Viru kuerzem huet d'Fuerschungsfirma Javelin Strategy & Research e Bericht publizéiert, "The State of Strong Authentication 2019." Seng Creatoren hunn Informatioun gesammelt iwwer wéi eng Authentifikatiounsmethoden a Firmenëmfeld a Konsumentapplikatiounen benotzt ginn, an hunn och interessant Conclusiounen iwwer d'Zukunft vun der staarker Authentifikatioun gemaach.
Iwwersetzung vum éischten Deel mat de Conclusiounen vun den Auteuren vum Rapport, mir . An elo presentéiere mir Iech den zweeten Deel - mat Daten a Grafiken.
Vum Iwwersetzer
Ech kopéieren net de ganze Block mam selwechten Numm vum éischten Deel komplett, awer ech wäert nach ëmmer ee Paragraph duplizéieren.
All Zuelen a Fakten ginn ouni déi geringsten Ännerungen presentéiert, a wann Dir net mat hinnen averstanen ass, ass et besser net mam Iwwersetzer ze streiden, mä mat den Auteuren vum Bericht. An hei sinn meng Kommentarer (als Zitater ausgeluecht, an am Text markéiert Italienesch) sinn mäi Wäertuerteel an ech wäert gär iwwer jiddereng vun hinnen streiden (wéi och iwwer d'Qualitéit vun der Iwwersetzung).
Benotzer Authentifikatioun
Zënter 2017 ass d'Benotzung vu staarker Authentifikatioun an de Konsumentenapplikatiounen staark gewuess, haaptsächlech wéinst der Disponibilitéit vu kryptografeschen Authentifikatiounsmethoden op mobilen Apparater, obwuel nëmmen e bësse méi kleng Prozentsaz vun de Firmen eng staark Authentifikatioun fir Internetapplikatiounen benotzen.
Insgesamt ass de Prozentsaz vun de Firmen, déi staark Authentifikatioun an hirem Geschäft benotzen, vun 5% am Joer 2017 op 16% am Joer 2018 verdräifacht (Figur 3).
D'Kapazitéit fir staark Authentifikatioun fir Webapplikatiounen ze benotzen ass nach ëmmer limitéiert (wéinst der Tatsaach, datt nëmme ganz nei Versioune vun e puer Browser Interaktioun mat kryptografeschen Tokens ënnerstëtzen, kann dëse Problem awer geléist ginn andeems Dir zousätzlech Software installéiert wéi z. ), sou vill Firmen benotzen alternativ Methoden fir Online Authentifikatioun, wéi Programmer fir mobilen Apparater déi eemoleg Passwierder generéieren.
Hardware kryptografesch Schlësselen (hei mengen mir nëmmen déi, déi mat FIDO Standarden entspriechen), wéi déi vun Google, Feitian, One Span, an Yubico ugebueden kënne fir staark Authentifikatioun benotzt ginn ouni zousätzlech Software op Desktop Computeren a Laptops z'installéieren (well déi meescht Browser ënnerstëtzen schonn de WebAuthn Standard vu FIDO), awer nëmmen 3% vun de Firmen benotzen dës Fonktioun fir hir Benotzer unzemellen.
Verglach vu kryptographesche Tokens (wéi ) a geheime Schlësselen, déi no FIDO-Standarden funktionnéieren, ass ausserhalb vum Ëmfang vun dësem Bericht, awer och meng Kommentarer dozou. Kuerz gesot, béid Aarte vun Tokens benotzen ähnlech Algorithmen a Betribsprinzipien. FIDO Tokens ginn am Moment besser vu Browser Ubidder ënnerstëtzt, obwuel dëst geschwënn ännert wéi méi Browser ënnerstëtzen . Awer klassesch kryptografesch Tokens sinn duerch e PIN Code geschützt, kënnen elektronesch Dokumenter ënnerschreiwen a fir Zwee-Faktor Authentifikatioun an Windows (all Versioun), Linux a Mac OS X benotzt ginn, hunn APIs fir verschidde Programméierungssproochen, wat Iech erlaabt 2FA an elektronesch ëmzesetzen Ënnerschrëft an Desktop, Handy a Web Uwendungen, an Tokens produzéiert a Russland ënnerstëtzen russesch GOST Algorithmen. Op alle Fall ass e kryptographesche Token, egal vu wéi engem Standard et erstallt gëtt, déi zouverlässegst a praktesch Authentifikatiounsmethod.
