Tātad, kas notiks ar autentifikāciju un parolēm? Otrā daļa no Javelin Spēcīgas autentifikācijas stāvokļa ziņojuma

Nesen pētniecības uzņēmums Javelin Strategy & Research publicēja ziņojumu "Spēcīgas autentifikācijas stāvoklis 2019". Tās veidotāji apkopoja informāciju par to, kādas autentifikācijas metodes tiek izmantotas korporatīvajā vidē un patērētāju lietojumprogrammās, kā arī izdarīja interesantus secinājumus par spēcīgās autentifikācijas nākotni.

Pirmās daļas tulkojums ar ziņojuma autoru secinājumiem, mēs jau publicēts Habré. Un tagad mēs piedāvājam jūsu uzmanībai otro daļu - ar datiem un grafikiem.

No tulka

Es pilnībā nekopēšu visu tāda paša nosaukuma bloku no pirmās daļas, bet es joprojām dublēšu vienu rindkopu.

Visi skaitļi un fakti ir uzrādīti bez mazākajām izmaiņām, un, ja jūs tiem nepiekrītat, tad labāk strīdēties nevis ar tulkotāju, bet gan ar ziņojuma autoriem. Un šeit ir mani komentāri (izkārtoti kā citāti un atzīmēti tekstā itāļu valoda) ir mans vērtību spriedums, un es labprāt strīdēšos par katru no tiem (kā arī par tulkojuma kvalitāti).

Lietotāja autentifikācija

Kopš 2017. gada spēcīgās autentifikācijas izmantošana patērētāju lietojumprogrammās ir strauji augusi, galvenokārt pateicoties kriptogrāfiskās autentifikācijas metožu pieejamībai mobilajās ierīcēs, lai gan tikai nedaudz mazāka daļa uzņēmumu izmanto spēcīgo autentifikāciju interneta lietojumprogrammām.

Kopumā to uzņēmumu procentuālā daļa, kas savā biznesā izmanto spēcīgo autentifikāciju, trīskāršojās no 5% 2017. gadā līdz 16% 2018. gadā (3. attēls).

Iespēja izmantot spēcīgu autentifikāciju tīmekļa lietojumprogrammām joprojām ir ierobežota (tāpēc, ka tikai ļoti jaunas dažu pārlūkprogrammu versijas atbalsta mijiedarbību ar kriptogrāfiskajiem marķieriem, tomēr šo problēmu var atrisināt, instalējot papildu programmatūru, piemēram, Rutoken spraudnis), tāpēc daudzi uzņēmumi izmanto alternatīvas tiešsaistes autentifikācijas metodes, piemēram, programmas mobilajām ierīcēm, kas ģenerē vienreizējas paroles.

Aparatūras kriptogrāfiskās atslēgas (šeit mēs domājam tikai tos, kas atbilst FIDO standartiem), piemēram, tos, ko piedāvā Google, Feitian, One Span un Yubico, var izmantot spēcīgai autentifikācijai, neinstalējot papildu programmatūru galddatoros un klēpjdatoros (jo lielākā daļa pārlūkprogrammu jau atbalsta WebAuthn standartu no FIDO), taču tikai 3% uzņēmumu izmanto šo funkciju, lai pieteiktos saviem lietotājiem.

Kriptogrāfisko marķieru (piemēram, Rutoken EDS PKI) un slepenās atslēgas, kas darbojas saskaņā ar FIDO standartiem, ir ārpus šī ziņojuma darbības jomas, bet arī mani komentāri par to. Īsāk sakot, abu veidu marķieri izmanto līdzīgus algoritmus un darbības principus. FIDO marķierus pašlaik labāk atbalsta pārlūkprogrammu pārdevēji, lai gan tas drīz mainīsies, jo atbalstīs vairāk pārlūkprogrammu Web USB API. Bet klasiskie kriptogrāfiskie marķieri ir aizsargāti ar PIN kodu, var parakstīt elektroniskus dokumentus un var tikt izmantoti divu faktoru autentifikācijai operētājsistēmās Windows (jebkura versija), Linux un Mac OS X, ir API dažādām programmēšanas valodām, kas ļauj ieviest 2FA un elektronisko. paraksts galddatoru, mobilajās un tīmekļa lietojumprogrammās, un Krievijā ražotie marķieri atbalsta Krievijas GOST algoritmus. Jebkurā gadījumā kriptogrāfijas marķieris neatkarīgi no tā, ar kādu standartu tas ir izveidots, ir visuzticamākā un ērtākā autentifikācijas metode.

