Жақында Javelin Strategy & Research зерттеу компаниясы «Мықты аутентификация жағдайы 2019» есебін жариялады. Оны жасаушылар корпоративтік орталарда және тұтынушылық қосымшаларда қандай аутентификация әдістері қолданылатыны туралы ақпарат жинады, сонымен қатар күшті аутентификацияның болашағы туралы қызықты қорытындылар жасады.
Баяндама авторларының тұжырымдарымен бірінші бөлімнің аудармасы, біз . Енді сіздердің назарларыңызға екінші бөлімді – деректер мен графиктерді ұсынамыз.
Аудармашыдан
Мен бірінші бөлімнен бір аттас блокты толығымен көшірмеймін, бірақ әлі де бір абзацты қайталаймын.
Барлық цифрлар мен фактілер болмашы өзгерістерсіз берілген, егер сіз олармен келіспесеңіз, онда аудармашымен емес, баяндама авторларымен айтысқан дұрыс. Міне, менің пікірлерім (дәйексөз ретінде берілген және мәтінде белгіленген итальян) бұл менің құнды пікірім және мен олардың әрқайсысы бойынша (сондай-ақ аударманың сапасы туралы) дауласуға қуаныштымын.
Пайдаланушы аутентификациясы
2017 жылдан бастап тұтынушылар қосымшаларында күшті аутентификацияны пайдалану мобильді құрылғыларда криптографиялық аутентификация әдістерінің болуына байланысты күрт өсті, дегенмен компаниялардың аз ғана пайызы интернет қосымшалары үшін күшті аутентификацияны пайдаланады.
Жалпы алғанда, өз бизнесінде күшті аутентификацияны қолданатын компаниялардың пайызы 5 жылғы 2017%-дан 16 жылы 2018%-ға дейін үш есе өсті (3-сурет).
Веб-қосымшалар үшін күшті аутентификацияны пайдалану мүмкіндігі әлі де шектеулі (Кейбір браузерлердің өте жаңа нұсқалары ғана криптографиялық таңбалауыштармен өзара әрекеттесуді қолдайтындығына байланысты, бірақ бұл мәселені қосымша бағдарламалық жасақтаманы орнату арқылы шешуге болады, мысалы ), сондықтан көптеген компаниялар бір реттік құпия сөздерді жасайтын мобильді құрылғыларға арналған бағдарламалар сияқты онлайн аутентификацияның балама әдістерін пайдаланады.
Аппараттық криптографиялық кілттер (мұнда біз тек FIDO стандарттарына сәйкес келетіндерді айтамыз), мысалы, Google, Feitian, One Span және Yubico ұсынғандар жұмыс үстелі компьютерлері мен ноутбуктерге қосымша бағдарламалық құралды орнатпай күшті аутентификация үшін пайдаланылуы мүмкін (өйткені браузерлердің көпшілігі FIDO WebAuthn стандартын қолдайды), бірақ компаниялардың тек 3% өз пайдаланушыларына кіру үшін бұл мүмкіндікті пайдаланады.
Криптографиялық белгілерді салыстыру (мысалы ) және FIDO стандарттарына сәйкес жұмыс істейтін құпия кілттер бұл есептің ауқымынан тыс, сонымен қатар оған менің түсініктемелерім. Қысқаша айтқанда, токендердің екі түрі де ұқсас алгоритмдер мен жұмыс принциптерін пайдаланады. FIDO таңбалауыштарына қазіргі уақытта браузер жеткізушілері жақсырақ қолдау көрсетеді, дегенмен бұл көп ұзамай браузерлер қолдайтындықтан өзгереді . Бірақ классикалық криптографиялық таңбалауыштар PIN-кодпен қорғалған, электрондық құжаттарға қол қоя алады және Windows (кез келген нұсқада), Linux және Mac OS X жүйелерінде екі факторлы аутентификация үшін пайдаланылуы мүмкін, әртүрлі бағдарламалау тілдеріне арналған API интерфейстері бар, 2FA және электронды енгізуге мүмкіндік береді. жұмыс үстеліндегі, мобильді және веб-қосымшалардағы қолтаңба және Ресейде шығарылған токендер ресейлік ГОСТ алгоритмдерін қолдайды. Кез келген жағдайда, криптографиялық токен, ол қандай стандартпен жасалғанына қарамастан, аутентификацияның ең сенімді және ыңғайлы әдісі болып табылады.