Iwwer Sécherheet: Aner Virdeeler vu staarker Authentifikatioun
Et ass keng Iwwerraschung datt d'Benotzung vu staarker Authentifikatioun enk mat der Wichtegkeet vun den Donnéeën déi e Geschäft späichert verbonnen ass. Firmen déi sensibel Perséinlech Identifizéierbar Informatioun (PII) späicheren, wéi Sozialversécherungsnummeren oder Perséinlech Gesondheetsinformatioun (PHI), konfrontéiert de gréisste juristeschen a reglementaresche Drock. Dëst sinn d'Firmen déi am meeschte aggressiv Verdeedeger vu staarker Authentifikatioun sinn. Den Drock op d'Geschäfter gëtt erhéicht duerch d'Erwaardunge vu Clienten, déi wësse wëllen datt d'Organisatiounen, déi se mat hiren sensibelsten Donnéeën vertrauen, staark Authentifikatiounsmethoden benotzen. Organisatiounen déi sensibel PII oder PHI handhaben si méi wéi duebel sou wahrscheinlech staark Authentifikatioun ze benotzen wéi Organisatiounen déi nëmmen d'Kontaktinformatioun vun de Benotzer späicheren (Figur 7).
Leider sinn d'Firmen nach net gewëllt staark Authentifikatiounsmethoden ëmzesetzen. Bal en Drëttel vun de Geschäftsentscheeder betruechten Passwierder déi effektivst Authentifikatiounsmethod vun all deenen, déi an der Figur 9 opgezielt sinn, an 43% betruechten Passwierder déi einfachst Authentifikatiounsmethod.
Dës Grafik beweist eis datt d'Geschäftsapplikatiounsentwéckler ronderëm d'Welt d'selwecht sinn ... Si gesinn net de Virdeel fir fortgeschratt Konten Zougang Sécherheetsmechanismen ëmzesetzen an deelen déiselwecht Mëssverständnisser. An nëmmen d'Aktiounen vun de Reguléierer kënnen d'Situatioun änneren.
Loosst eis Passwierder net beréieren. Awer wat musst Dir gleewen fir ze gleewen datt Sécherheetsfroe méi sécher si wéi kryptografesch Tokens? D'Effizienz vu Kontrollfroen, déi einfach ausgewielt ginn, gouf op 15% geschat, an net hackbar Tokens - nëmmen 10. Op d'mannst kuckt de Film "Illusion of Deception", wou, obwuel an enger allegorescher Form, gewise gëtt wéi einfach Zauberer lackelt all déi néideg Saachen aus engem Geschäftsmann-Svindler Äntwerten an huet him ouni Suen.
An nach eng Tatsaach, déi vill iwwer d'Qualifikatioune vun deenen seet, déi fir Sécherheetsmechanismen an de Benotzerapplikatiounen verantwortlech sinn. An hirem Verständnis ass de Prozess fir e Passwuert anzeginn eng méi einfach Operatioun wéi d'Authentifikatioun mat engem kryptographesche Token. Obwuel, et schéngt, datt et méi einfach wier den Token un engem USB Hafen ze verbannen an en einfachen PIN Code aginn.
Wichteg ass, d'Ëmsetzung vun enger staarker Authentifikatioun erlaabt d'Betriber ewech ze denken iwwer d'Authentifikatiounsmethoden an d'Operatiounsregelen, déi néideg sinn fir betrügeresch Schemaen ze blockéieren fir déi reell Bedierfnesser vun hire Clienten ze treffen.
Wärend d'Reguléierungskonformitéit eng vernünfteg Haaptprioritéit ass fir béid Geschäfter déi staark Authentifikatioun benotzen an déi net, Firmen déi scho staark Authentifikatioun benotzen si vill méi wahrscheinlech ze soen datt d'Erhéijung vun der Clientloyalitéit eng déi wichtegst Metrik ass déi se berécksiichtegen wann se eng Authentifikatioun evaluéieren Method. (18% vs. 12%) (Figur 10).
Enterprise Authentifikatioun
Zënter 2017 ass d'Adoptioun vu staarker Authentifikatioun an Entreprisen gewuess, awer mat engem liicht méi nidderegen Taux wéi fir Konsumentenapplikatiounen. Den Undeel vun den Entreprisen, déi staark Authentifikatioun benotzen, ass vu 7% am Joer 2017 op 12% am Joer 2018 eropgaang. Am Géigesaz zu Konsumentenapplikatiounen ass d'Benotzung vun Net-Passwuert Authentifikatiounsmethoden e bësse méi heefeg an Webapplikatiounen wéi op mobilen Apparater. Ongeféier d'Halschent vun de Geschäfter berichten nëmme Benotzernimm a Passwierder ze benotzen fir hir Benotzer ze authentifizéieren wann se aloggen, mat engem vu fënnef (22%) vertrauen och eleng op Passwierder fir sekundär Authentifikatioun beim Zougang zu sensiblen Donnéeën (dat heescht, de Benotzer loggt sech als éischt an d'Applikatioun mat enger méi einfacher Authentifikatiounsmethod un, a wann hien Zougang zu kriteschen Donnéeën wëllt kréien, wäert hien eng aner Authentifikatiounsprozedur ausféieren, dës Kéier normalerweis mat enger méi zouverlässeg Method.).
