Baru-baru ini, perusahaan riset Javelin Strategy & Research menerbitkan laporan, “The State of Strong Authentication 2019.” Penciptanya mengumpulkan informasi tentang metode otentikasi apa yang digunakan di lingkungan perusahaan dan aplikasi konsumen, dan juga membuat kesimpulan menarik tentang masa depan otentikasi yang kuat.
Terjemahan bagian pertama dengan kesimpulan dari penulis laporan, kami . Dan sekarang kami mempersembahkan kepada Anda bagian kedua - dengan data dan grafik.
Dari penerjemah
Saya tidak akan sepenuhnya menyalin seluruh blok dengan nama yang sama dari bagian pertama, tetapi saya masih akan menduplikasi satu paragraf.
Semua angka dan fakta disajikan tanpa perubahan sedikit pun, dan jika Anda tidak setuju dengannya, lebih baik berdebat bukan dengan penerjemahnya, tetapi dengan penulis laporannya. Dan inilah komentar saya (ditata dalam bentuk kutipan, dan ditandai dalam teks Italia) adalah penilaian nilai saya dan saya akan dengan senang hati berdebat mengenai masing-masing penilaian tersebut (serta kualitas terjemahannya).
Otentikasi Pengguna
Sejak tahun 2017, penggunaan autentikasi kuat pada aplikasi konsumen telah meningkat tajam, sebagian besar disebabkan oleh ketersediaan metode autentikasi kriptografi pada perangkat seluler, meskipun hanya sedikit persentase perusahaan yang menggunakan autentikasi kuat untuk aplikasi Internet.
Secara keseluruhan, persentase perusahaan yang menggunakan autentikasi kuat dalam bisnisnya meningkat tiga kali lipat dari 5% pada tahun 2017 menjadi 16% pada tahun 2018 (Gambar 3).
Kemampuan untuk menggunakan otentikasi yang kuat untuk aplikasi web masih terbatas (karena fakta bahwa hanya versi terbaru dari beberapa browser yang mendukung interaksi dengan token kriptografi, namun masalah ini dapat diselesaikan dengan menginstal perangkat lunak tambahan seperti ), sehingga banyak perusahaan menggunakan metode alternatif untuk autentikasi online, seperti program untuk perangkat seluler yang menghasilkan kata sandi satu kali.
Kunci kriptografi perangkat keras (di sini yang kami maksud hanya yang memenuhi standar FIDO), seperti yang ditawarkan oleh Google, Feitian, One Span, dan Yubico dapat digunakan untuk autentikasi yang kuat tanpa menginstal perangkat lunak tambahan di komputer desktop dan laptop (karena sebagian besar browser sudah mendukung standar WebAuthn dari FIDO), tetapi hanya 3% perusahaan yang menggunakan fitur ini untuk login penggunanya.
Perbandingan token kriptografi (seperti ) dan kunci rahasia yang berfungsi sesuai standar FIDO berada di luar cakupan laporan ini, tetapi juga komentar saya terhadapnya. Singkatnya, kedua jenis token menggunakan algoritma dan prinsip operasi yang serupa. Token FIDO saat ini lebih didukung oleh vendor browser, meskipun hal ini akan segera berubah seiring dengan semakin banyaknya browser yang mendukung . Tetapi token kriptografi klasik dilindungi oleh kode PIN, dapat menandatangani dokumen elektronik dan digunakan untuk otentikasi dua faktor di Windows (versi apa pun), Linux dan Mac OS X, memiliki API untuk berbagai bahasa pemrograman, memungkinkan Anda menerapkan 2FA dan elektronik tanda tangan di aplikasi desktop, seluler, dan Web, dan token yang diproduksi di Rusia mendukung algoritme Gost Rusia. Bagaimanapun, token kriptografi, apa pun standar pembuatannya, adalah metode autentikasi yang paling andal dan nyaman.
