Nýlega gaf rannsóknarfyrirtækið Javelin Strategy & Research út skýrslu, „The State of Strong Authentication 2019. Höfundar þess söfnuðu upplýsingum um hvaða auðkenningaraðferðir eru notaðar í fyrirtækjaumhverfi og neytendaforritum og drógu einnig áhugaverðar ályktanir um framtíð sterkrar auðkenningar.
Þýðing fyrri hluta með niðurstöðum skýrsluhöfunda, við . Og nú kynnum við þér seinni hlutann - með gögnum og línuritum.
Frá þýðandanum
Ég mun ekki alveg afrita alla blokkina með sama nafni frá fyrsta hlutanum, en ég mun samt afrita eina málsgrein.
Allar tölur og staðreyndir eru settar fram án minnstu breytinga, og ef þú ert ekki sammála þeim, þá er betra að rífast ekki við þýðandann, heldur við skýrsluhöfunda. Og hér eru athugasemdir mínar (sem settar eru fram sem tilvitnanir og merktar í textann ítalska) eru mitt gildismat og ég mun með ánægju rökræða um hverja þeirra (sem og um gæði þýðingarinnar).
Notendavottun
Síðan 2017 hefur notkun sterkrar auðkenningar í neytendaforritum aukist mikið, að mestu leyti vegna þess að dulritunar auðkenningaraðferðir eru tiltækar í farsímum, þó að aðeins örlítið minna hlutfall fyrirtækja noti sterka auðkenningu fyrir netforrit.
Á heildina litið þrefaldaðist hlutfall fyrirtækja sem nota sterka auðkenningu í viðskiptum sínum úr 5% árið 2017 í 16% árið 2018 (Mynd 3).
Getan til að nota sterka auðkenningu fyrir vefforrit er enn takmörkuð (vegna þess að aðeins mjög nýjar útgáfur af sumum vöfrum styðja samskipti við dulritunarmerki, en þetta vandamál er hægt að leysa með því að setja upp viðbótarhugbúnað eins og ), svo mörg fyrirtæki nota aðrar aðferðir til auðkenningar á netinu, svo sem forrit fyrir farsíma sem búa til einskiptis lykilorð.
Vélbúnaðar dulritunarlyklar (hér er aðeins átt við þá sem uppfylla FIDO staðla), eins og þær sem Google, Feitian, One Span og Yubico bjóða upp á er hægt að nota fyrir öfluga auðkenningu án þess að setja upp viðbótarhugbúnað á borðtölvum og fartölvum (vegna þess að flestir vafrar styðja nú þegar WebAuthn staðalinn frá FIDO), en aðeins 3% fyrirtækja nota þennan eiginleika til að skrá sig inn á notendur sína.
Samanburður á dulkóðunartáknum (eins og ) og leynilyklar sem vinna samkvæmt FIDO stöðlum eru utan gildissviðs þessarar skýrslu, en einnig athugasemdir mínar við hana. Í stuttu máli, báðar tegundir tákna nota svipaðar reiknirit og rekstrarreglur. FIDO tákn eru sem stendur betur studd af vafraframleiðendum, þó að þetta muni fljótlega breytast eftir því sem fleiri vafrar styðja . En klassísk dulmálslykil eru vernduð með PIN-kóða, geta undirritað rafræn skjöl og hægt að nota fyrir tvíþætta auðkenningu í Windows (hvaða útgáfu sem er), Linux og Mac OS X, hafa API fyrir ýmis forritunarmál, sem gerir þér kleift að innleiða 2FA og rafrænt. undirskrift í tölvu-, farsíma- og vefforritum og tákn framleidd í Rússlandi styðja rússneska GOST reiknirit. Í öllum tilvikum er dulmálslykil, óháð því hvaða staðli það er búið til, áreiðanlegasta og þægilegasta auðkenningaraðferðin.
