では、認証とパスワードはどうなるでしょうか? Javelin の強力な認証の現状に関するレポートのパート XNUMX

最近、調査会社 Javelin Strategy & Research は、「2019 年強力な認証の現状」というレポートを発表しました。 その作成者は、企業環境や消費者向けアプリケーションでどのような認証方法が使用されているかに関する情報を収集し、強力な認証の将来について興味深い結論を導き出しました。

報告書の著者の結論を含む最初の部分の翻訳は、 すでにハブレで公開されています。 そして今、私たちはあなたの注意を引くために、データとグラフを含む第二部を提示します。

翻訳者より

最初の部分から同じ名前のブロック全体を完全にコピーするわけではありませんが、XNUMX つの段落を複製します。

すべての数字と事実はわずかな変更なしで提示されており、それらに同意できない場合は、翻訳者ではなくレポートの著者と議論することをお勧めします。 そして、これが私のコメントです（引用としてレイアウトされ、テキスト内でマークされています） イタリアの) は私の価値判断であり、それぞれについて (翻訳の品質についても同様に) 喜んで議論させていただきます。

ユーザ認証

2017 年以降、モバイル デバイスで暗号化認証方法が利用できるようになったことが主な理由で、コンシューマ アプリケーションでの強力な認証の使用が急激に増加しました。ただし、インターネット アプリケーションで強力な認証を使用している企業はわずかに少数です。

全体として、ビジネスで強力な認証を使用している企業の割合は、5 年の 2017% から 16 年の 2018% へと 3 倍に増加しました (図 XNUMX)。

Web アプリケーションに強力な認証を使用する機能はまだ制限されています (一部のブラウザーの非常に新しいバージョンのみが暗号トークンとの対話をサポートしているという事実により、この問題は、次のような追加のソフトウェアをインストールすることで解決できます。 ルトケンプラグイン)、そのため、多くの企業は、ワンタイム パスワードを生成するモバイル デバイス用のプログラムなど、オンライン認証に代替方法を使用しています。

ハードウェア暗号化キー (ここでは、FIDO 標準に準拠するもののみを意味します。Google、Feitian、One Span、Yubico が提供するものなど、デスクトップ コンピューターやラップトップに追加のソフトウェアをインストールすることなく、強力な認証に使用できます (ほとんどのブラウザはすでに FIDO の WebAuthn 標準をサポートしているためです。)、しかし、ユーザーのログインにこの機能を使用している企業はわずか 3% です。

暗号トークンの比較 (例: ルトケン EDS PKI) および FIDO 標準に従って機能する秘密鍵については、このレポートの範囲を超えていますが、それに対する私のコメントも含まれません。 つまり、どちらのタイプのトークンも同様のアルゴリズムと動作原理を使用します。 FIDO トークンは現在、ブラウザ ベンダーによってより適切にサポートされていますが、より多くのブラウザがサポートするため、これはすぐに変更されるでしょう。 ウェブUSB API。 しかし、古典的な暗号トークンは PIN コードで保護されており、電子ドキュメントに署名でき、Windows (任意のバージョン)、Linux、Mac OS X で 2 要素認証に使用でき、さまざまなプログラミング言語用の API を備えているため、XNUMXFA および電子トークンを実装できます。デスクトップ、モバイル、Web アプリケーションの署名、およびロシアで生成されたトークンはロシアの GOST アルゴリズムをサポートしています。 いずれの場合も、作成された標準に関係なく、暗号トークンは最も信頼性が高く便利な認証方法です。

セキュリティを超えて: 強力な認証のその他の利点

強力な認証の使用が企業が保存するデータの重要性と密接に関係していることは驚くべきことではありません。 社会保障番号や個人健康情報 (PHI) などの機密の個人識別情報 (PII) を保管する企業は、法的および規制による最大の圧力に直面しています。 これらの企業は、強力な認証を最も積極的に推進している企業です。 最も機密性の高いデータを信頼している組織が強力な認証方法を使用していることを知りたいという顧客の期待によって、企業へのプレッシャーが高まっています。 機密性の高い PII または PHI を扱う組織は、ユーザーの連絡先情報のみを保存する組織に比べて、強力な認証を使用する可能性が 7 倍以上です (図 XNUMX)。

残念ながら、企業はまだ強力な認証方法を導入することに積極的ではありません。 ビジネス意思決定者の 9 分の 43 近くが、図 XNUMX にリストされているすべての認証方法の中でパスワードが最も効果的な認証方法であると考えており、XNUMX% がパスワードが最も単純な認証方法であると考えています。

このグラフは、世界中のビジネス アプリケーション開発者が同じであることを証明しています。彼らは、高度なアカウント アクセス セキュリティ メカニズムを実装するメリットを理解しておらず、同じ誤解を共有しています。 そして、状況を変えることができるのは規制当局の行動だけです。

