar-lìn.
Gu h-iomlan, chaidh an àireamh sa cheud de chompanaidhean a bha a’ cleachdadh dearbhadh làidir anns a’ ghnìomhachas aca trì uiread bho 5% ann an 2017 gu 16% ann an 2018 (Figear 3).
Tha an comas dearbhadh làidir a chleachdadh airson tagraidhean lìn fhathast cuibhrichte (leis nach eil ach dreachan fìor ùr de chuid de bhrobhsairean a’ toirt taic do eadar-obrachadh le comharran criptografach, ach faodar an duilgheadas seo fhuasgladh le bhith a’ stàladh bathar-bog a bharrachd leithid ), bidh uimhir de chompanaidhean a’ cleachdadh dhòighean eile airson dearbhadh air-loidhne, leithid prògraman airson innealan gluasadach a ghineas faclan-faire aon-ùine.
Iuchraichean criptografach bathar-cruaidh (an seo tha sinn a’ ciallachadh dìreach an fheadhainn a tha a’ cumail ri inbhean FIDO), leithid an fheadhainn a tha Google a’ tabhann, faodar Feitian, One Span, agus Yubico a chleachdadh airson dearbhadh làidir gun a bhith a’ stàladh bathar-bog a bharrachd air coimpiutairean deasg agus coimpiutairean-uchd (leis gu bheil a’ mhòr-chuid de bhrobhsairean mu thràth a’ toirt taic do inbhe WebAuthn bho FIDO), ach chan eil ach 3% de chompanaidhean a’ cleachdadh am feart seo gus logadh a-steach don luchd-cleachdaidh aca.
Coimeas eadar comharran criptografach (leithid ) agus tha iuchraichean dìomhair ag obair a rèir inbhean FIDO taobh a-muigh raon na h-aithisge seo, ach cuideachd na beachdan agam air. Ann an ùine ghoirid, bidh an dà sheòrsa tokens a’ cleachdadh algorithms agus prionnsapalan obrachaidh coltach. Tha luchd-reic bhrobhsair a’ faighinn taic nas fheàrr do chomharran FIDO an-dràsta, ged a dh’ atharraicheas seo a dh’ aithghearr mar a bhios barrachd bhrobhsairean a’ toirt taic . Ach tha comharran criptografach clasaigeach air an dìon le còd PIN, is urrainn dhaibh sgrìobhainnean dealanach a shoidhnigeadh agus an cleachdadh airson dearbhadh dà-fhactaraidh ann an Windows (dreach sam bith), Linux agus Mac OS X, tha APIan aca airson diofar chànanan prògramaidh, a’ toirt cothrom dhut 2FA agus dealanach a chuir an gnìomh. tha ainm-sgrìobhte ann an tagraidhean deasg, gluasadach agus lìn, agus comharran a chaidh a thoirt a-mach san Ruis a’ toirt taic do algorithms GOST na Ruis. Ann an suidheachadh sam bith, is e tòcan criptografach, ge bith dè an ìre a tha e air a chruthachadh, an dòigh dearbhaidh as earbsaiche agus as goireasaiche.
Seachad air Tèarainteachd: Buannachdan eile bho dhearbhadh làidir
Chan eil e na iongnadh gu bheil cleachdadh dearbhadh làidir ceangailte gu dlùth ri cho cudromach sa tha an dàta a tha gnìomhachas a’ stòradh. Tha an cuideam laghail is riaghlaidh as motha aig companaidhean a bhios a’ stòradh fiosrachadh mothachail a dh’ aithnichear gu pearsanta (PII), leithid àireamhan Tèarainteachd Shòisealta no Fiosrachadh Slàinte Pearsanta (PHI). Is iad sin na companaidhean as ionnsaigheach a tha a ’moladh dearbhadh làidir. Tha cuideam air gnìomhachasan air àrdachadh le dùil luchd-ceannach a tha airson faighinn a-mach gu bheil na buidhnean anns a bheil earbsa aca leis an dàta as mothachaile aca a’ cleachdadh dhòighean dearbhaidh làidir. Tha buidhnean a bhios a’ làimhseachadh PII no PHI mothachail còrr is a dhà uimhir nas dualtaiche dearbhadh làidir a chleachdadh na buidhnean nach eil a’ stòradh ach fiosrachadh conaltraidh luchd-cleachdaidh (Figear 7).