Dir musst verstoen datt de Bericht net d'Benotzung vu kryptographesche Tokens fir Zwee-Faktor Authentifikatioun an de Betribssystemer Windows, Linux a Mac OS X berücksichtegt. An dëst ass am Moment déi verbreetste Benotzung vun 2FA. (Ach, Tokens erstallt no FIDO Standards kënnen 2FA nëmme fir Windows 10 implementéieren).
Ausserdeem, wann d'Ëmsetzung vun 2FA an online a mobilen Uwendungen eng Rei vu Moossnamen erfuerdert, inklusiv d'Ännerung vun dësen Uwendungen, da fir 2FA a Windows ëmzesetzen, musst Dir nëmmen PKI konfiguréieren (zum Beispill baséiert op Microsoft Certification Server) an Authentifikatiounspolitik an AD.
A well de Schutz vun der Login op en Aarbechts-PC an Domain e wichtegt Element ass fir Firmendaten ze schützen, gëtt d'Ëmsetzung vun Zwee-Faktor Authentifikatioun ëmmer méi heefeg.
Déi nächst zwee meescht üblech Methoden fir d'Authentifikatioun vun de Benotzer beim Aloggen sinn eemolege Passwierder, déi duerch eng separat App geliwwert ginn (13% vun de Geschäfter) an eemolege Passwuert iwwer SMS geliwwert (12%). Trotz der Tatsaach datt de Prozentsaz vun der Notzung vu béide Methoden ganz ähnlech ass, gëtt OTP SMS am meeschten benotzt fir den Autorisatiounsniveau ze erhéijen (an 24% vun de Firmen). (Figur 12).
D'Erhéijung vun der Benotzung vu staarker Authentifikatioun an der Entreprise ka méiglecherweis un der verstäerkter Disponibilitéit vu kryptografeschen Authentifikatiounsimplementatiounen an Enterprise Identitéitsmanagement Plattformen zougeschriwwe ginn (an anere Wierder, Enterprise SSO an IAM Systemer hunn geléiert Tokens ze benotzen).
Fir mobil Authentifikatioun vu Mataarbechter an Optraghueler vertrauen d'Entreprisen méi staark op Passwierder wéi fir Authentifikatioun an Konsumentenapplikatiounen. Just iwwer d'Halschent (53%) vun den Entreprisen benotze Passwierder beim Authentifikatioun vum Benotzer Zougang zu Firmendaten iwwer e mobilen Apparat (Figur 13).
Am Fall vu mobilen Apparater géif een un déi grouss Kraaft vun der Biometrie gleewen, wann net fir déi vill Fäll vu falsche Fangerofdréck, Stëmmen, Gesiichter a souguer Iris. Eng Sichmotor Ufro wäert verroden datt eng zouverlässeg Method fir biometresch Authentifikatioun einfach net existéiert. Wierklech korrekt Sensoren existéieren natierlech, awer si si ganz deier a grouss an der Gréisst - a sinn net op Smartphones installéiert.
Dofir ass déi eenzeg funktionéierend 2FA Method op mobilen Apparater d'Benotzung vu kryptografeschen Tokens, déi mam Smartphone iwwer NFC, Bluetooth an USB Type-C Interfaces verbannen.
D'Finanzdaten vun enger Firma schützen ass den Haaptgrond fir an der Passwuertloser Authentifikatioun ze investéieren (44%), mam schnellsten Wuesstum zënter 2017 (eng Erhéijung vun aacht Prozentpunkte). Dëst ass gefollegt vum Schutz vun intellektuell Propriétéit (40%) a Personal (HR) Daten (39%). An et ass kloer firwat - net nëmmen de Wäert assoziéiert mat dësen Aarte vun Daten ass wäit unerkannt, awer relativ wéineg Mataarbechter schaffen mat hinnen. Dat ass, d'Ëmsetzungskäschte sinn net sou grouss, an nëmmen e puer Leit mussen trainéiert ginn fir mat engem méi komplexe Authentifikatiounssystem ze schaffen. Am Géigesaz, sinn d'Zorte vun Daten an Apparater, op déi déi meescht Entreprise Mataarbechter routinéiert zougräifen, nach ëmmer nëmme vu Passwierder geschützt. Employé Dokumenter, Aarbechtsstatiounen, a Firmen E-Mail Portalen sinn d'Gebidder vum gréisste Risiko, well nëmmen e Véierel vun de Geschäfter dës Verméigen mat Passwuertloser Authentifikatioun schützen (Figur 14).