Umfram öryggi: Aðrir kostir sterkrar auðkenningar
Það kemur ekki á óvart að notkun sterkrar auðkenningar er nátengd mikilvægi gagna sem fyrirtæki geymir. Fyrirtæki sem geyma viðkvæmar persónugreinanlegar upplýsingar (PII), eins og kennitölur eða persónulegar heilsuupplýsingar (PHI), standa frammi fyrir mesta laga- og reglugerðarþrýstingi. Þetta eru fyrirtækin sem eru ágengustu talsmenn sterkrar auðkenningar. Þrýstingur á fyrirtæki eykst vegna væntinga viðskiptavina sem vilja vita að stofnanir sem þeir treysta fyrir viðkvæmustu gögnunum sínum noti sterkar auðkenningaraðferðir. Fyrirtæki sem meðhöndla viðkvæmar PII eða PHI eru meira en tvöfalt líklegri til að nota sterka auðkenningu en stofnanir sem aðeins geyma tengiliðaupplýsingar notenda (Mynd 7).
Því miður eru fyrirtæki ekki enn tilbúin að innleiða sterkar auðkenningaraðferðir. Næstum þriðjungur þeirra sem taka ákvarðanir í viðskiptum telja lykilorð áhrifaríkustu auðkenningaraðferðina meðal allra þeirra sem taldar eru upp á mynd 9 og 43% telja lykilorð einfaldasta auðkenningaraðferðina.
Þetta graf sannar okkur að forritarar viðskiptaforrita um allan heim eru þeir sömu... Þeir sjá ekki ávinninginn af því að innleiða háþróaða reikningsaðgangsöryggiskerfi og deila sömu ranghugmyndum. Og aðeins aðgerðir eftirlitsaðila geta breytt ástandinu.
Við skulum ekki snerta lykilorð. En hverju þarftu að trúa til að trúa því að öryggisspurningar séu öruggari en dulritunarmerki? Skilvirkni eftirlitsspurninga, sem eru einfaldlega valdar, var metin á 15%, en ekki innbrotsmerki - aðeins 10. Horfðu að minnsta kosti á myndina "Illusion of Deception", þar sem, þótt í allegórísku formi, sést hversu auðveldlega galdramenn tældi allt sem þarf út úr svörum kaupsýslumanns-svindlara og skildi hann eftir án peninga.
Og enn ein staðreyndin sem segir mikið um hæfi þeirra sem bera ábyrgð á öryggiskerfum í notendaforritum. Að þeirra skilningi er ferlið við að slá inn lykilorð einfaldari aðgerð en auðkenning með dulritunarlyki. Þó virðist sem það gæti verið einfaldara að tengja táknið við USB-tengi og slá inn einfaldan PIN-kóða.
Mikilvægt er að innleiðing sterkrar auðkenningar gerir fyrirtækjum kleift að hverfa frá því að hugsa um auðkenningaraðferðir og rekstrarreglur sem þarf til að loka fyrir sviksamlega kerfi til að mæta raunverulegum þörfum viðskiptavina sinna.
Þó að farið sé að reglum sé hæfilega forgangsverkefni bæði fyrir fyrirtæki sem nota sterka auðkenningu og þau sem gera það ekki, þá eru fyrirtæki sem þegar nota sterka auðkenningu mun líklegri til að segja að aukin tryggð viðskiptavina sé mikilvægasta mælikvarðinn sem þau hafa í huga við mat á auðkenningu. aðferð. (18% á móti 12%) (Mynd 10).
Staðfesting fyrirtækja
Síðan 2017 hefur notkun sterkrar auðkenningar í fyrirtækjum farið vaxandi, en með aðeins lægri hraða en fyrir neytendaumsóknir. Hlutur fyrirtækja sem notast við sterka auðkenningu jókst úr 7% árið 2017 í 12% árið 2018. Ólíkt neytendaforritum er notkun auðkenningaraðferða án lykilorðs nokkuð algengari í vefforritum en farsímum í fyrirtækjaumhverfi. Um helmingur fyrirtækja tilkynnir að þeir noti eingöngu notendanöfn og lykilorð til að sannvotta notendur sína þegar þeir skrá sig inn, þar sem einn af hverjum fimm (22%) treystir einnig eingöngu á lykilorð fyrir auka auðkenningu þegar þeir fá aðgang að viðkvæmum gögnum (það er, notandinn skráir sig fyrst inn í forritið með einfaldari auðkenningaraðferð og ef hann vill fá aðgang að mikilvægum gögnum mun hann framkvæma aðra auðkenningaraðferð, að þessu sinni venjulega með áreiðanlegri aðferð).
