Այսպիսով, ի՞նչ կլինի նույնականացման և գաղտնաբառերի հետ: «Javelin State of Strong Authentication» զեկույցի երկրորդ մասը

Վերջերս Javelin Strategy & Research հետազոտական ​​ընկերությունը հրապարակեց զեկույց՝ «Ուժեղ վավերացման վիճակը 2019»: Դրա ստեղծողները տեղեկություններ են հավաքել այն մասին, թե նույնականացման ինչ մեթոդներ են օգտագործվում կորպորատիվ միջավայրերում և սպառողական հավելվածներում, ինչպես նաև հետաքրքիր եզրակացություններ են արել ուժեղ նույնականացման ապագայի վերաբերյալ:

Առաջին մասի թարգմանությունը զեկույցի հեղինակների եզրակացություններով, մենք արդեն հրապարակվել է Habré-ում. Իսկ այժմ ձեր ուշադրությանն ենք ներկայացնում երկրորդ մասը՝ տվյալներով և գրաֆիկներով։

Թարգմանչից

Ես ամբողջությամբ չեմ պատճենի նույն անունով ամբողջ բլոկը առաջին մասից, բայց դեռ կկրկնօրինակեմ մեկ պարբերություն:

Բոլոր թվերն ու փաստերը ներկայացված են առանց նվազագույն փոփոխությունների, իսկ եթե համաձայն չեք դրանց հետ, ապա ավելի լավ է վիճել ոչ թե թարգմանչի, այլ զեկույցի հեղինակների հետ։ Եվ ահա իմ մեկնաբանությունները (դրված են որպես մեջբերումներ և նշված են տեքստում Իտալական) իմ արժեքային դատողությունն են, և ես հաճույքով կվիճեմ դրանցից յուրաքանչյուրի (նաև թարգմանության որակի) վերաբերյալ։

Օգտագործողի նույնականացում

2017 թվականից ի վեր սպառողական հավելվածներում ուժեղ նույնականացման կիրառումը կտրուկ աճել է՝ հիմնականում բջջային սարքերի վրա կրիպտոգրաֆիկ վավերացման մեթոդների առկայության պատճառով, թեև ընկերությունների մի փոքր ավելի փոքր տոկոսն է օգտագործում ուժեղ նույնականացում ինտերնետ հավելվածների համար:

Ընդհանուր առմամբ, իրենց բիզնեսում ուժեղ նույնականացում օգտագործող ընկերությունների տոկոսը եռապատկվել է՝ 5-ի 2017%-ից մինչև 16% 2018-ին (Նկար 3):

Վեբ հավելվածների համար ուժեղ վավերացում օգտագործելու հնարավորությունը դեռևս սահմանափակ է (պայմանավորված է նրանով, որ որոշ բրաուզերների միայն շատ նոր տարբերակներն են աջակցում գաղտնագրման նշանների հետ փոխգործակցությանը, սակայն այս խնդիրը կարող է լուծվել՝ տեղադրելով լրացուցիչ ծրագրեր, ինչպիսիք են. Rutoken Plugin), այնքան շատ ընկերություններ օգտագործում են առցանց նույնականացման այլընտրանքային մեթոդներ, ինչպիսիք են բջջային սարքերի համար նախատեսված ծրագրերը, որոնք ստեղծում են մեկանգամյա գաղտնաբառեր:

Սարքավորումների գաղտնագրման բանալիներ (Այստեղ մենք նկատի ունենք միայն նրանց, որոնք համապատասխանում են FIDO ստանդարտներին), ինչպիսիք են Google-ի, Feitian-ի, One Span-ի և Yubico-ի կողմից առաջարկվողները, կարող են օգտագործվել ուժեղ նույնականացման համար՝ առանց աշխատասեղանի և դյուրակիր համակարգիչների վրա լրացուցիչ ծրագրեր տեղադրելու (քանի որ բրաուզերների մեծ մասն արդեն աջակցում է FIDO-ի WebAuthn ստանդարտին), սակայն ընկերությունների միայն 3%-ն է օգտագործում այս հնարավորությունը՝ իրենց օգտատերերին մուտք գործելու համար։