Gu mì-fhortanach, chan eil companaidhean fhathast deònach dòighean dearbhaidh làidir a chuir an gnìomh. Tha faisg air trian de luchd-co-dhùnaidh gnìomhachais den bheachd gur e faclan-faire an dòigh dearbhaidh as èifeachdaiche am measg an fheadhainn a tha air an liostadh ann am Figear 9, agus tha 43% den bheachd gur e faclan-faire an dòigh dearbhaidh as sìmplidh.
Tha a’ chairt seo a’ dearbhadh dhuinn gu bheil luchd-leasachaidh thagraidhean gnìomhachais air feadh an t-saoghail mar an ceudna... Chan eil iad a’ faicinn a’ bhuannachd a bhith a’ buileachadh uidheamachdan tèarainteachd ruigsinneachd cunntais adhartach agus tha na h-aon mhì-thuigse aca. Agus is e dìreach gnìomhan luchd-riaghlaidh as urrainn an suidheachadh atharrachadh.
Nach suathadh sinn faclan-faire. Ach dè a dh'fheumas tu a chreidsinn a bhith a 'creidsinn gu bheil ceistean tèarainteachd nas tèarainte na comharran criptografach? Bha èifeachdas nan ceistean smachd, a tha dìreach air an taghadh, air a mheas aig 15%, agus chan e comharran hackable - dìreach 10. Co-dhiù coimhead air an fhilm “Illusion of Deception”, far a bheil, ged a tha e ann an cruth alegorical, air a shealltainn cho furasta sa tha draoidhean. tharraing e a h-uile rud riatanach a-mach à freagairtean neach-gnìomhachais agus dh’ fhàg e e gun airgead.
Agus aon fhìrinn eile a tha ag ràdh mòran mu theisteanasan an fheadhainn a tha an urra ri dòighean tèarainteachd ann an tagraidhean luchd-cleachdaidh. Anns an tuigse aca, tha am pròiseas airson facal-faire a chuir a-steach na ghnìomhachd nas sìmplidh na dearbhadh a ’cleachdadh comharra cryptographic. Ged, bhiodh e coltach gum biodh e nas sìmplidh an comharra a cheangal ri port USB agus cuir a-steach còd PIN sìmplidh.
Gu cudromach, tha buileachadh dearbhadh làidir a’ leigeil le gnìomhachasan gluasad air falbh bho bhith a’ smaoineachadh mu na dòighean dearbhaidh agus na riaghailtean obrachaidh a dh’ fheumar gus sgeamaichean meallta a bhacadh gus coinneachadh ri fìor fheumalachdan an luchd-ceannach.
Ged a tha gèilleadh riaghlaidh na àrd phrìomhachas reusanta airson an dà chuid gnìomhachasan a bhios a’ cleachdadh dearbhadh làidir agus an fheadhainn nach eil, tha companaidhean a tha a’ cleachdadh dearbhadh làidir mar-thà fada nas dualtaiche a ràdh gur e àrdachadh dìlseachd teachdaiche am meatrach as cudromaiche a bhios iad a’ beachdachadh nuair a thathar a’ measadh dearbhadh. dòigh-obrach. (18% vs. 12%) (Figear 10).
