Recentemente, la società di ricerca Javelin Strategy & Research ha pubblicato un rapporto, “The State of Strong Authentication 2019”. I suoi creatori hanno raccolto informazioni sui metodi di autenticazione utilizzati negli ambienti aziendali e nelle applicazioni consumer e hanno anche tratto conclusioni interessanti sul futuro dell'autenticazione forte.
Traduzione della prima parte con le conclusioni degli autori del rapporto, we . E ora presentiamo alla vostra attenzione la seconda parte: con dati e grafici.
Dal traduttore
Non copierò completamente l'intero blocco con lo stesso nome dalla prima parte, ma duplicherò comunque un paragrafo.
Tutte le cifre e i fatti sono presentati senza il minimo cambiamento e, se non sei d'accordo con loro, è meglio discutere non con il traduttore, ma con gli autori del rapporto. Ed ecco i miei commenti (esposti come citazioni e contrassegnati nel testo Italiano) sono i miei giudizi di valore e sarò felice di argomentare su ciascuno di essi (oltre che sulla qualità della traduzione).
Autenticazione utente
Dal 2017, l’uso dell’autenticazione forte nelle applicazioni consumer è cresciuto notevolmente, in gran parte grazie alla disponibilità di metodi di autenticazione crittografica sui dispositivi mobili, sebbene solo una percentuale leggermente inferiore di aziende utilizzi l’autenticazione forte per le applicazioni Internet.
Nel complesso, la percentuale di aziende che utilizzano l’autenticazione forte nella propria attività è triplicata, passando dal 5% nel 2017 al 16% nel 2018 (Figura 3).
La possibilità di utilizzare l'autenticazione forte per le applicazioni web è ancora limitata (a causa del fatto che solo le versioni più recenti di alcuni browser supportano l'interazione con i token crittografici, tuttavia questo problema può essere risolto installando software aggiuntivo come ), per questo motivo molte aziende utilizzano metodi alternativi per l'autenticazione online, come programmi per dispositivi mobili che generano password monouso.
Chiavi crittografiche hardware (qui si intendono solo quelli che rispettano gli standard FIDO), come quelli offerti da Google, Feitian, One Span e Yubico possono essere utilizzati per l'autenticazione forte senza installare software aggiuntivo su computer desktop e laptop (perché la maggior parte dei browser supporta già lo standard WebAuthn di FIDO), ma solo il 3% delle aziende utilizza questa funzionalità per accedere ai propri utenti.
Confronto di token crittografici (come ) e le chiavi segrete che funzionano secondo gli standard FIDO vanno oltre lo scopo di questo rapporto, ma anche dei miei commenti in merito. In breve, entrambi i tipi di token utilizzano algoritmi e principi operativi simili. I token FIDO sono attualmente supportati meglio dai fornitori di browser, anche se la situazione cambierà presto man mano che saranno supportati più browser . Ma i token crittografici classici sono protetti da un codice PIN, possono firmare documenti elettronici ed essere utilizzati per l'autenticazione a due fattori in Windows (qualsiasi versione), Linux e Mac OS X, dispongono di API per vari linguaggi di programmazione, consentendo di implementare 2FA ed elettronica la firma nelle applicazioni desktop, mobili e Web e i token prodotti in Russia supportano gli algoritmi GOST russi. In ogni caso, un token crittografico, indipendentemente dallo standard con cui è creato, è il metodo di autenticazione più affidabile e conveniente.
Oltre la sicurezza: altri vantaggi dell'autenticazione forte
Non sorprende che l'uso dell'autenticazione forte sia strettamente legato all'importanza dei dati archiviati da un'azienda. Le aziende che archiviano informazioni sensibili di identificazione personale (PII), come numeri di previdenza sociale o informazioni sanitarie personali (PHI), devono affrontare la maggiore pressione legale e normativa. Queste sono le aziende che sono i sostenitori più aggressivi dell’autenticazione forte. La pressione sulle aziende è accresciuta dalle aspettative dei clienti che vogliono sapere che le organizzazioni a cui affidano i loro dati più sensibili utilizzano metodi di autenticazione forti. Le organizzazioni che gestiscono PII o PHI sensibili hanno più del doppio delle probabilità di utilizzare l'autenticazione forte rispetto alle organizzazioni che archiviano solo le informazioni di contatto degli utenti (Figura 7).
Sfortunatamente, le aziende non sono ancora disposte a implementare metodi di autenticazione forti. Quasi un terzo dei decisori aziendali considera le password il metodo di autenticazione più efficace tra tutti quelli elencati nella Figura 9 e il 43% considera le password il metodo di autenticazione più semplice.
Questo grafico ci dimostra che gli sviluppatori di applicazioni aziendali in tutto il mondo sono uguali... Non vedono il vantaggio di implementare meccanismi avanzati di sicurezza per l'accesso agli account e condividono le stesse idee sbagliate. E solo le azioni dei regolatori possono cambiare la situazione.
