Bubar, perusahaan riset Javelin Strategy & Research nerbitake laporan, "The State of Strong Authentication 2019." Pencipta ngumpulake informasi babagan cara otentikasi apa sing digunakake ing lingkungan perusahaan lan aplikasi konsumen, lan uga nggawe kesimpulan sing menarik babagan masa depan otentikasi sing kuat.
Terjemahan saka bagean pisanan karo kesimpulan saka penulis laporan, kita . Lan saiki kita menehi perhatian marang bagean kapindho - kanthi data lan grafik.
Saka penerjemah
Aku ora bakal nyalin kabeh blok kanthi jeneng sing padha saka bagean pisanan, nanging aku isih bakal nggawe duplikat siji paragraf.
Kabeh tokoh lan bukti diwenehi tanpa owah-owahan slightest, lan yen sampeyan ora setuju karo wong-wong mau, iku luwih apik kanggo argue ora karo penerjemah, nanging karo penulis laporan. Lan iki komentarku (ditata minangka kutipan, lan ditandhani ing teks basa Italia) minangka penilaian nilaiku lan aku bakal seneng mbantah babagan saben wong (uga babagan kualitas terjemahan).
Otentikasi pangguna
Wiwit 2017, panggunaan otentikasi sing kuat ing aplikasi konsumen saya tambah akeh, utamane amarga kasedhiyan metode otentikasi kriptografi ing piranti seluler, sanajan mung persentase perusahaan sing rada cilik nggunakake otentikasi sing kuat kanggo aplikasi Internet.
Sakabèhé, persentase perusahaan sing nggunakake otentikasi sing kuat ing bisnise tikel kaping telu saka 5% ing 2017 dadi 16% ing 2018 (Gambar 3).
Kemampuan kanggo nggunakake otentikasi sing kuat kanggo aplikasi web isih diwatesi (amarga kasunyatane mung versi anyar saka sawetara browser ndhukung interaksi karo token kriptografi, nanging masalah iki bisa ditanggulangi kanthi nginstal piranti lunak tambahan kayata ), saengga akeh perusahaan nggunakake cara alternatif kanggo otentikasi online, kayata program kanggo piranti seluler sing ngasilake tembung sandhi sepisan.
Kunci kriptografi hardware (ing kene tegese mung sing tundhuk karo standar FIDO), kayata sing ditawakake Google, Feitian, One Span, lan Yubico bisa digunakake kanggo otentikasi sing kuat tanpa nginstal piranti lunak tambahan ing komputer desktop lan laptop (amarga umume browser wis ndhukung standar WebAuthn saka FIDO), nanging mung 3% perusahaan nggunakake fitur iki kanggo mlebu pangguna.
Perbandingan token kriptografi (kayata ) lan kunci rahasia sing digunakake miturut standar FIDO ngluwihi ruang lingkup laporan iki, nanging uga komentarku. Ing cendhak, loro jinis token nggunakake algoritma lan prinsip operasi sing padha. Token FIDO saiki luwih apik didhukung dening vendor browser, sanajan iki bakal diganti amarga luwih akeh browser ndhukung . Nanging token kriptografi klasik dilindhungi dening kode PIN, bisa mlebu dokumen elektronik lan digunakake kanggo otentikasi rong faktor ing Windows (versi apa wae), Linux lan Mac OS X, duwe API kanggo macem-macem basa pamrograman, ngidini sampeyan ngetrapake 2FA lan elektronik. teken ing desktop, aplikasi seluler lan Web, lan token sing diprodhuksi ing Rusia ndhukung algoritma GOST Rusia. Ing kasus apa wae, token kriptografi, preduli saka standar apa sing digawe, minangka cara otentikasi sing paling dipercaya lan trep.