Dearbhadh iomairt
Bho 2017, tha gabhail ri dearbhadh làidir ann an iomairtean air a bhith a’ fàs, ach aig ìre beagan nas ìsle na airson tagraidhean luchd-cleachdaidh. Mheudaich an roinn de dh’ iomairtean a bha a’ cleachdadh dearbhadh làidir bho 7% ann an 2017 gu 12% ann an 2018. Eu-coltach ri tagraidhean luchd-cleachdaidh, anns an àrainneachd iomairt tha cleachdadh dhòighean dearbhaidh gun fhacal-faire beagan nas cumanta ann an tagraidhean lìn na air innealan gluasadach. Tha timcheall air leth de ghnìomhachasan ag aithris nach eil iad a’ cleachdadh ach ainmean-cleachdaidh agus faclan-faire gus an luchd-cleachdaidh aca a dhearbhadh nuair a tha iad a’ logadh a-steach, le aon às gach còignear (22%) cuideachd an urra ri faclan-faire a-mhàin airson dearbhadh àrd-sgoile nuair a gheibh iad cothrom air dàta mothachail (is e sin, bidh an neach-cleachdaidh a’ logadh a-steach don tagradh an toiseach a’ cleachdadh dòigh dearbhaidh nas sìmplidhe, agus ma tha e airson faighinn gu dàta èiginneach, nì e modh dearbhaidh eile, mar as trice an turas seo a’ cleachdadh dòigh nas earbsaiche).
Feumaidh tu tuigsinn nach eil an aithisg a 'toirt aire do chleachdadh comharran criptografach airson dearbhadh dà-fhactaraidh anns na siostaman obrachaidh Windows, Linux agus Mac OS X. Agus is e seo an-dràsta an cleachdadh as fharsainge de 2FA. (Gu mì-fhortanach, faodaidh comharran a chaidh a chruthachadh a rèir inbhean FIDO 2FA a chuir an gnìomh a-mhàin airson Windows 10).
A bharrachd air an sin, ma tha feum air seata de cheumannan airson buileachadh 2FA ann an tagraidhean air-loidhne agus gluasadach, a’ gabhail a-steach atharrachadh nan tagraidhean sin, an uairsin gus 2FA a chuir an gnìomh ann an Windows chan fheum thu ach PKI a rèiteachadh (mar eisimpleir, stèidhichte air Microsoft Certification Server) agus poileasaidhean dearbhaidh ann an AD.
Agus leis gu bheil dìon an logadh a-steach gu PC obrach agus àrainn na eileamaid chudromach de dhìon dàta corporra, tha buileachadh dearbhadh dà-fhactaraidh a’ fàs nas cumanta.
Is e an ath dhà dhòigh as cumanta airson luchd-cleachdaidh a dhearbhadh nuair a bhios iad a’ logadh a-steach, faclan-faire aon-ùine air an toirt seachad tro app air leth (13% de ghnìomhachasan) agus faclan-faire aon-ùine air an lìbhrigeadh tro SMS (12%). A dh'aindeoin 's gu bheil an àireamh sa cheud de cleachdadh an dà dhòigh a tha glè choltach, OTP SMS mar as trice air a chleachdadh gus àrdachadh ìre ceadachaidh (ann an 24% de chompanaidhean). (Figear 12).
Tha e coltach gu bheil an àrdachadh ann an cleachdadh dearbhaidh làidir san iomairt mar thoradh air na tha ri fhaighinn de ghnìomhachd dearbhaidh criptografach ann an àrd-ùrlaran riaghlaidh dearbh-aithne iomairt (ann am faclan eile, tha siostaman iomairt SSO agus IAM air ionnsachadh comharran a chleachdadh).
Airson dearbhadh gluasadach de luchd-obrach agus cunnradairean, tha iomairtean an urra nas motha air faclan-faire na airson dearbhadh ann an tagraidhean luchd-cleachdaidh. Bidh beagan a bharrachd air leth (53%) de dh’iomairtean a’ cleachdadh faclan-faire nuair a tha iad a’ dearbhadh ruigsinneachd luchd-cleachdaidh air dàta companaidh tro inneal gluasadach (Figear 13).
