Onlangs publiceerde onderzoeksbureau Javelin Strategy & Research een rapport, “The State of Strong Authentication 2019.” De makers verzamelden informatie over welke authenticatiemethoden worden gebruikt in bedrijfsomgevingen en consumententoepassingen, en trokken ook interessante conclusies over de toekomst van sterke authenticatie.
Vertaling van het eerste deel met de conclusies van de auteurs van het rapport, wij . En nu presenteren we het tweede deel onder uw aandacht - met gegevens en grafieken.
Van de vertaler
Ik zal niet het hele gelijknamige blok uit het eerste deel volledig kopiëren, maar ik zal nog steeds één alinea dupliceren.
Alle cijfers en feiten worden zonder de minste veranderingen gepresenteerd, en als u het er niet mee eens bent, is het beter om niet met de vertaler in discussie te gaan, maar met de auteurs van het rapport. En hier zijn mijn opmerkingen (opgemaakt als aanhalingstekens en gemarkeerd in de tekst Italiaans) zijn mijn waardeoordeel en ik zal graag over elk ervan discussiëren (en ook over de kwaliteit van de vertaling).
Gebruikersverificatie
Sinds 2017 is het gebruik van sterke authenticatie in consumententoepassingen sterk gegroeid, grotendeels als gevolg van de beschikbaarheid van cryptografische authenticatiemethoden op mobiele apparaten, hoewel slechts een iets kleiner percentage van de bedrijven sterke authenticatie gebruikt voor internettoepassingen.
Over het geheel genomen is het percentage bedrijven dat sterke authenticatie in hun bedrijf gebruikt, verdrievoudigd van 5% in 2017 naar 16% in 2018 (Figuur 3).
De mogelijkheid om sterke authenticatie te gebruiken voor webapplicaties is nog steeds beperkt (vanwege het feit dat alleen zeer nieuwe versies van sommige browsers interactie met cryptografische tokens ondersteunen, kan dit probleem echter worden opgelost door aanvullende software te installeren, zoals ), dus gebruiken veel bedrijven alternatieve methoden voor online authenticatie, zoals programma's voor mobiele apparaten die eenmalige wachtwoorden genereren.
Hardware cryptografische sleutels (hier bedoelen we alleen degenen die voldoen aan de FIDO-normen), zoals aangeboden door Google, Feitian, One Span en Yubico, kunnen worden gebruikt voor sterke authenticatie zonder extra software te installeren op desktopcomputers en laptops (omdat de meeste browsers de WebAuthn-standaard van FIDO al ondersteunen), maar slechts 3% van de bedrijven gebruikt deze functie om hun gebruikers in te loggen.
Vergelijking van cryptografische tokens (zoals ) en geheime sleutels die werken volgens de FIDO-standaarden vallen buiten de reikwijdte van dit rapport, maar ook mijn commentaar daarop. Kortom, beide soorten tokens gebruiken vergelijkbare algoritmen en werkingsprincipes. FIDO-tokens worden momenteel beter ondersteund door browserleveranciers, hoewel dit snel zal veranderen naarmate meer browsers ondersteuning bieden . Maar klassieke cryptografische tokens zijn beschermd door een pincode, kunnen elektronische documenten ondertekenen en worden gebruikt voor tweefactorauthenticatie in Windows (elke versie), Linux en Mac OS X, hebben API’s voor verschillende programmeertalen, waardoor je 2FA en elektronische handtekening in desktop-, mobiele en webapplicaties, en tokens geproduceerd in Rusland ondersteunen Russische GOST-algoritmen. Hoe dan ook is een cryptografisch token, ongeacht door welke standaard het is gemaakt, de meest betrouwbare en handige authenticatiemethode.
Verder dan beveiliging: andere voordelen van sterke authenticatie
Het is geen verrassing dat het gebruik van sterke authenticatie nauw verbonden is met het belang van de gegevens die een bedrijf opslaat. Bedrijven die gevoelige persoonlijk identificeerbare informatie (PII) opslaan, zoals burgerservicenummers of persoonlijke gezondheidsinformatie (PHI), worden geconfronteerd met de grootste juridische en regelgevende druk. Dit zijn de bedrijven die de meest agressieve voorstanders zijn van sterke authenticatie. De druk op bedrijven wordt vergroot door de verwachtingen van klanten die willen weten dat de organisaties die zij hun meest gevoelige gegevens toevertrouwen, sterke authenticatiemethoden gebruiken. Organisaties die gevoelige PII of PHI verwerken, maken meer dan twee keer zoveel kans om sterke authenticatie te gebruiken dan organisaties die alleen de contactgegevens van gebruikers opslaan (Afbeelding 7).
Helaas zijn bedrijven nog niet bereid om sterke authenticatiemethoden te implementeren. Bijna een derde van de zakelijke besluitvormers beschouwt wachtwoorden als de meest effectieve authenticatiemethode van alle in Figuur 9 genoemde methoden, en 43% beschouwt wachtwoorden als de eenvoudigste authenticatiemethode.
