Саяхан судалгааны Javelin Strategy & Research компани "Хүчтэй нотолгооны байдал 2019" тайланг нийтэлжээ. Үүнийг бүтээгчид корпорацийн орчин, хэрэглэгчийн хэрэглээнд гэрчлэлийн ямар аргыг ашигладаг талаар мэдээлэл цуглуулж, хүчирхэг баталгаажуулалтын ирээдүйн талаар сонирхолтой дүгнэлт хийсэн.
Илтгэлийн зохиогчдын дүгнэлт бүхий эхний хэсгийн орчуулга, бид . Одоо бид хоёр дахь хэсгийг өгөгдөл, графикаар танилцуулж байна.
Орчуулагчаас
Би эхний хэсгээс ижил нэртэй блокийг бүхэлд нь хуулахгүй, гэхдээ би нэг догол мөрийг хуулбарлах болно.
Бүх тоо баримт, баримтуудыг өчүүхэн ч өөрчлөлтгүйгээр танилцуулсан бөгөөд хэрэв та тэдгээртэй санал нийлэхгүй бол орчуулагчтай биш, харин илтгэлийн зохиогчидтой маргах нь дээр. Энд миний тайлбарууд байна (ишлэл болгон гаргаж, текстэнд тэмдэглэсэн итали) нь миний үнэлэмж бөгөөд би тэдгээр тус бүрийн талаар (мөн орчуулгын чанарын талаар) маргахдаа баяртай байх болно.
Хэрэглэгчийн баталгаажуулалт
2017 оноос хойш хэрэглэгчдийн хэрэглээний программуудад хүчтэй нэвтрэлт танилтыг ашиглах нь эрс өссөн бөгөөд энэ нь гар утасны төхөөрөмж дээр криптографийн баталгаажуулалтын аргууд байгаатай холбоотой боловч компаниудын багахан хувь нь интернет програмуудад хүчтэй нэвтрэлт танилтыг ашигладаг.
Ерөнхийдөө бизнестээ хүчтэй баталгаажуулалтыг ашигладаг компаниудын хувь 5 онд 2017% байсан бол 16 онд 2018% болж гурав дахин өссөн байна (Зураг 3).
Вэб аппликешнүүдэд хүчтэй нэвтрэлт танилтыг ашиглах боломж хязгаарлагдмал хэвээр байна (Зарим хөтчүүдийн зөвхөн маш шинэ хувилбарууд нь криптограф жетонуудтай ажиллахыг дэмждэг тул энэ асуудлыг нэмэлт програм хангамж суулгах замаар шийдэж болно. ), тиймээс олон компаниуд нэг удаагийн нууц үг үүсгэдэг гар утасны төхөөрөмжүүдэд зориулсан програмууд гэх мэт онлайн баталгаажуулалтын өөр аргыг ашигладаг.
Техник хангамжийн криптографийн түлхүүрүүд (Энд бид зөвхөн FIDO стандартыг дагаж мөрддөг хүмүүсийг л хэлж байна), Google, Feitian, One Span, Yubico зэрэг компаниудын санал болгож буй программыг ширээний компьютер болон зөөврийн компьютер дээр нэмэлт программ суулгахгүйгээр хүчтэй баталгаажуулалт хийхэд ашиглаж болно (Учир нь ихэнх хөтчүүд FIDO-ийн WebAuthn стандартыг аль хэдийн дэмждэг), гэхдээ компаниудын зөвхөн 3% нь хэрэглэгчиддээ нэвтрэхийн тулд энэ функцийг ашигладаг.
Криптограф жетонуудын харьцуулалт (жишээ нь ) болон FIDO стандартын дагуу ажилладаг нууц түлхүүрүүд нь энэ тайлангийн хамрах хүрээнээс гадуур, гэхдээ миний түүнд өгсөн тайлбар. Товчхондоо, хоёр төрлийн жетон нь ижил төстэй алгоритм, үйлдлийн зарчмуудыг ашигладаг. FIDO токенуудыг одоогоор хөтөч үйлдвэрлэгчид илүү сайн дэмждэг боловч илүү олон хөтөч дэмжсэнээр удахгүй өөрчлөгдөх болно . Гэхдээ сонгодог криптографийн жетонууд нь PIN кодоор хамгаалагдсан, цахим баримт бичигт гарын үсэг зурж, Windows (ямар ч хувилбар), Linux болон Mac OS X дээр хоёр хүчин зүйлийн баталгаажуулалтад ашиглагдаж, янз бүрийн програмчлалын хэлэнд зориулсан API-тай бөгөөд 2FA болон цахим програмыг хэрэгжүүлэх боломжийг танд олгоно. Ширээний компьютер, гар утас, вэб програмууд дахь гарын үсэг, Орос улсад үйлдвэрлэсэн токенууд нь Оросын ГОСТ алгоритмуудыг дэмждэг. Ямар ч тохиолдолд криптографийн токен нь ямар стандартаар бүтээгдсэнээс үл хамааран хамгийн найдвартай бөгөөд тохиромжтой баталгаажуулалтын арга юм.
