ProHoster > Blogs > interneta ziÅas > TÄtad, kas notiks ar autentifikÄciju un parolÄm? OtrÄ daļa no Javelin SpÄcÄ«gas autentifikÄcijas stÄvokļa ziÅojuma
TÄtad, kas notiks ar autentifikÄciju un parolÄm? OtrÄ daļa no Javelin SpÄcÄ«gas autentifikÄcijas stÄvokļa ziÅojuma
Nesen pÄtniecÄ«bas uzÅÄmums Javelin Strategy & Research publicÄja ziÅojumu "SpÄcÄ«gas autentifikÄcijas stÄvoklis 2019". TÄs veidotÄji apkopoja informÄciju par to, kÄdas autentifikÄcijas metodes tiek izmantotas korporatÄ«vajÄ vidÄ un patÄrÄtÄju lietojumprogrammÄs, kÄ arÄ« izdarÄ«ja interesantus secinÄjumus par spÄcÄ«gÄs autentifikÄcijas nÄkotni.
Es pilnÄ«bÄ nekopÄÅ”u visu tÄda paÅ”a nosaukuma bloku no pirmÄs daļas, bet es joprojÄm dublÄÅ”u vienu rindkopu.
Visi skaitļi un fakti ir uzrÄdÄ«ti bez mazÄkajÄm izmaiÅÄm, un, ja jÅ«s tiem nepiekrÄ«tat, tad labÄk strÄ«dÄties nevis ar tulkotÄju, bet gan ar ziÅojuma autoriem. Un Å”eit ir mani komentÄri (izkÄrtoti kÄ citÄti un atzÄ«mÄti tekstÄ itÄļu valoda) ir mans vÄrtÄ«bu spriedums, un es labprÄt strÄ«dÄÅ”os par katru no tiem (kÄ arÄ« par tulkojuma kvalitÄti).
LietotÄja autentifikÄcija
KopÅ” 2017. gada spÄcÄ«gÄs autentifikÄcijas izmantoÅ”ana patÄrÄtÄju lietojumprogrammÄs ir strauji augusi, galvenokÄrt pateicoties kriptogrÄfiskÄs autentifikÄcijas metožu pieejamÄ«bai mobilajÄs ierÄ«cÄs, lai gan tikai nedaudz mazÄka daļa uzÅÄmumu izmanto spÄcÄ«go autentifikÄciju interneta lietojumprogrammÄm.
KopumÄ to uzÅÄmumu procentuÄlÄ daļa, kas savÄ biznesÄ izmanto spÄcÄ«go autentifikÄciju, trÄ«skÄrÅ”ojÄs no 5% 2017. gadÄ lÄ«dz 16% 2018. gadÄ (3. attÄls).
IespÄja izmantot spÄcÄ«gu autentifikÄciju tÄ«mekļa lietojumprogrammÄm joprojÄm ir ierobežota (tÄpÄc, ka tikai ļoti jaunas dažu pÄrlÅ«kprogrammu versijas atbalsta mijiedarbÄ«bu ar kriptogrÄfiskajiem marÄ·ieriem, tomÄr Å”o problÄmu var atrisinÄt, instalÄjot papildu programmatÅ«ru, piemÄram, Rutoken spraudnis), tÄpÄc daudzi uzÅÄmumi izmanto alternatÄ«vas tieÅ”saistes autentifikÄcijas metodes, piemÄram, programmas mobilajÄm ierÄ«cÄm, kas Ä£enerÄ vienreizÄjas paroles.
AparatÅ«ras kriptogrÄfiskÄs atslÄgas (Å”eit mÄs domÄjam tikai tos, kas atbilst FIDO standartiem), piemÄram, tos, ko piedÄvÄ Google, Feitian, One Span un Yubico, var izmantot spÄcÄ«gai autentifikÄcijai, neinstalÄjot papildu programmatÅ«ru galddatoros un klÄpjdatoros (jo lielÄkÄ daļa pÄrlÅ«kprogrammu jau atbalsta WebAuthn standartu no FIDO), taÄu tikai 3% uzÅÄmumu izmanto Å”o funkciju, lai pieteiktos saviem lietotÄjiem.