Қауіпсіздіктен тыс: күшті аутентификацияның басқа артықшылықтары
Күшті аутентификацияны пайдалану бизнес сақтайтын деректердің маңыздылығымен тығыз байланысты екені таңқаларлық емес. Әлеуметтік қамсыздандыру нөмірлері немесе жеке денсаулық туралы ақпарат (PHI) сияқты құпия жеке сәйкестендірілетін ақпаратты (PII) сақтайтын компаниялар ең үлкен заңдық және реттеуші қысымға тап болады. Бұл күшті аутентификацияның ең агрессивті жақтаушылары болып табылатын компаниялар. Кәсіпорындарға қысым олардың ең құпия деректеріне сенетін ұйымдар күшті аутентификация әдістерін қолданатынын білгісі келетін тұтынушылардың күтуімен күшейеді. Сезімтал PII немесе PHI өңдейтін ұйымдар пайдаланушылардың байланыс ақпаратын сақтайтын ұйымдарға қарағанда күшті аутентификацияны екі есе артық пайдаланады (7-сурет).
Өкінішке орай, компаниялар күшті аутентификация әдістерін енгізуге әлі дайын емес. Іскерлік шешім қабылдаушылардың үштен біріне жуығы құпия сөздерді 9-суретте көрсетілгендердің арасында аутентификацияның ең тиімді әдісі деп санайды, ал 43%-ы құпия сөздерді аутентификацияның ең қарапайым әдісі деп санайды.
Бұл диаграмма бізге дүние жүзіндегі бизнес-қосымшаларды әзірлеушілер бірдей екенін дәлелдейді... Олар тіркелгіге қол жеткізудің кеңейтілген қауіпсіздік тетіктерін енгізудің пайдасын көрмейді және бірдей қате түсініктерді бөліседі. Ал реттеуші органдардың әрекеті ғана жағдайды өзгерте алады.
Құпия сөздерге тиіспейік. Бірақ қауіпсіздік сұрақтары криптографиялық таңбалауыштарға қарағанда қауіпсіз деп сену үшін не істеу керек? Қарапайым таңдалған бақылау сұрақтарының тиімділігі 15%-ға бағаланды, ал бұзылатын таңбалауыштар емес - бар болғаны 10. Кем дегенде, «Алдаудың елесі» фильмін қараңыз, онда аллегориялық түрде болса да, сиқыршылардың қаншалықты оңай екендігі көрсетілген. бизнесмен-алаяқ жауаптарынан барлық қажетті заттарды тартып алып, оны ақшасыз қалдырған.
Және тағы бір факт, бұл пайдаланушы қосымшаларындағы қауіпсіздік тетіктеріне жауапты адамдардың біліктілігі туралы көп айтады. Олардың түсінігінде парольді енгізу процесі криптографиялық таңбалауыштың көмегімен аутентификацияға қарағанда қарапайым операция болып табылады. Дегенмен, таңбалауышты USB портына қосу және қарапайым PIN кодын енгізу оңайырақ көрінуі мүмкін.
Маңыздысы, күшті аутентификацияны енгізу бизнеске тұтынушыларының нақты қажеттіліктерін қанағаттандыру үшін алаяқтық схемаларды блоктау үшін қажетті аутентификация әдістері мен операциялық ережелер туралы ойлаудан бас тартуға мүмкіндік береді.
Нормативтік талаптарға сәйкестік күшті аутентификацияны пайдаланатын және пайдаланбайтын компаниялар үшін ақылға қонымды басты басымдық болғанымен, күшті аутентификацияны қолданатын компаниялар тұтынушылардың адалдығын арттыру аутентификацияны бағалау кезінде қарастыратын ең маңызды көрсеткіш екенін айтуы ықтимал. әдіс. (18% қарсы 12%) (10-сурет).
Кәсіпорын аутентификациясы
2017 жылдан бастап кәсіпорындарда күшті аутентификацияны қабылдау өсуде, бірақ тұтынушылық қосымшаларға қарағанда біршама төмен қарқынмен. Күшті аутентификацияны қолданатын кәсіпорындардың үлесі 7 жылғы 2017%-дан 12 жылы 2018%-ға дейін өсті. Тұтынушы қолданбаларынан айырмашылығы, кәсіпорын ортасында парольсіз аутентификация әдістерін қолдану мобильді құрылғыларға қарағанда веб-қосымшаларда біршама жиі кездеседі. Кәсіпорындардың жартысына жуығы жүйеге кірген кезде пайдаланушылардың аутентификациясы үшін тек пайдаланушы аттары мен құпия сөздерді пайдаланады деп хабарлайды, әрбір бесінші (22%) құпия деректерге қол жеткізген кезде қосымша аутентификация үшін құпия сөздерге ғана сүйенеді (яғни пайдаланушы алдымен қарапайым аутентификация әдісін пайдаланып қолданбаға кіреді және егер ол маңызды деректерге қол жеткізгісі келсе, ол басқа аутентификация процедурасын орындайды, бұл жолы әдетте сенімдірек әдісті пайдаланады.).
