E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

Di recente, la società di ricerca «Javelin Strategy & Research» ha pubblicato il rapporto «The State of Strong Authentication 2019». I suoi autori hanno raccolto informazioni sui metodi di autenticazione utilizzati nell'ambiente aziendale e nelle applicazioni degli utenti, e hanno fatto osservazioni interessanti sul futuro della forte autenticazione.

La traduzione della prima parte con le conclusioni degli autori del rapporto, noi l'abbiamo già pubblicata su Habr. E ora vi presentiamo la seconda parte, con dati e grafici.

Dall'autore

Non copierò completamente l'intero blocco omonimo dalla prima parte, ma ripeterò un paragrafo.

Tutti i numeri e i fatti sono riportati senza alcuna modifica, e se non siete d'accordo con essi, è meglio discutere non con il traduttore, ma con gli autori del rapporto. Tuttavia, i miei commenti (formattati come citazioni e contrassegnati nel testo da corsivo) rappresentano il mio giudizio critico e sarò felice di discutere su ciascuno di essi (così come sulla qualità della traduzione).

Autenticazione degli utenti

Dal 2017, l'uso di autenticazione forte nelle applicazioni per utenti è aumentato drasticamente, principalmente grazie alla disponibilità di metodi crittografici su dispositivi mobili, sebbene appena un numero inferiore di aziende utilizzi l'autenticazione forte per le applicazioni web.

In generale, la percentuale di aziende che utilizzano autenticazione forte nel proprio business è triplicata, passando dal 5% nel 2017 al 16% nel 2018 (figura 3).

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".
Le capacità di utilizzo dell'autenticazione forte per le applicazioni web rimangono comunque limitate (poiché solo le versioni più recenti di alcuni browser supportano l'interazione con i token crittografici, tuttavia questo problema viene risolto con l'installazione di software aggiuntivo, come il Routoken Plugin), pertanto molte aziende utilizzano metodi alternativi per l'autenticazione online, come le applicazioni per dispositivi mobili che generano password usa e getta.

Chiavi crittografiche hardware (si intendono qui solo quelle conformi agli standard FIDO), come quelli offerti da Google, Feitian, One Span e Yubico, possono essere utilizzati per un'autenticazione rigorosa senza la necessità di installare software aggiuntivo su computer desktop e laptop (perché la maggior parte dei browser supporta già lo standard WebAuthn di FIDO.), ma solo il 3% delle aziende utilizza questa opzione per il login dei propri utenti.

Confronto dei token crittografici (come Routoken ECDSA PKI) e delle chiavi segrete che operano secondo gli standard FIDO, va oltre il contenuto di questo rapporto e le mie osservazioni a riguardo. In breve, entrambi i tipi di token utilizzano algoritmi e principi di funzionamento simili. I token FIDO sono attualmente meglio supportati dai produttori di browser, anche se la situazione cambierà presto man mano che sempre più browser adotteranno Web USB API. Tuttavia, i token crittografici classici sono protetti da un codice PIN, possono firmare documenti elettronici e vengono utilizzati per l'autenticazione a due fattori in Windows (qualsiasi versione), Linux e Mac OS X. Dispongono di un'API per diversi linguaggi di programmazione, consentendo l'implementazione del 2FA e della firma elettronica in applicazioni desktop, mobili e Web, e i token prodotti in Russia supportano gli algoritmi russi GOST. In ogni caso, un token crittografico, indipendentemente dallo standard secondo cui è stato creato, rappresenta il metodo di autenticazione più sicuro e conveniente.

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".
E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".
E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

Oltre alla sicurezza: altri vantaggi della forte autenticazione

Non sorprende che l'applicazione di un'autenticazione rigorosa sia strettamente collegata all'importanza dei dati conservati dalle imprese. Le aziende che gestiscono informazioni personali sensibili (Personally Identifiable Information - PII), come i numeri di previdenza sociale o le informazioni personali sanitarie (Personal Health Information - PHI), si trovano ad affrontare una pressione legale e normativo maggiore. Sono proprio queste aziende a essere le più convinte sostenitrici dell'autenticazione rigorosa. La pressione sulle imprese aumenta a causa delle aspettative dei clienti, che vogliono essere certi che le organizzazioni a cui affidano i loro dati più riservati utilizzino metodi di autenticazione sicuri. Le organizzazioni che trattano PII o PHI sensibili utilizzano l'autenticazione rigorosa più di due volte rispetto a quelle che conservano solo informazioni di contatto degli utenti (figura 7).

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

Purtroppo, le aziende non vogliono ancora implementare metodi di autenticazione affidabili. Quasi un terzo dei decisori aziendali ritiene che le password siano il metodo di autenticazione più efficace tra tutti quelli indicati nella Figura 9, mentre il 43% considera le password il metodo più semplice di autenticazione.

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

Questo diagramma ci dimostra che gli sviluppatori di applicazioni aziendali in tutto il mondo sono simili... Non vedono il profitto nell'implementare meccanismi avanzati di protezione degli accessi ai conti e condividono le stesse idee sbagliate. Solo le azioni dei regolatori possono cambiare la situazione.