KriptogrÄfisko marÄ·ieru (piemÄram, Rutoken EDS PKI) un slepenÄs atslÄgas, kas darbojas saskaÅÄ ar FIDO standartiem, ir Ärpus Ŕī ziÅojuma darbÄ«bas jomas, bet arÄ« mani komentÄri par to. ÄŖsÄk sakot, abu veidu marÄ·ieri izmanto lÄ«dzÄ«gus algoritmus un darbÄ«bas principus. FIDO marÄ·ierus paÅ”laik labÄk atbalsta pÄrlÅ«kprogrammu pÄrdevÄji, lai gan tas drÄ«z mainÄ«sies, jo atbalstÄ«s vairÄk pÄrlÅ«kprogrammu Web USB API. Bet klasiskie kriptogrÄfiskie marÄ·ieri ir aizsargÄti ar PIN kodu, var parakstÄ«t elektroniskus dokumentus un var tikt izmantoti divu faktoru autentifikÄcijai operÄtÄjsistÄmÄs Windows (jebkura versija), Linux un Mac OS X, ir API dažÄdÄm programmÄÅ”anas valodÄm, kas ļauj ieviest 2FA un elektronisko. paraksts galddatoru, mobilajÄs un tÄ«mekļa lietojumprogrammÄs, un KrievijÄ ražotie marÄ·ieri atbalsta Krievijas GOST algoritmus. JebkurÄ gadÄ«jumÄ kriptogrÄfijas marÄ·ieris neatkarÄ«gi no tÄ, ar kÄdu standartu tas ir izveidots, ir visuzticamÄkÄ un ÄrtÄkÄ autentifikÄcijas metode.
Papildus droŔībai: citas spÄcÄ«gas autentifikÄcijas priekÅ”rocÄ«bas
Nav pÄrsteigums, ka spÄcÄ«gas autentifikÄcijas izmantoÅ”ana ir cieÅ”i saistÄ«ta ar uzÅÄmuma uzglabÄto datu nozÄ«mi. UzÅÄmumi, kas glabÄ sensitÄ«vu personu identificÄjoÅ”u informÄciju (PII), piemÄram, sociÄlÄs apdroÅ”inÄÅ”anas numurus vai personas veselÄ«bas informÄciju (PHI), saskaras ar vislielÄko juridisko un regulÄjoÅ”o spiedienu. Å ie ir uzÅÄmumi, kas ir agresÄ«vÄkie spÄcÄ«gas autentifikÄcijas atbalstÄ«tÄji. Spiedienu uz uzÅÄmumiem pastiprina to klientu cerÄ«bas, kuri vÄlas zinÄt, ka organizÄcijas, kurÄm viÅi uztic savus sensitÄ«vÄkos datus, izmanto spÄcÄ«gas autentifikÄcijas metodes. OrganizÄcijas, kas apstrÄdÄ sensitÄ«vus PII vai PHI, vairÄk nekÄ divas reizes biežÄk izmanto spÄcÄ«gu autentifikÄciju nekÄ organizÄcijas, kas glabÄ tikai lietotÄju kontaktinformÄciju (7. attÄls).
DiemžÄl uzÅÄmumi vÄl nevÄlas ieviest spÄcÄ«gas autentifikÄcijas metodes. GandrÄ«z treÅ”daļa biznesa lÄmumu pieÅÄmÄju uzskata paroles par visefektÄ«vÄko autentifikÄcijas metodi no visÄm 9. attÄlÄ norÄdÄ«tajÄm, un 43% uzskata paroles par vienkÄrÅ”Äko autentifikÄcijas metodi.