Papildus drošībai: citas spēcīgas autentifikācijas priekšrocības

Nav pārsteigums, ka spēcīgas autentifikācijas izmantošana ir cieši saistīta ar uzņēmuma uzglabāto datu nozīmi. Uzņēmumi, kas glabā sensitīvu personu identificējošu informāciju (PII), piemēram, sociālās apdrošināšanas numurus vai personas veselības informāciju (PHI), saskaras ar vislielāko juridisko un regulējošo spiedienu. Šie ir uzņēmumi, kas ir agresīvākie spēcīgas autentifikācijas atbalstītāji. Spiedienu uz uzņēmumiem pastiprina to klientu cerības, kuri vēlas zināt, ka organizācijas, kurām viņi uztic savus sensitīvākos datus, izmanto spēcīgas autentifikācijas metodes. Organizācijas, kas apstrādā sensitīvus PII vai PHI, vairāk nekā divas reizes biežāk izmanto spēcīgu autentifikāciju nekā organizācijas, kas glabā tikai lietotāju kontaktinformāciju (7. attēls).

Diemžēl uzņēmumi vēl nevēlas ieviest spēcīgas autentifikācijas metodes. Gandrīz trešdaļa biznesa lēmumu pieņēmēju uzskata paroles par visefektīvāko autentifikācijas metodi no visām 9. attēlā norādītajām, un 43% uzskata paroles par vienkāršāko autentifikācijas metodi.

Šī diagramma mums pierāda, ka biznesa lietojumprogrammu izstrādātāji visā pasaulē ir vieni un tie paši... Viņi nesaskata priekšrocības, ko sniedz uzlaboto konta piekļuves drošības mehānismu ieviešana, un viņiem ir vienādi maldīgi priekšstati. Un tikai regulatoru rīcība var mainīt situāciju.

Parolēm neaiztiksim. Bet kam ir jātic, lai ticētu, ka drošības jautājumi ir drošāki par kriptogrāfijas marķieriem? Kontroljautājumu, kas tiek vienkārši atlasīti, efektivitāte tika novērtēta uz 15%, bet ne uzlaužamiem žetoniem - tikai 10. Noskatieties vismaz filmu “Maldināšanas ilūzija”, kur, lai arī alegoriskā formā, ir parādīts, cik viegli burvji izvilināja visas nepieciešamās lietas no biznesmeņa-krāpnieka atbildēm un atstāja bez naudas.

Un vēl viens fakts, kas daudz pasaka par to kvalifikāciju, kuri ir atbildīgi par drošības mehānismiem lietotāju lietojumprogrammās. Viņu izpratnē paroles ievadīšanas process ir vienkāršāka darbība nekā autentifikācija, izmantojot kriptogrāfisko marķieri. Lai gan šķiet, ka varētu būt vienkāršāk savienot marķieri ar USB portu un ievadīt vienkāršu PIN kodu.

Svarīgi ir tas, ka spēcīgas autentifikācijas ieviešana ļauj uzņēmumiem pāriet no domām par autentifikācijas metodēm un darbības noteikumiem, kas nepieciešami krāpniecisku shēmu bloķēšanai, lai apmierinātu klientu patiesās vajadzības.

Lai gan atbilstība normatīvajiem aktiem ir saprātīga galvenā prioritāte gan uzņēmumiem, kas izmanto spēcīgu autentifikāciju, gan tiem, kas to neizmanto, uzņēmumi, kas jau izmanto spēcīgu autentifikāciju, daudz biežāk apgalvo, ka klientu lojalitātes palielināšana ir vissvarīgākais rādītājs, ko viņi ņem vērā, novērtējot autentifikāciju. metodi. (18% pret 12%) (10. attēls).

Uzņēmuma autentifikācija

Kopš 2017. gada spēcīgās autentifikācijas ieviešana uzņēmumos ir pieaugusi, taču nedaudz mazākā tempā nekā patērētāju lietojumprogrammās. Spēcīgo autentifikāciju izmantojošo uzņēmumu īpatsvars pieauga no 7% 2017. gadā līdz 12% 2018. gadā. Atšķirībā no patērētāju lietojumprogrammām, uzņēmumu vidē ar paroli nesaistītu autentifikācijas metožu izmantošana tīmekļa lietojumprogrammās ir nedaudz izplatītāka nekā mobilajās ierīcēs. Apmēram puse uzņēmumu ziņo, ka, piesakoties, izmanto tikai lietotājvārdus un paroles, lai autentificētu lietotājus, turklāt katrs piektais (22%), piekļūstot sensitīviem datiem, paļaujas tikai uz parolēm sekundārajai autentifikācijai (tas ir, lietotājs vispirms piesakās lietojumprogrammā, izmantojot vienkāršāku autentifikācijas metodi, un, ja viņš vēlas piekļūt kritiskiem datiem, viņš veiks citu autentifikācijas procedūru, šoreiz parasti izmantojot uzticamāku metodi.).