Կրիպտոգրաֆիկ նշանների համեմատություն (ինչպես Rutoken EDS PKI) և FIDO ստանդարտների համաձայն աշխատող գաղտնի բանալիները դուրս են այս զեկույցի շրջանակներից, բայց նաև դրան վերաբերող իմ մեկնաբանություններից: Մի խոսքով, նշանների երկու տեսակներն էլ օգտագործում են նմանատիպ ալգորիթմներ և գործառնական սկզբունքներ: FIDO նշանները ներկայումս ավելի լավ են աջակցվում բրաուզերի վաճառողների կողմից, թեև դա շուտով կփոխվի, քանի որ ավելի շատ բրաուզերներ են աջակցում Վեբ USB API. Բայց դասական գաղտնագրման նշանները պաշտպանված են PIN կոդով, կարող են ստորագրել էլեկտրոնային փաստաթղթեր և օգտագործվել Windows-ում (ցանկացած տարբերակ), Linux և Mac OS X-ում երկգործոն նույնականացման համար, ունեն API տարբեր ծրագրավորման լեզուների համար, ինչը թույլ է տալիս իրականացնել 2FA և էլեկտրոնային: ստորագրությունը աշխատասեղանի, բջջային և վեբ հավելվածներում, ինչպես նաև Ռուսաստանում արտադրվող նշանները աջակցում են ռուսական ԳՕՍՏ ալգորիթմներին: Ամեն դեպքում, կրիպտոգրաֆիկ նշանը, անկախ նրանից, թե ինչ ստանդարտով է այն ստեղծվել, վավերացման ամենահուսալի և հարմար մեթոդն է։

Անվտանգությունից այն կողմ. Ուժեղ իսկորոշման այլ առավելություններ

Զարմանալի չէ, որ ուժեղ վավերացման օգտագործումը սերտորեն կապված է բիզնեսի պահպանած տվյալների կարևորության հետ: Ընկերությունները, որոնք պահում են զգայուն Անձնական նույնականացման տվյալները (PII), ինչպիսիք են Սոցիալական ապահովության համարները կամ Անձնական առողջության տվյալները (PHI), բախվում են ամենամեծ իրավական և կարգավորող ճնշմանը: Սրանք այն ընկերություններն են, որոնք ուժեղ վավերացման ամենաագրեսիվ կողմնակիցներն են: Բիզնեսի վրա ճնշումը մեծանում է հաճախորդների ակնկալիքներով, ովքեր ցանկանում են իմանալ, որ կազմակերպությունները, որոնց վստահում են իրենց ամենազգայուն տվյալները, օգտագործում են նույնականացման ուժեղ մեթոդներ: Կազմակերպությունները, որոնք մշակում են զգայուն PII կամ PHI, ավելի քան երկու անգամ ավելի հավանական է, որ օգտագործեն ուժեղ նույնականացում, քան այն կազմակերպությունները, որոնք պահպանում են միայն օգտվողների կոնտակտային տվյալները (Նկար 7):

Ցավոք, ընկերությունները դեռ չեն ցանկանում կիրառել նույնականացման ուժեղ մեթոդներ: Բիզնես որոշումներ կայացնողների գրեթե մեկ երրորդը գաղտնաբառերը համարում է նույնականացման ամենաարդյունավետ մեթոդը, որոնք թվարկված են Նկար 9-ում, իսկ 43%-ը գաղտնաբառերը համարում է նույնականացման ամենապարզ մեթոդը:

Այս գծապատկերը մեզ ապացուցում է, որ բիզնես հավելվածների մշակողները ամբողջ աշխարհում նույնն են... Նրանք չեն տեսնում օգուտը հաշվի մուտքի անվտանգության առաջադեմ մեխանիզմների ներդրումից և կիսում են նույն սխալ պատկերացումները: Եվ միայն կարգավորողների գործողությունները կարող են փոխել իրավիճակը։

Եկեք չդիպչենք գաղտնաբառերին. Բայց ինչի՞ն պետք է հավատալ՝ հավատալու համար, որ անվտանգության հարցերն ավելի ապահով են, քան ծածկագրային նշանները: Ուղղակի ընտրված հսկողության հարցերի արդյունավետությունը գնահատվել է 15%, իսկ ոչ թալանվող ժետոնները՝ ընդամենը 10: Գոնե դիտեք «Խաբեության պատրանք» ֆիլմը, որտեղ, թեև այլաբանական ձևով, ցույց է տրվում, թե որքան հեշտությամբ են կախարդները։ Գործարար-խարդախի պատասխաններից խաբել է բոլոր անհրաժեշտ իրերը և թողել առանց փողի.