Å Ä« diagramma mums pierÄda, ka biznesa lietojumprogrammu izstrÄdÄtÄji visÄ pasaulÄ ir vieni un tie paÅ”i... ViÅi nesaskata priekÅ”rocÄ«bas, ko sniedz uzlaboto konta piekļuves droŔības mehÄnismu ievieÅ”ana, un viÅiem ir vienÄdi maldÄ«gi priekÅ”stati. Un tikai regulatoru rÄ«cÄ«ba var mainÄ«t situÄciju.
ParolÄm neaiztiksim. Bet kam ir jÄtic, lai ticÄtu, ka droŔības jautÄjumi ir droÅ”Äki par kriptogrÄfijas marÄ·ieriem? KontroljautÄjumu, kas tiek vienkÄrÅ”i atlasÄ«ti, efektivitÄte tika novÄrtÄta uz 15%, bet ne uzlaužamiem žetoniem - tikai 10. Noskatieties vismaz filmu āMaldinÄÅ”anas ilÅ«zijaā, kur, lai arÄ« alegoriskÄ formÄ, ir parÄdÄ«ts, cik viegli burvji izvilinÄja visas nepiecieÅ”amÄs lietas no biznesmeÅa-krÄpnieka atbildÄm un atstÄja bez naudas.
Un vÄl viens fakts, kas daudz pasaka par to kvalifikÄciju, kuri ir atbildÄ«gi par droŔības mehÄnismiem lietotÄju lietojumprogrammÄs. ViÅu izpratnÄ paroles ievadÄ«Å”anas process ir vienkÄrÅ”Äka darbÄ«ba nekÄ autentifikÄcija, izmantojot kriptogrÄfisko marÄ·ieri. Lai gan Ŕķiet, ka varÄtu bÅ«t vienkÄrÅ”Äk savienot marÄ·ieri ar USB portu un ievadÄ«t vienkÄrÅ”u PIN kodu.
SvarÄ«gi ir tas, ka spÄcÄ«gas autentifikÄcijas ievieÅ”ana ļauj uzÅÄmumiem pÄriet no domÄm par autentifikÄcijas metodÄm un darbÄ«bas noteikumiem, kas nepiecieÅ”ami krÄpniecisku shÄmu bloÄ·ÄÅ”anai, lai apmierinÄtu klientu patiesÄs vajadzÄ«bas.
Lai gan atbilstÄ«ba normatÄ«vajiem aktiem ir saprÄtÄ«ga galvenÄ prioritÄte gan uzÅÄmumiem, kas izmanto spÄcÄ«gu autentifikÄciju, gan tiem, kas to neizmanto, uzÅÄmumi, kas jau izmanto spÄcÄ«gu autentifikÄciju, daudz biežÄk apgalvo, ka klientu lojalitÄtes palielinÄÅ”ana ir vissvarÄ«gÄkais rÄdÄ«tÄjs, ko viÅi Åem vÄrÄ, novÄrtÄjot autentifikÄciju. metodi. (18% pret 12%) (10. attÄls).
UzÅÄmuma autentifikÄcija
KopÅ” 2017. gada spÄcÄ«gÄs autentifikÄcijas ievieÅ”ana uzÅÄmumos ir pieaugusi, taÄu nedaudz mazÄkÄ tempÄ nekÄ patÄrÄtÄju lietojumprogrammÄs. SpÄcÄ«go autentifikÄciju izmantojoÅ”o uzÅÄmumu Ä«patsvars pieauga no 7% 2017. gadÄ lÄ«dz 12% 2018. gadÄ. AtŔķirÄ«bÄ no patÄrÄtÄju lietojumprogrammÄm, uzÅÄmumu vidÄ ar paroli nesaistÄ«tu autentifikÄcijas metožu izmantoÅ”ana tÄ«mekļa lietojumprogrammÄs ir nedaudz izplatÄ«tÄka nekÄ mobilajÄs ierÄ«cÄs. ApmÄram puse uzÅÄmumu ziÅo, ka, piesakoties, izmanto tikai lietotÄjvÄrdus un paroles, lai autentificÄtu lietotÄjus, turklÄt katrs piektais (22%), piekļūstot sensitÄ«viem datiem, paļaujas tikai uz parolÄm sekundÄrajai autentifikÄcijai (tas ir, lietotÄjs vispirms piesakÄs lietojumprogrammÄ, izmantojot vienkÄrÅ”Äku autentifikÄcijas metodi, un, ja viÅÅ” vÄlas piekļūt kritiskiem datiem, viÅÅ” veiks citu autentifikÄcijas procedÅ«ru, Å”oreiz parasti izmantojot uzticamÄku metodi.).