Þú þarft að skilja að skýrslan tekur ekki tillit til notkunar á dulkóðunartáknum fyrir tvíþætta auðkenningu í stýrikerfunum Windows, Linux og Mac OS X. Og þetta er eins og er útbreiddasta notkun 2FA. (Því miður, tákn sem eru búin til samkvæmt FIDO stöðlum geta aðeins innleitt 2FA fyrir Windows 10).
Þar að auki, ef innleiðing 2FA í net- og farsímaforritum krefst fjölda ráðstafana, þar á meðal breytinga á þessum forritum, þá þarftu aðeins að stilla PKI (til dæmis byggt á Microsoft vottunarþjóni) og auðkenningarstefnu til að innleiða 2FA í Windows í AD.
Og þar sem verndun innskráningar á vinnutölvu og lén er mikilvægur þáttur í að vernda fyrirtækjagögn, er innleiðing tvíþættrar auðkenningar að verða algengari og algengari.
Næstu tvær algengustu aðferðirnar til að auðkenna notendur þegar þeir skrá sig inn eru einskiptis lykilorð sem eru veitt í gegnum sérstakt app (13% fyrirtækja) og einskiptis lykilorð afhent með SMS (12%). Þrátt fyrir að hlutfall notkunar beggja aðferða sé mjög svipað er OTP SMS oftast notað til að auka leyfisstig (í 24% fyrirtækja). (Mynd 12).
Aukning í notkun sterkrar auðkenningar í fyrirtækinu má líklega rekja til aukins framboðs á dulritunar auðkenningarútfærslum á auðkennastjórnunarkerfum fyrirtækja (með öðrum orðum, fyrirtæki SSO og IAM kerfi hafa lært að nota tákn).
Fyrir farsímavottun starfsmanna og verktaka treysta fyrirtæki meira á lykilorð en auðkenningu í neytendaforritum. Rúmlega helmingur (53%) fyrirtækja notar lykilorð þegar þeir auðkenna aðgang notenda að fyrirtækjagögnum í gegnum farsíma (Mynd 13).
Þegar um farsímatæki er að ræða, myndi maður trúa á hinn mikla kraft líffræðilegrar tölfræði, ef ekki væri fyrir mörg tilvik fölsuð fingraför, raddir, andlit og jafnvel lithimnu. Ein leitarvélafyrirspurn mun leiða í ljós að áreiðanleg aðferð við líffræðileg tölfræði auðkenning er einfaldlega ekki til. Sannarlega nákvæmir skynjarar eru auðvitað til, en þeir eru mjög dýrir og stórir í sniðum - og eru ekki settir upp í snjallsímum.
Þess vegna er eina virka 2FA aðferðin í farsímum að nota dulritunarmerki sem tengjast snjallsímanum í gegnum NFC, Bluetooth og USB Type-C tengi.
Að vernda fjárhagsgögn fyrirtækis er aðalástæðan fyrir því að fjárfesta í lykilorðslausri auðkenningu (44%), með mesta vexti síðan 2017 (aukning um átta prósentustig). Þar á eftir kemur vernd hugverka (40%) og starfsmanna (HR) gagna (39%). Og það er ljóst hvers vegna - ekki aðeins er gildið sem tengist þessum tegundum gagna almennt viðurkennt, heldur vinna tiltölulega fáir starfsmenn með þau. Það er að segja að innleiðingarkostnaðurinn er ekki svo mikill og aðeins fáir einstaklingar þurfa að vera þjálfaðir til að vinna með flóknara auðkenningarkerfi. Aftur á móti eru þær tegundir gagna og tækja sem flestir starfsmenn fyrirtækja hafa reglulega aðgang að enn eingöngu varin með lykilorðum. Skjöl starfsmanna, vinnustöðvar og tölvupóstgáttir fyrirtækja eru þau svæði sem eru í mestri hættu, þar sem aðeins fjórðungur fyrirtækja vernda þessar eignir með lykilorðslausri auðkenningu (Mynd 14).