Ngluwihi Keamanan: Keuntungan Liyane saka Otentikasi Kuwat
Ora kaget yen panggunaan otentikasi sing kuat ana gandhengane karo pentinge data sing disimpen ing bisnis. Perusahaan sing nyimpen Informasi Identifikasi Pribadi sing sensitif (PII), kayata nomer Keamanan Sosial utawa Informasi Kesehatan Pribadi (PHI), ngadhepi tekanan hukum lan peraturan sing paling gedhe. Iki minangka perusahaan sing dadi panyengkuyung otentikasi sing paling agresif. Tekanan bisnis tambah akeh amarga pangarepan pelanggan sing pengin ngerti manawa organisasi sing dipercaya karo data sing paling sensitif nggunakake metode otentikasi sing kuat. Organisasi sing nangani PII utawa PHI sensitif luwih saka kaping pindho nggunakake otentikasi sing kuwat tinimbang organisasi sing mung nyimpen informasi kontak pangguna (Gambar 7).
Sayange, perusahaan durung gelem ngetrapake metode otentikasi sing kuwat. Saklawasé katelu saka pembuat keputusan bisnis nganggep tembung sandhi minangka cara otentikasi sing paling efektif ing antarane kabeh sing kadhaptar ing Gambar 9, lan 43% nganggep tembung sandhi minangka cara otentikasi sing paling gampang.
Bagan iki mbuktekake manawa pangembang aplikasi bisnis ing saindenging jagad padha ... Dheweke ora weruh keuntungan saka ngleksanakake mekanisme keamanan akses akun canggih lan nuduhake misconceptions sing padha. Lan mung tumindak regulator bisa ngganti kahanan.
Aja ndemek sandhi. Nanging apa sampeyan kudu percaya yen pitakonan keamanan luwih aman tinimbang token kriptografi? Efektivitas pitakonan kontrol, sing mung dipilih, kira-kira 15%, lan ora token sing bisa diretas - mung 10. Paling ora nonton film "Illusion of Deception", ing ngendi, sanajan ing wangun alegoris, ditampilake kanthi gampang pesulap. lured kabeh iku perlu metu saka pengusaha-swindler jawaban lan ninggalake wong tanpa dhuwit.
Lan siji liyane kasunyatan sing ngandika akeh babagan kualifikasi wong sing tanggung jawab kanggo mekanisme keamanan ing aplikasi pangguna. Ing pangerten, proses ngetik sandhi minangka operasi sing luwih gampang tinimbang otentikasi nggunakake token kriptografi. Sanajan, koyone luwih gampang nyambungake token menyang port USB lan ngetik kode PIN sing gampang.
Sing penting, ngleksanakake otentikasi sing kuat ngidini bisnis pindhah saka mikir babagan metode otentikasi lan aturan operasional sing dibutuhake kanggo mblokir skema penipuan kanggo nyukupi kabutuhan nyata para pelanggan.
Nalika kepatuhan peraturan minangka prioritas utama sing cukup kanggo bisnis sing nggunakake otentikasi sing kuat lan sing ora, perusahaan sing wis nggunakake otentikasi sing kuat luwih cenderung ujar manawa nambah kesetiaan pelanggan minangka metrik paling penting sing dianggep nalika ngevaluasi otentikasi. cara. (18% vs. 12%) (Gambar 10).
Authentication Enterprise
Wiwit 2017, adopsi otentikasi sing kuat ing perusahaan saya tambah akeh, nanging kanthi tingkat sing luwih murah tinimbang aplikasi konsumen. Panggabungan perusahaan sing nggunakake otentikasi sing kuat tambah saka 7% ing 2017 dadi 12% ing 2018. Ora kaya aplikasi konsumen, ing lingkungan perusahaan nggunakake metode otentikasi non-sandi luwih umum ing aplikasi web tinimbang ing piranti seluler. Kira-kira setengah saka bisnis nglaporake mung nggunakake jeneng pangguna lan sandhi kanggo otentikasi pangguna nalika mlebu, kanthi siji saka limang (22%) uga mung ngandelake sandhi kanggo otentikasi sekunder nalika ngakses data sensitif (yaiku, pangguna pisanan mlebu menyang aplikasi kanthi nggunakake metode otentikasi sing luwih gampang, lan yen dheweke pengin entuk akses menyang data kritis, dheweke bakal nindakake prosedur otentikasi liyane, wektu iki biasane nggunakake metode sing luwih dipercaya.).