Jums jÄsaprot, ka pÄrskatÄ nav Åemta vÄrÄ kriptogrÄfisko marÄ·ieru izmantoÅ”ana divu faktoru autentifikÄcijai operÄtÄjsistÄmÄs Windows, Linux un Mac OS X. Un tas paÅ”laik ir visizplatÄ«tÄkais 2FA lietojums. (DiemžÄl marÄ·ieri, kas izveidoti saskaÅÄ ar FIDO standartiem, var ieviest 2FA tikai operÄtÄjsistÄmai Windows 10).
TurklÄt, ja 2FA ievieÅ”anai tieÅ”saistes un mobilajÄs lietojumprogrammÄs ir nepiecieÅ”ams pasÄkumu kopums, tostarp Å”o lietojumprogrammu modificÄÅ”ana, tad, lai ieviestu 2FA operÄtÄjsistÄmÄ Windows, jums ir jÄkonfigurÄ tikai PKI (piemÄram, pamatojoties uz Microsoft Certification Server) un autentifikÄcijas politikas. AD.
Un tÄ kÄ darba datora un domÄna pieteikÅ”anÄs aizsardzÄ«ba ir svarÄ«gs uzÅÄmuma datu aizsardzÄ«bas elements, divu faktoru autentifikÄcijas ievieÅ”ana kļūst arvien izplatÄ«tÄka.
NÄkamÄs divas visizplatÄ«tÄkÄs metodes lietotÄju autentificÄÅ”anai, piesakoties, ir vienreizÄjÄs paroles, kas tiek nodroÅ”inÄtas, izmantojot atseviŔķu lietotni (13% uzÅÄmumu), un vienreizÄjÄs paroles, kas tiek piegÄdÄtas, izmantojot SMS (12%). Neskatoties uz to, ka abu metožu izmantoÅ”anas procenti ir ļoti lÄ«dzÄ«gi, OTP SMS visbiežÄk tiek izmantota autorizÄcijas lÄ«meÅa paaugstinÄÅ”anai (24% uzÅÄmumu). (12. attÄls).
SpÄcÄ«gas autentifikÄcijas izmantoÅ”anas pieaugumu uzÅÄmumÄ, iespÄjams, var saistÄ«t ar kriptogrÄfiskÄs autentifikÄcijas ievieÅ”anas pieaugoÅ”o pieejamÄ«bu uzÅÄmuma identitÄtes pÄrvaldÄ«bas platformÄs (citiem vÄrdiem sakot, uzÅÄmuma SSO un IAM sistÄmas ir iemÄcÄ«juÅ”ies izmantot marÄ·ierus).
Darbinieku un darbuzÅÄmÄju mobilajÄ autentificÄÅ”anÄ uzÅÄmumi vairÄk paļaujas uz parolÄm, nevis autentifikÄciju patÄrÄtÄju lietojumprogrammÄs. Nedaudz vairÄk kÄ puse (53%) uzÅÄmumu izmanto paroles, autentificÄjot lietotÄju piekļuvi uzÅÄmuma datiem, izmantojot mobilo ierÄ«ci (13. attÄls).
Mobilo ierÄ«Äu gadÄ«jumÄ varÄtu ticÄt biometrijas lielajam spÄkam, ja ne daudzie viltotu pirkstu nospiedumu, balsu, seju un pat varavÄ«ksneÅu gadÄ«jumi. Viens meklÄtÄjprogrammas vaicÄjums atklÄs, ka uzticama biometriskÄs autentifikÄcijas metode vienkÄrÅ”i nepastÄv. Patiesi precÄ«zi sensori, protams, pastÄv, taÄu tie ir ļoti dÄrgi un liela izmÄra ā un viedtÄlruÅos netiek uzstÄdÄ«ti.