Non parliamo delle password. Ma in cosa dobbiamo credere per pensare che le domande di sicurezza siano più sicure dei token crittografici? L'efficacia delle domande di sicurezza, che possono essere facilmente indovinate, è stata valutata al 15%, mentre i token non violabili solo al 10. Almeno avrebbero potuto guardare il film "Now You See Me"; lì, seppur in forma allegorica, viene mostrato quanto sia facile per i maghi estorcere tutte le risposte necessarie a un uomo d'affari truffaldino, lasciandolo senza soldi.

Un altro fatto che parla molto delle competenze di chi si occupa dei meccanismi di sicurezza nelle applicazioni utente è che, nella loro visione, il processo di immissione della password è considerato un'operazione più semplice rispetto all'autenticazione tramite token crittografico. Anche se potrebbe sembrare semplice collegare un token a una porta USB e inserire un codice PIN.

È importante notare che l'implementazione di un'autenticazione rigorosa consente alle aziende di non doversi più preoccupare dei metodi di autenticazione e delle regole operative necessarie per bloccare schemi fraudolenti, soddisfacendo le reali esigenze dei propri clienti.

Mentre la conformità alle normative è un obiettivo sicuramente ragionevole sia per le aziende che utilizzano un'autenticazione rigorosa, sia per quelle che non lo fanno, le aziende già impegnate in un'autenticazione rigorosa sono molto più propense a affermare che aumentare la fedeltà dei clienti è l'indicatore più importante che considerano nella valutazione del metodo di autenticazione. (18% contro 12%) (figura 10).

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

Autenticazione aziendale

Dal 2017, l'implementazione dell'autenticazione forte nelle aziende è in crescita, ma in misura leggermente inferiore rispetto alle applicazioni consumer. La percentuale di aziende che utilizzano l'autenticazione forte è aumentata dal 7% nel 2017 al 12% nel 2018. A differenza delle applicazioni per utenti, nell'ambito aziendale, l'uso di metodi di autenticazione non basati su password è leggermente più comune nelle applicazioni web rispetto a quelle mobili. Circa la metà delle aziende riporta di utilizzare solo nomi utente e password per autenticare i propri utenti durante l'accesso, mentre uno su cinque (22%) si affida esclusivamente a password per una seconda autenticazione quando accede a dati particolarmente sensibili.cioè l'utente effettua inizialmente il login all'applicazione utilizzando un metodo di autenticazione più semplice, e se desidera accedere a dati critici, deve effettuare un'altra procedura di autenticazione, normalmente utilizzando un metodo più sicuro.).

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

È importante notare che il rapporto non tiene conto dell'uso di token crittografici per l'autenticazione a due fattori nei sistemi operativi Windows, Linux e Mac OS X. Attualmente, questo rappresenta l'uso più diffuso del 2FA. (Sfortunatamente, i token creati secondo gli standard FIDO possono implementare il 2FA solo per Windows 10).

Inoltre, mentre l'implementazione del 2FA in applicazioni online e mobili richiede un insieme di misure che include l'adeguamento di queste applicazioni, per l'implementazione del 2FA in Windows è sufficiente configurare la PKI (ad esempio, basata su Microsoft Certification Server) e le politiche di autenticazione in AD.

Poiché la protezione dell'accesso al PC aziendale e al dominio è un elemento cruciale per la sicurezza dei dati aziendali, l'implementazione dell'autenticazione a due fattori sta aumentando sempre di più.

I due metodi più comuni di autenticazione degli utenti durante l'accesso sono le password monouso fornite tramite un'app separata (13% delle aziende) e le password monouso inviate tramite SMS (12%). Anche se la percentuale di utilizzo di entrambi i metodi è simile, l'SMS OTP è più frequentemente utilizzato per aumentare il livello di autorizzazione (nel 24% delle aziende). (Figura 12).

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

L'aumento dell'uso dell'autenticazione rigorosa nelle aziende può essere spiegato dalla maggiore disponibilità di implementazioni di metodi crittografici di autenticazione nelle piattaforme di gestione delle identità aziendali (in altre parole, i sistemi aziendali SSO e IAM hanno imparato a utilizzare i token).

Per l'autenticazione mobile di dipendenti e appaltatori, le aziende fanno maggiore affidamento sulle password rispetto all'autenticazione nelle applicazioni destinate ai consumatori. Poco più della metà (53%) delle aziende utilizza password per l'autenticazione dell'accesso degli utenti ai dati aziendali tramite dispositivi mobili (figura 13).

Nel caso dei dispositivi mobili, si potrebbe credere nella grande potenza della biometria, se non fosse per i numerosi casi di falsificazione di impronte digitali, voci, volti e persino iridi. Una semplice ricerca su un motore di ricerca rivela che non esiste un metodo affidabile di autenticazione biometrica. Sensori davvero precisi esistono, ma sono costosi e ingombranti — e non possono essere installati negli smartphone.

Pertanto, l'unico metodo funzionante di 2FA sui dispositivi mobili è l'uso di token crittografici, che si collegano allo smartphone tramite interfacce NFC, Bluetooth e USB Type-C.