Non tocchiamo le password. Ma cosa bisogna credere per credere che le domande di sicurezza siano più sicure dei token crittografici? L'efficacia delle domande di controllo, che vengono semplicemente selezionate, è stata stimata al 15%, e non ai token hackerabili - solo 10. Guarda almeno il film "Illusion of Deception", dove, sebbene in forma allegorica, viene mostrato con quanta facilità i maghi ha attirato tutte le cose necessarie dalle risposte di un truffatore uomo d'affari e lo ha lasciato senza soldi.
E un altro fatto che la dice lunga sulle qualifiche di coloro che sono responsabili dei meccanismi di sicurezza nelle applicazioni utente. Secondo loro, il processo di immissione della password è un'operazione più semplice dell'autenticazione tramite token crittografico. Tuttavia, sembrerebbe che potrebbe essere più semplice collegare il token a una porta USB e inserire un semplice codice PIN.
È importante sottolineare che l’implementazione dell’autenticazione forte consente alle aziende di abbandonare la riflessione sui metodi di autenticazione e sulle regole operative necessarie per bloccare gli schemi fraudolenti e di soddisfare le reali esigenze dei propri clienti.
Sebbene la conformità normativa sia una priorità assoluta sia per le aziende che utilizzano l'autenticazione forte sia per quelle che non la utilizzano, le aziende che già utilizzano l'autenticazione forte sono molto più propense ad affermare che l'aumento della fedeltà dei clienti è il parametro più importante da prendere in considerazione quando valutano un'autenticazione. metodo. (18% contro 12%) (Figura 10).
Autenticazione aziendale
Dal 2017, l’adozione dell’autenticazione forte nelle aziende è cresciuta, ma a un ritmo leggermente inferiore rispetto alle applicazioni consumer. La percentuale di imprese che utilizzano l’autenticazione forte è aumentata dal 7% nel 2017 al 12% nel 2018. A differenza delle applicazioni consumer, nell’ambiente aziendale l’uso di metodi di autenticazione senza password è un po’ più comune nelle applicazioni web che sui dispositivi mobili. Circa la metà delle aziende riferisce di utilizzare solo nomi utente e password per autenticare i propri utenti durante l'accesso, mentre una su cinque (22%) si affida esclusivamente alle password per l'autenticazione secondaria quando accede a dati sensibili (ovvero, l'utente accede prima all'applicazione utilizzando un metodo di autenticazione più semplice e, se desidera accedere ai dati critici, eseguirà un'altra procedura di autenticazione, questa volta solitamente utilizzando un metodo più affidabile).
È necessario comprendere che il rapporto non tiene conto dell'uso di token crittografici per l'autenticazione a due fattori nei sistemi operativi Windows, Linux e Mac OS X. E questo è attualmente l'uso più diffuso di 2FA. (Ahimè, i token creati secondo gli standard FIDO possono implementare 2FA solo per Windows 10).
Inoltre, se l'implementazione della 2FA nelle applicazioni online e mobili richiede una serie di misure, inclusa la modifica di queste applicazioni, per implementare la 2FA in Windows è sufficiente configurare la PKI (ad esempio, basata su Microsoft Certification Server) e le policy di autenticazione. nell'AD.
E poiché proteggere l'accesso al PC e al dominio di lavoro è un elemento importante per proteggere i dati aziendali, l'implementazione dell'autenticazione a due fattori sta diventando sempre più comune.
I successivi due metodi più comuni per autenticare gli utenti al momento dell'accesso sono le password monouso fornite tramite un'app separata (13% delle aziende) e le password monouso fornite tramite SMS (12%). Nonostante la percentuale di utilizzo di entrambi i metodi sia molto simile, gli SMS OTP vengono spesso utilizzati per aumentare il livello di autorizzazione (nel 24% delle aziende). (Figura 12).
L’aumento dell’uso dell’autenticazione forte in azienda può probabilmente essere attribuito alla maggiore disponibilità di implementazioni di autenticazione crittografica nelle piattaforme di gestione delle identità aziendali (in altre parole, i sistemi SSO e IAM aziendali hanno imparato a utilizzare i token).
Per l'autenticazione mobile di dipendenti e collaboratori esterni, le aziende fanno più affidamento sulle password che per l'autenticazione nelle applicazioni consumer. Poco più della metà (53%) delle aziende utilizza le password per autenticare l'accesso degli utenti ai dati aziendali tramite un dispositivo mobile (Figura 13).
Nel caso dei dispositivi mobili, si crederebbe al grande potere della biometria, se non fosse per i numerosi casi di impronte digitali, voci, volti e persino iridi falsi. Una query del motore di ricerca rivelerà che semplicemente non esiste un metodo affidabile di autenticazione biometrica. Naturalmente esistono sensori veramente accurati, ma sono molto costosi e di grandi dimensioni e non sono installati negli smartphone.
Pertanto, l'unico metodo 2FA funzionante nei dispositivi mobili è l'uso di token crittografici che si collegano allo smartphone tramite interfacce NFC, Bluetooth e USB Type-C.