Аюулгүй байдлын гадна: Хүчтэй баталгаажуулалтын бусад ашиг тус
Хүчтэй нэвтрэлт танилтыг ашиглах нь бизнесийн хадгалдаг өгөгдлийн ач холбогдолтой нягт холбоотой байдаг нь гайхах зүйл биш юм. Нийгмийн даатгалын дугаар эсвэл Хувийн эрүүл мэндийн мэдээлэл (PHI) гэх мэт хувийн хувийн мэдээллийг (PII) хадгалдаг компаниуд хууль эрх зүйн болон зохицуулалтын хамгийн их дарамттай тулгардаг. Эдгээр нь бат бөх баталгаажуулалтыг хамгийн түрэмгий дэмжигчид юм. Хамгийн мэдрэмтгий мэдээлэлдээ итгэдэг байгууллагууд нь баталгаажуулалтын хүчтэй аргуудыг ашигладаг болохыг мэдэхийг хүссэн үйлчлүүлэгчдийн хүлээлт нь бизнесүүдэд үзүүлэх дарамтыг нэмэгдүүлдэг. Мэдрэмжтэй PII эсвэл НЭМХ-тэй ажилладаг байгууллагууд нь зөвхөн хэрэглэгчдийн холбоо барих мэдээллийг хадгалдаг байгууллагуудаас хоёр дахин илүү хүчтэй баталгаажуулалтыг ашигладаг (Зураг 7).
Харамсалтай нь компаниуд баталгаажуулалтын хүчирхэг аргуудыг хэрэгжүүлэх хүсэлгүй байна. Бизнесийн шийдвэр гаргагчдын бараг гуравны нэг нь 9-р зурагт жагсаасан бүх хүмүүсийн дунд нууц үгийг хамгийн үр дүнтэй баталгаажуулалтын арга гэж үздэг бөгөөд 43% нь нууц үгийг хамгийн энгийн баталгаажуулалтын арга гэж үздэг.
Дэлхий даяарх бизнесийн программ хөгжүүлэгчид адилхан гэдгийг энэ график бидэнд нотолж байна... Тэд дансны хандалтын аюулгүй байдлын дэвшилтэт механизмыг хэрэгжүүлэхийн ач тусыг олж харахгүй, ижил буруу ойлголттой байдаг. Зөвхөн зохицуулагчдын үйлдэл л нөхцөл байдлыг өөрчилж чадна.
Нууц үгэнд бүү хүрцгээе. Гэхдээ аюулгүй байдлын асуултууд нь криптограф жетоноос илүү найдвартай гэдэгт итгэхийн тулд юунд итгэх ёстой вэ? Зүгээр л сонгосон хяналтын асуултуудын үр нөлөөг 15% гэж тооцсон бөгөөд хакердах боломжгүй токенууд - ердөө 10. Наад зах нь "Хууралт хуурмаг" киног үзээрэй, хэдийгээр ид шидтэнгүүд хэрхэн амархан болохыг харуулдаг. Луйварчин бизнесмэн хариултаас шаардлагатай бүх зүйлийг урьж, мөнгөгүй орхисон.
Хэрэглэгчийн хэрэглээний аюулгүй байдлын механизмыг хариуцдаг хүмүүсийн мэргэшлийн талаар маш их зүйлийг хэлж буй өөр нэг баримт. Тэдний ойлгосноор нууц үг оруулах үйл явц нь криптограф жетон ашиглан баталгаажуулахаас илүү хялбар үйлдэл юм. Гэсэн хэдий ч жетоныг USB порт руу холбож, энгийн PIN код оруулах нь илүү хялбар байх шиг байна.
Хамгийн чухал нь, хүчирхэг баталгаажуулалтыг хэрэгжүүлснээр бизнес эрхлэгчид үйлчлүүлэгчдийнхээ бодит хэрэгцээг хангахын тулд залилан мэхлэх схемийг хаахад шаардлагатай баталгаажуулалтын арга, үйл ажиллагааны дүрмийн талаар бодохоос холдох боломжийг олгодог.