Jums jāsaprot, ka pārskatā nav ņemta vērā kriptogrāfisko marķieru izmantošana divu faktoru autentifikācijai operētājsistēmās Windows, Linux un Mac OS X. Un tas pašlaik ir visizplatītākais 2FA lietojums. (Diemžēl marķieri, kas izveidoti saskaņā ar FIDO standartiem, var ieviest 2FA tikai operētājsistēmai Windows 10).

Turklāt, ja 2FA ieviešanai tiešsaistes un mobilajās lietojumprogrammās ir nepieciešams pasākumu kopums, tostarp šo lietojumprogrammu modificēšana, tad, lai ieviestu 2FA operētājsistēmā Windows, jums ir jākonfigurē tikai PKI (piemēram, pamatojoties uz Microsoft Certification Server) un autentifikācijas politikas. AD.

Un tā kā darba datora un domēna pieteikšanās aizsardzība ir svarīgs uzņēmuma datu aizsardzības elements, divu faktoru autentifikācijas ieviešana kļūst arvien izplatītāka.

Nākamās divas visizplatītākās metodes lietotāju autentificēšanai, piesakoties, ir vienreizējās paroles, kas tiek nodrošinātas, izmantojot atsevišķu lietotni (13% uzņēmumu), un vienreizējās paroles, kas tiek piegādātas, izmantojot SMS (12%). Neskatoties uz to, ka abu metožu izmantošanas procenti ir ļoti līdzīgi, OTP SMS visbiežāk tiek izmantota autorizācijas līmeņa paaugstināšanai (24% uzņēmumu). (12. attēls).

Spēcīgas autentifikācijas izmantošanas pieaugumu uzņēmumā, iespējams, var saistīt ar kriptogrāfiskās autentifikācijas ieviešanas pieaugošo pieejamību uzņēmuma identitātes pārvaldības platformās (citiem vārdiem sakot, uzņēmuma SSO un IAM sistēmas ir iemācījušies izmantot marķierus).

Darbinieku un darbuzņēmēju mobilajā autentificēšanā uzņēmumi vairāk paļaujas uz parolēm, nevis autentifikāciju patērētāju lietojumprogrammās. Nedaudz vairāk kā puse (53%) uzņēmumu izmanto paroles, autentificējot lietotāju piekļuvi uzņēmuma datiem, izmantojot mobilo ierīci (13. attēls).

Mobilo ierīču gadījumā varētu ticēt biometrijas lielajam spēkam, ja ne daudzie viltotu pirkstu nospiedumu, balsu, seju un pat varavīksneņu gadījumi. Viens meklētājprogrammas vaicājums atklās, ka uzticama biometriskās autentifikācijas metode vienkārši nepastāv. Patiesi precīzi sensori, protams, pastāv, taču tie ir ļoti dārgi un liela izmēra – un viedtālruņos netiek uzstādīti.

Tāpēc vienīgā funkcionējošā 2FA metode mobilajās ierīcēs ir kriptogrāfisko marķieru izmantošana, kas savienojas ar viedtālruni, izmantojot NFC, Bluetooth un USB Type-C saskarnes.

Uzņēmuma finanšu datu aizsardzība ir galvenais iemesls ieguldīt bezparoles autentifikācijā (44%), un tas ir visstraujākais pieaugums kopš 2017. gada (pieaugums par astoņiem procentpunktiem). Tam seko intelektuālā īpašuma aizsardzība (40%) un personāla (HR) datu aizsardzība (39%). Un ir skaidrs, kāpēc – ar šāda veida datiem saistītā vērtība ir ne tikai plaši atzīta, bet ar tiem strādā salīdzinoši maz darbinieku. Tas ir, ieviešanas izmaksas nav tik lielas, un tikai daži cilvēki ir jāapmāca darbam ar sarežģītāku autentifikācijas sistēmu. Turpretim datu un ierīču veidi, kuriem vairums uzņēmuma darbinieku regulāri piekļūst, joprojām ir aizsargāti tikai ar parolēm. Darbinieku dokumenti, darbstacijas un korporatīvo e-pasta portāli ir vislielākā riska jomas, jo tikai ceturtā daļa uzņēmumu aizsargā šos līdzekļus ar bezparoles autentifikāciju (14. attēls).