Sampeyan kudu ngerti sing laporan ora njupuk menyang akun nggunakake token cryptographic kanggo otentikasi loro-faktor ing sistem operasi Windows, Linux lan Mac OS X. Lan iki saiki sing paling nyebar nggunakake 2FA. (Alah, token sing digawe miturut standar FIDO bisa ngetrapake 2FA mung kanggo Windows 10).
Kajaba iku, yen implementasine 2FA ing aplikasi online lan seluler mbutuhake sawetara langkah, kalebu modifikasi aplikasi kasebut, mula kanggo ngetrapake 2FA ing Windows sampeyan mung kudu ngatur PKI (contone, adhedhasar Server Sertifikasi Microsoft) lan kabijakan otentikasi. ing AD.
Lan wiwit nglindhungi login menyang PC kerja lan domain minangka unsur penting kanggo nglindhungi data perusahaan, implementasine otentikasi rong faktor dadi luwih umum.
Loro cara paling umum sabanjure kanggo otentikasi pangguna nalika mlebu yaiku sandhi siji-wektu sing diwenehake liwat aplikasi sing kapisah (13% bisnis) lan sandhi siji-wektu sing dikirim liwat SMS (12%). Senadyan kasunyatan manawa persentase panggunaan loro cara kasebut meh padha, SMS OTP paling asring digunakake kanggo nambah tingkat wewenang (ing 24% perusahaan). (Gambar 12).
Peningkatan panggunaan otentikasi sing kuat ing perusahaan bisa uga amarga kasedhiyan implementasi otentikasi kriptografis ing platform manajemen identitas perusahaan (kanthi tembung liya, sistem SSO lan IAM perusahaan wis sinau nggunakake token).
Kanggo otentikasi seluler karyawan lan kontraktor, perusahaan luwih ngandelake sandhi tinimbang otentikasi ing aplikasi konsumen. Mung luwih saka setengah (53%) perusahaan nggunakake sandhi nalika otentikasi akses pangguna menyang data perusahaan liwat piranti seluler (Gambar 13).
Ing kasus piranti seluler, siji bakal pracaya ing daya gedhe saka biometrik, yen ora kanggo akeh kasus sidik driji palsu, swara, pasuryan lan malah irises. Siji pitakon mesin telusur bakal mbukak manawa metode otentikasi biometrik sing dipercaya ora ana. Sensor sing bener-bener akurat, mesthi ana, nanging larang banget lan ukurane gedhe - lan ora dipasang ing smartphone.
Mulane, mung cara 2FA sing bisa digunakake ing piranti seluler yaiku nggunakake token kriptografi sing nyambung menyang smartphone liwat antarmuka NFC, Bluetooth lan USB Type-C.
Nglindhungi data finansial perusahaan minangka alasan utama kanggo nandur modal ing otentikasi tanpa sandi (44%), kanthi wutah paling cepet wiwit 2017 (tambah wolung poin persentase). Iki diterusake kanthi proteksi kekayaan intelektual (40%) lan data personel (HR) (39%). Lan jelas kenapa - ora mung nilai sing digandhengake karo jinis data kasebut umume dikenal, nanging sawetara karyawan sing kerja bareng. Tegese, biaya implementasine ora patiya gedhe, lan mung sawetara wong sing kudu dilatih kanggo nggarap sistem otentikasi sing luwih rumit. Beda, jinis data lan piranti sing umume diakses karyawan perusahaan isih dilindhungi mung nganggo sandhi. Dokumen karyawan, workstation, lan portal email perusahaan minangka area sing paling mbebayani, amarga mung seprapat bisnis nglindhungi aset kasebut kanthi otentikasi tanpa sandi (Gambar 14).