Almennt séð er fyrirtækjatölvupóstur mjög hættulegur og lekur hlutur, sem flestir CIOs vanmeta hversu mikil hætta er á því. Starfsmenn fá tugi tölvupósta á hverjum degi, svo hvers vegna ekki að hafa að minnsta kosti einn vefveiðar (þ.e. sviksamlega) tölvupóst á meðal þeirra. Þetta bréf verður sniðið í stíl fyrirtækjabréfa, þannig að starfsmanni líði vel með því að smella á hlekkinn í þessu bréfi. Jæja, þá getur allt gerst, til dæmis að hala niður vírus á vélina sem ráðist var á eða lykilorð leka (þar á meðal í gegnum félagslega verkfræði, með því að slá inn falsað auðkenningareyðublað sem árásarmaðurinn hefur búið til).
Til að koma í veg fyrir að svona hlutir gerist verða tölvupóstar að vera undirritaðir. Þá kemur strax í ljós hvaða bréf var búið til af lögmætum starfsmanni og hver af árásarmanni. Í Outlook/Exchange, til dæmis, eru rafrænar undirskriftir sem byggjast á dulritunartáknum virkar á nokkuð fljótt og auðveldan hátt og hægt er að nota þær í tengslum við tveggja þátta auðkenningu á milli tölvur og Windows léna.
Meðal þeirra stjórnenda sem treysta eingöngu á auðkenningu lykilorða innan fyrirtækisins gera tveir þriðju (66%) það vegna þess að þeir telja að lykilorð veiti nægjanlegt öryggi fyrir þá tegund upplýsinga sem fyrirtæki þeirra þarf að vernda (Mynd 15).
En sterkar auðkenningaraðferðir eru að verða algengari. Að miklu leyti vegna þess að framboð þeirra er að aukast. Aukinn fjöldi auðkenna- og aðgangsstjórnunarkerfa (IAM), vafra og stýrikerfa styður auðkenningu með dulritunartáknum.
Öflug auðkenning hefur annan kost. Þar sem lykilorðið er ekki lengur notað (skipt út fyrir einfalt PIN-númer) eru engar beiðnir frá starfsmönnum sem biðja þá um að breyta gleymdu lykilorðinu. Sem aftur dregur úr álagi á upplýsingatæknideild fyrirtækisins.
Niðurstöður og niðurstöður
- Stjórnendur hafa oft ekki nauðsynlega þekkingu til að meta alvöru skilvirkni ýmissa auðkenningarvalkosta. Þeir eru vanir að treysta svona fólki gamaldags öryggisaðferðir eins og lykilorð og öryggisspurningar einfaldlega vegna þess að „það virkaði áður“.
- Notendur hafa enn þessa þekkingu minna, fyrir þeim er aðalatriðið einfaldleiki og þægindi. Svo lengi sem þeir hafa enga hvata til að velja öruggari lausnir.
- Hönnuðir sérsniðinna forrita oft engin ástæðaað innleiða tvíþætta auðkenningu í stað auðkenningar með lykilorði. Samkeppni í verndarstigi í notendaforritum ekki.
- Full ábyrgð á hakkinu færð til notandans. Gaf einu sinni lykilorðið til árásarmannsins - að kenna. Lykilorðið þitt var hlerað eða njósnað um - að kenna. Krafðist ekki þróunaraðila að nota áreiðanlegar auðkenningaraðferðir í vörunni - að kenna.
- Rétt eftirlitsstofnanna Í fyrsta lagi ætti að krefjast þess að fyrirtæki innleiði lausnir sem blokk gagnaleka (sérstaklega tveggja þátta auðkenningu), frekar en að refsa þegar gerst gagnaleka.
- Sumir hugbúnaðarframleiðendur eru að reyna að selja til neytenda gamall og ekki sérlega áreiðanlegur lausnir í fallegum umbúðum "nýjunga" vara. Til dæmis auðkenning með því að tengja við ákveðinn snjallsíma eða nota líffræðileg tölfræði. Eins og sjá má af skýrslunni, skv sannarlega áreiðanlegur Það getur aðeins verið lausn sem byggir á sterkri auðkenningu, það er að segja dulmálsmerki.
- Það sama Hægt er að nota dulmálslykil fyrir fjölda verkefna: fyrir sterk auðkenning í fyrirtækjastýrikerfinu, í fyrirtækja- og notendaforritum, fyrir Rafræn undirskrift fjármálaviðskipti (mikilvægt fyrir bankaumsóknir), skjöl og tölvupóst.
Heimild: www.habr.com