A thaobh innealan gluasadach, bhiodh duine a’ creidsinn ann an cumhachd mòr biometrics, mura h-eil airson an iomadh cùis de lorgan-meòir meallta, guthan, aghaidhean agus eadhon irises. Nochdaidh aon iarrtas einnsean sgrùdaidh nach eil dòigh earbsach airson dearbhadh biometric dìreach ann. Tha mothachairean fìor cheart, gu dearbh, ann, ach tha iad gu math daor agus mòr ann am meud - agus chan eil iad air an stàladh ann am fònaichean sgairteil.
Mar sin, is e an aon dhòigh 2FA a tha ag obair ann an innealan gluasadach a bhith a’ cleachdadh comharran criptografach a tha a’ ceangal ris a’ fòn cliste tro eadar-aghaidh NFC, Bluetooth agus USB Type-C.
Is e dìon dàta ionmhasail companaidh am prìomh adhbhar airson tasgadh ann an dearbhadh gun fhacal-faire (44%), leis an fhàs as luaithe bho 2017 (àrdachadh de ochd puingean sa cheud). Tha seo air a leantainn le dìon seilbh inntleachdail (40%) agus dàta luchd-obrach (HR) (39%). Agus tha e soilleir carson - chan e a-mhàin gu bheil an luach co-cheangailte ris an t-seòrsa dàta seo aithnichte gu farsaing, ach chan eil ach glè bheag de luchd-obrach ag obair còmhla riutha. Is e sin, chan eil na cosgaisean buileachaidh cho mòr, agus chan fheum ach beagan dhaoine a bhith air an trèanadh gus obrachadh le siostam dearbhaidh nas iom-fhillte. An coimeas ri sin, tha na seòrsaichean dàta agus innealan a bhios a’ mhòr-chuid de luchd-obrach iomairt a’ faighinn gu cunbhalach fhathast air an dìon le faclan-faire a-mhàin. Is e sgrìobhainnean luchd-obrach, ionadan-obrach, agus puirt post-d corporra na raointean anns a bheil an cunnart as motha, leis nach eil ach cairteal de ghnìomhachasan a’ dìon na maoine sin le dearbhadh gun fhacal-faire (Figear 14).
San fharsaingeachd, tha post-d corporra na rud cunnartach agus aoidionach, agus tha a’ mhòr-chuid de CIOn a’ dèanamh dì-meas air an ìre de chunnart a dh’ fhaodadh a bhith ann. Bidh luchd-obrach a’ faighinn dusanan de phuist-d gach latha, mar sin carson nach cuir thu a-steach co-dhiù aon phost-d phishing (is e sin, meallta) nam measg. Bidh an litir seo air a cruth ann an stoidhle litrichean companaidh, agus mar sin bidh an neach-obrach a’ faireachdainn comhfhurtail a’ cliogadh air a’ cheangal san litir seo. Uill, an uairsin faodaidh rud sam bith tachairt, mar eisimpleir, a’ luchdachadh sìos bhìoras air an inneal fo ionnsaigh no a’ leigeil a-mach faclan-faire (a’ gabhail a-steach tro innleadaireachd sòisealta, le bhith a’ dol a-steach gu foirm dearbhaidh meallta a chruthaich an neach-ionnsaigh).
Gus casg a chuir air rudan mar seo, feumar ainm a chuir ri puist-d. An uairsin bidh e soilleir sa bhad dè an litir a chaidh a chruthachadh le neach-obrach dligheach agus cò leis an neach-ionnsaigh. Ann an Outlook / Exchange, mar eisimpleir, tha ainmean-sgrìobhte dealanach stèidhichte air comharran cryptographic air an comasachadh gu math luath agus furasta agus faodar an cleachdadh còmhla ri dearbhadh dà-fhactaraidh thairis air PCan agus raointean Windows.
