Nedavno je istraživačka tvrtka Javelin Strategy & Research objavila izvješće "Stanje snažne autentifikacije 2019." Njegovi kreatori prikupili su informacije o tome koje se metode provjere autentičnosti koriste u korporativnim okruženjima i korisničkim aplikacijama, a također su donijeli zanimljive zaključke o budućnosti jake provjere autentičnosti.
Prijevod prvog dijela sa zaključcima autora izvješća, mi . A sada vam predstavljamo drugi dio - s podacima i grafikonima.
Od prevoditelja
Neću u potpunosti kopirati cijeli istoimeni blok iz prvog dijela, ali ću ipak duplicirati jedan paragraf.
Sve brojke i činjenice prikazane su bez ikakvih izmjena, a ako se s njima ne slažete, onda je bolje raspravljati ne s prevoditeljem, već s autorima izvješća. A evo i mojih komentara (iznesenih kao citati i označenih u tekstu talijanski) moj su vrijednosni sud i rado ću argumentirati svaki od njih (kao i kvalitetu prijevoda).
Autentifikacija korisnika
Od 2017. upotreba jake autentifikacije u potrošačkim aplikacijama naglo je porasla, uglavnom zbog dostupnosti kriptografskih metoda autentifikacije na mobilnim uređajima, iako samo nešto manji postotak tvrtki koristi jaku autentifikaciju za internetske aplikacije.
Sveukupno, postotak tvrtki koje koriste jaku autentifikaciju u svom poslovanju utrostručio se s 5% u 2017. na 16% u 2018. (Slika 3).
Mogućnost korištenja jake provjere autentičnosti za web aplikacije još uvijek je ograničena (zbog činjenice da samo vrlo nove verzije nekih preglednika podržavaju interakciju s kriptografskim tokenima, no ovaj se problem može riješiti instaliranjem dodatnog softvera kao što je ), tako da mnoge tvrtke koriste alternativne metode za online autentifikaciju, kao što su programi za mobilne uređaje koji generiraju jednokratne lozinke.
Hardverski kriptografski ključevi (ovdje mislimo samo na one koji su u skladu s FIDO standardima), poput onih koje nude Google, Feitian, One Span i Yubico, mogu se koristiti za jaku autentifikaciju bez instaliranja dodatnog softvera na stolnim i prijenosnim računalima (jer većina preglednika već podržava standard WebAuthn iz FIDO-a), ali samo 3% tvrtki koristi ovu značajku za prijavu svojih korisnika.
Usporedba kriptografskih tokena (kao ) i tajnih ključeva koji rade prema FIDO standardima izvan je opsega ovog izvješća, ali i mojih komentara na njega. Ukratko, obje vrste tokena koriste slične algoritme i principe rada. FIDO tokene trenutačno bolje podržavaju dobavljači preglednika, iako će se to uskoro promijeniti kako bude podržavalo više preglednika . Ali klasični kriptografski tokeni zaštićeni su PIN kodom, mogu potpisivati elektroničke dokumente i koristiti se za dvofaktorsku autentifikaciju u sustavima Windows (bilo koja verzija), Linux i Mac OS X, imaju API-je za razne programske jezike, omogućujući vam implementaciju 2FA i elektroničkih potpis u desktop, mobilnim i web aplikacijama, a tokeni proizvedeni u Rusiji podržavaju ruske GOST algoritme. U svakom slučaju, kriptografski token, bez obzira po kojem je standardu izrađen, najpouzdaniji je i najprikladniji način provjere autentičnosti.
Izvan sigurnosti: druge prednosti snažne autentifikacije
Nije iznenađenje da je upotreba jake autentifikacije usko povezana s važnošću podataka koje tvrtka pohranjuje. Tvrtke koje pohranjuju osjetljive osobne podatke (PII), kao što su brojevi socijalnog osiguranja ili osobni zdravstveni podaci (PHI), suočavaju se s najvećim pravnim i regulatornim pritiskom. To su tvrtke koje su najagresivniji zagovornici jake autentifikacije. Pritisak na poduzeća pojačan je očekivanjima kupaca koji žele znati da organizacije kojima vjeruju sa svojim najosjetljivijim podacima koriste snažne metode autentifikacije. Organizacije koje obrađuju osjetljive podatke koji otkrivaju identitet ili PHI imaju dvostruko veću vjerojatnost da će koristiti jaku autentifikaciju od organizacija koje samo pohranjuju podatke za kontakt korisnika (Slika 7).
Nažalost, tvrtke još nisu voljne implementirati snažne metode autentifikacije. Gotovo trećina donositelja poslovnih odluka smatra lozinke najučinkovitijom metodom provjere autentičnosti od svih navedenih na slici 9, a 43% smatra lozinke najjednostavnijom metodom provjere autentičnosti.
Ovaj grafikon nam dokazuje da su programeri poslovnih aplikacija diljem svijeta isti... Oni ne vide korist od implementacije naprednih sigurnosnih mehanizama pristupa računu i dijele iste zablude. A samo postupci regulatora mogu promijeniti situaciju.