Есепте Windows, Linux және Mac OS X операциялық жүйелерінде екі факторлы аутентификация үшін криптографиялық таңбалауыштарды пайдалану ескерілмейтінін түсінуіңіз керек. Және бұл қазіргі уақытта 2FA-ның ең кең таралған түрі. (Өкінішке орай, FIDO стандарттарына сәйкес жасалған токендер 2FA-ны тек Windows 10 үшін жүзеге асыра алады).
Сонымен қатар, егер онлайн және мобильді қосымшаларда 2FA енгізу шаралар кешенін, соның ішінде осы қолданбаларды өзгертуді талап етсе, Windows жүйесінде 2FA енгізу үшін сізге тек PKI (мысалы, Microsoft Certification Server негізінде) және аутентификация саясаттарын конфигурациялау қажет. AD жылы.
Жұмыс компьютеріне және доменге логинді қорғау корпоративтік деректерді қорғаудың маңызды элементі болғандықтан, екі факторлы аутентификацияны енгізу барған сайын кең таралған.
Жүйеге кіру кезінде пайдаланушыларды аутентификациялаудың келесі екі кең таралған әдісі - бұл бөлек қолданба арқылы берілетін бір реттік құпия сөздер (бизнестердің 13%) және SMS арқылы жеткізілетін бір реттік құпия сөздер (12%). Екі әдісті қолдану пайызы өте ұқсас болғанына қарамастан, OTP SMS көбінесе авторизация деңгейін арттыру үшін қолданылады (компаниялардың 24% -ында). (12-сурет).
Кәсіпорында күшті аутентификацияны қолданудың артуы кәсіпорынның сәйкестендіруді басқару платформаларында криптографиялық аутентификацияны іске асырудың қолжетімділігінің артуына байланысты болуы мүмкін (басқаша айтқанда, кәсіпорынның SSO және IAM жүйелері таңбалауыштарды пайдалануды үйренді).
Қызметкерлер мен мердігерлердің мобильді аутентификациясы үшін кәсіпорындар тұтынушылық қолданбалардағы аутентификациядан гөрі құпия сөздерге көбірек сүйенеді. Кәсіпорындардың жартысынан сәл астамы (53%) пайдаланушының компания деректеріне мобильді құрылғы арқылы қол жеткізуін аутентификациялау кезінде құпия сөздерді пайдаланады (13-сурет).
Мобильді құрылғылар жағдайында, жалған саусақ іздері, дауыстар, беттер және тіпті иристердің көптеген жағдайлары болмаса, биометрияның үлкен күшіне сенуге болады. Іздеу жүйесінің бір сұрауы биометриялық аутентификацияның сенімді әдісінің жоқ екенін көрсетеді. Шынында да дәл сенсорлар, әрине, бар, бірақ олар өте қымбат және өлшемі үлкен - және смартфондарда орнатылмаған.
Сондықтан мобильді құрылғылардағы жалғыз жұмыс істейтін 2FA әдісі смартфонға NFC, Bluetooth және USB Type-C интерфейстері арқылы қосылатын криптографиялық белгілерді пайдалану болып табылады.
Компанияның қаржылық деректерін қорғау құпия сөзсіз аутентификацияға инвестиция салудың басты себебі болып табылады (44%), 2017 жылдан бері ең жылдам өсу (сегіз пайыздық тармаққа өсу). Одан кейін зияткерлік меншікті (40%) және персонал (HR) деректерін (39%) қорғау келеді. Неге екені түсінікті – деректердің осы түрлерімен байланысты мән кеңінен танылып қана қоймай, олармен салыстырмалы түрде аз қызметкерлер жұмыс істейді. Яғни, іске асыруға кететін шығындар соншалықты үлкен емес, тек бірнеше адамды ғана күрделі аутентификация жүйесімен жұмыс істеуге үйрету керек. Керісінше, кәсіпорын қызметкерлерінің көпшілігі жүйелі түрде қатынасатын деректер мен құрылғылардың түрлері әлі де тек құпия сөздермен қорғалған. Қызметкерлердің құжаттары, жұмыс станциялары және корпоративтік электрондық пошта порталдары ең үлкен тәуекел аймағы болып табылады, өйткені кәсіпорындардың төрттен бір бөлігі ғана бұл активтерді құпия сөзсіз аутентификация арқылы қорғайды (14-сурет).
