Neseniai tyrimų bendrovė „Javelin Strategy & Research“ paskelbė ataskaitą „Tvirto autentifikavimo būsena 2019“. Jo kūrėjai surinko informaciją apie tai, kokie autentifikavimo metodai naudojami įmonių aplinkoje ir vartotojų programose, taip pat padarė įdomių išvadų apie tvirto autentifikavimo ateitį.
Pirmosios dalies su pranešimo autorių išvadomis vertimas, mes . O dabar jūsų dėmesiui pristatome antrąją dalį – su duomenimis ir grafikais.
Iš vertėjo
Visiškai nenukopijuosiu viso to paties pavadinimo bloko iš pirmos dalies, bet vieną pastraipą vis tiek pakartosiu.
Visi skaičiai ir faktai pateikiami be menkiausių pakeitimų, o jei su jais nesutinkate, tuomet geriau ginčytis ne su vertėju, o su ataskaitos autoriais. O štai mano komentarai (išdėlioti kaip citatos ir pažymėti tekste italų) yra mano vertinimas ir mielai pasiginčysiu dėl kiekvieno iš jų (taip pat ir dėl vertimo kokybės).
Vartotojo autentifikavimas
Nuo 2017 m. stipriojo autentifikavimo naudojimas vartotojų programose smarkiai išaugo, daugiausia dėl to, kad mobiliuosiuose įrenginiuose yra kriptografinių autentifikavimo metodų, nors tik šiek tiek mažesnis procentas įmonių naudoja tvirtą autentifikavimą interneto programoms.
Apskritai įmonių, savo versle naudojančių stiprų autentifikavimą, procentas išaugo tris kartus nuo 5 % 2017 m. iki 16 % 2018 m. (3 pav.).
Galimybė naudoti tvirtą autentifikavimą žiniatinklio programoms vis dar ribota (dėl to, kad tik labai naujos kai kurių naršyklių versijos palaiko sąveiką su kriptografiniais žetonais, tačiau šią problemą galima išspręsti įdiegus papildomą programinę įrangą, pvz. ), todėl daugelis įmonių naudoja alternatyvius internetinio autentifikavimo būdus, pavyzdžiui, programas mobiliesiems įrenginiams, kurios generuoja vienkartinius slaptažodžius.
Aparatinės įrangos kriptografiniai raktai (čia turime omenyje tik tuos, kurie atitinka FIDO standartus), pvz., siūlomus „Google“, „Feitian“, „One Span“ ir „Yubico“, galima naudoti stipriam autentifikavimui neįdiegiant papildomos programinės įrangos staliniuose ir nešiojamuosiuose kompiuteriuose (nes dauguma naršyklių jau palaiko WebAuthn standartą iš FIDO), tačiau tik 3 % įmonių naudojasi šia funkcija prisijungdami prie savo vartotojų.
Kriptografinių žetonų (pvz., ) ir slaptieji raktai, veikiantys pagal FIDO standartus, nepatenka į šios ataskaitos taikymo sritį, bet ir į mano pastabas. Trumpai tariant, abiejų tipų žetonai naudoja panašius algoritmus ir veikimo principus. FIDO žetonus šiuo metu geriau palaiko naršyklių pardavėjai, nors tai greitai pasikeis, nes bus palaikoma daugiau naršyklių . Tačiau klasikiniai kriptografiniai žetonai yra apsaugoti PIN kodu, gali pasirašyti elektroninius dokumentus ir būti naudojami dviejų faktorių autentifikavimui Windows (bet kurios versijos), Linux ir Mac OS X, turi API įvairioms programavimo kalboms, leidžiančius įdiegti 2FA ir el. parašas darbalaukio, mobiliosiose ir žiniatinklio programose, o Rusijoje gaminami žetonai palaiko rusiškus GOST algoritmus. Bet kuriuo atveju kriptografinis žetonas, nepaisant to, pagal kokį standartą jis sukurtas, yra patikimiausias ir patogiausias autentifikavimo būdas.