Kopumā korporatīvais e-pasts ir ļoti bīstama un necaurlaidīga lieta, kuras potenciālās bīstamības pakāpi vairums CIO nenovērtē par zemu. Darbinieki katru dienu saņem desmitiem e-pasta ziņojumu, tāpēc kāpēc gan neiekļaut vismaz vienu pikšķerēšanas (tas ir, krāpniecisku) e-pastu. Šī vēstule tiks noformēta uzņēmuma vēstuļu stilā, tāpēc darbinieks jutīsies ērti, noklikšķinot uz šajā vēstulē esošās saites. Tad var gadīties jebkas, piemēram, uzbruktajā mašīnā lejupielādēt vīrusu vai nopludināt paroles (tostarp izmantojot sociālo inženieriju, ievadot uzbrucēja izveidoto viltotu autentifikācijas veidlapu).

Lai šādas lietas nenotiktu, e-pasta ziņojumi ir jāparaksta. Tad uzreiz būs skaidrs, kuru vēstuli veidojis likumīgs darbinieks un kuru uzbrucējs. Piemēram, programmā Outlook/Exchange uz kriptogrāfiskiem marķieriem balstīti elektroniskie paraksti tiek iespējoti diezgan ātri un vienkārši, un tos var izmantot kopā ar divu faktoru autentifikāciju personālajos datoros un Windows domēnos.

No tiem vadītājiem, kuri paļaujas tikai uz paroles autentifikāciju uzņēmumā, divas trešdaļas (66%) to dara, jo uzskata, ka paroles nodrošina pietiekamu drošību tāda veida informācijai, kas viņu uzņēmumam ir jāaizsargā (15. attēls).

Taču spēcīgas autentifikācijas metodes kļūst arvien izplatītākas. Lielā mērā tāpēc, ka to pieejamība pieaug. Arvien vairāk identitātes un piekļuves pārvaldības (IAM) sistēmu, pārlūkprogrammu un operētājsistēmu atbalsta autentifikāciju, izmantojot kriptogrāfijas marķierus.

Spēcīgai autentifikācijai ir vēl viena priekšrocība. Tā kā parole vairs netiek lietota (aizstāta ar vienkāršu PIN), tad no darbiniekiem nav lūgumu nomainīt aizmirsto paroli. Tas savukārt samazina uzņēmuma IT nodaļas slodzi.

Rezultāti un secinājumi

1. Vadītājiem bieži vien nav nepieciešamo zināšanu, lai novērtētu īsts dažādu autentifikācijas iespēju efektivitāte. Viņi ir pieraduši uzticēties tādiem novecojis drošības metodes, piemēram, paroles un drošības jautājumi, vienkārši tāpēc, ka “tas darbojās iepriekš”.
2. Lietotājiem joprojām ir šīs zināšanas mazāk, viņiem galvenais ir vienkāršība un ērtības. Kamēr viņiem nav stimula izvēlēties drošāki risinājumi.
3. Pielāgotu lietojumprogrammu izstrādātāji bieži nav iemeslalai ieviestu divu faktoru autentifikāciju paroles autentifikācijas vietā. Konkurence lietotāju lietojumprogrammu aizsardzības līmenī nē.
4. Pilna atbildība par uzlaušanu pāriet uz lietotāju. Iedeva uzbrucējam vienreizējo paroli - vainīgs. Jūsu parole tika pārtverta vai izspiegota - vainīgs. Neprasīja izstrādātājam produktā izmantot uzticamas autentifikācijas metodes - vainīgs.
5. Pareizi regulators pirmkārt būtu jāpieprasa uzņēmumiem ieviest risinājumus, kas bloķēt datu noplūde (jo īpaši divu faktoru autentifikācija), nevis sodīšana jau noticis datu noplūde.
6. Daži programmatūras izstrādātāji cenšas pārdot patērētājiem vecs un ne īpaši uzticams risinājumi skaistā iepakojumā "novatorisks" produkts. Piemēram, autentifikācija, izveidojot saiti ar konkrētu viedtālruni vai izmantojot biometriskos datus. Kā redzams no ziņojuma, saskaņā ar patiesi uzticams Var būt tikai risinājums, kura pamatā ir spēcīga autentifikācija, tas ir, kriptogrāfiskie marķieri.
7. Tas pats kriptogrāfisko marķieri var izmantot vairākus uzdevumus: priekš spēcīga autentifikācija uzņēmuma operētājsistēmā, korporatīvajās un lietotāju lietojumprogrammās Elektroniskais paraksts finanšu darījumi (svarīgi banku lietojumprogrammām), dokumenti un e-pasts.

Avots: www.habr.com