パスワードには触れないようにしましょう。 しかし、秘密の質問が暗号トークンよりも安全であると信じるには何を信じなければなりませんか? 単純に選択されたコントロール質問の有効性は 15% と推定され、ハッキング可能なトークンではなく、わずか 10% でした。少なくとも映画「Illusion of Deception」を見てください。寓意的な形式ではありますが、マジシャンがいかに簡単に成功するかが示されています。ビジネスマン詐欺師の答えから必要なものをすべて引き出し、お金を持たずに残しました。

そして、ユーザー アプリケーションのセキュリティ メカニズムを担当する人の資格について多くを物語るもう XNUMX つの事実があります。 彼らの理解では、パスワードを入力するプロセスは、暗号トークンを使用した認証よりも簡単な操作です。 ただし、トークンを USB ポートに接続して簡単な PIN コードを入力する方が簡単なように思えます。

重要なのは、強力な認証を実装することで、企業は不正なスキームをブロックするために必要な認証方法や運用ルールについて考えることから離れ、顧客の真のニーズを満たすことができるようになります。

強力な認証を使用する企業と使用しない企業の両方にとって、法規制へのコンプライアンスは合理的な最優先事項ですが、すでに強力な認証を使用している企業は、認証を評価する際に考慮する最も重要な指標は顧客ロイヤルティの向上であると言う可能性がはるかに高くなります。方法。 (18% 対 12%) (図 10)。

エンタープライズ認証

2017 年以降、企業における強力な認証の採用は増加していますが、その割合はコンシューマ アプリケーションよりもわずかに低いです。 強力な認証を使用する企業の割合は、7 年の 2017% から 12 年の 2018% に増加しました。コンシューマ アプリケーションとは異なり、企業環境では、モバイル デバイスよりも Web アプリケーションで非パスワード認証方法が使用されることがやや一般的です。 企業の約半数が、ログイン時のユーザー認証にユーザー名とパスワードのみを使用していると報告しており、22 人に XNUMX 社 (XNUMX%) は、機密データにアクセスする際の XNUMX 次認証でもパスワードのみに依存しています (つまり、ユーザーはまず、より単純な認証方法を使用してアプリケーションにログインし、重要なデータにアクセスしたい場合は、通常はより信頼性の高い方法を使用して別の認証手順を実行します。).

このレポートでは、Windows、Linux、Mac OS X のオペレーティング システムでの 2 要素認証における暗号トークンの使用が考慮されていないことを理解する必要があります。そして、これが現在 2FA の最も広く使用されている方法です。 (残念ながら、FIDO 標準に従って作成されたトークンは、Windows 10 に対してのみ XNUMXFA を実装できます)。

さらに、オンライン アプリケーションやモバイル アプリケーションで 2FA を実装するには、これらのアプリケーションの変更を含む一連の対策が必要な場合、Windows で 2FA を実装するには、PKI (たとえば、Microsoft Certification Server に基づく) と認証ポリシーを構成するだけで済みます。広告で。

また、職場の PC およびドメインへのログインを保護することは企業データを保護する重要な要素であるため、XNUMX 要素認証の実装がますます一般的になってきています。

ログイン時のユーザー認証で次に最も一般的な 13 つの方法は、別のアプリを通じて提供されるワンタイム パスワード (企業の 12%) と SMS 経由で配信されるワンタイム パスワード (24%) です。 両方の方法の使用率は非常に似ているにもかかわらず、OTP SMS は認証レベルを高めるために最もよく使用されています (企業の 12%)。 (図XNUMX)。

企業内で強力な認証の使用が増加しているのは、エンタープライズ ID 管理プラットフォームで暗号化認証実装の可用性が向上したことに起因すると考えられます (つまり、エンタープライズ SSO および IAM システムがトークンの使用方法を学習したということです)。

従業員や請負業者のモバイル認証では、企業は消費者向けアプリケーションでの認証よりもパスワードに大きく依存しています。 企業の半数強 (53%) は、モバイル デバイスを介して企業データへのユーザー アクセスを認証する際にパスワードを使用しています (図 13)。

モバイル デバイスの場合、偽の指紋、音声、顔、さらには虹彩の多くのケースを除けば、人は生体認証の大きな力を信じるでしょう。 検索エンジンのクエリを XNUMX つ実行すると、信頼できる生体認証方法が存在しないことがわかります。 もちろん、本当に正確なセンサーは存在しますが、非常に高価でサイズが大きいため、スマートフォンには搭載されていません。

したがって、モバイル デバイスで機能する唯一の 2FA 方法は、NFC、Bluetooth、および USB Type-C インターフェイスを介してスマートフォンに接続する暗号トークンを使用することです。