Եվ ևս մեկ փաստ, որը շատ բան է ասում օգտատերերի հավելվածներում անվտանգության մեխանիզմների համար պատասխանատուների որակավորման մասին։ Նրանց ընկալմամբ՝ գաղտնաբառ մուտքագրելու գործընթացն ավելի պարզ գործողություն է, քան նույնականացումը՝ օգտագործելով կրիպտոգրաֆիկ նշան: Թեև, թվում է, թե ավելի պարզ կլինի նշանը միացնել USB պորտին և մուտքագրել պարզ PIN կոդ:

Կարևոր է, որ ուժեղ նույնականացման իրականացումը թույլ է տալիս ձեռնարկություններին հեռանալ նույնականացման մեթոդների և գործառնական կանոնների մասին մտածելուց, որոնք անհրաժեշտ են խարդախ սխեմաները արգելափակելու համար՝ իրենց հաճախորդների իրական կարիքները բավարարելու համար:

Թեև կանոնակարգային համապատասխանությունը ողջամիտ առաջնահերթություն է ինչպես ուժեղ վավերացում օգտագործող, այնպես էլ չօգտագործող ձեռնարկությունների համար, ընկերությունները, որոնք արդեն իսկ օգտագործում են ուժեղ վավերացում, ավելի հավանական է, որ ասեն, որ հաճախորդների հավատարմության բարձրացումը ամենակարևոր չափանիշն է, որը նրանք համարում են վավերացումը գնահատելիս: մեթոդ. (18% ընդդեմ 12%) (Նկար 10):

Ձեռնարկությունների նույնականացում

2017 թվականից ի վեր ձեռնարկություններում ուժեղ վավերացման ընդունումը աճում է, բայց մի փոքր ավելի ցածր տեմպերով, քան սպառողական հավելվածների համար: Հզոր նույնականացում օգտագործող ձեռնարկությունների մասնաբաժինը 7-ին 2017%-ից աճել է մինչև 12% 2018-ին: Ի տարբերություն սպառողական հավելվածների, ձեռնարկության միջավայրում վեբ հավելվածներում ոչ գաղտնաբառով նույնականացման մեթոդների օգտագործումը որոշ չափով ավելի տարածված է, քան շարժական սարքերում: Ձեռնարկությունների մոտ կեսը նշում է, որ օգտագործում է միայն օգտանուններ և գաղտնաբառեր՝ իրենց օգտատերերին նույնականացնելու համար, ընդ որում, յուրաքանչյուր հինգերորդը (22%) նույնպես վստահում է բացառապես գաղտնաբառերի վրա՝ երկրորդական նույնականացման համար, երբ մուտք է գործում զգայուն տվյալներ (այսինքն՝ օգտատերը նախ մուտք է գործում հավելված՝ օգտագործելով նույնականացման ավելի պարզ մեթոդ, և եթե նա ցանկանում է մուտք ունենալ դեպի կարևոր տվյալներ, նա կկատարի նույնականացման մեկ այլ ընթացակարգ՝ այս անգամ սովորաբար օգտագործելով ավելի հուսալի մեթոդ։).

Դուք պետք է հասկանաք, որ զեկույցը հաշվի չի առնում Windows, Linux և Mac OS X օպերացիոն համակարգերում երկգործոն նույնականացման համար կրիպտոգրաֆիկ նշանների օգտագործումը: Եվ սա ներկայումս 2FA-ի ամենատարածված օգտագործումն է: (Ավաղ, FIDO ստանդարտներով ստեղծված նշանները կարող են իրականացնել 2FA միայն Windows 10-ի համար):

Ավելին, եթե առցանց և բջջային հավելվածներում 2FA-ի ներդրումը պահանջում է մի շարք միջոցառումներ, ներառյալ այդ հավելվածների փոփոխումը, ապա Windows-ում 2FA-ն իրականացնելու համար անհրաժեշտ է միայն կարգավորել PKI (օրինակ՝ Microsoft Certification Server-ի հիման վրա) և վավերացման քաղաքականությունը: մ.թ.

Եվ քանի որ աշխատանքային ԱՀ-ի և տիրույթի մուտքի պաշտպանությունը կորպորատիվ տվյալների պաշտպանության կարևոր տարր է, երկգործոն նույնականացման իրականացումն ավելի ու ավելի տարածված է դառնում:

Մուտք գործելիս օգտատերերի նույնականացման հաջորդ երկու ամենատարածված մեթոդներն են առանձին հավելվածի միջոցով տրամադրվող մեկանգամյա գաղտնաբառերը (բիզնեսի 13%-ը) և SMS-ի միջոցով առաքվող մեկանգամյա գաղտնաբառերը (12%): Չնայած այն հանգամանքին, որ երկու մեթոդների օգտագործման տոկոսը շատ նման է, OTP SMS-ն առավել հաճախ օգտագործվում է թույլտվության մակարդակը բարձրացնելու համար (ընկերությունների 24%-ում): (Նկար 12):

