Riċentement, il-kumpanija ta 'riċerka Javelin Strategy & Research ippubblikat rapport, "L-Istat ta' Awtentikazzjoni Qawwija 2019." Il-ħallieqa tagħha ġabru informazzjoni dwar liema metodi ta 'awtentikazzjoni jintużaw f'ambjenti korporattivi u applikazzjonijiet tal-konsumatur, u għamlu wkoll konklużjonijiet interessanti dwar il-futur ta' awtentikazzjoni b'saħħitha.
Traduzzjoni tal-ewwel parti bil-konklużjonijiet tal-awturi tar-rapport, aħna . U issa nippreżentaw għall-attenzjoni tiegħek it-tieni parti - b'dejta u graffs.
Mit-traduttur
Mhux se nikkopja kompletament il-blokk kollu tal-istess isem mill-ewwel parti, iżda xorta se nidduplika paragrafu wieħed.
Iċ-ċifri u l-fatti kollha huma ppreżentati mingħajr l-iċken bidliet, u jekk ma taqbilx magħhom, allura huwa aħjar li targumenta mhux mat-traduttur, iżda mal-awturi tar-rapport. U hawn huma l-kummenti tiegħi (imqiegħda bħala kwotazzjonijiet, u mmarkati fit-test Taljan) huma l-ġudizzju tal-valur tiegħi u nkun kuntent li nargumenta fuq kull wieħed minnhom (kif ukoll dwar il-kwalità tat-traduzzjoni).
Awtentikazzjoni tal-Utent
Mill-2017 'l hawn, l-użu ta' awtentikazzjoni qawwija fl-applikazzjonijiet tal-konsumatur kiber drastikament, l-aktar minħabba d-disponibbiltà ta 'metodi ta' awtentikazzjoni kriptografika fuq apparat mobbli, għalkemm perċentwal kemmxejn iżgħar biss ta 'kumpaniji jużaw awtentikazzjoni qawwija għall-applikazzjonijiet tal-Internet.
B'mod ġenerali, il-perċentwal ta' kumpaniji li jużaw awtentikazzjoni qawwija fin-negozju tagħhom ittriplika minn 5 % fl-2017 għal 16 % fl-2018 (Figura 3).
Il-ħila li tuża awtentikazzjoni qawwija għal applikazzjonijiet tal-web għadha limitata (minħabba l-fatt li verżjonijiet ġodda ħafna biss ta 'xi browsers jappoġġjaw l-interazzjoni ma' tokens kriptografiċi, madankollu din il-problema tista 'tiġi solvuta billi jiġi installat softwer addizzjonali bħal ), għalhekk ħafna kumpaniji jużaw metodi alternattivi għall-awtentikazzjoni onlajn, bħal programmi għal tagħmir mobbli li jiġġeneraw passwords ta’ darba.
Ċwievet kriptografiċi tal-ħardwer (hawnhekk nifhmu biss dawk li jikkonformaw mal-istandards FIDO), bħal dawk offruti minn Google, Feitian, One Span, u Yubico jistgħu jintużaw għal awtentikazzjoni qawwija mingħajr ma jiġi installat softwer addizzjonali fuq kompjuters desktop u laptops (għaliex il-biċċa l-kbira tal-browsers diġà jappoġġjaw l-istandard WebAuthn minn FIDO), iżda 3% biss tal-kumpaniji jużaw din il-karatteristika biex jidħlu lill-utenti tagħhom.
Tqabbil ta' tokens kriptografiċi (bħal ) u ċwievet sigrieti li jaħdmu skont l-istandards FIDO huwa lil hinn mill-ambitu ta 'dan ir-rapport, iżda wkoll il-kummenti tiegħi għalih. Fil-qosor, iż-żewġ tipi ta 'tokens jużaw algoritmi u prinċipji operattivi simili. It-tokens FIDO bħalissa huma appoġġjati aħjar mill-bejjiegħa tal-brawżers, għalkemm dan dalwaqt se jinbidel hekk kif aktar browsers jappoġġjaw . Iżda tokens kriptografiċi klassiċi huma protetti b'kodiċi PIN, jistgħu jiffirmaw dokumenti elettroniċi u jintużaw għal awtentikazzjoni b'żewġ fatturi fil-Windows (kwalunkwe verżjoni), Linux u Mac OS X, għandhom APIs għal diversi lingwi ta 'programmar, li jippermettulek timplimenta 2FA u elettroniċi. firma f'applikazzjonijiet desktop, mobbli u tal-Web , u tokens prodotti fir-Russja jappoġġjaw algoritmi GOST Russi. Fi kwalunkwe każ, token kriptografiku, irrispettivament minn liema standard huwa maħluq, huwa l-aktar metodu ta 'awtentikazzjoni affidabbli u konvenjenti.
