Recentemente, a empresa de investigación Javelin Strategy & Research publicou un informe, "The State of Strong Authentication 2019". Os seus creadores recolleron información sobre cales son os métodos de autenticación que se usan en contornos corporativos e aplicacións de consumo, e tamén sacaron conclusións interesantes sobre o futuro da autenticación forte.
Tradución da primeira parte coas conclusións dos autores do informe, nós . E agora presentamos á súa atención a segunda parte, con datos e gráficos.
Do tradutor
Non copiarei completamente o bloque completo do mesmo nome da primeira parte, pero aínda así duplicarei un parágrafo.
Todas as cifras e feitos preséntanse sen os máis mínimos cambios, e se non estás de acordo con eles, é mellor discutir non co tradutor, senón cos autores do informe. E aquí están os meus comentarios (presentados como citas e marcados no texto italiano) son o meu xuízo de valor e estarei encantado de discutir sobre cada un deles (así como sobre a calidade da tradución).
Autenticación de usuario
Desde 2017, o uso da autenticación forte en aplicacións de consumo creceu moito, en gran parte debido á dispoñibilidade de métodos de autenticación criptográfica en dispositivos móbiles, aínda que só unha porcentaxe lixeiramente menor de empresas usa a autenticación forte para aplicacións de Internet.
En xeral, a porcentaxe de empresas que utilizan a autenticación forte no seu negocio triplicouse do 5% en 2017 ao 16% en 2018 (Figura 3).
A capacidade de usar autenticación forte para aplicacións web aínda é limitada (debido ao feito de que só versións moi novas dalgúns navegadores admiten a interacción con tokens criptográficos, pero este problema pódese resolver instalando software adicional como ), polo que moitas empresas utilizan métodos alternativos para a autenticación en liña, como programas para dispositivos móbiles que xeran contrasinais únicos.
Claves criptográficas de hardware (aquí só queremos dicir aqueles que cumpren os estándares FIDO), como os ofrecidos por Google, Feitian, One Span e Yubico pódense usar para unha autenticación forte sen instalar software adicional en computadoras de escritorio e portátiles (porque a maioría dos navegadores xa admiten o estándar WebAuthn de FIDO), pero só o 3% das empresas usa esta función para iniciar sesión nos seus usuarios.
Comparación de fichas criptográficas (como ) e as claves secretas que funcionan segundo os estándares FIDO están fóra do alcance deste informe, pero tamén os meus comentarios ao mesmo. En resumo, ambos tipos de tokens usan algoritmos e principios operativos similares. Actualmente, os vendedores de navegadores admiten mellor os tokens FIDO, aínda que isto cambiará pronto a medida que se admitan máis navegadores . Pero os tokens criptográficos clásicos están protexidos por un código PIN, poden asinar documentos electrónicos e utilizarse para a autenticación de dous factores en Windows (calquera versión), Linux e Mac OS X, teñen API para varios linguaxes de programación, o que lle permite implementar 2FA e electrónica. a sinatura en aplicacións de escritorio, móbiles e web e os tokens producidos en Rusia admiten os algoritmos GOST rusos. En calquera caso, un token criptográfico, independentemente do estándar polo que estea creado, é o método de autenticación máis fiable e cómodo.
Máis aló da seguridade: outros beneficios da autenticación forte
Non é de estrañar que o uso da autenticación forte estea intimamente ligado á importancia dos datos que almacena unha empresa. As empresas que almacenan información sensible de identificación persoal (PII), como os números da Seguridade Social ou a información persoal de saúde (PHI), enfróntanse á maior presión legal e regulamentaria. Estas son as empresas que son os defensores máis agresivos da autenticación forte. A presión sobre as empresas é aumentada polas expectativas dos clientes que queren saber que as organizacións nas que confían cos seus datos máis sensibles usan métodos de autenticación fortes. As organizacións que manexan PII ou PHI sensibles teñen máis do dobre de probabilidades de usar a autenticación forte que as organizacións que só almacenan información de contacto dos usuarios (Figura 7).
Desafortunadamente, as empresas aínda non están dispostas a implementar métodos de autenticación fortes. Case un terzo dos tomadores de decisións empresariais considera que os contrasinais son o método de autenticación máis eficaz entre todos os que se enumeran na Figura 9, e o 43% considera que os contrasinais son o método de autenticación máis sinxelo.
Este gráfico móstranos que os desenvolvedores de aplicacións empresariais de todo o mundo son os mesmos... Non ven o beneficio de implementar mecanismos avanzados de seguridade de acceso á conta e comparten os mesmos conceptos erróneos. E só as accións dos reguladores poden cambiar a situación.