Be saugumo: kiti tvirto autentifikavimo pranašumai
Nenuostabu, kad tvirto autentifikavimo naudojimas yra glaudžiai susijęs su verslo saugomų duomenų svarba. Įmonės, kurios saugo slaptą asmenį identifikuojančią informaciją (PII), pvz., socialinio draudimo numerius arba asmens sveikatos informaciją (PHI), patiria didžiausią teisinį ir reguliavimo spaudimą. Tai įmonės, kurios yra agresyviausios stipraus autentifikavimo šalininkės. Verslo spaudimą didina klientų, norinčių žinoti, kad organizacijos, kurioms jie patiki savo jautriausius duomenis, lūkesčiai naudoja stiprius autentifikavimo metodus. Organizacijos, kurios tvarko neskelbtinus AII arba PHI, daugiau nei du kartus dažniau naudoja tvirtą autentifikavimą nei organizacijos, kurios saugo tik vartotojų kontaktinę informaciją (7 pav.).
Deja, įmonės kol kas nenori diegti stiprių autentifikavimo metodų. Beveik trečdalis verslo sprendimus priimančių asmenų mano, kad slaptažodžiai yra veiksmingiausias autentifikavimo būdas iš visų išvardytų 9 paveiksle, o 43% – paprasčiausias autentifikavimo būdas.
Ši diagrama mums įrodo, kad verslo programų kūrėjai visame pasaulyje yra vienodi... Jie nemato pažangių prieigos prie paskyros saugos mechanizmų diegimo naudos ir turi tas pačias klaidingas nuomones. Ir tik reguliuotojų veiksmai gali pakeisti situaciją.
Nelieskime slaptažodžių. Tačiau kuo reikia tikėti, kad patikėtumėte, jog saugumo klausimai yra saugesni nei kriptografiniai žetonai? Kontrolinių klausimų, kurie tiesiog atrenkami, efektyvumas buvo įvertintas 15 proc., o neįsilaužiamų žetonų - tik 10. Pažiūrėkite bent filmą „Apgaulės iliuzija“, kur, nors ir alegorine forma, parodyta, kaip lengvai maga išviliojo visus reikalingus dalykus iš verslininko-aferisto atsakymų ir paliko jį be pinigų.
Ir dar vienas faktas, daug pasakantis apie tų, kurie atsakingi už vartotojų programų saugumo mechanizmus, kvalifikaciją. Jų supratimu, slaptažodžio įvedimo procesas yra paprastesnis veiksmas nei autentifikavimas naudojant kriptografinį prieigos raktą. Nors atrodo, kad gali būti paprasčiau prijungti žetoną prie USB prievado ir įvesti paprastą PIN kodą.
Svarbu tai, kad įdiegus tvirtą autentifikavimą, įmonės gali nebegalvoti apie autentifikavimo metodus ir veikimo taisykles, reikalingas apgaulingoms schemoms blokuoti, o ne tenkinti tikruosius klientų poreikius.
Nors teisės aktų laikymasis yra pagrįstas pagrindinis prioritetas tiek įmonėms, kurios naudoja tvirtą autentifikavimą, tiek ir toms, kurios nenaudoja, įmonės, kurios jau naudoja tvirtą autentifikavimą, daug dažniau sakys, kad klientų lojalumo didinimas yra svarbiausias rodiklis, į kurį jos atsižvelgia vertindamos autentifikavimą. metodas. (18 proc. prieš 12 proc.) (10 pav.).
Įmonės autentifikavimas
Nuo 2017 m. įmonėse populiarėja tvirtas autentifikavimas, tačiau šiek tiek lėčiau nei vartotojų programose. Stiprų autentifikavimą naudojančių įmonių dalis išaugo nuo 7% 2017 m. iki 12% 2018 m. Skirtingai nei vartotojų programose, įmonės aplinkoje ne slaptažodžio autentifikavimo metodai naudojami interneto programose nei mobiliuosiuose įrenginiuose. Maždaug pusė įmonių teigia, kad prisijungdami naudoja tik naudotojų vardus ir slaptažodžius, o kas penktas (22 proc.) taip pat pasikliauja tik slaptažodžiais, kad būtų galima atlikti antrinį autentifikavimą, kai pasiekia slaptus duomenis (y., vartotojas pirmiausia prisijungia prie programos naudodamas paprastesnį autentifikavimo metodą ir, norėdamas gauti prieigą prie svarbiausių duomenų, atliks kitą autentifikavimo procedūrą, šį kartą dažniausiai naudodamas patikimesnį metodą.).