Ձեռնարկությունում ուժեղ նույնականացման կիրառման աճը, ամենայն հավանականությամբ, կարող է վերագրվել գաղտնագրման նույնականացման ներդրման ավելացված հասանելիությանը ձեռնարկության ինքնության կառավարման հարթակներում (այլ կերպ ասած, ձեռնարկության SSO և IAM համակարգերը սովորել են օգտագործել նշաններ):

Աշխատակիցների և կապալառուների բջջային նույնականացման համար ձեռնարկություններն ավելի շատ ապավինում են գաղտնաբառերին, քան սպառողական հավելվածներում նույնականացմանը: Ձեռնարկությունների կեսից մի փոքր ավելին (53%) օգտագործում է գաղտնաբառեր՝ բջջային սարքի միջոցով ընկերության տվյալների օգտատերերի մուտքը վավերացնելիս (Նկար 13):

Բջջային սարքերի դեպքում կարելի էր հավատալ կենսաչափության մեծ ուժին, եթե չլինեին կեղծ մատնահետքերի, ձայների, դեմքերի և նույնիսկ հիրիկի բազմաթիվ դեպքերը։ Որոնողական համակարգի մեկ հարցումը կբացահայտի, որ կենսաչափական նույնականացման հուսալի մեթոդ պարզապես գոյություն չունի: Իսկապես ճշգրիտ սենսորներ, իհարկե, գոյություն ունեն, բայց դրանք շատ թանկ են և մեծ չափերով, և տեղադրված չեն սմարթֆոններում:

Հետևաբար, շարժական սարքերում միակ գործող 2FA մեթոդը կրիպտոգրաֆիկ նշանների օգտագործումն է, որոնք միանում են սմարթֆոնին NFC, Bluetooth և USB Type-C միջերեսների միջոցով:

Ընկերության ֆինանսական տվյալների պաշտպանությունը առանց գաղտնաբառի նույնականացման մեջ ներդրումներ կատարելու գլխավոր պատճառն է (44%)՝ 2017 թվականից ի վեր ամենաարագ աճով (ութ տոկոսային կետով աճ): Դրան հաջորդում են մտավոր սեփականության պաշտպանությունը (40%) և անձնակազմի (HR) տվյալները (39%)։ Եվ պարզ է, թե ինչու. ոչ միայն այս տեսակի տվյալների հետ կապված արժեքը լայնորեն ճանաչված է, այլ համեմատաբար քիչ աշխատակիցներ են աշխատում դրանց հետ: Այսինքն՝ իրականացման ծախսերն այնքան էլ մեծ չեն, և միայն մի քանի հոգու պետք է վերապատրաստվեն՝ ավելի բարդ վավերացման համակարգի հետ աշխատելու համար։ Ի հակադրություն, տվյալների և սարքերի տեսակները, որոնց կանոնավոր կերպով մուտք են գործում ձեռնարկության աշխատակիցների մեծ մասը, դեռևս պաշտպանված են բացառապես գաղտնաբառերով: Աշխատակիցների փաստաթղթերը, աշխատատեղերը և կորպորատիվ էլփոստի պորտալները ամենամեծ ռիսկի ոլորտներն են, քանի որ ձեռնարկությունների միայն մեկ քառորդն է պաշտպանում այդ ակտիվները առանց գաղտնաբառի նույնականացման (Նկար 14):

Ընդհանուր առմամբ, կորպորատիվ էլեկտրոնային փոստը շատ վտանգավոր և արտահոսող բան է, որի պոտենցիալ վտանգի աստիճանը թերագնահատված է CIO-ների մեծ մասի կողմից: Աշխատակիցները ամեն օր ստանում են տասնյակ էլ. Այս նամակը կձևավորվի ընկերության նամակների ոճով, այնպես որ աշխատակիցը իրեն հարմարավետ կզգա՝ սեղմելով այս նամակի հղումը: Դե, այդ դեպքում ամեն ինչ կարող է պատահել, օրինակ՝ ներբեռնել վիրուսը հարձակման ենթարկված մեքենայի վրա կամ գաղտնաբառերի արտահոսք (այդ թվում՝ սոցիալական ճարտարագիտության միջոցով՝ մուտքագրելով հարձակվողի կողմից ստեղծված կեղծ վավերացման ձևը):