Non toquemos contrasinais. Pero que tes que crer para crer que as preguntas de seguridade son máis seguras que as fichas criptográficas? A eficacia das preguntas de control, que son simplemente seleccionadas, estimouse nun 15%, e non as fichas pirateables - só 10. Polo menos, mira a película "Ilusión de engano", onde, aínda que de forma alegórica, móstrase coa facilidade dos magos. atraeu todas as cousas necesarias dun empresario-estafador respostas e deixouno sen cartos.
E un dato máis que di moito das cualificacións dos que se encargan dos mecanismos de seguridade nas aplicacións dos usuarios. Segundo o seu entendemento, o proceso de introducir un contrasinal é unha operación máis sinxela que a autenticación mediante un token criptográfico. Aínda que, parece que pode ser máis sinxelo conectar o token a un porto USB e introducir un código PIN sinxelo.
É importante destacar que a implementación dunha autenticación forte permite ás empresas afastarse de pensar nos métodos de autenticación e as regras operativas necesarias para bloquear esquemas fraudulentos para satisfacer as necesidades reais dos seus clientes.
Aínda que o cumprimento da normativa é unha prioridade razoable tanto para as empresas que usan unha autenticación forte como para as que non o fan, as empresas que xa usan unha autenticación forte son moito máis propensas a dicir que aumentar a lealdade dos clientes é a métrica máis importante que consideran á hora de avaliar unha autenticación. método. (18% fronte ao 12%) (Figura 10).
Autenticación empresarial
Desde 2017, a adopción da autenticación forte nas empresas foi crecendo, pero a un ritmo lixeiramente inferior ao das aplicacións de consumo. A proporción de empresas que usan autenticación forte aumentou do 7 % en 2017 ao 12 % en 2018. A diferenza das aplicacións de consumo, no contorno empresarial o uso de métodos de autenticación sen contrasinal é algo máis común nas aplicacións web que nos dispositivos móbiles. Aproximadamente a metade das empresas indican que só usan nomes de usuario e contrasinais para autenticar os seus usuarios ao iniciar sesión, e unha de cada cinco (22 %) confía unicamente en contrasinais para a autenticación secundaria ao acceder a datos confidenciais.é dicir, o usuario inicia sesión primeiro na aplicación mediante un método de autenticación máis sinxelo e, se quere acceder a datos críticos, realizará outro procedemento de autenticación, esta vez normalmente empregando un método máis fiable.).
Debe entender que o informe non ten en conta o uso de tokens criptográficos para a autenticación de dous factores nos sistemas operativos Windows, Linux e Mac OS X. E este é o uso máis estendido actualmente de 2FA. (Ai, os tokens creados segundo os estándares FIDO só poden implementar 2FA para Windows 10).
Ademais, se a implementación de 2FA en aplicacións en liña e móbiles require un conxunto de medidas, incluíndo a modificación destas aplicacións, entón para implementar 2FA en Windows só é necesario configurar PKI (por exemplo, baseado en Microsoft Certification Server) e políticas de autenticación. en AD.
E dado que protexer o inicio de sesión nun PC e dominio do traballo é un elemento importante para protexer os datos corporativos, a implementación da autenticación de dous factores é cada vez máis común.
Os dous seguintes métodos máis comúns para autenticar usuarios ao iniciar sesión son contrasinais únicos proporcionados a través dunha aplicación separada (13 % das empresas) e contrasinais únicos enviados por SMS (12 %). A pesar de que a porcentaxe de uso de ambos os métodos é moi similar, o SMS OTP úsase con máis frecuencia para aumentar o nivel de autorización (no 24% das empresas). (Figura 12).
O aumento do uso da autenticación forte na empresa probablemente pode atribuírse á maior dispoñibilidade de implementacións de autenticación criptográfica nas plataformas de xestión de identidades empresariales (noutras palabras, os sistemas SSO e IAM das empresas aprenderon a usar tokens).
Para a autenticación móbil de empregados e contratistas, as empresas confían máis nos contrasinais que na autenticación en aplicacións de consumo. Algo máis da metade (53%) das empresas usan contrasinais ao autenticar o acceso dos usuarios aos datos da empresa a través dun dispositivo móbil (Figura 13).
No caso dos dispositivos móbiles, un crería no gran poder da biometría, de non ser polos moitos casos de pegadas, voces, rostros e mesmo iris falsos. Unha consulta do motor de busca revelará que simplemente non existe un método fiable de autenticación biométrica. Existen sensores verdadeiramente precisos, por suposto, pero son moi caros e de gran tamaño e non están instalados nos teléfonos intelixentes.
Polo tanto, o único método 2FA que funciona nos dispositivos móbiles é o uso de tokens criptográficos que se conectan ao teléfono intelixente a través de interfaces NFC, Bluetooth e USB Type-C.