Turite suprasti, kad ataskaitoje neatsižvelgiama į kriptografinių žetonų naudojimą dviejų veiksnių autentifikavimui operacinėse sistemose „Windows“, „Linux“ ir „Mac OS X“. Ir šiuo metu tai yra plačiausiai paplitęs 2FA naudojimas. (Deja, pagal FIDO standartus sukurti žetonai gali įdiegti 2FA tik „Windows 10“).
Be to, jei norint įdiegti 2FA internetinėse ir mobiliosiose programose, reikia tam tikrų priemonių, įskaitant šių programų modifikavimą, tada norint įdiegti 2FA sistemoje Windows, tereikia sukonfigūruoti PKI (pavyzdžiui, remiantis Microsoft Certification Server) ir autentifikavimo strategijas. mūsų eros metais.
Kadangi prisijungimo prie darbinio kompiuterio ir domeno apsauga yra svarbus įmonės duomenų apsaugos elementas, vis dažniau taikomas dviejų veiksnių autentifikavimas.
Kiti du dažniausiai naudojami vartotojų autentifikavimo prisijungimo metu būdai yra vienkartiniai slaptažodžiai, pateikiami per atskirą programėlę (13 proc. įmonių) ir vienkartiniai slaptažodžiai, siunčiami SMS žinute (12 proc.). Nepaisant to, kad abiejų metodų panaudojimo procentas yra labai panašus, OTP SMS dažniausiai naudojama autorizacijos lygiui padidinti (24 proc. įmonių). (12 pav.).
Stipraus autentifikavimo naudojimo augimas įmonėje greičiausiai gali būti siejamas su padidėjusiu kriptografinio autentifikavimo diegimo prieinamumu įmonės tapatybės valdymo platformose (kitaip tariant, įmonės SSO ir IAM sistemos išmoko naudoti žetonus).
Įmonės, siekdamos mobiliojo darbuotojų ir rangovų autentifikavimo, labiau pasikliauja slaptažodžiais, o ne autentifikavimu vartotojų programose. Kiek daugiau nei pusė (53 proc.) įmonių naudoja slaptažodžius autentifikuodami vartotojo prieigą prie įmonės duomenų per mobilųjį įrenginį (13 pav.).
Kalbant apie mobiliuosius įrenginius, būtų galima tikėti didele biometrinių duomenų galia, jei ne daugybė netikrų pirštų atspaudų, balsų, veidų ir net rainelių. Viena paieškos variklio užklausa atskleis, kad patikimo biometrinio autentifikavimo metodo tiesiog nėra. Tikrai tikslūs jutikliai, žinoma, egzistuoja, tačiau jie yra labai brangūs ir didelio dydžio – ir nėra montuojami išmaniuosiuose telefonuose.
Todėl vienintelis veikiantis 2FA metodas mobiliuosiuose įrenginiuose yra kriptografinių žetonų, kurie jungiasi prie išmaniojo telefono per NFC, Bluetooth ir USB Type-C sąsajas, naudojimas.
Įmonės finansinių duomenų apsauga yra pagrindinė priežastis, kodėl verta investuoti į autentifikavimą be slaptažodžio (44 proc.), o augimas sparčiausiai nuo 2017 m. (40 procentiniais punktais). Toliau seka intelektinės nuosavybės apsauga (39 proc.) ir personalo (HR) duomenų apsauga (14 proc.). Ir aišku kodėl – ne tik plačiai pripažįstama su tokio tipo duomenimis susijusi vertė, bet su jais dirba palyginti nedaug darbuotojų. Tai yra, diegimo kaštai nėra tokie dideli, o dirbti su sudėtingesne autentifikavimo sistema reikia išmokyti tik kelis žmones. Priešingai, duomenų ir įrenginių tipai, kuriuos įprastai pasiekia dauguma įmonės darbuotojų, vis dar yra apsaugoti tik slaptažodžiais. Darbuotojų dokumentai, darbo vietos ir įmonių el. pašto portalai yra didžiausios rizikos sritys, nes tik ketvirtadalis įmonių saugo šį turtą be slaptažodžio autentifikavimu (XNUMX pav.).