Зохицуулалтад нийцүүлэх нь баталгаажуулалтыг ашигладаг болон ашигладаггүй бизнесүүдийн аль алинд нь нэн тэргүүний зорилт байдаг ч, аль хэдийн хүчтэй нотлох баримтыг ашигладаг компаниуд хэрэглэгчийн үнэнч байдлыг нэмэгдүүлэх нь баталгаажуулалтыг үнэлэхдээ авч үздэг хамгийн чухал хэмжүүр гэж хэлэх магадлал өндөр байдаг. арга. (18% эсрэг 12%) (Зураг 10).
Байгууллагын баталгаажуулалт
2017 оноос хойш аж ахуйн нэгжүүдэд хүчтэй нотлох баримтыг нэвтрүүлэх нь нэмэгдэж байгаа боловч хэрэглэгчийн хэрэглээний программаас арай бага хурдтай байна. Хүчтэй нэвтрэлт танилтыг ашигладаг аж ахуйн нэгжүүдийн эзлэх хувь 7 онд 2017% байсан бол 12 онд 2018% болж өссөн байна. Хэрэглэгчийн хэрэглээний програмуудаас ялгаатай нь аж ахуйн нэгжийн орчинд нууц үгээр баталгаажуулах аргыг ашиглах нь мобайл төхөөрөмжөөс илүү вэб программуудад илүү түгээмэл байдаг. Бизнесийн тал орчим хувь нь нэвтэрч орохдоо хэрэглэгчээ баталгаажуулахын тулд зөвхөн хэрэглэгчийн нэр, нууц үг ашигладаг гэж мэдээлдэг бөгөөд таван хүн тутмын нэг нь (22%) нь нууц өгөгдөлд хандахдаа зөвхөн хоёрдогч баталгаажуулалтын нууц үгэнд тулгуурладаг (өөрөөр хэлбэл, хэрэглэгч эхлээд аппликейшн руу нэвтрэн орохдоо илүү хялбар баталгаажуулалтын аргыг ашигладаг бөгөөд хэрэв тэр чухал өгөгдөлд хандахыг хүсвэл өөр баталгаажуулалтын процедурыг хийх бөгөөд энэ удаад ихэвчлэн илүү найдвартай аргыг ашиглана.).
Тайлан нь Windows, Linux болон Mac OS X үйлдлийн системд хоёр хүчин зүйлийн баталгаажуулалтад зориулсан криптографийн жетоныг ашиглахыг харгалздаггүй гэдгийг та ойлгох хэрэгтэй. Энэ нь одоогоор 2FA-ийн хамгийн өргөн тархсан хэрэглээ юм. (Харамсалтай нь, FIDO стандартын дагуу бүтээгдсэн токенууд нь зөвхөн Windows 2-д 10FA-г хэрэгжүүлэх боломжтой).
Түүнчлэн, хэрэв онлайн болон гар утасны програмуудад 2FA-г хэрэгжүүлэхэд эдгээр програмуудыг өөрчлөх зэрэг олон арга хэмжээ шаардлагатай бол Windows дээр 2FA-г хэрэгжүүлэхийн тулд та зөвхөн PKI (жишээ нь, Microsoft Certification Server дээр суурилсан) болон баталгаажуулалтын бодлогыг тохируулах хэрэгтэй. МЭ-д.
Ажлын компьютер болон домэйн руу нэвтрэх эрхийг хамгаалах нь корпорацийн өгөгдлийг хамгаалах чухал элемент учраас хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлэх нь улам бүр түгээмэл болж байна.
Нэвтрэх үед хэрэглэгчдийг баталгаажуулах хамгийн түгээмэл хоёр арга бол тусдаа програмаар нэг удаагийн нууц үг (бизнесийн 13%) болон SMS-ээр нэг удаагийн нууц үг (12%) юм. Хоёр аргын хэрэглээний хувь маш төстэй боловч OTP SMS нь зөвшөөрлийн түвшинг нэмэгдүүлэхэд ихэвчлэн ашиглагддаг (компаниудын 24% -д). (Зураг 12).
Байгууллагад хүчтэй нэвтрэлт танилтын хэрэглээ нэмэгдэж байгаа нь аж ахуйн нэгжийн таних удирдлагын платформ дахь криптограф баталгаажуулалтын хэрэгжилтийн хүртээмж нэмэгдсэнтэй холбоотой байж болох юм (өөрөөр хэлбэл аж ахуйн нэгжийн SSO болон IAM системүүд жетон ашиглаж сурсан).