Dit diagram bewijst ons dat ontwikkelaars van bedrijfsapplicaties over de hele wereld hetzelfde zijn... Ze zien het voordeel niet van het implementeren van geavanceerde beveiligingsmechanismen voor accounttoegang en delen dezelfde misvattingen. En alleen de acties van toezichthouders kunnen de situatie veranderen.
Laten we wachtwoorden niet aanraken. Maar wat moet je geloven om te geloven dat beveiligingsvragen veiliger zijn dan cryptografische tokens? De effectiviteit van controlevragen, die eenvoudigweg worden geselecteerd, werd geschat op 15%, en niet op hackbare tokens - slechts 10. Bekijk tenminste de film "Illusion of Deception", waarin, hoewel in een allegorische vorm, wordt getoond hoe gemakkelijk goochelaars lokte alle noodzakelijke dingen uit de antwoorden van een zakenman-oplichter en liet hem zonder geld achter.
En nog een feit dat veel zegt over de kwalificaties van degenen die verantwoordelijk zijn voor beveiligingsmechanismen in gebruikersapplicaties. Volgens hen is het proces van het invoeren van een wachtwoord eenvoudiger dan authenticatie met behulp van een cryptografisch token. Hoewel het lijkt alsof het eenvoudiger is om de token op een USB-poort aan te sluiten en een eenvoudige pincode in te voeren.
Belangrijk is dat de implementatie van sterke authenticatie bedrijven in staat stelt om af te stappen van het nadenken over de authenticatiemethoden en operationele regels die nodig zijn om frauduleuze plannen te blokkeren, en om aan de werkelijke behoeften van hun klanten te voldoen.
Hoewel naleving van de regelgeving een redelijke topprioriteit is voor zowel bedrijven die sterke authenticatie gebruiken als bedrijven die dat niet doen, zullen bedrijven die al sterke authenticatie gebruiken veel eerder zeggen dat het vergroten van de klantloyaliteit de belangrijkste maatstaf is die ze in overweging nemen bij het evalueren van een authenticatie. methode. (18% versus 12%) (Figuur 10).
Enterprise-authenticatie
Sinds 2017 is de acceptatie van sterke authenticatie in ondernemingen toegenomen, maar in een iets lager tempo dan bij consumententoepassingen. Het aandeel bedrijven dat sterke authenticatie gebruikt, is gestegen van 7% in 2017 naar 12% in 2018. In tegenstelling tot consumentenapplicaties komt het gebruik van niet-wachtwoordauthenticatiemethoden in de bedrijfsomgeving iets vaker voor in webapplicaties dan op mobiele apparaten. Ongeveer de helft van de bedrijven geeft aan alleen gebruikersnamen en wachtwoorden te gebruiken om hun gebruikers te authenticeren bij het inloggen, waarbij één op de vijf (22%) ook uitsluitend vertrouwt op wachtwoorden voor secundaire authenticatie bij toegang tot gevoelige gegevens (dat wil zeggen dat de gebruiker eerst inlogt op de applicatie met behulp van een eenvoudigere authenticatiemethode, en als hij toegang wil krijgen tot kritieke gegevens, zal hij een andere authenticatieprocedure uitvoeren, deze keer meestal met behulp van een betrouwbaardere methode).
U moet begrijpen dat het rapport geen rekening houdt met het gebruik van cryptografische tokens voor tweefactorauthenticatie in de besturingssystemen Windows, Linux en Mac OS X. En dit is momenteel het meest voorkomende gebruik van 2FA. (Helaas, tokens die zijn gemaakt volgens FIDO-standaarden kunnen 2FA alleen implementeren voor Windows 10).
Bovendien, als de implementatie van 2FA in online en mobiele applicaties een reeks maatregelen vereist, inclusief het aanpassen van deze applicaties, dan hoeft u om 2FA in Windows te implementeren alleen maar PKI (bijvoorbeeld op basis van Microsoft Certification Server) en authenticatiebeleid te configureren. in AD.
En aangezien het beschermen van de login op een werk-pc en domein een belangrijk onderdeel is van de bescherming van bedrijfsgegevens, wordt de implementatie van tweefactorauthenticatie steeds gebruikelijker.
De volgende twee meest gebruikte methoden om gebruikers te authenticeren bij het inloggen zijn eenmalige wachtwoorden die via een aparte app worden verstrekt (13% van de bedrijven) en eenmalige wachtwoorden die via sms worden verzonden (12%). Ondanks het feit dat het gebruikspercentage van beide methoden zeer vergelijkbaar is, wordt OTP SMS het meest gebruikt om het autorisatieniveau te verhogen (bij 24% van de bedrijven). (Figuur 12).