TÄpÄc vienÄ«gÄ funkcionÄjoÅ”Ä 2FA metode mobilajÄs ierÄ«cÄs ir kriptogrÄfisko marÄ·ieru izmantoÅ”ana, kas savienojas ar viedtÄlruni, izmantojot NFC, Bluetooth un USB Type-C saskarnes.
UzÅÄmuma finanÅ”u datu aizsardzÄ«ba ir galvenais iemesls ieguldÄ«t bezparoles autentifikÄcijÄ (44%), un tas ir visstraujÄkais pieaugums kopÅ” 2017. gada (pieaugums par astoÅiem procentpunktiem). Tam seko intelektuÄlÄ Ä«paÅ”uma aizsardzÄ«ba (40%) un personÄla (HR) datu aizsardzÄ«ba (39%). Un ir skaidrs, kÄpÄc ā ar Å”Äda veida datiem saistÄ«tÄ vÄrtÄ«ba ir ne tikai plaÅ”i atzÄ«ta, bet ar tiem strÄdÄ salÄ«dzinoÅ”i maz darbinieku. Tas ir, ievieÅ”anas izmaksas nav tik lielas, un tikai daži cilvÄki ir jÄapmÄca darbam ar sarežģītÄku autentifikÄcijas sistÄmu. Turpretim datu un ierÄ«Äu veidi, kuriem vairums uzÅÄmuma darbinieku regulÄri piekļūst, joprojÄm ir aizsargÄti tikai ar parolÄm. Darbinieku dokumenti, darbstacijas un korporatÄ«vo e-pasta portÄli ir vislielÄkÄ riska jomas, jo tikai ceturtÄ daļa uzÅÄmumu aizsargÄ Å”os lÄ«dzekļus ar bezparoles autentifikÄciju (14. attÄls).
KopumÄ korporatÄ«vais e-pasts ir ļoti bÄ«stama un necaurlaidÄ«ga lieta, kuras potenciÄlÄs bÄ«stamÄ«bas pakÄpi vairums CIO nenovÄrtÄ par zemu. Darbinieki katru dienu saÅem desmitiem e-pasta ziÅojumu, tÄpÄc kÄpÄc gan neiekļaut vismaz vienu pikŔķerÄÅ”anas (tas ir, krÄpniecisku) e-pastu. Å Ä« vÄstule tiks noformÄta uzÅÄmuma vÄstuļu stilÄ, tÄpÄc darbinieks jutÄ«sies Ärti, noklikŔķinot uz Å”ajÄ vÄstulÄ esoÅ”Äs saites. Tad var gadÄ«ties jebkas, piemÄram, uzbruktajÄ maŔīnÄ lejupielÄdÄt vÄ«rusu vai nopludinÄt paroles (tostarp izmantojot sociÄlo inženieriju, ievadot uzbrucÄja izveidoto viltotu autentifikÄcijas veidlapu).
Lai Å”Ädas lietas nenotiktu, e-pasta ziÅojumi ir jÄparaksta. Tad uzreiz bÅ«s skaidrs, kuru vÄstuli veidojis likumÄ«gs darbinieks un kuru uzbrucÄjs. PiemÄram, programmÄ Outlook/Exchange uz kriptogrÄfiskiem marÄ·ieriem balstÄ«ti elektroniskie paraksti tiek iespÄjoti diezgan Ätri un vienkÄrÅ”i, un tos var izmantot kopÄ ar divu faktoru autentifikÄciju personÄlajos datoros un Windows domÄnos.
No tiem vadÄ«tÄjiem, kuri paļaujas tikai uz paroles autentifikÄciju uzÅÄmumÄ, divas treÅ”daļas (66%) to dara, jo uzskata, ka paroles nodroÅ”ina pietiekamu droŔību tÄda veida informÄcijai, kas viÅu uzÅÄmumam ir jÄaizsargÄ (15. attÄls).