Аж ахуйн нэгжүүд ажилчид болон гэрээт гүйцэтгэгчдийн гар утсанд нэвтэрч баталгаажуулахын тулд хэрэглэгчийн програмын баталгаажуулалтаас илүү нууц үгэнд тулгуурладаг. Аж ахуйн нэгжүүдийн талаас илүү хувь нь (53%) гар утасны төхөөрөмжөөр дамжуулан компанийн мэдээлэлд хэрэглэгчийн хандалтыг баталгаажуулахдаа нууц үгийг ашигладаг (Зураг 13).
Хөдөлгөөнт төхөөрөмжүүдийн хувьд хуурамч хурууны хээ, дуу хоолой, царай, тэр ч байтугай цахилдаг гэх мэт олон тохиолдлууд биш юмаа гэхэд биометрийн агуу хүчинд итгэх болно. Хайлтын системийн нэг асуулга нь биометрийн баталгаажуулалтын найдвартай арга ердөө байхгүй гэдгийг харуулах болно. Мэдээжийн хэрэг үнэн зөв мэдрэгчүүд байдаг, гэхдээ тэдгээр нь маш үнэтэй, том хэмжээтэй байдаг бөгөөд ухаалаг гар утсанд суулгаагүй болно.
Тиймээс гар утасны төхөөрөмжүүдэд ажилладаг цорын ганц 2FA арга бол ухаалаг гар утсанд NFC, Bluetooth болон USB Type-C интерфейсээр холбогддог криптограф жетонуудыг ашиглах явдал юм.
Компанийн санхүүгийн мэдээллийг хамгаалах нь нууц үггүй нэвтрэлт танилтад хөрөнгө оруулах гол шалтгаан (44%) бөгөөд 2017 оноос хойших хамгийн хурдан өсөлт (найман хувиар өссөн). Үүний дараа оюуны өмч (40%), боловсон хүчний (ХН) мэдээллийн (39%) хамгаалагдсан байна. Яагаад гэдэг нь тодорхой байна - эдгээр төрлийн өгөгдөлтэй холбоотой үнэ цэнийг өргөнөөр хүлээн зөвшөөрөөд зогсохгүй харьцангуй цөөн тооны ажилтан тэдэнтэй ажилладаг. Өөрөөр хэлбэл, хэрэгжүүлэх зардал нь тийм ч том биш бөгөөд зөвхөн цөөн хэдэн хүнийг илүү нарийн төвөгтэй баталгаажуулалтын системтэй ажиллахад сургах хэрэгтэй. Үүний эсрэгээр, ихэнх аж ахуйн нэгжийн ажилтнууд тогтмол ханддаг өгөгдөл, төхөөрөмжүүдийн төрлүүд зөвхөн нууц үгээр хамгаалагдсан хэвээр байна. Ажилчдын бичиг баримт, ажлын станцууд болон корпорацийн цахим шуудангийн порталууд нь хамгийн их эрсдэлтэй газар байдаг, учир нь бизнесийн дөрөвний нэг нь л эдгээр хөрөнгийг нууц үггүй баталгаажуулалтаар хамгаалдаг (Зураг 14).
Ерөнхийдөө корпорацийн цахим шуудан нь маш аюултай, задруулсан зүйл бөгөөд болзошгүй аюулын зэрэглэлийг ихэнх CIO-ууд дутуу үнэлдэг. Ажилтнууд өдөр бүр олон арван имэйл хүлээн авдаг тул тэдний дунд ядаж нэг фишинг (өөрөөр хэлбэл залилан мэхэлсэн) имэйл оруулж болохгүй гэж. Энэ захидал нь компанийн захидлын хэв маягаар бичигдсэн байх тул ажилтан энэ захидал дахь холбоос дээр дарахад таатай байх болно. За тэгвэл ямар ч зүйл тохиолдож болно, жишээлбэл, халдлагад өртсөн машин руу вирус татаж авах, нууц үг задруулах (үүнд нийгмийн инженерчлэлээр дамжуулан халдагчийн үүсгэсэн хуурамч баталгаажуулалтын маягтыг оруулах гэх мэт).