企業の財務データの保護は、パスワードレス認証に投資する最大の理由 (44%) であり、2017 年以来の急速な成長 (40 パーセント ポイントの増加) を示しています。 これに知的財産 (39%) と人事 (HR) データの保護 (14%) が続きます。 その理由は明らかです。これらの種類のデータに関連する価値が広く認識されているだけでなく、データを扱う従業員が比較的少ないのです。 つまり、実装コストはそれほど大きくなく、より複雑な認証システムを操作するためのトレーニングを必要とする人は少数だけです。 対照的に、ほとんどの企業従業員が日常的にアクセスする種類のデータとデバイスは、依然としてパスワードのみで保護されています。 従業員の文書、ワークステーション、企業の電子メール ポータルは、パスワードなしの認証でこれらの資産を保護している企業は XNUMX 分の XNUMX にすぎないため、最も大きなリスクにさらされている領域です (図 XNUMX)。

一般に、企業電子メールは非常に危険で漏洩しやすいものですが、ほとんどの CIO はその潜在的な危険性の程度を過小評価しています。 従業員は毎日何十通もの電子メールを受信します。その中に少なくとも XNUMX つのフィッシング (つまり詐欺) メールを含めてはいかがでしょうか。 このレターは会社レターのスタイルでフォーマットされているため、従業員はこのレター内のリンクをクリックすることができます。 そうですね、たとえば、攻撃されたマシンにウイルスをダウンロードしたり、パスワードを漏洩したり（攻撃者が作成した偽の認証フォームを入力することによるソーシャル エンジニアリングを含む）、あらゆることが起こる可能性があります。

このようなことが起こらないようにするには、電子メールに署名する必要があります。 そうすれば、どのレターが正規の従業員によって作成されたもので、どのレターが攻撃者によって作成されたのかがすぐに明らかになります。 たとえば、Outlook/Exchange では、暗号化トークンベースの電子署名が非常に迅速かつ簡単に有効になり、PC および Windows ドメイン全体で XNUMX 要素認証と組み合わせて使用​​できます。

企業内でパスワード認証のみに依存している経営幹部のうち、66 分の 15 (XNUMX%) は、会社が保護する必要がある種類の情報に対してパスワードが十分なセキュリティを提供すると信じているため、そうしています (図 XNUMX)。

しかし、強力な認証方法がより一般的になってきています。 その主な理由は、その可用性が増加しているという事実です。 暗号化トークンを使用した認証をサポートする ID およびアクセス管理 (IAM) システム、ブラウザー、およびオペレーティング システムが増えています。

強力な認証には別の利点もあります。 パスワードは使用されなくなったため (単純な PIN に置き換えられました)、従業員がパスワードを忘れた場合に変更を要求することはありません。 これにより、企業の IT 部門の負荷が軽減されます。

結果と結論

1. マネージャーは評価に必要な知識を持っていないことが多い 本当の さまざまな認証オプションの有効性。 彼らはそのようなものを信頼することに慣れています 時代遅れ パスワードや秘密の質問などのセキュリティ方法は、単に「以前は機能していた」という理由だけで使用できません。
2. ユーザーはまだこの知識を持っています 少ない、彼らにとって重要なことは シンプルさと便利さ。 彼らが選択する動機がない限り、 より安全なソリューション.
3. カスタム アプリケーションの開発者は、多くの場合、 理由はないパスワード認証の代わりに二要素認証を実装します。 ユーザーアプリケーションの保護レベルの競争 ノー.
4. ハッキングに対する全責任 ユーザーに移行しました。 ワンタイムパスワードを攻撃者に与えた - 非難する。 あなたのパスワードが傍受または盗み見されました - 非難する。 開発者が製品で信頼できる認証方法を使用することを要求しませんでした - 非難する.
5. 右側の 調整器 まず第一に 企業には、次のようなソリューションの導入を要求すべきである。 ブロック 罰するのではなく、データ漏洩（特に二要素認証） すでに起こった データ漏洩。
6. 一部のソフトウェア開発者は消費者に販売しようとしています 古くてあまり信頼できない ソリューション 美しいパッケージで 「革新的な」製品。 たとえば、特定のスマートフォンとの連携や生体認証による認証などです。 報告書からもわかるように、 本当に信頼できる 強力な認証、つまり暗号トークンに基づくソリューションのみが存在します。
7. 同じ 暗号化トークンは次の用途に使用できます 多くのタスク： にとって 強力な認証 エンタープライズ オペレーティング システム、企業およびユーザー アプリケーション、 電子署名 金融取引 (銀行アプリケーションにとって重要)、文書、電子メール。

出所： habr.com