Որպեսզի նման բաներ տեղի չունենան, նամակները պետք է ստորագրված լինեն: Այնուհետև անմիջապես պարզ կդառնա, թե որ նամակն է ստեղծվել օրինական աշխատողի կողմից, իսկ որը՝ հարձակվողի։ Outlook/Exchange-ում, օրինակ, գաղտնագրման նշանների վրա հիմնված էլեկտրոնային ստորագրությունները բավականին արագ և հեշտությամբ միացված են և կարող են օգտագործվել երկու գործոնով իսկորոշման հետ ԱՀ և Windows տիրույթներում:

Այն ղեկավարների թվում, ովքեր հիմնվում են բացառապես ձեռնարկության ներսում գաղտնաբառի նույնականացման վրա, երկու երրորդը (66%) դա անում է, քանի որ կարծում է, որ գաղտնաբառերը բավարար անվտանգություն են ապահովում այն ​​տեղեկատվության տեսակի համար, որն իրենց ընկերությունը պետք է պաշտպանի (Նկար 15):

Սակայն նույնականացման ուժեղ մեթոդները դառնում են ավելի տարածված: Մեծապես պայմանավորված է նրանով, որ դրանց հասանելիությունն աճում է։ Ինքնության և մուտքի կառավարման (IAM) համակարգերի, բրաուզերների և օպերացիոն համակարգերի աճող թիվը աջակցում է նույնականացմանը՝ օգտագործելով գաղտնագրային նշաններ:

Հզոր նույնականացումը ևս մեկ առավելություն ունի. Քանի որ գաղտնաբառը այլևս չի օգտագործվում (փոխարինված է պարզ PIN-ով), աշխատակիցների կողմից մոռացված գաղտնաբառը փոխելու խնդրանքներ չկան: Ինչն իր հերթին նվազեցնում է ձեռնարկության ՏՏ բաժնի բեռը:

Ամփոփում և եզրակացություններ

1. Կառավարիչները հաճախ չունեն գնահատելու համար անհրաժեշտ գիտելիքներ իրական նույնականացման տարբեր տարբերակների արդյունավետությունը: Նրանք սովոր են վստահել այդպիսիներին հնացած անվտանգության մեթոդներ, ինչպիսիք են գաղտնաբառերը և անվտանգության հարցերը պարզապես այն պատճառով, որ «նախկինում այն ​​աշխատում էր»:
2. Օգտատերերը դեռ ունեն այս գիտելիքները ավելի քիչ, նրանց համար գլխավորն այն է պարզություն և հարմարավետություն. Քանի դեռ նրանք ընտրության խթան չունեն ավելի ապահով լուծումներ.
3. Հաճախակի մաքսային հավելվածների մշակողները ոչ մի պատճառգաղտնաբառի նույնականացման փոխարեն երկու գործոնով վավերացում իրականացնել: Օգտագործողների հավելվածներում պաշտպանության մակարդակի մրցակցություն ոչ.
4. Ամբողջական պատասխանատվությունը հաքի համար տեղափոխվել է օգտվողին. Հարձակվողին տվել է մեկանգամյա գաղտնաբառը. մեղավոր. Ձեր գաղտնաբառը գաղտնալսվել կամ լրտեսվել է - մեղավոր. Չի պահանջել, որ մշակողը օգտագործի արտադրանքի վավերացման հուսալի մեթոդներ. մեղավոր.
5. Ճիշտ կարգավորիչ առաջին հերթին պետք է պահանջի ընկերություններից իրականացնել լուծումներ, որոնք արգելափակել տվյալների արտահոսք (մասնավորապես՝ երկու գործոնով նույնականացում), այլ ոչ թե պատժել արդեն եղել է տվյալների արտահոսք.
6. Որոշ ծրագրեր մշակողներ փորձում են վաճառել սպառողներին հին և ոչ առանձնապես հուսալի լուծումներ գեղեցիկ փաթեթավորման մեջ «նորարար» արտադրանք. Օրինակ՝ նույնականացում՝ կապված կոնկրետ սմարթֆոնի հետ կամ օգտագործելով կենսաչափական տվյալները: Ինչպես երեւում է զեկույցից, ըստ իսկապես հուսալի կարող է լինել միայն լուծում, որը հիմնված է ուժեղ վավերացման, այսինքն՝ ծածկագրային նշանների վրա:
7. Նույնը գաղտնագրման նշանը կարող է օգտագործվել մի շարք առաջադրանքներ: համար ուժեղ վավերացում ձեռնարկության օպերացիոն համակարգում, կորպորատիվ և օգտատերերի հավելվածներում, համար էլեկտրոնային ստորագրություն ֆինանսական գործարքներ (կարևոր է բանկային հայտերի համար), փաստաթղթեր և էլ.

Source: www.habr.com