Baru-baru ini, syarikat penyelidikan Javelin Strategy & Research menerbitkan laporan, "The State of Strong Authentication 2019." Penciptanya mengumpul maklumat tentang kaedah pengesahan yang digunakan dalam persekitaran korporat dan aplikasi pengguna, dan juga membuat kesimpulan menarik tentang masa depan pengesahan yang kukuh.
Terjemahan bahagian pertama dengan kesimpulan pengarang laporan, kami . Dan kini kami membentangkan kepada perhatian anda bahagian kedua - dengan data dan graf.
Daripada penterjemah
Saya tidak akan menyalin keseluruhan blok dengan nama yang sama dari bahagian pertama, tetapi saya masih akan menduplikasi satu perenggan.
Semua angka dan fakta dibentangkan tanpa sedikit pun perubahan, dan jika anda tidak bersetuju dengannya, maka lebih baik untuk berhujah bukan dengan penterjemah, tetapi dengan pengarang laporan. Dan inilah ulasan saya (dibentangkan sebagai petikan, dan ditandakan dalam teks Itali) adalah pertimbangan nilai saya dan saya dengan senang hati akan berhujah tentang setiap daripada mereka (serta kualiti terjemahan).
Pengesahan Pengguna
Sejak 2017, penggunaan pengesahan yang kukuh dalam aplikasi pengguna telah berkembang dengan pesat, sebahagian besarnya disebabkan oleh ketersediaan kaedah pengesahan kriptografi pada peranti mudah alih, walaupun hanya peratusan yang lebih kecil sedikit syarikat menggunakan pengesahan yang kukuh untuk aplikasi Internet.
Secara keseluruhan, peratusan syarikat yang menggunakan pengesahan kukuh dalam perniagaan mereka meningkat tiga kali ganda daripada 5% pada 2017 kepada 16% pada 2018 (Rajah 3).
Keupayaan untuk menggunakan pengesahan yang kuat untuk aplikasi web masih terhad (disebabkan oleh fakta bahawa hanya versi yang sangat baru bagi sesetengah pelayar menyokong interaksi dengan token kriptografi, namun masalah ini boleh diselesaikan dengan memasang perisian tambahan seperti ), begitu banyak syarikat menggunakan kaedah alternatif untuk pengesahan dalam talian, seperti program untuk peranti mudah alih yang menjana kata laluan sekali.
Kekunci kriptografi perkakasan (di sini yang kami maksudkan hanya mereka yang mematuhi piawaian FIDO), seperti yang ditawarkan oleh Google, Feitian, One Span dan Yubico boleh digunakan untuk pengesahan yang kukuh tanpa memasang perisian tambahan pada komputer meja dan komputer riba (kerana kebanyakan pelayar sudah menyokong standard WebAuthn daripada FIDO), tetapi hanya 3% daripada syarikat menggunakan ciri ini untuk log masuk pengguna mereka.
Perbandingan token kriptografi (seperti ) dan kunci rahsia yang berfungsi mengikut piawaian FIDO adalah di luar skop laporan ini, tetapi juga ulasan saya kepadanya. Ringkasnya, kedua-dua jenis token menggunakan algoritma dan prinsip operasi yang serupa. Token FIDO kini disokong dengan lebih baik oleh vendor penyemak imbas, walaupun ini tidak lama lagi akan berubah apabila lebih banyak pelayar menyokong . Tetapi token kriptografi klasik dilindungi oleh kod PIN, boleh menandatangani dokumen elektronik dan digunakan untuk pengesahan dua faktor dalam Windows (sebarang versi), Linux dan Mac OS X, mempunyai API untuk pelbagai bahasa pengaturcaraan, membolehkan anda melaksanakan 2FA dan elektronik tandatangan dalam desktop, aplikasi mudah alih dan Web , dan token yang dihasilkan di Rusia menyokong algoritma GOST Rusia. Walau apa pun, token kriptografi, tanpa mengira piawaian apa yang diciptakannya, adalah kaedah pengesahan yang paling boleh dipercayai dan mudah.