Lil hinn mis-Sigurtà: Benefiċċji Oħra ta' Awtentikazzjoni Qawwija
Mhix sorpriża li l-użu ta 'awtentikazzjoni qawwija huwa marbut mill-qrib mal-importanza tad-dejta li n-negozju jaħżen. Kumpaniji li jaħżnu Informazzjoni Personalment Identifikabbli (PII), bħal numri tas-Sigurtà Soċjali jew Informazzjoni Personali dwar is-Saħħa (PHI), jiffaċċjaw l-akbar pressjoni legali u regolatorja. Dawn huma l-kumpaniji li huma l-aktar proponenti aggressivi ta 'awtentikazzjoni qawwija. Il-pressjoni fuq in-negozji tiżdied bl-aspettattivi tal-klijenti li jridu jkunu jafu li l-organizzazzjonijiet li jafdaw bl-aktar data sensittiva tagħhom jużaw metodi ta’ awtentikazzjoni b’saħħithom. Organizzazzjonijiet li jimmaniġġjaw PII jew PHI sensittivi huma aktar minn darbtejn aktar probabbli li jużaw awtentikazzjoni b'saħħitha minn organizzazzjonijiet li jaħżnu biss l-informazzjoni ta 'kuntatt tal-utenti (Figura 7).
Sfortunatament, il-kumpaniji għadhom mhumiex lesti li jimplimentaw metodi ta 'awtentikazzjoni b'saħħithom. Kważi terz ta’ dawk li jieħdu d-deċiżjonijiet tan-negozju jqisu l-passwords bħala l-aktar metodu effettiv ta’ awtentikazzjoni fost dawk kollha elenkati fil-Figura 9, u 43% iqisu l-passwords bħala l-aktar metodu ta’ awtentikazzjoni sempliċi.
Din it-tabella turina li l-iżviluppaturi tal-applikazzjonijiet tan-negozju madwar id-dinja huma l-istess... Huma ma jarawx il-benefiċċju tal-implimentazzjoni ta 'mekkaniżmi avvanzati ta' sigurtà tal-aċċess għall-kont u jaqsmu l-istess kunċetti żbaljati. U l-azzjonijiet tar-regolaturi biss jistgħu jibdlu s-sitwazzjoni.
Ejja ma tmissx il-passwords. Imma x'għandek temmen biex temmen li l-mistoqsijiet tas-sigurtà huma aktar siguri minn tokens kriptografiċi? L-effettività tal-mistoqsijiet ta 'kontroll, li huma sempliċement magħżula, kienet stmata għal 15%, u mhux tokens hackable - 10 biss. Mill-inqas ara l-film "Illusion of Deception", fejn, għalkemm f'forma allegorika, jintwera kemm huma faċilment magicians attirat l-affarijiet kollha meħtieġa minn negozjant-swindler tweġibiet u ħallietu mingħajr flus.
U fatt ieħor li jgħid ħafna dwar il-kwalifiki ta’ dawk li huma responsabbli għall-mekkaniżmi tas-sigurtà fl-applikazzjonijiet tal-utenti. Fil-fehim tagħhom, il-proċess tad-dħul ta 'password huwa operazzjoni aktar sempliċi mill-awtentikazzjoni bl-użu ta' token kriptografiku. Għalkemm, jidher li jista 'jkun aktar sempliċi li tgħaqqad it-token ma' port USB u daħħal kodiċi PIN sempliċi.