Apskritai įmonės el. paštas yra labai pavojingas ir nesandarus dalykas, kurio galimo pavojaus laipsnį dauguma CIO neįvertina. Darbuotojai kasdien gauna dešimtis el. laiškų, tad kodėl gi neįtraukus bent vieno sukčiavimo (ty apgaulingo) el. laiško. Šis laiškas bus suformatuotas įmonės laiškų stiliumi, todėl darbuotojas jausis patogiai paspaudęs šiame laiške esančią nuorodą. Na, tada gali nutikti bet kas, pavyzdžiui, atsisiunčiant virusą į užpultą mašiną arba nutekėjus slaptažodžiams (taip pat ir naudojant socialinę inžineriją, įvedant suklastotą užpuoliko sukurtą autentifikavimo formą).
Kad tokie dalykai nenutiktų, el. laiškai turi būti pasirašyti. Tada iš karto bus aišku, kurį laišką sukūrė teisėtas darbuotojas, o kurį – užpuolikas. Pavyzdžiui, „Outlook“ / „Exchange“ kriptografiniais prieigos raktais pagrįsti elektroniniai parašai įgalinami gana greitai ir lengvai ir gali būti naudojami kartu su dviejų veiksnių autentifikavimu kompiuteriuose ir „Windows“ domenuose.
Iš tų vadovų, kurie įmonėje pasikliauja tik slaptažodžio autentifikavimu, du trečdaliai (66 %) tai daro, nes mano, kad slaptažodžiai užtikrina pakankamą informacijos, kurią jų įmonė turi apsaugoti, apsaugą (15 pav.).
Tačiau stiprūs autentifikavimo metodai tampa vis labiau paplitę. Daugiausia dėl to, kad jų prieinamumas didėja. Vis daugiau tapatybės ir prieigos valdymo (IAM) sistemų, naršyklių ir operacinių sistemų palaiko autentifikavimą naudojant kriptografinius prieigos raktus.
Stiprus autentifikavimas turi dar vieną pranašumą. Kadangi slaptažodis nebenaudojamas (pakeičiamas paprastu PIN kodu), darbuotojų prašymų pakeisti pamirštą slaptažodį nėra. O tai savo ruožtu sumažina įmonės IT skyriaus apkrovą.
Rezultatai ir išvados
- Vadovai dažnai neturi reikiamų žinių įvertinti tikras įvairių autentifikavimo parinkčių efektyvumas. Jie įpratę tokiais pasitikėti pasenusi saugos metodai, pvz., slaptažodžiai ir saugos klausimai, nes „tai veikė anksčiau“.
- Vartotojai vis dar turi šias žinias mažiau, jiems svarbiausia paprastumas ir patogumas. Kol jie neturi paskatos rinktis saugesni sprendimai.
- Pasirinktinių programų kūrėjai dažnai jokios priežastiesįdiegti dviejų veiksnių autentifikavimą, o ne autentifikavimą slaptažodžiu. Konkurencija dėl vartotojų programų apsaugos lygio ne.
- Visa atsakomybė už įsilaužimą perkelta vartotojui. Davė užpuolikui vienkartinį slaptažodį - kaltinti. Jūsų slaptažodis buvo perimtas arba apžiūrėtas – kaltinti. Nereikalavo, kad kūrėjas gaminyje naudotų patikimus autentifikavimo metodus - kaltinti.
- Teisingai reguliatorius pirmiausia turėtų reikalauti, kad įmonės įgyvendintų sprendimus, kurie blokas duomenų nutekėjimas (ypač dviejų veiksnių autentifikavimas), o ne baudimas jau įvyko duomenų nutekėjimas.
- Kai kurie programinės įrangos kūrėjai bando parduoti vartotojams senas ir ne itin patikimas sprendimai gražioje pakuotėje "novatoriškas" produktas. Pavyzdžiui, autentifikavimas susiejant su konkrečiu išmaniuoju telefonu arba naudojant biometrinius duomenis. Kaip matyti iš pranešimo, pasak tikrai patikimas Gali būti tik sprendimas, pagrįstas stipriu autentifikavimu, tai yra, kriptografiniais žetonais.
- Tas pats kriptografinis prieigos raktas gali būti naudojamas nemažai užduočių: dėl stiprus autentifikavimas įmonės operacinėje sistemoje, įmonių ir vartotojų programose Elektroninis parašas finansines operacijas (svarbu banko programoms), dokumentus ir el.
Šaltinis: www.habr.com