Ne dirajmo lozinke. Ali u što morate vjerovati da vjerujete da su sigurnosna pitanja sigurnija od kriptografskih tokena? Učinkovitost kontrolnih pitanja, koja su jednostavno odabrana, procijenjena je na 15%, a ne hakiranih tokena - samo 10. Barem pogledajte film "Iluzija obmane", gdje se, iako u alegorijskom obliku, pokazuje kako lako mađioničari izvukao sve potrebne stvari iz odgovora biznismena-prevaranta i ostavio ga bez novca.
I još jedna činjenica koja dosta govori o kvalifikacijama onih koji su zaduženi za sigurnosne mehanizme u korisničkim aplikacijama. Prema njihovom razumijevanju, proces unosa lozinke je jednostavnija operacija od autentifikacije pomoću kriptografskog tokena. Iako, čini se da bi bilo jednostavnije spojiti token na USB priključak i unijeti jednostavan PIN kod.
Važno je da implementacija snažne autentifikacije omogućuje tvrtkama da se odmaknu od razmišljanja o metodama autentifikacije i operativnim pravilima potrebnim za blokiranje lažnih shema kako bi zadovoljile stvarne potrebe svojih kupaca.
Dok je usklađenost s regulativom razuman glavni prioritet za tvrtke koje koriste snažnu autentifikaciju i one koje je ne koriste, tvrtke koje već koriste snažnu autentifikaciju vjerojatnije će reći da je povećanje lojalnosti kupaca najvažnija metrika koju uzimaju u obzir pri ocjenjivanju autentifikacije metoda. (18% u odnosu na 12%) (Slika 10).
Autentikacija poduzeća
Od 2017. usvajanje snažne autentifikacije u poduzećima raste, ali nešto nižom stopom nego za potrošačke aplikacije. Udio poduzeća koja koriste snažnu autentifikaciju povećao se sa 7% u 2017. na 12% u 2018. Za razliku od potrošačkih aplikacija, u poslovnom okruženju korištenje metoda autentifikacije bez lozinke nešto je češće u web aplikacijama nego na mobilnim uređajima. Otprilike polovica tvrtki izvijestila je da koristi samo korisnička imena i lozinke za autentifikaciju svojih korisnika prilikom prijave, a jedno od pet (22%) također se oslanja isključivo na lozinke za sekundarnu autentifikaciju prilikom pristupa osjetljivim podacima (odnosno korisnik se prvo prijavljuje u aplikaciju jednostavnijom metodom autentifikacije, a ako želi pristupiti kritičnim podacima, provest će još jednu proceduru autentifikacije, ovaj put najčešće pouzdanijom metodom).
Morate razumjeti da izvješće ne uzima u obzir korištenje kriptografskih tokena za dvofaktorsku autentifikaciju u operativnim sustavima Windows, Linux i Mac OS X. A ovo je trenutno najraširenija upotreba 2FA. (Jao, tokeni stvoreni prema FIDO standardima mogu implementirati 2FA samo za Windows 10).
Štoviše, ako implementacija 2FA u mrežnim i mobilnim aplikacijama zahtijeva niz mjera, uključujući modifikaciju ovih aplikacija, tada za implementaciju 2FA u sustavu Windows trebate samo konfigurirati PKI (na primjer, na temelju Microsoft Certification Server) i pravila autentifikacije u AD.
A budući da je zaštita prijave na radno računalo i domenu važan element zaštite korporativnih podataka, implementacija dvofaktorske autentifikacije postaje sve češća.
Sljedeće dvije najčešće metode za autentifikaciju korisnika prilikom prijave su jednokratne lozinke koje se dostavljaju putem zasebne aplikacije (13% tvrtki) i jednokratne lozinke koje se dostavljaju putem SMS-a (12%). Unatoč tome što je postotak korištenja oba načina vrlo sličan, OTP SMS se najčešće koristi za povećanje razine autorizacije (u 24% tvrtki). (Slika 12).
Porast upotrebe snažne autentifikacije u poduzeću vjerojatno se može pripisati povećanoj dostupnosti implementacija kriptografske provjere autentičnosti u platformama za upravljanje identitetom poduzeća (drugim riječima, SSO i IAM sustavi poduzeća naučili su koristiti tokene).
Za mobilnu autentifikaciju zaposlenika i izvođača, poduzeća se više oslanjaju na lozinke nego za autentifikaciju u korisničkim aplikacijama. Nešto više od polovice (53%) poduzeća koristi lozinke pri autentifikaciji korisničkog pristupa podacima tvrtke putem mobilnog uređaja (Slika 13).
U slučaju mobilnih uređaja, čovjek bi vjerovao u veliku moć biometrije, da nije brojnih slučajeva lažnih otisaka prstiju, glasova, lica pa čak i šarenica. Jedan upit na tražilici otkrit će da pouzdana metoda biometrijske autentifikacije jednostavno ne postoji. Zaista precizni senzori, naravno, postoje, ali su vrlo skupi i velikih dimenzija - i nisu ugrađeni u pametne telefone.
Stoga je jedina radna 2FA metoda u mobilnim uređajima korištenje kriptografskih tokena koji se povezuju s pametnim telefonom putem NFC, Bluetooth i USB Type-C sučelja.