Allgemeng ass Firmen-E-Mail eng ganz geféierlech a leckeg Saach, de Grad vun der potenzieller Gefor vun deenen déi meescht CIOs ënnerschat gëtt. D'Employéeën kréien Dosende vun E-Mailen all Dag, also firwat net op d'mannst eng Phishing (dat ass, betrügeresch) E-Mail ënnert hinnen enthalen. Dëse Bréif gëtt am Stil vun de Firmebréiwer formatéiert, sou datt den Employé sech bequem fillt wann Dir op de Link an dësem Bréif klickt. Gutt, da kann alles geschéien, zum Beispill, e Virus op déi attackéiert Maschinn erofzelueden oder Passwierder auszeechnen (och duerch Social Engineering, andeems Dir eng gefälscht Authentifikatiounsform vum Ugräifer erstallt huet).
Fir esou Saachen ze verhënneren, mussen E-Maile ënnerschriwwe ginn. Da gëtt et direkt kloer wéi ee Bréif vun engem legitimen Employé erstallt gouf a wéi engem Ugräifer. Am Outlook / Exchange, zum Beispill, sinn kryptografesch Token-baséiert elektronesch Ënnerschrëften zimlech séier a liicht aktivéiert a kënne a Verbindung mat Zwee-Faktor Authentifikatioun iwwer PCs a Windows Domainen benotzt ginn.
Ënnert deenen Exekutoren déi eleng op Passwuert Authentifikatioun bannent der Entreprise vertrauen, zwee Drëttel (66%) maachen dat well se gleewen datt Passwierder genuch Sécherheet ubidden fir déi Aart vun Informatioun déi hir Firma muss schützen (Figur 15).
Awer staark Authentifikatiounsmethoden ginn ëmmer méi heefeg. Haaptsächlech wéinst der Tatsaach datt hir Disponibilitéit eropgeet. Eng ëmmer méi Unzuel vun Identitéits- an Zougangsmanagement (IAM) Systemer, Browser a Betribssystemer ënnerstëtzen d'Authentifikatioun mat kryptografeschen Tokens.
Staark Authentifikatioun huet en anere Virdeel. Well d'Passwuert net méi benotzt gëtt (ersat duerch en einfachen PIN), ginn et keng Ufroe vu Mataarbechter, déi se froen, dat vergiesst Passwuert z'änneren. Wat am Tour d'Laascht op d'IT Departement vun der Entreprise reduzéiert.
Resumé a Conclusiounen
- D'Manager hunn dacks net dat néidegt Wëssen fir ze bewäerten real Effektivitéit vu verschiddenen Authentifikatiounsoptiounen. Si si gewinnt esou ze trauen ausgelooss Sécherheetsmethoden wéi Passwierder a Sécherheetsfroen einfach well "et virdru geschafft huet."
- D'Benotzer hunn nach ëmmer dëst Wëssen manner, fir si ass den Haapt Saach Einfachheet a Komfort. Soulaang si keen Ureiz hunn ze wielen méi sécher Léisungen.
- Entwéckler vun Mooss Uwendungen oft kee GrondZwee-Faktor Authentifikatioun anstatt Passwuert Authentifikatioun ëmzesetzen. Konkurrenz am Niveau vum Schutz bei Benotzerapplikatiounen net ofginn.
- Voll Verantwortung fir den Hack op de Benotzer verréckelt. Gitt dat eemolegt Passwuert dem Ugräifer - zouzeschreiwen. Äert Passwuert gouf ofgefaangen oder gespionéiert - zouzeschreiwen. Huet den Entwéckler net verlaangt zouverlässeg Authentifikatiounsmethoden am Produkt ze benotzen - zouzeschreiwen.
- Riets Reguléierung éischtens soll Betriber verlaangen Léisungen ëmzesetzen déi blockéieren Dateleks (besonnesch Zwee-Faktor Authentifikatioun), anstatt ze bestrofen scho geschitt daten Leck.
- E puer Softwareentwéckler probéieren un de Konsumenten ze verkafen al an net besonnesch zouverlässeg Léisungen an enger schéiner Verpakung "innovativ" Produkt. Zum Beispill Authentifikatioun andeems Dir op e spezifesche Smartphone verbënnt oder Biometrie benotzt. Wéi kann aus dem Bericht gesi ginn, laut wierklech zouverlässeg Et kann nëmmen eng Léisung ginn baséiert op staark Authentifikatioun, dat ass, cryptographic Tokens.
- Datselwecht cryptographic Token ka benotzt ginn fir eng Rei vun Aufgaben: fir staark Authentifikatioun am Betrib Betribssystem, an Firmen- a Benotzer Uwendungen, fir elektronesch Ënnerschrëft Finanztransaktiounen (wichteg fir Bankapplikatiounen), Dokumenter an E-Mail.
Source: will.com