Importanti, l-implimentazzjoni ta' awtentikazzjoni b'saħħitha tippermetti lin-negozji li jitbiegħdu milli jaħsbu dwar il-metodi ta' awtentikazzjoni u r-regoli operattivi meħtieġa biex jimblukkaw skemi frawdolenti biex jissodisfaw il-ħtiġijiet reali tal-klijenti tagħhom.
Filwaqt li l-konformità regolatorja hija prijorità ewlenija raġonevoli kemm għan-negozji li jużaw awtentikazzjoni b’saħħitha kif ukoll għal dawk li le, kumpaniji li diġà jużaw awtentikazzjoni b’saħħitha huma ħafna aktar probabbli li jgħidu li ż-żieda fil-lealtà tal-klijenti hija l-aktar metrika importanti li jikkunsidraw meta jevalwaw awtentikazzjoni. metodu. (18% vs 12%) (Figura 10).
Awtentikazzjoni tal-Intrapriża
Mill-2017, l-adozzjoni ta 'awtentikazzjoni b'saħħitha fl-intrapriżi ilha tikber, iżda b'rata kemmxejn aktar baxxa milli għall-applikazzjonijiet tal-konsumatur. Is-sehem tal-intrapriżi li jużaw awtentikazzjoni qawwija żdied minn 7% fl-2017 għal 12% fl-2018. B'differenza mill-applikazzjonijiet tal-konsumatur, fl-ambjent tal-intrapriża l-użu ta 'metodi ta' awtentikazzjoni mhux bil-password huwa kemmxejn aktar komuni fl-applikazzjonijiet tal-web milli fuq apparat mobbli. Madwar nofs in-negozji jirrappurtaw li jużaw biss usernames u passwords biex jawtentikaw lill-utenti tagħhom meta jidħlu, b'wieħed minn kull ħamsa (22 %) jiddependu wkoll biss fuq passwords għal awtentikazzjoni sekondarja meta jaċċessaw dejta sensittiva (jiġifieri, l-utent l-ewwel jidħol fl-applikazzjoni billi juża metodu ta 'awtentikazzjoni aktar sempliċi, u jekk irid jikseb aċċess għal data kritika, se jwettaq proċedura ta' awtentikazzjoni oħra, din id-darba ġeneralment juża metodu aktar affidabbli).
Trid tifhem li r-rapport ma jqisx l-użu ta 'tokens kriptografiċi għal awtentikazzjoni b'żewġ fatturi fis-sistemi operattivi Windows, Linux u Mac OS X. U dan bħalissa huwa l-aktar użu mifrux ta' 2FA. (Sfortunatament, tokens maħluqa skont l-istandards FIDO jistgħu jimplimentaw 2FA biss għal Windows 10).
Barra minn hekk, jekk l-implimentazzjoni ta '2FA f'applikazzjonijiet onlajn u mobbli teħtieġ sett ta' miżuri, inkluża l-modifika ta 'dawn l-applikazzjonijiet, allura biex timplimenta 2FA fil-Windows għandek bżonn biss tikkonfigura PKI (per eżempju, ibbażata fuq Microsoft Certification Server) u politiki ta' awtentikazzjoni fl-AD.
U peress li l-protezzjoni tal-login għal PC tax-xogħol u dominju hija element importanti tal-protezzjoni tad-dejta korporattiva, l-implimentazzjoni ta 'awtentikazzjoni b'żewġ fatturi qed issir dejjem aktar komuni.
Iż-żewġ metodi l-aktar komuni li jmiss għall-awtentikazzjoni tal-utenti meta jidħlu huma passwords ta’ darba pprovduti permezz ta’ app separata (13 % tan-negozji) u passwords ta’ darba mogħtija permezz ta’ SMS (12 %). Minkejja l-fatt li l-perċentwal ta 'użu taż-żewġ metodi huwa simili ħafna, l-OTP SMS huwa l-aktar spiss użat biex jiżdied il-livell ta' awtorizzazzjoni (f'24% tal-kumpaniji). (Figura 12).