Am measg nan oifigearan sin a tha an urra ri dearbhadh facal-faire a-mhàin taobh a-staigh na h-iomairt, bidh dà thrian (66%) a’ dèanamh sin leis gu bheil iad den bheachd gu bheil faclan-faire a’ toirt seachad tèarainteachd gu leòr airson an seòrsa fiosrachaidh a dh’ fheumas a’ chompanaidh aca a dhìon (Figear 15).
Ach tha dòighean dearbhaidh làidir a’ fàs nas cumanta. Gu ìre mhòr air sgàth gu bheil iad rim faighinn a ’dol am meud. Tha àireamh a tha a’ sìor fhàs de shiostaman dearbh-aithne is riaghladh ruigsinneachd (IAM), brobhsairean, agus siostaman obrachaidh a’ toirt taic do dhearbhadh a’ cleachdadh comharran criptografach.
Tha buannachd eile aig dearbhadh làidir. Leis nach eil am facal-faire air a chleachdadh tuilleadh (PIN sìmplidh na àite), chan eil iarrtasan bho luchd-obrach ag iarraidh orra am facal-faire a dhìochuimhnich atharrachadh. Bidh sin an uair sin a’ lughdachadh an luchd air roinn IT na h-iomairt.
Toraidhean agus co-dhùnaidhean
- Gu tric chan eil an eòlas riatanach aig manaidsearan airson measadh fìor èifeachdas diofar roghainnean dearbhaidh. Tha iad cleachdte ri earbsa a leithid seann-fhasanta dòighean tèarainteachd leithid faclan-faire agus ceistean tèarainteachd dìreach air sgàth “dh’ obraich e roimhe seo. ”
- Tha an eòlas seo fhathast aig luchd-cleachdaidh nas lugha, dhaibhsan is e am prìomh rud sìmplidheachd agus goireasachd. Cho fad 's nach eil brosnachadh sam bith aca airson taghadh fuasglaidhean nas sàbhailte.
- Luchd-leasachaidh aplacaidean àbhaisteach gu tric gun adhbhargus dearbhadh dà-fhactaraidh a chuir an gnìomh an àite dearbhadh facal-faire. Farpais anns an ìre dìon ann an tagraidhean luchd-cleachdaidh neo-làthaireach.
- Uallach iomlan airson an hack air a ghluasad chun neach-cleachdaidh. Thoir am facal-faire aon-ùine don neach-ionnsaigh - ciontach. Chaidh am facal-faire agad a ghlacadh no a spionadh air - ciontach. Cha do dh’ iarr e air an leasaiche dòighean dearbhaidh earbsach a chleachdadh anns an toradh - ciontach.
- Ceart riaghladair an toiseach bu chòir iarraidh air companaidhean fuasglaidhean a chuir an gnìomh bhac aoidion dàta (gu sònraichte dearbhadh dà-fhactaraidh), seach peanasachadh thachair mu thràth aodion dàta.
- Tha cuid de luchd-leasachaidh bathar-bog a 'feuchainn ri reic ri luchd-cleachdaidh sean agus nach eil gu sònraichte earbsach fuasglaidhean ann am pacadh breagha toradh "ùr-ghnàthach". Mar eisimpleir, dearbhadh le bhith a’ ceangal ri fòn cliste sònraichte no a’ cleachdadh biometrics. Mar a chithear bhon aithisg, a rèir dha-rìribh earbsach Chan urrainn ach fuasgladh a bhith stèidhichte air dearbhadh làidir, is e sin, comharran criptografach.
- An t-aon rud Faodar comharra cryptographic a chleachdadh airson grunn ghnìomhan: airson dearbhadh làidir anns an t-siostam obrachaidh iomairt, ann an tagraidhean corporra agus luchd-cleachdaidh, airson ainm-sgrìobhte eileagtronaigeach gnothaichean ionmhais (cudromach airson tagraidhean bancaidh), sgrìobhainnean agus post-d.
Source: www.habr.com