La protezione dei dati finanziari di un'azienda è la ragione principale per investire nell'autenticazione senza password (44%), con la crescita più rapida dal 2017 (un aumento di otto punti percentuali). Seguono la tutela della proprietà intellettuale (40%) e i dati del personale (HR) (39%). Ed è chiaro il motivo: non solo il valore associato a questo tipo di dati è ampiamente riconosciuto, ma sono relativamente pochi i dipendenti che lavorano con essi. Cioè, i costi di implementazione non sono così elevati e solo poche persone devono essere formate per lavorare con un sistema di autenticazione più complesso. Al contrario, i tipi di dati e dispositivi a cui accede abitualmente la maggior parte dei dipendenti aziendali sono ancora protetti esclusivamente da password. I documenti dei dipendenti, le postazioni di lavoro e i portali di posta elettronica aziendali sono le aree a maggior rischio, poiché solo un quarto delle aziende protegge queste risorse con un'autenticazione senza password (Figura 14).
In generale, la posta elettronica aziendale è un oggetto molto pericoloso e che lascia trapelati, il cui grado di potenziale pericolo è sottovalutato dalla maggior parte dei CIO. I dipendenti ricevono decine di e-mail ogni giorno, quindi perché non includere almeno un'e-mail di phishing (ovvero fraudolenta) tra di loro. Questa lettera sarà formattata nello stile delle lettere aziendali, quindi il dipendente si sentirà a suo agio facendo clic sul collegamento in questa lettera. Ebbene, allora può succedere di tutto, ad esempio scaricare un virus sulla macchina attaccata o divulgare password (anche attraverso l'ingegneria sociale, inserendo un modulo di autenticazione falso creato dall'aggressore).
Per evitare che succedano cose del genere, le e-mail devono essere firmate. Allora sarà subito chiaro quale lettera è stata creata da un legittimo dipendente e quale da un aggressore. In Outlook/Exchange, ad esempio, le firme elettroniche basate su token crittografici vengono abilitate in modo rapido e semplice e possono essere utilizzate insieme all'autenticazione a due fattori su PC e domini Windows.
Tra i dirigenti che si affidano esclusivamente all'autenticazione tramite password all'interno dell'azienda, due terzi (66%) lo fanno perché ritengono che le password forniscano una sicurezza sufficiente per il tipo di informazioni che la loro azienda deve proteggere (Figura 15).
Ma i metodi di autenticazione forte stanno diventando sempre più comuni. In gran parte dovuto al fatto che la loro disponibilità è in aumento. Un numero crescente di sistemi IAM, browser e sistemi operativi di gestione delle identità e degli accessi supporta l'autenticazione tramite token crittografici.
L'autenticazione forte presenta un altro vantaggio. Dato che la password non viene più utilizzata (sostituita con un semplice PIN), non ci sono richieste da parte dei dipendenti di modificare la password dimenticata. Ciò a sua volta riduce il carico sul reparto IT dell’azienda.
Risultati e conclusioni
- I manager spesso non hanno le conoscenze necessarie per valutare vero efficacia delle varie opzioni di autenticazione. Sono abituati a fidarsi di loro antiquato metodi di sicurezza come password e domande di sicurezza semplicemente perché “prima funzionava”.
- Gli utenti hanno ancora questa conoscenza meno, per loro la cosa principale è semplicità e convenienza. Finché non hanno incentivi a scegliere soluzioni più sicure.
- Spesso gli sviluppatori di applicazioni personalizzate nessuna ragioneimplementare l'autenticazione a due fattori anziché l'autenticazione tramite password. Concorrenza nel livello di protezione delle applicazioni utente no.
- Piena responsabilità per l'hacking spostato all'utente. Ha dato la password monouso all'aggressore - da incolpare. La tua password è stata intercettata o spiata - da incolpare. Non è stato richiesto allo sviluppatore di utilizzare metodi di autenticazione affidabili nel prodotto: da incolpare.
- Destra regolatore prima dovrebbe richiedere alle aziende di implementare soluzioni che bloccare fughe di dati (in particolare l’autenticazione a due fattori), anziché punire è già successo fuga di dati.
- Alcuni sviluppatori di software stanno cercando di vendere ai consumatori vecchio e non particolarmente affidabile soluzioni in una bellissima confezione prodotto "innovativo". Ad esempio, l'autenticazione collegandosi a uno smartphone specifico o utilizzando la biometria. Come si può vedere dal rapporto, secondo veramente affidabile Può esserci solo una soluzione basata sull’autenticazione forte, cioè sui token crittografici.
- Lo stesso è possibile utilizzare il token crittografico una serie di compiti: per autenticazione forte nel sistema operativo aziendale, nelle applicazioni aziendali e utente, per firma elettronica transazioni finanziarie (importanti per le applicazioni bancarie), documenti ed e-mail.
Fonte: habr.com