Iż-żieda fl-użu ta 'awtentikazzjoni qawwija fl-intrapriża x'aktarx tista' tiġi attribwita għad-disponibbiltà akbar ta 'implimentazzjonijiet ta' awtentikazzjoni kriptografika fi pjattaformi ta 'ġestjoni tal-identità tal-intrapriżi (fi kliem ieħor, is-sistemi SSO u IAM tal-intrapriżi tgħallmu jużaw tokens).
Għall-awtentikazzjoni mobbli tal-impjegati u l-kuntratturi, l-intrapriżi jiddependu aktar fuq il-passwords milli għall-awtentikazzjoni fl-applikazzjonijiet tal-konsumatur. Ftit aktar minn nofs (53 %) tal-intrapriżi jużaw passwords meta jawtentikaw l-aċċess tal-utent għad-dejta tal-kumpanija permezz ta’ apparat mobbli (Figura 13).
Fil-każ tal-apparat mobbli, wieħed jemmen fil-qawwa kbira tal-bijometrika, jekk mhux għall-ħafna każijiet ta 'marki tas-swaba', vuċijiet, uċuħ u anke iris foloz. Mistoqsija waħda tal-magna tat-tiftix tiżvela li metodu affidabbli ta 'awtentikazzjoni bijometrika sempliċement ma jeżistix. Sensuri tassew preċiżi, ovvjament, jeżistu, iżda huma għaljin ħafna u kbar fid-daqs - u mhumiex installati fl-ismartphones.
Għalhekk, l-uniku metodu 2FA li jaħdem f'apparat mobbli huwa l-użu ta 'tokens kriptografiċi li jgħaqqdu mal-ismartphone permezz ta' interfaces NFC, Bluetooth u USB Type-C.
Il-protezzjoni tad-dejta finanzjarja ta’ kumpanija hija r-raġuni ewlenija għall-investiment fl-awtentikazzjoni mingħajr password (44%), bl-aktar tkabbir mgħaġġel mill-2017 (żieda ta’ tmien punti perċentwali). Dan huwa segwit mill-protezzjoni tal-proprjetà intellettwali (40%) u tad-dejta tal-persunal (HR) (39%). U huwa ċar għaliex - mhux biss il-valur assoċjat ma 'dawn it-tipi ta' dejta huwa rikonoxxut b'mod wiesa ', iżda relattivament ftit impjegati jaħdmu magħhom. Jiġifieri, l-ispejjeż ta 'implimentazzjoni mhumiex daqshekk kbar, u ftit nies biss jeħtieġ li jiġu mħarrġa biex jaħdmu b'sistema ta' awtentikazzjoni aktar kumplessa. B'kuntrast, it-tipi ta' dejta u apparat li l-biċċa l-kbira tal-impjegati tal-intrapriżi jaċċessaw b'mod regolari għadhom protetti biss minn passwords. Id-dokumenti tal-impjegati, il-postijiet tax-xogħol, u l-portals tal-email korporattivi huma l-oqsma tal-akbar riskju, peress li kwart biss tan-negozji jipproteġu dawn l-assi b’awtentikazzjoni mingħajr password (Figura 14).
B'mod ġenerali, l-email korporattiva hija ħaġa perikoluża ħafna u leaky, li l-grad ta 'periklu potenzjali tagħha huwa sottovalutat mill-biċċa l-kbira tas-CIOs. L-impjegati jirċievu għexieren ta 'emails kuljum, allura għaliex ma tinkludix mill-inqas email waħda ta' phishing (jiġifieri, frawdolenti) fosthom. Din l-ittra se tkun ifformattjata fl-istil ta’ ittri tal-kumpanija, sabiex l-impjegat iħossu komdu li jikklikkja fuq il-link f’din l-ittra. Ukoll, allura jista 'jiġri xi ħaġa, pereżempju, it-tniżżil ta' virus fuq il-magna attakkata jew it-tnixxija ta 'passwords (inkluż permezz ta' inġinerija soċjali, billi ddaħħal formola ta 'awtentikazzjoni falza maħluqa mill-attakkant).