Melampaui Keamanan: Manfaat Lain dari Otentikasi Kuat
Tidak mengherankan jika penggunaan autentikasi yang kuat terkait erat dengan pentingnya data yang disimpan oleh bisnis. Perusahaan yang menyimpan Informasi Identifikasi Pribadi (PII) yang sensitif, seperti nomor Jaminan Sosial atau Informasi Kesehatan Pribadi (PHI), menghadapi tekanan hukum dan peraturan terbesar. Ini adalah perusahaan yang merupakan pendukung paling agresif dari otentikasi yang kuat. Tekanan terhadap bisnis semakin besar karena ekspektasi pelanggan yang ingin mengetahui bahwa organisasi yang mereka percayai dengan data paling sensitifnya menggunakan metode autentikasi yang kuat. Organisasi yang menangani PII atau PHI sensitif dua kali lebih mungkin menggunakan autentikasi yang kuat dibandingkan organisasi yang hanya menyimpan informasi kontak pengguna (Gambar 7).
Sayangnya, perusahaan belum bersedia menerapkan metode autentikasi yang kuat. Hampir sepertiga pengambil keputusan bisnis menganggap kata sandi sebagai metode autentikasi yang paling efektif di antara semua metode yang tercantum pada Gambar 9, dan 43% menganggap kata sandi sebagai metode autentikasi yang paling sederhana.
Bagan ini membuktikan kepada kita bahwa pengembang aplikasi bisnis di seluruh dunia adalah sama... Mereka tidak melihat manfaat dari penerapan mekanisme keamanan akses akun tingkat lanjut dan memiliki kesalahpahaman yang sama. Dan hanya tindakan regulator yang dapat mengubah situasi.
Jangan sentuh kata sandi. Namun apa yang harus Anda yakini untuk meyakini bahwa pertanyaan keamanan lebih aman daripada token kriptografi? Efektivitas pertanyaan kontrol, yang dipilih secara sederhana, diperkirakan mencapai 15%, dan token yang tidak dapat diretas - hanya 10. Setidaknya tontonlah film "Illusion of Deception", di mana, meskipun dalam bentuk alegoris, diperlihatkan betapa mudahnya para pesulap memikat semua hal yang diperlukan dari jawaban seorang pengusaha-penipu dan meninggalkannya tanpa uang.
Dan satu fakta lagi yang menunjukkan banyak hal tentang kualifikasi mereka yang bertanggung jawab atas mekanisme keamanan dalam aplikasi pengguna. Dalam pemahaman mereka, proses memasukkan kata sandi adalah operasi yang lebih sederhana daripada otentikasi menggunakan token kriptografi. Meskipun demikian, tampaknya lebih mudah untuk menghubungkan token ke port USB dan memasukkan kode PIN sederhana.
Yang terpenting, penerapan autentikasi yang kuat memungkinkan bisnis untuk beralih dari memikirkan metode autentikasi dan aturan operasional yang diperlukan untuk memblokir skema penipuan, melainkan memenuhi kebutuhan nyata pelanggan mereka.
Meskipun kepatuhan terhadap peraturan merupakan prioritas utama bagi bisnis yang menggunakan autentikasi kuat dan yang tidak, perusahaan yang sudah menggunakan autentikasi kuat cenderung mengatakan bahwa meningkatkan loyalitas pelanggan adalah metrik paling penting yang mereka pertimbangkan saat mengevaluasi autentikasi. metode. (18% vs. 12%) (Gambar 10).
Otentikasi Perusahaan
Sejak tahun 2017, penerapan autentikasi yang kuat di perusahaan telah meningkat, namun tingkatnya sedikit lebih rendah dibandingkan aplikasi konsumen. Jumlah perusahaan yang menggunakan autentikasi kuat meningkat dari 7% pada tahun 2017 menjadi 12% pada tahun 2018. Berbeda dengan aplikasi konsumen, di lingkungan perusahaan, penggunaan metode autentikasi non-kata sandi lebih umum dilakukan pada aplikasi web dibandingkan pada perangkat seluler. Sekitar separuh bisnis melaporkan hanya menggunakan nama pengguna dan kata sandi untuk mengautentikasi penggunanya saat masuk, dan satu dari lima (22%) juga hanya mengandalkan kata sandi untuk autentikasi sekunder saat mengakses data sensitif (yaitu, pengguna terlebih dahulu masuk ke aplikasi menggunakan metode autentikasi yang lebih sederhana, dan jika dia ingin mendapatkan akses ke data penting, dia akan melakukan prosedur autentikasi lain, kali ini biasanya menggunakan metode yang lebih andal.).