Zaštita financijskih podataka tvrtke glavni je razlog za ulaganje u autentifikaciju bez lozinke (44%), s najbržim rastom od 2017. (porast od osam postotnih bodova). Slijede zaštita intelektualnog vlasništva (40%) i kadrovskih (HR) podataka (39%). I jasno je zašto - ne samo da je vrijednost povezana s ovim vrstama podataka široko prepoznata, već relativno mali broj zaposlenika radi s njima. Odnosno, troškovi implementacije nisu tako veliki, a potrebno je samo nekoliko ljudi obučiti za rad sa složenijim autentifikacijskim sustavom. Nasuprot tome, vrste podataka i uređaja kojima većina zaposlenika poduzeća rutinski pristupa i dalje su zaštićene isključivo lozinkama. Dokumenti zaposlenika, radne stanice i portali korporativne e-pošte područja su najvećeg rizika, jer samo četvrtina poduzeća štiti tu imovinu autentifikacijom bez lozinke (Slika 14).
Općenito, korporativna e-pošta vrlo je opasna i nepropusna stvar čiji stupanj potencijalne opasnosti većina CIO-ova podcjenjuje. Zaposlenici primaju desetke e-poruka svaki dan, pa zašto ne uključiti barem jednu phishing (tj. prijevarnu) e-poštu među njima. Ovo pismo bit će oblikovano u stilu pisama tvrtke, tako da će se zaposlenik osjećati ugodno kliknuvši na poveznicu u ovom pismu. Pa, tada se može dogoditi bilo što, na primjer, preuzimanje virusa na napadnuti stroj ili curenje lozinki (uključujući i putem društvenog inženjeringa, unosom lažnog obrasca za provjeru autentičnosti koji je stvorio napadač).
Da se ovakve stvari ne bi događale, e-poruke moraju biti potpisane. Tada će odmah biti jasno koje je pismo kreirao legitimni zaposlenik, a koje napadač. U programu Outlook/Exchange, na primjer, elektronički potpisi temeljeni na kriptografskim tokenima omogućeni su vrlo brzo i jednostavno i mogu se koristiti u kombinaciji s dvofaktorskom autentifikacijom na računalima i Windows domenama.
Među onima rukovoditeljima koji se oslanjaju isključivo na autentifikaciju lozinkom unutar poduzeća, dvije trećine (66%) to čine jer vjeruju da lozinke pružaju dovoljnu sigurnost za vrstu informacija koje njihova tvrtka treba zaštititi (Slika 15).
No snažne metode provjere autentičnosti sve su češće. Uglavnom zbog činjenice da je njihova dostupnost sve veća. Sve veći broj sustava za upravljanje identitetom i pristupom (IAM), preglednika i operativnih sustava podržava autentifikaciju pomoću kriptografskih tokena.
Snažna autentifikacija ima još jednu prednost. Budući da se lozinka više ne koristi (zamijenjena je jednostavnim PIN-om), nema zahtjeva zaposlenika za promjenom zaboravljene lozinke. Što zauzvrat smanjuje opterećenje IT odjela poduzeća.
Rezultati i zaključci
- Menadžeri često nemaju potrebno znanje za procjenu stvaran učinkovitost različitih opcija provjere autentičnosti. Navikli su takvima vjerovati zastario sigurnosne metode poput lozinki i sigurnosnih pitanja jednostavno zato što je "prije radilo".
- Korisnici još uvijek imaju ovo znanje manje, za njih je glavna stvar jednostavnost i praktičnost. Sve dok nemaju poticaja za izbor sigurnija rješenja.
- Programeri prilagođenih aplikacija često bez razlogaza implementaciju dvofaktorske provjere autentičnosti umjesto provjere autentičnosti lozinkom. Natjecanje u razini zaštite korisničkih aplikacija ne.
- Puna odgovornost za hakiranje prebačen na korisnika. Dao jednokratnu lozinku napadaču - kriviti. Vaša lozinka je presretnuta ili špijunirana - kriviti. Nije zahtijevao od programera korištenje pouzdanih metoda provjere autentičnosti u proizvodu - kriviti.
- pravo regulator Prvo trebali zahtijevati od tvrtki da implementiraju rješenja koja blok curenja podataka (osobito dvofaktorske autentifikacije), umjesto kažnjavanja već se dogodilo curenje podataka.
- Neki programeri softvera pokušavaju prodati potrošačima star i ne osobito pouzdan rješenja u lijepoj ambalaži "inovativni" proizvod. Na primjer, provjera autentičnosti povezivanjem s određenim pametnim telefonom ili uporabom biometrije. Kako je vidljivo iz izvješća, prema uistinu pouzdan Rješenje može postojati samo na temelju jake autentifikacije, odnosno kriptografskih tokena.
- Isto kriptografski token može se koristiti za niz zadataka: za snažna autentifikacija u poslovnom operativnom sustavu, u korporativnim i korisničkim aplikacijama, za Elektronički potpis financijske transakcije (važno za bankovne aplikacije), dokumenti i e-pošta.
Izvor: www.habr.com