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

La protezione dei dati finanziari dell'azienda è la principale motivazione per investire nell'autenticazione senza password (44%), con il tasso di crescita più rapido dal 2017 (un incremento di otto punti percentuali). Seguono la protezione della proprietà intellettuale (40%) e dei dati delle risorse umane (39%). È evidente il motivo: non solo il valore associato a questi tipi di dati è ampiamente riconosciuto, ma nel loro trattamento è coinvolto anche un numero relativamente ridotto di dipendenti. Ciò significa che i costi per l'implementazione non sono eccessivi e che è possibile formare solo poche persone per gestire un sistema di autenticazione più complesso. Al contrario, i tipi di dati e i dispositivi a cui normalmente accede la maggior parte dei dipendenti continuano a essere protetti esclusivamente da password. I documenti dei dipendenti, le stazioni di lavoro e i portali e-mail aziendali rappresentano le aree a maggior rischio, poiché solo un quarto delle aziende protegge questi beni tramite autenticazione senza password (Figura 14).

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

In generale, l'email aziendale è un elemento piuttosto pericoloso e "permeabile", il cui grado di pericolo potenziale è sottovalutato dalla maggior parte dei direttori IT. Ogni giorno i dipendenti ricevono decine di email, quindi perché non dovrebbe essercene almeno una di phishing (cioè fraudolenta)? Questa email sarà strutturata nello stile delle comunicazioni aziendali, quindi il dipendente farà clic sul link presente senza alcuna preoccupazione. E da lì, può succedere di tutto, come il download di un virus sulla macchina attaccata o la compromissione delle password (incluso attraverso ingegneria sociale, mediante l'immissione in un modulo di autenticazione falso creato dal malintenzionato).

Per evitare che simili situazioni si verifichino, le email devono essere firmate. In questo modo sarà subito chiaro quale email è stata generata da un dipendente legittimo e quale da un malintenzionato. In Outlook / Exchange, ad esempio, la firma elettronica basata su token crittografici si attiva piuttosto rapidamente e facilmente e può essere utilizzata insieme all'autenticazione a due fattori in PC e domini Windows.

Tra i dirigenti che si affidano esclusivamente all'autenticazione tramite password all'interno dell'azienda, due terzi (66%) lo fanno perché credono che le password offrano una sicurezza sufficiente per il tipo di informazioni che la loro azienda deve proteggere (figura 15).

Tuttavia, i metodi di autenticazione forte stanno diventando sempre più diffusi. Gran parte è dovuta al fatto che la loro accessibilità sta aumentando. Sempre più sistemi di gestione delle identità e degli accessi (IAM), browser e sistemi operativi supportano l'autenticazione tramite token crittografici.

Un altro vantaggio dell'autenticazione forte è che, poiché la password non è più utilizzata (sostituita da un semplice PIN), non ci sono neppure richieste da parte dei dipendenti per cambiare una password dimenticata. Ciò, a sua volta, riduce il carico sul dipartimento IT dell'azienda.

E quindi cosa succederà con l'autenticazione e le password? La seconda parte del rapporto Javelin "Stato dell'autenticazione rigorosa".

Conclusioni e considerazioni

  1. I dirigenti spesso non possiedono le conoscenze necessarie per valutare l'effettiva efficacia delle diverse opzioni di autenticazione. Sono abituati a fidarsi di tali metodi obsoleti metodi di protezione come password e domande segrete semplicemente perché "prima funzionavano".
  2. Gli utenti possiedono queste conoscenze ancora in misura minore, ciò che conta per loro è la semplicità e la comodità. Finché non hanno motivazioni per scegliere soluzioni più sicure.
  3. Gli sviluppatori di applicazioni per utenti spesso non hanno motivi, per implementare l'autenticazione a due fattori al posto delle password. La competizione in termini di sicurezza delle applicazioni per utenti è assente.
  4. Tutta la responsabilità per l'hacking è trasferita all'utente. Hai dato una password usa e getta a un malintenzionato – sei colpevole.La tua password è stata intercettata o spiata – sei colpevole.. Non hai richiesto allo sviluppatore di utilizzare metodi di autenticazione sicuri nel prodotto – sei colpevole..
  5. Il regolatore dovrebbe innanzitutto richiedere alle aziende di implementare soluzioni che blocchino le fuoriuscite di dati (in particolare l'autenticazione a due fattori), piuttosto che punire per una fuoriuscita di dati già avvenuta. Alcuni sviluppatori software cercano di vendere ai consumatori soluzioni vecchie e poco affidabili
  6. in un bel pacchetto. soluzioni vecchie e non molto affidabili soluzioni in un bel pacchetto prodotto «innovativo». Ad esempio, l'autenticazione mediante associazione a uno smartphone specifico o l'uso della biometria. Come evidenziato nel rapporto, veramente affidabile può essere solo una soluzione basata su autentificazione rigorosa, cioè token crittografici.
  7. Lo stesso token crittografico può essere utilizzato per una serie di compiti: per autenticazione rigorosa nel sistema operativo dell'azienda, in applicazioni aziendali e per utenti, per firma elettronica trasazioni finanziarie (importante per le applicazioni bancarie), documenti ed email.

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster