Di van demên dawî de, pargîdaniya lêkolînê Javelin Strategy & Research raporek, "Rewşa Rastkirina Hêzdar 2019" weşand. Afirînerên wê agahdarî berhev kirin ka kîjan rêbazên erêkirinê di hawîrdorên pargîdanî û serîlêdanên xerîdar de têne bikar anîn, û di heman demê de encamên balkêş der barê paşeroja rastkirina bihêz de jî çêkirin.
Wergera beşa yekem bi encamên nivîskarên raporê, em . Û naha em beşa duyemîn - bi dane û grafîkan pêşkêşî we dikin.
Ji wergêr
Ez ê tevahiya bloka bi heman navî ji beşa yekem bi tevahî kopî nekim, lê dîsa jî ez ê yek paragrafê dubare bikim.
Hemî jimar û rastî bêyî guhertinên piçûk têne pêşkêş kirin, û heke hûn bi wan re ne razî ne, wê hingê çêtir e ku hûn ne bi wergêr, lê bi nivîskarên raporê re nîqaş bikin. Û li vir şîroveyên min hene (wekî neql hatine danîn, û di nivîsê de hatine nîşankirin Îtalî) nirxê min in û ez ê kêfxweş bibim ku li ser her yek ji wan nîqaşan bikim (û her weha li ser kalîteya wergerê).
Nasnameya Bikarhêner
Ji sala 2017-an û vir ve, karanîna piştrastkirina bihêz di serîlêdanên xerîdar de pir zêde bûye, bi piranî ji ber hebûna rêbazên verastkirina krîptografî li ser cîhazên mobîl, her çend tenê rêjeyek piçûktir a pargîdaniyan ji bo sepanên Înternetê piştrastkirina bihêz bikar tînin.
Bi tevayî, rêjeya pargîdaniyên ku di karsaziya xwe de piştrastkirina bihêz bikar tînin sê caran ji 5% di 2017-an de gihîştiye 16% di 2018-an de (Wêne 3).
Kapasîteya karanîna piştrastkirina bihêz a ji bo serîlêdanên malperê hîn jî sînordar e (ji ber vê yekê ku tenê guhertoyên pir nû yên hin gerokan piştgirî didin danûstendina bi nîşaneyên krîptografî re, lê ev pirsgirêk bi sazkirina nermalava zêde wekî mînak dikare were çareser kirin. ), ji ber vê yekê gelek pargîdan ji bo pejirandina serhêl rêbazên alternatîf bikar tînin, wekî bernameyên ji bo cîhazên mobîl ên ku şîfreyên yek carî çêdikin.
Bişkojkên krîptografî yên hardware (li vir mebesta me tenê yên ku bi standardên FIDO re tevdigerin(ji ber ku pir gerok jixwe standarda WebAuthn ji FIDO piştgirî dikin), lê tenê 3% ji pargîdaniyan vê taybetmendiyê bikar tînin da ku têkevin bikarhênerên xwe.
Berawirdkirina nîşaneyên krîptografîk (wek ) û mifteyên veşartî yên ku li gorî standardên FIDO dixebitin li derveyî çarçoweya vê raporê ne, lê di heman demê de şîroveyên min ên li ser wê jî ne. Bi kurtasî, her du celeb nîşanek algorîtmayên wekhev û prensîbên xebitandinê bikar tînin. Nîşaneyên FIDO niha ji hêla firoşkarên gerokê ve çêtir têne piştgirî kirin, her çend ev ê di demek nêzîk de biguhezîne ji ber ku bêtir gerok piştgirî dikin . Lê nîşaneyên krîptografîk ên klasîk bi kodek PIN-ê têne parastin, dikarin belgeyên elektronîkî îmze bikin û ji bo piştrastkirina du-faktorî li Windows (her guhertoyek), Linux û Mac OS X-ê werin bikar anîn, ji bo zimanên bernamenûsê yên cihêreng API hene, ku dihêle hûn 2FA û elektronîkî bicîh bikin. îmzeya di sermaseyên sermaseyê, mobîl û serîlêdanên Webê de, û nîşaneyên ku li Rûsyayê têne hilberandin algorîtmayên GOST yên rûsî piştgirî dikin. Di her rewşê de, nîşanek krîptografîk, bêyî ku ew ji hêla kîjan standardê ve hatî afirandin, rêbazek pejirandinê ya herî pêbawer û hêsan e.
Beyond Ewlekariyê: Feydeyên din ên Nasnameya Hêzdar
Ne ecêb e ku karanîna piştrastkirina bihêz bi girîngiya daneya ku karsaziyek hildigire ji nêz ve girêdayî ye. Pargîdaniyên ku Agahiyên Nasnameya Kesane yên hesas (PII), wekî hejmarên Ewlekariya Civakî an Agahdariya Tenduristiya Kesane (PHI) hilînin, bi zexta qanûnî û birêkûpêk a herî mezin re rû bi rû dimînin. Van pargîdaniyên ku alîgirên herî êrîşkar ên pejirandina bihêz in. Zexta li ser karsaziyan ji hêla hêviyên xerîdarên ku dixwazin zanibin ku rêxistinên ku ew bi daneyên xwe yên herî hesas pê bawer in, rêbazên rastkirina bihêz bikar tînin zêde dibe. Rêxistinên ku PII an PHI-ya hesas bi rê ve dibin ji rêxistinên ku tenê agahdariya pêwendiya bikarhêneran diparêzin ji du caran zêdetir îhtîmal e ku pejirandina bihêz bikar bînin (Wêne 7).
Mixabin, pargîdan hîna ne amade ne ku rêbazên piştrastkirina bihêz bicîh bînin. Nêzîkî sêyek qerargirên karsaziyê şîfreyan di nav hemî yên ku di Xiflteya 9-ê de têne navnîş kirin de şîfreyan rêbaza herî bibandor a erêkirinê dihesibînin, û 43% şîfreyan rêbaza pejirandinê ya herî hêsan dihesibînin.
Ev nexşe ji me re îsbat dike ku pêşdebirên sepanên karsaziyê li çaraliyê cîhanê yek in... Ew feydeya pêkanîna mekanîzmayên ewlehiya gihîştina hesabê pêşkeftî nabînin û heman têgînên xelet parve dikin. Û tenê çalakiyên regulator dikarin rewşê biguherînin.
Bila dest nedin şîfreyan. Lê divê hûn çi bawer bikin ku hûn bawer bikin ku pirsên ewlehiyê ji nîşaneyên krîptografîk ewletir in? Bandoriya pirsên kontrolê, yên ku bi tenê têne hilbijartin, ji% 15 hate texmîn kirin, û ne nîşaneyên hackable - tenê 10. Bi kêmanî li fîlima "Illusion of Deception" temaşe bikin, li wir, her çend bi rengekî alegorîk be jî, tê xuyang kirin ka çiqas bi hêsanî sêrbaz hemû tiştên pêwîst ji bersivên kasibkar-xapandin derxistin û ew bê pere hiştin.
Û rastiyek din jî ku di derheqê kalîteyên kesên ku di serîlêdanên bikarhêner de ji mekanîzmayên ewlehiyê berpirsiyar in pir dibêje. Di têgihîştina wan de, pêvajoya têketina şîfreyek ji verastkirina bi karanîna tokenek krîptografîk operasyonek hêsantir e. Her çend, wusa dixuye ku dibe ku hêsantir be ku token bi portek USB ve girêbide û kodek PIN-a hêsan têxe.
Ya girîng, bicihanîna erêkirina bihêz dihêle karsazî ji ramana li ser awayên erêkirinê û qaîdeyên xebitandinê yên ku ji bo astengkirina nexşeyên xapînok hewce ne ku hewcedariyên rastîn ên xerîdarên xwe bigirin dûr bikevin.
Digel ku lihevhatina birêkûpêk hem ji bo karsaziyên ku piştrastkirina bihêz bikar tînin hem jî ji bo yên ku nagirin pêşengiyek maqûl e, pargîdaniyên ku jixwe verastkirinek bihêz bikar tînin pir zêde dibe ku bibêjin ku zêdekirina dilsoziya xerîdar metrîka herî girîng e ku ew di dema nirxandina erêkirinê de dihesibînin. awa. (18% ber 12%) (Wêne 10).
Nasnameya Enterprise
Ji sala 2017-an vir ve, pejirandina pejirandina bihêz di pargîdaniyan de mezin dibe, lê bi rêjeyek piçûktir ji serîlêdanên xerîdar. Rêjeya pargîdaniyên ku piştrastkirina bihêz bikar tînin ji 7% di 2017-an de gihîştiye % 12-an di 2018-an de. Berevajî sepanên xerîdar, di hawîrdora pargîdanî de karanîna rêbazên nerastkirina şîfreyê di sepanên malperê de ji cîhazên mobîl de hinekî gelemperîtir e. Nêzîkî nîvê karsaziyan radigihînin ku tenê navên bikarhêner û şîfre bikar tînin da ku dema têketinê bikarhênerên xwe rast bikin, yek ji pêncan (22%) jî dema ku digihîje daneyên hesas tenê xwe dispêre şîfreyan ji bo rastkirina duyemîn (ango, bikarhêner pêşî bi karanîna rêbazek pejirandinê ya hêsan têkeve serîlêdanê, û heke ew bixwaze xwe bigihîne daneyên krîtîk, ew ê prosedurek din a erêkirinê pêk bîne, vê carê bi gelemperî rêbazek pêbawertir bikar tîne.).
Pêdivî ye ku hûn fêhm bikin ku rapor di pergalên xebitandinê Windows, Linux û Mac OS X de karanîna nîşaneyên krîptografî ji bo rastkirina du-faktorî nagire ber çavan. Û ev niha karanîna herî berbelav a 2FA ye. (Heyf, tokenên ku li gorî standardên FIDO hatine afirandin dikarin 2FA tenê ji bo Windows 10 bicîh bikin).
Wekî din, heke pêkanîna 2FA-yê di serîlêdanên serhêl û mobîl de komek tedbîran hewce bike, di nav de guherandina van sepanan jî, wê hingê ji bo bicîhkirina 2FA-yê di Windows-ê de hûn tenê hewce ne ku PKI-yê mîheng bikin (mînakî, li ser bingeha Sertîfîkaya Microsoft-ê ye) û polîtîkayên erêkirinê. di AD.
Û ji ber ku parastina têketina PC-ya kar û domainê hêmanek girîng a parastina daneyên pargîdanî ye, pêkanîna piştrastkirina du-faktorî her ku diçe gelemperî dibe.
Du awayên din ên herî gelemperî ji bo rastkirina bikarhêneran dema têketinê şîfreyên yek-car in ku bi serîlêdanek cihêreng têne peyda kirin (13% ji karsaziyan) û şîfreyên yek-car ên ku bi SMS-ê têne radest kirin (12%). Tevî vê rastiyê ku rêjeya karanîna her du rêbazan pir dişibin hev, OTP SMS bi gelemperî ji bo zêdekirina asta destûrnameyê (di 24% pargîdaniyan de) tê bikar anîn. (Şikil 12).
Zêdebûna karanîna pejirandina bihêz a di pargîdaniyê de dibe ku ji ber hebûna zêde ya sepandinên pejirandina krîptografî di platformên rêveberiya nasnameya pargîdanî de were veqetandin (bi gotinek din, pergalên pargîdanî SSO û IAM fêr bûne ku tokenan bikar bînin).
Ji bo erêkirina mobîl a karmend û peykeran, pargîdanî ji pejirandina di serîlêdanên xerîdar de bêtir bi şîfreyan ve girêdayî ne. Zêdetirî nîvê (53%) pargîdaniyan dema ku gihandina bikarhêner ji daneyên pargîdaniyê re bi navgîniya cîhazek desta rast dikin şîfreyan bikar tînin (Wêne 13).
Di mijara cîhazên mobîl de, heke ne ji gelek rewşên şopên tiliyên sexte, deng, rû û tewra jî rondikên sexte nebûna, meriv dê bi hêza mezin a biyometrîkê bawer bike. Yek pirsek motora lêgerînê dê diyar bike ku rêbazek pêbawer a rastkirina biyometrîkî bi tenê tune. Sensorên bi rastî rast, bê guman, hene, lê ew bi mezinahî pir biha û mezin in - û di têlefonên têlefonê de nayên saz kirin.
Ji ber vê yekê, yekane rêbaza xebitandina 2FA di cîhazên mobîl de karanîna nîşaneyên krîptografîk e ku bi navgînên NFC, Bluetooth û USB Type-C ve bi têlefonê ve girêdayî ye.
Parastina daneya darayî ya pargîdaniyek sedema sereke ye ji bo veberhênana li pejirandina bê şîfre (44%), ku ji sala 2017-an vir ve mezinbûna herî bilez e (zêdebûna heşt xalên ji sedî). Pişt re parastina milkê rewşenbîrî (40%) û daneyên personelê (HR) (39%) tê. Û zelal e çima - ne tenê nirxa ku bi van celeb daneyan ve girêdayî ye bi berfirehî tête nas kirin, lê bi nisbet hindik karmend bi wan re dixebitin. Ango, lêçûnên pêkanînê ne ew qas mezin in, û tenê çend kes hewce ne ku werin perwerde kirin da ku bi pergalek pejirandinê ya tevlihevtir bixebitin. Berevajî vê, celebên dane û cîhazên ku piraniya xebatkarên pargîdaniyê bi rêkûpêk digihîjin wan hîn jî tenê bi şîfreyan têne parastin. Belgeyên karmendan, qereqolên xebatê, û portalên e-nameya pargîdanî qadên xetera herî mezin in, ji ber ku tenê çaryek karsazan van malûmanan bi pejirandina bê şîfre diparêzin (Wêne 14).