Anda perlu memahami bahwa laporan tersebut tidak memperhitungkan penggunaan token kriptografi untuk otentikasi dua faktor di sistem operasi Windows, Linux dan Mac OS X. Dan saat ini ini merupakan penggunaan 2FA yang paling luas. (Sayangnya, token yang dibuat sesuai standar FIDO hanya dapat mengimplementasikan 2FA untuk Windows 10).
Selain itu, jika penerapan 2FA di aplikasi online dan seluler memerlukan serangkaian tindakan, termasuk modifikasi aplikasi tersebut, maka untuk menerapkan 2FA di Windows Anda hanya perlu mengonfigurasi PKI (misalnya, berdasarkan Server Sertifikasi Microsoft) dan kebijakan autentikasi dalam iklan.
Dan karena melindungi login ke PC dan domain kantor merupakan elemen penting dalam melindungi data perusahaan, penerapan autentikasi dua faktor menjadi semakin umum.
Dua metode paling umum berikutnya untuk mengautentikasi pengguna saat login adalah kata sandi satu kali yang diberikan melalui aplikasi terpisah (13% bisnis) dan kata sandi satu kali yang dikirimkan melalui SMS (12%). Meskipun persentase penggunaan kedua metode ini sangat mirip, SMS OTP paling sering digunakan untuk meningkatkan tingkat otorisasi (di 24% perusahaan). (Gambar 12).
Meningkatnya penggunaan autentikasi yang kuat di perusahaan kemungkinan besar dapat dikaitkan dengan meningkatnya ketersediaan implementasi autentikasi kriptografi di platform manajemen identitas perusahaan (dengan kata lain, sistem SSO dan IAM perusahaan telah belajar menggunakan token).
Untuk autentikasi seluler bagi karyawan dan kontraktor, perusahaan lebih mengandalkan kata sandi dibandingkan autentikasi dalam aplikasi konsumen. Lebih dari separuh (53%) perusahaan menggunakan kata sandi saat mengautentikasi akses pengguna ke data perusahaan melalui perangkat seluler (Gambar 13).
Dalam kasus perangkat seluler, orang akan percaya pada kekuatan besar biometrik, jika bukan karena banyaknya kasus pemalsuan sidik jari, suara, wajah, dan bahkan iris mata. Satu permintaan mesin pencari akan mengungkapkan bahwa metode otentikasi biometrik yang dapat diandalkan tidak ada. Sensor yang benar-benar akurat tentu saja ada, tetapi harganya sangat mahal dan ukurannya besar - dan tidak dipasang di ponsel pintar.
Oleh karena itu, satu-satunya metode 2FA yang berfungsi di perangkat seluler adalah penggunaan token kriptografi yang terhubung ke ponsel cerdas melalui antarmuka NFC, Bluetooth, dan USB Type-C.
Melindungi data keuangan perusahaan adalah alasan utama untuk berinvestasi dalam autentikasi tanpa kata sandi (44%), dengan pertumbuhan tercepat sejak tahun 2017 (meningkat delapan poin persentase). Diikuti oleh perlindungan kekayaan intelektual (40%) dan data personalia (SDM) (39%). Dan alasannya jelas - tidak hanya nilai yang terkait dengan jenis data ini diakui secara luas, namun relatif sedikit karyawan yang bekerja dengan data tersebut. Artinya, biaya implementasinya tidak begitu besar, dan hanya sedikit orang yang perlu dilatih untuk bekerja dengan sistem otentikasi yang lebih kompleks. Sebaliknya, jenis data dan perangkat yang diakses secara rutin oleh sebagian besar karyawan perusahaan masih dilindungi kata sandi saja. Dokumen karyawan, stasiun kerja, dan portal email perusahaan merupakan area dengan risiko terbesar, karena hanya seperempat perusahaan yang melindungi aset-aset ini dengan autentikasi tanpa kata sandi (Gambar 14).