Melangkaui Keselamatan: Faedah Lain Pengesahan Kuat
Tidak menghairankan bahawa penggunaan pengesahan yang kukuh berkait rapat dengan kepentingan data yang disimpan oleh perniagaan. Syarikat yang menyimpan Maklumat Pengenalan Peribadi (PII) yang sensitif seperti nombor Keselamatan Sosial atau Maklumat Kesihatan Peribadi (PHI), menghadapi tekanan undang-undang dan peraturan yang paling besar. Ini adalah syarikat yang merupakan penyokong paling agresif untuk pengesahan yang kuat. Tekanan ke atas perniagaan dipertingkatkan oleh jangkaan pelanggan yang ingin mengetahui bahawa organisasi yang mereka percayai dengan data paling sensitif mereka menggunakan kaedah pengesahan yang kukuh. Organisasi yang mengendalikan PII atau PHI sensitif adalah lebih daripada dua kali lebih mungkin menggunakan pengesahan yang kuat berbanding organisasi yang hanya menyimpan maklumat hubungan pengguna (Rajah 7).
Malangnya, syarikat masih belum bersedia untuk melaksanakan kaedah pengesahan yang kukuh. Hampir satu pertiga daripada pembuat keputusan perniagaan menganggap kata laluan sebagai kaedah pengesahan yang paling berkesan antara semua yang disenaraikan dalam Rajah 9, dan 43% menganggap kata laluan sebagai kaedah pengesahan yang paling mudah.
Carta ini membuktikan kepada kami bahawa pembangun aplikasi perniagaan di seluruh dunia adalah sama... Mereka tidak melihat faedah melaksanakan mekanisme keselamatan akses akaun lanjutan dan berkongsi salah tanggapan yang sama. Dan hanya tindakan pengawal selia boleh mengubah keadaan.
Jangan sentuh kata laluan. Tetapi apakah yang anda perlu percaya untuk mempercayai bahawa soalan keselamatan lebih selamat daripada token kriptografi? Keberkesanan soalan kawalan, yang hanya dipilih, dianggarkan pada 15%, dan bukan token yang boleh digodam - hanya 10. Sekurang-kurangnya tonton filem "Illusion of Deception", di mana, walaupun dalam bentuk alegori, ia ditunjukkan betapa mudahnya ahli silap mata. memikat semua perkara yang diperlukan daripada jawapan penipu ahli perniagaan dan meninggalkannya tanpa wang.
Dan satu lagi fakta yang mengatakan banyak tentang kelayakan mereka yang bertanggungjawab untuk mekanisme keselamatan dalam aplikasi pengguna. Pada pemahaman mereka, proses memasukkan kata laluan adalah operasi yang lebih mudah daripada pengesahan menggunakan token kriptografi. Walaupun, nampaknya mungkin lebih mudah untuk menyambungkan token ke port USB dan memasukkan kod PIN mudah.
Yang penting, melaksanakan pengesahan yang kukuh membolehkan perniagaan beralih daripada memikirkan kaedah pengesahan dan peraturan operasi yang diperlukan untuk menyekat skim penipuan untuk memenuhi keperluan sebenar pelanggan mereka.
Walaupun pematuhan kawal selia merupakan keutamaan yang munasabah untuk kedua-dua perniagaan yang menggunakan pengesahan yang kukuh dan yang tidak, syarikat yang sudah menggunakan pengesahan yang kukuh lebih berkemungkinan untuk mengatakan bahawa meningkatkan kesetiaan pelanggan ialah metrik paling penting yang mereka pertimbangkan semasa menilai pengesahan. kaedah. (18% vs. 12%) (Rajah 10).
Pengesahan Perusahaan
Sejak 2017, penggunaan pengesahan yang kukuh dalam perusahaan telah berkembang, tetapi pada kadar yang lebih rendah sedikit berbanding untuk aplikasi pengguna. Bahagian perusahaan yang menggunakan pengesahan kukuh meningkat daripada 7% pada 2017 kepada 12% pada 2018. Tidak seperti aplikasi pengguna, dalam persekitaran perusahaan, penggunaan kaedah pengesahan bukan kata laluan agak lebih biasa dalam aplikasi web berbanding pada peranti mudah alih. Kira-kira separuh daripada perniagaan melaporkan hanya menggunakan nama pengguna dan kata laluan untuk mengesahkan pengguna mereka semasa log masuk, dengan satu daripada lima (22%) juga bergantung sepenuhnya pada kata laluan untuk pengesahan kedua apabila mengakses data sensitif (iaitu, pengguna mula-mula log masuk ke aplikasi menggunakan kaedah pengesahan yang lebih mudah, dan jika dia ingin mendapatkan akses kepada data kritikal, dia akan melakukan prosedur pengesahan lain, kali ini biasanya menggunakan kaedah yang lebih dipercayai).