Biex ma jseħħux affarijiet bħal dawn, l-emails iridu jiġu ffirmati. Imbagħad ikun ċar immedjatament liema ittra nħolqot minn impjegat leġittimu u liema minn attakkant. Fl-Outlook/Exchange, pereżempju, firem elettroniċi bbażati fuq tokens kriptografiċi huma attivati pjuttost malajr u faċilment u jistgħu jintużaw flimkien ma 'awtentikazzjoni b'żewġ fatturi madwar PCs u dominji tal-Windows.
Fost dawk l-eżekuttivi li jiddependu biss fuq l-awtentikazzjoni tal-password fi ħdan l-intrapriża, żewġ terzi (66%) jagħmlu dan għaliex jemmnu li l-passwords jipprovdu sigurtà suffiċjenti għat-tip ta’ informazzjoni li l-kumpanija tagħhom teħtieġ tipproteġi (Figura 15).
Iżda metodi b'saħħithom ta 'awtentikazzjoni qed isiru aktar komuni. L-aktar minħabba l-fatt li d-disponibbiltà tagħhom qed tiżdied. Numru dejjem jikber ta 'sistemi ta' ġestjoni tal-identità u l-aċċess (IAM), browsers, u sistemi operattivi jappoġġjaw l-awtentikazzjoni bl-użu ta 'tokens kriptografiċi.
Awtentikazzjoni qawwija għandha vantaġġ ieħor. Peress li l-password m'għadhiex tintuża (mibdula b'PIN sempliċi), m'hemm l-ebda talbiet mill-impjegati li jitolbuhom jibdlu l-password minsija. Li mbagħad inaqqas it-tagħbija fuq id-dipartiment tal-IT tal-intrapriża.
Riżultati u konklużjonijiet
- Il-maniġers ħafna drabi ma jkollhomx l-għarfien meħtieġ biex jivvalutaw reali effettività ta' diversi għażliet ta' awtentikazzjoni. Huma mdorrijin jafdaw bħal dawn skaduti metodi ta’ sigurtà bħall-passwords u l-mistoqsijiet tas-sigurtà sempliċement għax “ħadmet qabel.”
- L-utenti għad għandhom dan l-għarfien anqas, għalihom il-ħaġa prinċipali hija sempliċità u konvenjenza. Sakemm ma jkollhom l-ebda inċentiv li jagħżlu soluzzjonijiet aktar siguri.
- Iżviluppaturi ta 'applikazzjonijiet tad-dwana ta' spiss Bla ragunibiex timplimenta awtentikazzjoni b'żewġ fatturi minflok awtentikazzjoni tal-password. Kompetizzjoni fil-livell ta' protezzjoni fl-applikazzjonijiet tal-utenti ebda.
- Responsabbiltà sħiħa għall-hack ċċaqlaq għall-utent. Agħti l-password ta' darba lill-attakkant - tort. Il-password tiegħek ġiet interċettata jew spionjata - tort. Ma kienx jeħtieġ li l-iżviluppatur juża metodi ta 'awtentikazzjoni affidabbli fil-prodott - tort.
- Dritt regolatur l-ewwel nett għandhom jirrikjedu li l-kumpaniji jimplimentaw soluzzjonijiet li blokk tnixxijiet tad-dejta (b'mod partikolari awtentikazzjoni b'żewġ fatturi), aktar milli punizzjoni diġà ġara tnixxija tad-data.
- Xi żviluppaturi tas-softwer qed jippruvaw ibigħu lill-konsumaturi qodma u mhux partikolarment affidabbli soluzzjonijiet f'ippakkjar sabiħ prodott "innovattiv". Pereżempju, awtentikazzjoni billi torbot ma' smartphone speċifiku jew billi tuża l-bijometrika. Kif jidher mir-rapport, skont verament affidabbli Jista 'jkun hemm biss soluzzjoni bbażata fuq awtentikazzjoni qawwija, jiġifieri, tokens kriptografiċi.
- L-istess token kriptografiku jista 'jintuża għal numru ta’ kompiti: għal awtentikazzjoni qawwija fis-sistema operattiva tal-intrapriża, fl-applikazzjonijiet korporattivi u tal-utenti, għal Firma Elettronika transazzjonijiet finanzjarji (importanti għall-applikazzjonijiet bankarji), dokumenti u email.
Sors: www.habr.com