TaÄu spÄcÄ«gas autentifikÄcijas metodes kļūst arvien izplatÄ«tÄkas. LielÄ mÄrÄ tÄpÄc, ka to pieejamÄ«ba pieaug. Arvien vairÄk identitÄtes un piekļuves pÄrvaldÄ«bas (IAM) sistÄmu, pÄrlÅ«kprogrammu un operÄtÄjsistÄmu atbalsta autentifikÄciju, izmantojot kriptogrÄfijas marÄ·ierus.
SpÄcÄ«gai autentifikÄcijai ir vÄl viena priekÅ”rocÄ«ba. TÄ kÄ parole vairs netiek lietota (aizstÄta ar vienkÄrÅ”u PIN), tad no darbiniekiem nav lÅ«gumu nomainÄ«t aizmirsto paroli. Tas savukÄrt samazina uzÅÄmuma IT nodaļas slodzi.
RezultÄti un secinÄjumi
VadÄ«tÄjiem bieži vien nav nepiecieÅ”amo zinÄÅ”anu, lai novÄrtÄtu Ä«sts dažÄdu autentifikÄcijas iespÄju efektivitÄte. ViÅi ir pieraduÅ”i uzticÄties tÄdiem novecojis droŔības metodes, piemÄram, paroles un droŔības jautÄjumi, vienkÄrÅ”i tÄpÄc, ka ātas darbojÄs iepriekÅ”ā.
LietotÄjiem joprojÄm ir Ŕīs zinÄÅ”anas mazÄk, viÅiem galvenais ir vienkÄrŔība un ÄrtÄ«bas. KamÄr viÅiem nav stimula izvÄlÄties droÅ”Äki risinÄjumi.
PielÄgotu lietojumprogrammu izstrÄdÄtÄji bieži nav iemeslalai ieviestu divu faktoru autentifikÄciju paroles autentifikÄcijas vietÄ. Konkurence lietotÄju lietojumprogrammu aizsardzÄ«bas lÄ«menÄ« nÄ.
Pilna atbildÄ«ba par uzlauÅ”anu pÄriet uz lietotÄju. Iedeva uzbrucÄjam vienreizÄjo paroli - vainÄ«gs. JÅ«su parole tika pÄrtverta vai izspiegota - vainÄ«gs. NeprasÄ«ja izstrÄdÄtÄjam produktÄ izmantot uzticamas autentifikÄcijas metodes - vainÄ«gs.
Pareizi regulators pirmkÄrt bÅ«tu jÄpieprasa uzÅÄmumiem ieviest risinÄjumus, kas bloÄ·Ät datu noplÅ«de (jo Ä«paÅ”i divu faktoru autentifikÄcija), nevis sodÄ«Å”ana jau noticis datu noplÅ«de.
Daži programmatÅ«ras izstrÄdÄtÄji cenÅ”as pÄrdot patÄrÄtÄjiem vecs un ne Ä«paÅ”i uzticams risinÄjumi skaistÄ iepakojumÄ "novatorisks" produkts. PiemÄram, autentifikÄcija, izveidojot saiti ar konkrÄtu viedtÄlruni vai izmantojot biometriskos datus. KÄ redzams no ziÅojuma, saskaÅÄ ar patiesi uzticams Var bÅ«t tikai risinÄjums, kura pamatÄ ir spÄcÄ«ga autentifikÄcija, tas ir, kriptogrÄfiskie marÄ·ieri.
Tas pats kriptogrÄfisko marÄ·ieri var izmantot vairÄkus uzdevumus: priekÅ” spÄcÄ«ga autentifikÄcija uzÅÄmuma operÄtÄjsistÄmÄ, korporatÄ«vajÄs un lietotÄju lietojumprogrammÄs Elektroniskais paraksts finanÅ”u darÄ«jumi (svarÄ«gi banku lietojumprogrammÄm), dokumenti un e-pasts.