Anda perlu memahami bahawa laporan itu tidak mengambil kira penggunaan token kriptografi untuk pengesahan dua faktor dalam sistem pengendalian Windows, Linux dan Mac OS X. Dan ini merupakan penggunaan 2FA yang paling meluas pada masa ini. (Malangnya, token yang dibuat mengikut piawaian FIDO boleh melaksanakan 2FA hanya untuk Windows 10).
Lebih-lebih lagi, jika pelaksanaan 2FA dalam aplikasi dalam talian dan mudah alih memerlukan satu set langkah, termasuk pengubahsuaian aplikasi ini, maka untuk melaksanakan 2FA dalam Windows anda hanya perlu mengkonfigurasi PKI (contohnya, berdasarkan Pelayan Pensijilan Microsoft) dan dasar pengesahan dalam AD.
Dan oleh kerana melindungi log masuk ke PC kerja dan domain merupakan elemen penting dalam melindungi data korporat, pelaksanaan pengesahan dua faktor menjadi semakin biasa.
Dua kaedah paling biasa seterusnya untuk mengesahkan pengguna semasa log masuk ialah kata laluan sekali disediakan melalui apl berasingan (13% daripada perniagaan) dan kata laluan sekali dihantar melalui SMS (12%). Walaupun peratusan penggunaan kedua-dua kaedah adalah sangat serupa, SMS OTP paling kerap digunakan untuk meningkatkan tahap kebenaran (dalam 24% syarikat). (Rajah 12).
Peningkatan dalam penggunaan pengesahan yang kukuh dalam perusahaan berkemungkinan disebabkan oleh peningkatan ketersediaan pelaksanaan pengesahan kriptografi dalam platform pengurusan identiti perusahaan (dengan kata lain, sistem SSO perusahaan dan IAM telah belajar menggunakan token).
Untuk pengesahan mudah alih pekerja dan kontraktor, perusahaan lebih bergantung pada kata laluan berbanding pengesahan dalam aplikasi pengguna. Lebih separuh (53%) perusahaan menggunakan kata laluan semasa mengesahkan akses pengguna kepada data syarikat melalui peranti mudah alih (Rajah 13).
Dalam kes peranti mudah alih, seseorang akan percaya pada kuasa besar biometrik, jika tidak kerana banyak kes cap jari, suara, muka dan juga iris palsu. Satu pertanyaan enjin carian akan mendedahkan bahawa kaedah pengesahan biometrik yang boleh dipercayai tidak wujud. Penderia yang benar-benar tepat, sudah tentu, wujud, tetapi ia sangat mahal dan bersaiz besar - dan tidak dipasang dalam telefon pintar.
Oleh itu, satu-satunya kaedah 2FA yang berfungsi dalam peranti mudah alih ialah penggunaan token kriptografi yang bersambung ke telefon pintar melalui antara muka NFC, Bluetooth dan USB Type-C.
Melindungi data kewangan syarikat ialah sebab utama untuk melabur dalam pengesahan tanpa kata laluan (44%), dengan pertumbuhan terpantas sejak 2017 (peningkatan lapan mata peratusan). Ini diikuti dengan perlindungan harta intelek (40%) dan data kakitangan (HR) (39%). Dan jelas sebabnya - bukan sahaja nilai yang dikaitkan dengan jenis data ini diiktiraf secara meluas, tetapi agak sedikit pekerja yang bekerja dengan mereka. Iaitu, kos pelaksanaan tidak begitu besar, dan hanya beberapa orang yang perlu dilatih untuk bekerja dengan sistem pengesahan yang lebih kompleks. Sebaliknya, jenis data dan peranti yang biasa diakses oleh kebanyakan pekerja perusahaan masih dilindungi oleh kata laluan semata-mata. Dokumen pekerja, stesen kerja dan portal e-mel korporat merupakan kawasan berisiko terbesar, kerana hanya satu perempat daripada perniagaan melindungi aset ini dengan pengesahan tanpa kata laluan (Rajah 14).