Umumé, email perusahaan minangka barang sing mbebayani lan bocor, tingkat potensial bebaya sing diremehake dening umume CIO. Karyawan nampa puluhan email saben dina, mula ora kalebu paling ora siji email phishing (yaiku, penipuan). Huruf iki bakal diformat nganggo gaya huruf perusahaan, mula karyawan bakal kepenak ngeklik tautan ing surat iki. Dadi, apa wae bisa kedadeyan, umpamane, ndownload virus menyang mesin sing diserang utawa bocor sandhi (kalebu liwat teknik sosial, kanthi ngetik formulir otentikasi palsu sing digawe dening penyerang).
Kanggo nyegah kedadeyan kaya iki, email kudu ditandatangani. Banjur bakal langsung jelas surat endi sing digawe dening karyawan sing sah lan sing diserang. Ing Outlook/Exchange, contone, tandha elektronik berbasis token cryptographic diaktifake kanthi cepet lan gampang lan bisa digunakake bebarengan karo otentikasi rong faktor ing PC lan domain Windows.
Antarane eksekutif sing mung ngandelake otentikasi tembung sandhi ing perusahaan kasebut, rong pertiga (66%) nindakake amarga padha yakin sandhi nyedhiyakake keamanan sing cukup kanggo jinis informasi sing kudu dilindhungi perusahaan (Gambar 15).
Nanging cara otentikasi sing kuwat dadi luwih umum. Umume amarga kasunyatan sing kasedhiyan saya tambah. Tambah akeh sistem identitas lan manajemen akses (IAM), browser, lan sistem operasi ndhukung otentikasi nggunakake token kriptografi.
Otentikasi sing kuat nduweni kaluwihan liyane. Wiwit tembung sandhi wis ora digunakake maneh (diganti karo PIN prasaja), ora ana panjaluk saka karyawan sing njaluk ngganti tembung sandhi sing lali. Sing nyuda beban ing departemen IT perusahaan.
Asil lan kesimpulan
- Manajer asring ora duwe kawruh sing dibutuhake kanggo ngevaluasi nyata efektifitas macem-macem opsi otentikasi. Padha digunakake kanggo dipercaya kuwi lungse cara keamanan kaya tembung sandhi lan pitakonan keamanan mung amarga "bisa sadurunge."
- Pangguna isih duwe kawruh iki kurang, kanggo wong-wong mau sing utama yaiku kesederhanaan lan penak. Anggere padha ora duwe insentif kanggo milih solusi luwih aman.
- Pangembang aplikasi khusus asring ora ana alesankanggo ngleksanakake otentikasi rong faktor tinimbang otentikasi tembung sandhi. Kompetisi ing tingkat proteksi ing aplikasi pangguna ora.
- Tanggung jawab penuh kanggo hack dipindhah menyang pangguna. Menehi sandi siji-wektu kanggo penyerang - nyalahke. Tembung sandhi sampeyan dicegat utawa diintip - nyalahke. Ora mbutuhake pangembang nggunakake metode otentikasi sing dipercaya ing produk - nyalahke.
- Bener pengatur pisanan kabeh kudu mbutuhake perusahaan kanggo ngleksanakake solusi sing pamblokiran bocor data (utamane otentikasi rong faktor), tinimbang ngukum wis kelakon data bocor.
- Sawetara pangembang piranti lunak nyoba adol menyang konsumen lawas lan ora utamané dipercaya solusi ing packaging ayu produk "inovatif". Contone, otentikasi kanthi nyambungake menyang smartphone tartamtu utawa nggunakake biometrik. Kaya sing bisa dideleng saka laporan kasebut, miturut saestu linuwih Mung ana solusi adhedhasar otentikasi sing kuat, yaiku, token kriptografi.
- Semono uga token cryptographic bisa digunakake kanggo sawetara tugas: kanggo bukti asli kuwat ing sistem operasi perusahaan, ing aplikasi perusahaan lan pangguna, kanggo tandha elektronik transaksi finansial (penting kanggo aplikasi banking), dokumen lan email.
Source: www.habr.com