Bi gelemperî, e-nameya pargîdanî tiştek pir xeternak û dizî ye, asta xetereya potansiyel a ku ji hêla piraniya CIO-yan ve tê kêm kirin. Karmend her roj bi dehan e-name distînin, ji ber vê yekê çima bi kêmanî yek e-nameyek phishing (ango, xapînok) di nav wan de nagirin. Ev nameyê dê di şêwaza nameyên pargîdaniyê de were format kirin, ji ber vê yekê karmend dê xwe xweş hîs bike ku li ser zencîreya vê nameyê bikirtînin. Welê, wê hingê her tişt dikare biqewime, mînakî, dakêşana vîrusek li ser makîneya êrîşkar an jî şîfreyan derdixe (di nav de bi endezyariya civakî, bi ketina formek rastkirina derewîn a ku ji hêla êrîşker ve hatî çêkirin).
Ji bo ku tiştên bi vî rengî çênebin, divê e-name bêne îmze kirin. Dûv re dê tavilê diyar bibe ka kîjan name ji hêla karmendek rewa ve û kîjan ji hêla êrîşker ve hatî çêkirin. Mînakî, di Outlook/Exchange de, îmzeyên elektronîkî yên li ser bingeha tokena krîptografî bi lez û bez têne çalak kirin û dikarin bi verastkirina du-faktorî li seranserê PC û domên Windows-ê werin bikar anîn.
Di nav wan rêveberên ku bi tenê xwe dispêrin rastkirina şîfreyê di hundurê pargîdaniyê de, du-sêyan (66%) wiya dikin ji ber ku ew bawer dikin ku şîfre ji bo celebê agahdariya ku pargîdaniya wan hewce dike ku biparêze ewlekariya têr peyda dike (Wêne 15).
Lê rêbazên piştrastkirina bihêztir berbelavtir dibin. Bi piranî ji ber ku hebûna wan zêde dibe. Hejmarek zêde ya pergalên rêveberiya nasname û gihîştinê (IAM), gerok û pergalên xebitandinê bi karanîna nîşaneyên krîptografî ve piştrastkirinê piştgirî dikin.
Nasnameya bihêz xwedî avantajek din e. Ji ber ku şîfre êdî nayê bikar anîn (bi PINek hêsan tê guheztin), daxwazek ji karmendan tune ku ji wan bixwazin şîfreya jibîrkirî biguherînin. Ku di encamê de barkirina li ser beşa IT ya pargîdaniyê kêm dike.
Encam û encam
- Rêvebir pir caran ne xwediyê zanîna pêwîst ji bo nirxandinê ne rast bandorkeriya vebijarkên cûda yên erêkirinê. Ew ji bo baweriya bi vî rengî têne bikar anîn kevn rêbazên ewlehiyê yên wekî şîfre û pirsên ewlehiyê tenê ji ber ku "ew berê xebitî."
- Bikarhêner hîn jî xwedî vê zanînê ne kêmtir, ji bo wan ya sereke ev e sadebûn û rehetî. Heya ku ew ji bo hilbijartinê tune be çareseriyên ewletir.
- Pêşdebirên sepanên xwerû bi gelemperî sedem tuneli şûna pejirandina şîfreyê pejirandina du-faktorî bicîh bikin. Pêşbaziya di asta parastinê de di serîlêdanên bikarhêner de winda ye.
- Berpirsiyariya tevahî ji bo hack ji bikarhênerê re hate guheztin. Şîfreya yekcar daye êrîşkar - sûcdar kirin. Şîfreya we hat girtin an sîxurî - sûcdar kirin. Ne hewce bû ku pêşdebir di hilberê de rêbazên piştrastkirina pêbawer bikar bîne - sûcdar kirin.
- Rast e regulator Ya yekem divê ji pargîdaniyan hewce bike ku çareseriyên ku bicîh bînin deste dizîn daneyan (bi taybetî erêkirina du-faktorî), li şûna cezakirinê jixwe qewimî rijandina daneyan.
- Hin pêşdebirên nermalavê hewl didin ku bifroşin serfkaran kevn û bi taybetî ne pêbawer çareseriyê di pakêtek bedew de hilbera "înnovasyonî". Mînakî, erêkirin bi girêdana bi smartphoneek taybetî an bi karanîna biyometrîkan ve. Wekî ku ji raporê tê dîtin, li gorî bi rastî pêbawer Tenê dikare çareseriyek li ser bingeha pejirandina bihêz, ango, nîşaneyên krîptografî hebe.
- Hemen nîşana krîptografî dikare ji bo were bikar anîn hejmarek ji erkên: ji bo erêkirina xurt di pergala xebatê ya pargîdanî de, di serîlêdanên pargîdanî û bikarhêner de, ji bo îmzeya elektronîkî danûstendinên darayî (ji bo serîlêdanên bankingê girîng), belge û e-name.
Source: www.habr.com