Secara umum, e-mel korporat adalah perkara yang sangat berbahaya dan bocor, tahap potensi bahaya yang dipandang remeh oleh kebanyakan CIO. Pekerja menerima berpuluh-puluh e-mel setiap hari, jadi mengapa tidak sertakan sekurang-kurangnya satu e-mel pancingan data (iaitu, penipuan) di antara mereka. Surat ini akan diformat dalam gaya surat syarikat, jadi pekerja akan berasa selesa mengklik pautan dalam surat ini. Jadi, apa-apa sahaja boleh berlaku, contohnya, memuat turun virus ke mesin yang diserang atau membocorkan kata laluan (termasuk melalui kejuruteraan sosial, dengan memasukkan borang pengesahan palsu yang dibuat oleh penyerang).
Untuk mengelakkan perkara seperti ini berlaku, e-mel mesti ditandatangani. Kemudian ia akan segera jelas surat mana yang dicipta oleh pekerja yang sah dan yang oleh penyerang. Dalam Outlook/Exchange, sebagai contoh, tandatangan elektronik berasaskan token kriptografi didayakan dengan cepat dan mudah serta boleh digunakan bersama dengan pengesahan dua faktor merentas domain PC dan Windows.
Antara eksekutif yang bergantung semata-mata pada pengesahan kata laluan dalam perusahaan, dua pertiga (66%) berbuat demikian kerana mereka percaya kata laluan menyediakan keselamatan yang mencukupi untuk jenis maklumat yang perlu dilindungi oleh syarikat mereka (Rajah 15).
Tetapi kaedah pengesahan yang kuat menjadi lebih biasa. Sebahagian besarnya disebabkan oleh fakta bahawa ketersediaan mereka semakin meningkat. Peningkatan bilangan sistem pengurusan identiti dan akses (IAM), penyemak imbas dan sistem pengendalian menyokong pengesahan menggunakan token kriptografi.
Pengesahan yang kuat mempunyai kelebihan lain. Memandangkan kata laluan tidak lagi digunakan (digantikan dengan PIN mudah), tiada permintaan daripada pekerja yang meminta mereka menukar kata laluan yang terlupa. Yang seterusnya mengurangkan beban pada jabatan IT perusahaan.
Keputusan dan kesimpulan
- Pengurus selalunya tidak mempunyai pengetahuan yang diperlukan untuk menilai sebenar keberkesanan pelbagai pilihan pengesahan. Mereka sudah biasa mempercayai sebegitu ketinggalan zaman kaedah keselamatan seperti kata laluan dan soalan keselamatan hanya kerana "ia berfungsi sebelum ini."
- Pengguna masih mempunyai pengetahuan ini kurang, bagi mereka perkara utama ialah kesederhanaan dan kemudahan. Selagi mereka tiada insentif untuk memilih penyelesaian yang lebih selamat.
- Pembangun aplikasi tersuai selalunya tiada sebabuntuk melaksanakan pengesahan dua faktor dan bukannya pengesahan kata laluan. Persaingan dalam tahap perlindungan dalam aplikasi pengguna tidak.
- Tanggungjawab penuh untuk penggodaman beralih kepada pengguna. Memberi kata laluan sekali kepada penyerang - bersalah. Kata laluan anda telah dipintas atau diintip - bersalah. Tidak memerlukan pembangun menggunakan kaedah pengesahan yang boleh dipercayai dalam produk - bersalah.
- Betul pengawal selia pertama sekali sepatutnya memerlukan syarikat untuk melaksanakan penyelesaian yang blok kebocoran data (khususnya pengesahan dua faktor), dan bukannya menghukum sudah berlaku kebocoran data.
- Sesetengah pembangun perisian cuba menjual kepada pengguna lama dan tidak boleh dipercayai penyelesaian dalam bungkusan yang cantik produk "inovatif". Contohnya, pengesahan dengan memaut ke telefon pintar tertentu atau menggunakan biometrik. Seperti yang dapat dilihat daripada laporan itu, menurut benar-benar boleh dipercayai Hanya ada penyelesaian berdasarkan pengesahan yang kukuh, iaitu, token kriptografi.
- Sama token kriptografi boleh digunakan untuk beberapa tugasan: untuk pengesahan yang kuat dalam sistem pengendalian perusahaan, dalam aplikasi korporat dan pengguna, untuk Tandatangan elektronik transaksi kewangan (penting untuk aplikasi perbankan), dokumen dan e-mel.
Sumber: www.habr.com