Иймэрхүү зүйлээс урьдчилан сэргийлэхийн тулд имэйлд гарын үсэг зурсан байх ёстой. Дараа нь аль үсэг нь хууль ёсны ажилтан, алийг нь халдагч үүсгэсэн нь шууд тодорхой болно. Жишээлбэл, Outlook/Exchange дээр криптограф токен дээр суурилсан цахим гарын үсгийг маш хурдан бөгөөд хялбар идэвхжүүлдэг бөгөөд үүнийг компьютер болон Windows домэйн дээр хоёр хүчин зүйлийн баталгаажуулалттай хамт ашиглаж болно.
Байгууллага дотроо зөвхөн нууц үгийн баталгаажуулалтад тулгуурладаг удирдах ажилтнуудын гуравны хоёр нь (66%) нь нууц үг нь тэдний компанийн хамгаалах шаардлагатай мэдээллийн төрлийг хангалттай хамгаална гэж итгэдэг (Зураг 15).
Гэхдээ баталгаажуулалтын хүчирхэг аргууд улам бүр түгээмэл болж байна. Тэдний хүртээмж нэмэгдэж байгаатай холбоотой. Өсөн нэмэгдэж буй таних болон хандалтын удирдлагын (IAM) систем, хөтөч, үйлдлийн системүүд нь криптограф жетон ашиглан баталгаажуулалтыг дэмждэг.
Хүчтэй баталгаажуулалт нь өөр нэг давуу талтай. Нууц үгийг ашиглахаа больсон (энгийн PIN кодоор сольсон) тул мартсан нууц үгээ солих хүсэлт ажилчдаас ирдэггүй. Энэ нь эргээд аж ахуйн нэгжийн мэдээллийн технологийн хэлтсийн ачааллыг бууруулдаг.
Үр дүн ба дүгнэлт
- Менежерүүд ихэвчлэн үнэлгээ хийхэд шаардлагатай мэдлэггүй байдаг жинхэнэ төрөл бүрийн баталгаажуулалтын сонголтуудын үр нөлөө. Тэд ийм зүйлд итгэж дассан хуучирсан нууц үг, аюулгүй байдлын асуулт гэх мэт аюулгүй байдлын аргууд нь зүгээр л "энэ нь өмнө нь ажиллаж байсан" учраас.
- Хэрэглэгчид энэ мэдлэгтэй хэвээр байна бага, тэдний хувьд гол зүйл бол энгийн байдал, тав тухтай байдал. Тэдэнд сонгох сонирхол байхгүй л бол илүү найдвартай шийдлүүд.
- Захиалгат програмыг хөгжүүлэгчид ихэвчлэн шалтгаангүйнууц үгийн баталгаажуулалтын оронд хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлэх. Хэрэглэгчийн хэрэглээний программ дахь хамгаалалтын түвшний өрсөлдөөн ямар ч.
- Хакердсаныг бүрэн хариуцна хэрэглэгч рүү шилжүүлсэн. Халдагчид нэг удаагийн нууц үг өгсөн - гэм буруутай. Таны нууц үгийг чагнасан эсвэл тагнасан - гэм буруутай. Хөгжүүлэгчээс бүтээгдэхүүнд баталгаажуулалтын найдвартай аргыг ашиглахыг шаардаагүй - гэм буруутай.
- Зөв шүү зохицуулагч үндсэндээ гэсэн шийдлүүдийг хэрэгжүүлэхийг компаниудаас шаардах ёстой блок шийтгэл гэхээсээ илүү мэдээлэл алдагдсан (ялангуяа хоёр хүчин зүйлийн баталгаажуулалт). аль хэдийн болсон өгөгдөл алдагдсан.
- Зарим програм хангамж хөгжүүлэгчид хэрэглэгчдэд зарах гэж оролдож байна хуучин бөгөөд тийм ч найдвартай биш шийдэл сайхан савлагаатай "шинэлэг" бүтээгдэхүүн. Жишээлбэл, тодорхой ухаалаг гар утсанд холбогдох эсвэл биометр ашиглан баталгаажуулалт. Тайлангаас харж болохоор байна үнэхээр найдвартай Зөвхөн хүчтэй баталгаажуулалт, өөрөөр хэлбэл криптограф жетон дээр суурилсан шийдэл байж болно.
- Үүнтэй адил криптографийн жетон ашиглаж болно хэд хэдэн даалгавар: for хүчтэй баталгаажуулалт аж ахуйн нэгжийн үйлдлийн системд, корпорацийн болон хэрэглэгчийн програмуудад цахим гарын үсэг санхүүгийн гүйлгээ (банкны хэрэглээний хувьд чухал), баримт бичиг, имэйл.
Эх сурвалж: www.habr.com