Жалпы, корпоративтік электрондық пошта өте қауіпті және ағып кететін нәрсе, оның ықтимал қауіптілік дәрежесін CIO-лардың көпшілігі бағаламайды. Қызметкерлер күн сайын ондаған электрондық хаттарды алады, сондықтан олардың арасында кем дегенде бір фишингтік (яғни, алаяқтық) электрондық поштаны неге қоспасқа? Бұл хат фирмалық хаттар стилінде пішімделеді, сондықтан қызметкер осы хаттағы сілтемені басу ыңғайлы болады. Сонымен, кез келген нәрсе болуы мүмкін, мысалы, шабуыл жасалған құрылғыға вирус жүктеп алу немесе құпия сөздердің ағып кетуі (соның ішінде әлеуметтік инженерия арқылы, шабуылдаушы жасаған жалған аутентификация пішінін енгізу арқылы).
Мұндай жағдайлардың алдын алу үшін электрондық хаттарға қол қою керек. Сонда қандай хатты заңды қызметкер, қайсысын шабуылдаушы жасағаны бірден белгілі болады. Мысалы, Outlook/Exchange жүйесінде криптографиялық таңбалауыш негізіндегі электрондық қолтаңбалар өте тез және оңай қосылады және оларды компьютерлер мен Windows домендері арқылы екі факторлы аутентификациямен бірге пайдалануға болады.
Кәсіпорын ішінде құпия сөздің аутентификациясына ғана сенетін басшылардың үштен екісі (66%) құпия сөздер компания қорғауы қажет ақпарат түрі үшін жеткілікті қауіпсіздікті қамтамасыз етеді деп санайды (15-сурет).
Бірақ аутентификацияның күшті әдістері кең таралған. Көбінесе олардың қол жетімділігі артып келеді. Сәйкестендіру және қол жеткізуді басқару (IAM) жүйелерінің, шолғыштардың және операциялық жүйелердің көбеюі криптографиялық белгілер арқылы аутентификацияны қолдайды.
Күшті аутентификацияның тағы бір артықшылығы бар. Құпия сөз бұдан былай пайдаланылмайтындықтан (қарапайым PIN-кодпен ауыстырылады), қызметкерлерден ұмытылған құпия сөзді өзгертуді сұрайтын сұраулар жоқ. Бұл өз кезегінде кәсіпорынның IT бөліміне жүктемені азайтады.
Қорытындылар мен қорытындылар
- Менеджерлер көбінесе бағалау үшін қажетті білімге ие болмайды шынайы аутентификацияның әртүрлі нұсқаларының тиімділігі. Олар мұндайға сенуге дағдыланған ескірген құпия сөздер және қауіпсіздік сұрақтары сияқты қауіпсіздік әдістері «ол бұрын жұмыс істегендіктен».
- Пайдаланушылар әлі де бұл білімге ие Аздау, олар үшін ең бастысы қарапайымдылық пен ыңғайлылық. Олардың таңдауға ынтасы болмағанша неғұрлым қауіпсіз шешімдер.
- Теңшелетін қосымшаларды әзірлеушілер жиі себеп жоқпароль аутентификациясының орнына екі факторлы аутентификацияны енгізу. Қолданушы қосымшаларындағы қорғау деңгейіндегі бәсекелестік жоқ.
- Бұзылу үшін толық жауапкершілік пайдаланушыға ауыстырылды. Шабуылдаушыға бір реттік құпия сөзді берді - кінәлі. Құпия сөзіңіз ұсталды немесе тыңдалды - кінәлі. Әзірлеушіден өнімде сенімді аутентификация әдістерін қолдануды талап етпеді - кінәлі.
- Дұрыс реттегіш бірінші кезекте компаниялардан осындай шешімдерді енгізуді талап етуі керек блок жазалаудың орнына деректердің ағып кетуі (әсіресе екі факторлы аутентификация). болды деректердің ағып кетуі.
- Кейбір бағдарламалық жасақтаманы әзірлеушілер тұтынушыларға сатуға тырысады ескі және әсіресе сенімді емес шешімдер әдемі қаптамада «инновациялық» өнім. Мысалы, нақты смартфонға қосылу немесе биометрияны пайдалану арқылы аутентификация. Хабарламадан көрініп тұрғандай, сәйкес шынымен сенімді Күшті аутентификацияға негізделген шешім ғана болуы мүмкін, яғни криптографиялық белгілер.
- Бірдей үшін криптографиялық белгіні қолдануға болады бірқатар тапсырмалар: үшін күшті аутентификация кәсіпорын операциялық жүйесінде, корпоративтік және пайдаланушы қолданбаларында, үшін электрондық қолтаңба қаржылық операциялар (банктік қосымшалар үшін маңызды), құжаттар және электрондық пошта.
Ақпарат көзі: www.habr.com