Secara umum, email korporat adalah hal yang sangat berbahaya dan bocor, yang tingkat potensi bahayanya diremehkan oleh sebagian besar CIO. Karyawan menerima lusinan email setiap hari, jadi mengapa tidak menyertakan setidaknya satu email phishing (yaitu penipuan) di antara email tersebut. Surat ini akan diformat dengan gaya surat perusahaan, sehingga karyawan akan merasa nyaman mengklik link dalam surat ini. Nah, apa pun bisa terjadi, misalnya, mengunduh virus ke mesin yang diserang atau membocorkan kata sandi (termasuk melalui rekayasa sosial, dengan memasukkan formulir otentikasi palsu yang dibuat oleh penyerang).
Untuk mencegah hal seperti ini terjadi, email harus ditandatangani. Maka akan langsung terlihat surat mana yang dibuat oleh pegawai sah dan mana yang dibuat oleh penyerang. Di Outlook/Exchange, misalnya, tanda tangan elektronik berbasis token kriptografi diaktifkan dengan cukup cepat dan mudah serta dapat digunakan bersama dengan autentikasi dua faktor di seluruh PC dan domain Windows.
Di antara para eksekutif yang hanya mengandalkan otentikasi kata sandi dalam perusahaan, dua pertiga (66%) melakukannya karena mereka yakin kata sandi memberikan keamanan yang memadai untuk jenis informasi yang perlu dilindungi oleh perusahaan mereka (Gambar 15).
Namun metode otentikasi yang kuat menjadi lebih umum. Sebagian besar disebabkan oleh fakta bahwa ketersediaannya semakin meningkat. Semakin banyak sistem manajemen identitas dan akses (IAM), browser, dan sistem operasi yang mendukung otentikasi menggunakan token kriptografi.
Otentikasi yang kuat memiliki keuntungan lain. Karena password sudah tidak digunakan lagi (diganti dengan PIN sederhana), tidak ada permintaan dari karyawan untuk mengganti password yang terlupa. Hal ini pada gilirannya mengurangi beban departemen TI perusahaan.
Hasil dan kesimpulan
- Manajer seringkali tidak memiliki pengetahuan yang diperlukan untuk menilai nyata efektivitas berbagai opsi otentikasi. Mereka terbiasa mempercayai hal tersebut usang metode keamanan seperti kata sandi dan pertanyaan keamanan hanya karena “ini berhasil sebelumnya”.
- Pengguna masih memiliki pengetahuan ini lebih sedikit, bagi mereka yang utama adalah kesederhanaan dan kenyamanan. Selama mereka tidak punya insentif untuk memilih solusi yang lebih aman.
- Pengembang aplikasi khusus sering kali tak ada alasanuntuk menerapkan otentikasi dua faktor alih-alih otentikasi kata sandi. Persaingan dalam tingkat perlindungan dalam aplikasi pengguna Tidak.
- Tanggung jawab penuh atas peretasan tersebut dialihkan ke pengguna. Memberikan kata sandi satu kali kepada penyerang - menyalahkan. Kata sandi Anda disadap atau dimata-matai - menyalahkan. Tidak mengharuskan pengembang untuk menggunakan metode otentikasi yang andal pada produk - menyalahkan.
- Baik регулятор pertama-tama harus mengharuskan perusahaan untuk menerapkan solusi itu memblokir kebocoran data (khususnya otentikasi dua faktor), daripada menghukum sudah terjadi kebocoran data.
- Beberapa pengembang perangkat lunak mencoba menjualnya kepada konsumen tua dan tidak terlalu dapat diandalkan solusi dalam kemasan yang cantik produk "inovatif". Misalnya saja otentikasi dengan menghubungkan ke smartphone tertentu atau menggunakan biometrik. Seperti yang terlihat dari laporan, menurut benar-benar dapat diandalkan Hanya ada solusi berdasarkan otentikasi yang kuat, yaitu token kriptografi.
- Sama token kriptografi dapat digunakan untuk sejumlah tugas: untuk otentikasi yang kuat dalam sistem operasi perusahaan, dalam aplikasi perusahaan dan pengguna, untuk tanda tangan elektronik transaksi keuangan (penting untuk aplikasi perbankan), dokumen dan email.
Sumber: www.habr.com