Protexer os datos financeiros dunha empresa é a principal razón para investir na autenticación sen contrasinal (44%), co crecemento máis rápido desde 2017 (un aumento de oito puntos porcentuais). Séguelle a protección da propiedade intelectual (40%) e os datos de persoal (RH) (39%). E está claro por que - non só o valor asociado a este tipo de datos é amplamente recoñecido, senón que relativamente poucos empregados traballan con eles. É dicir, os custos de implementación non son tan grandes e só hai que formar unhas poucas persoas para traballar cun sistema de autenticación máis complexo. Pola contra, os tipos de datos e dispositivos aos que accede habitualmente a maioría dos empregados das empresas seguen protexidos unicamente por contrasinais. Os documentos dos empregados, as estacións de traballo e os portais de correo electrónico corporativos son as áreas de maior risco, xa que só unha cuarta parte das empresas protexe estes activos coa autenticación sen contrasinal (Figura 14).
En xeral, o correo electrónico corporativo é algo moi perigoso e con fugas, cuxo grao de perigo potencial está subestimado pola maioría dos CIO. Os empregados reciben decenas de correos electrónicos todos os días, entón por que non incluír polo menos un correo electrónico de phishing (é dicir, fraudulento) entre eles. Esta carta estará formateada ao estilo das cartas de empresa, polo que o empregado se sentirá cómodo facendo clic na ligazón desta carta. Ben, entón pode ocorrer calquera cousa, por exemplo, descargar un virus na máquina atacada ou filtrar contrasinais (incluíndo a través da enxeñaría social, introducindo un formulario de autenticación falso creado polo atacante).
Para evitar que ocorran cousas como esta, os correos electrónicos deben estar asinados. Entón quedará claro de inmediato que carta foi creada por un empregado lexítimo e cal por un atacante. En Outlook/Exchange, por exemplo, as sinaturas electrónicas baseadas en tokens criptográficos están habilitadas con bastante rapidez e facilidade e pódense usar xunto coa autenticación de dous factores en PCs e dominios de Windows.
Entre os directivos que confían unicamente na autenticación de contrasinais dentro da empresa, dous terzos (66%) fano porque cren que os contrasinais proporcionan a seguridade suficiente para o tipo de información que a súa empresa necesita protexer (Figura 15).
Pero os métodos de autenticación forte son cada vez máis comúns. En gran parte debido ao feito de que a súa dispoñibilidade está aumentando. Un número crecente de sistemas de xestión de identidade e acceso (IAM), navegadores e sistemas operativos admiten a autenticación mediante tokens criptográficos.
A autenticación forte ten outra vantaxe. Dado que o contrasinal xa non se utiliza (substitúese por un simple PIN), non hai solicitudes dos empregados que lles soliciten que cambien o contrasinal esquecido. O que á súa vez reduce a carga do departamento de TI da empresa.
Resultados e conclusións
- Os xestores moitas veces non teñen os coñecementos necesarios para avaliar real eficacia de varias opcións de autenticación. Están afeitos a confiar así desactualizado métodos de seguridade como contrasinais e preguntas de seguranza simplemente porque "funcionaba antes".
- Os usuarios aínda teñen este coñecemento menos, para eles o principal é sinxeleza e comodidade. Sempre que non teñan incentivos para escoller solucións máis seguras.
- Os desenvolvedores de aplicacións personalizadas a miúdo sen razónpara implementar a autenticación de dous factores en lugar da autenticación de contrasinal. Competencia no nivel de protección nas aplicacións de usuario ningunha.
- Responsabilidade total do hackeo trasladado ao usuario. Deu o contrasinal único ao atacante - culpable. O teu contrasinal foi interceptado ou espiado - culpable. Non requiriu que o programador utilizase métodos de autenticación fiables no produto - culpable.
- Certo regulador En primeiro lugar debería esixir ás empresas que implementen solucións que bloque fugas de datos (en particular a autenticación de dous factores), en lugar de castigar xa pasou fuga de datos.
- Algúns desenvolvedores de software están tentando vender aos consumidores antigo e pouco fiable solucións nun fermoso embalaxe produto "innovador". Por exemplo, a autenticación mediante a ligazón a un teléfono intelixente específico ou a utilización de datos biométricos. Segundo se desprende do informe, segundo verdadeiramente fiable Só pode haber unha solución baseada na autenticación forte, é dicir, fichas criptográficas.
- O mesmo O token criptográfico pódese usar para unha serie de tarefas: para autenticación forte no sistema operativo empresarial, en aplicacións corporativas e de usuarios, para Sinatura electrónica transaccións financeiras (importantes para aplicacións bancarias), documentos e correo electrónico.
Fonte: www.habr.com