De toename van het gebruik van sterke authenticatie in de onderneming kan waarschijnlijk worden toegeschreven aan de toegenomen beschikbaarheid van cryptografische authenticatie-implementaties in bedrijfsidentiteitsbeheerplatforms (met andere woorden, zakelijke SSO- en IAM-systemen hebben geleerd tokens te gebruiken).
Voor mobiele authenticatie van werknemers en opdrachtnemers zijn bedrijven sterker afhankelijk van wachtwoorden dan voor authenticatie in consumentenapplicaties. Iets meer dan de helft (53%) van de bedrijven gebruikt wachtwoorden bij het authenticeren van gebruikerstoegang tot bedrijfsgegevens via een mobiel apparaat (Figuur 13).
In het geval van mobiele apparaten zou je geloven in de grote kracht van biometrie, ware het niet dat er zoveel gevallen van valse vingerafdrukken, stemmen, gezichten en zelfs irissen voorkomen. Eén zoekopdracht in een zoekmachine zal uitwijzen dat er eenvoudigweg geen betrouwbare methode voor biometrische authenticatie bestaat. Er bestaan natuurlijk echt nauwkeurige sensoren, maar die zijn erg duur en groot van formaat - en worden niet in smartphones geïnstalleerd.
Daarom is de enige werkende 2FA-methode op mobiele apparaten het gebruik van cryptografische tokens die verbinding maken met de smartphone via NFC-, Bluetooth- en USB Type-C-interfaces.
Het beschermen van de financiële gegevens van een bedrijf is de belangrijkste reden om te investeren in wachtwoordloze authenticatie (44%), met de snelste groei sinds 2017 (een stijging van acht procentpunten). Dit wordt gevolgd door de bescherming van intellectueel eigendom (40%) en personeelsgegevens (HR) (39%). En het is duidelijk waarom: niet alleen wordt de waarde van dit soort gegevens algemeen erkend, maar relatief weinig werknemers werken ermee. Dat wil zeggen dat de implementatiekosten niet zo groot zijn en dat slechts een paar mensen moeten worden opgeleid om met een complexer authenticatiesysteem te werken. Daarentegen worden de soorten gegevens en apparaten waartoe de meeste werknemers in ondernemingen routinematig toegang hebben, nog steeds uitsluitend door wachtwoorden beschermd. Werknemersdocumenten, werkstations en zakelijke e-mailportals vormen de gebieden met het grootste risico, aangezien slechts een kwart van de bedrijven deze bedrijfsmiddelen beschermt met wachtwoordloze authenticatie (Figuur 14).
Over het algemeen is zakelijke e-mail een zeer gevaarlijk en lekkend iets, waarvan de mate van potentieel gevaar door de meeste CIO's wordt onderschat. Werknemers ontvangen elke dag tientallen e-mails, dus waarom zou u er niet minstens één phishing- (dat wil zeggen frauduleuze) e-mail aan toevoegen? Deze brief zal worden opgemaakt in de stijl van bedrijfsbrieven, zodat de medewerker met een gerust hart op de link in deze brief zal klikken. Dan kan er van alles gebeuren, bijvoorbeeld het downloaden van een virus op de aangevallen machine of het lekken van wachtwoorden (ook via social engineering, door het invoeren van een nep-authenticatieformulier dat door de aanvaller is gemaakt).
Om te voorkomen dat dit soort dingen gebeuren, moeten e-mails worden ondertekend. Dan is direct duidelijk welke brief door een legitieme medewerker is gemaakt en welke door een aanvaller. In Outlook/Exchange worden cryptografische, op tokens gebaseerde elektronische handtekeningen bijvoorbeeld vrij snel en eenvoudig ingeschakeld en kunnen ze worden gebruikt in combinatie met tweefactorauthenticatie op pc's en Windows-domeinen.
Van de leidinggevenden die binnen de onderneming uitsluitend afhankelijk zijn van wachtwoordauthenticatie, doet tweederde (66%) dit omdat zij van mening zijn dat wachtwoorden voldoende beveiliging bieden voor het soort informatie dat hun bedrijf moet beschermen (Figuur 15).
Maar sterke authenticatiemethoden worden steeds gebruikelijker. Grotendeels vanwege het feit dat hun beschikbaarheid toeneemt. Een toenemend aantal identiteits- en toegangsbeheersystemen (IAM), browsers en besturingssystemen ondersteunen authenticatie met behulp van cryptografische tokens.
Sterke authenticatie heeft nog een voordeel. Omdat het wachtwoord niet meer wordt gebruikt (vervangen door een eenvoudige pincode) zijn er geen verzoeken van medewerkers om het vergeten wachtwoord te wijzigen. Wat op zijn beurt de belasting van de IT-afdeling van de onderneming vermindert.
Resultaten en conclusies
- Managers beschikken vaak niet over de benodigde kennis om te kunnen beoordelen echt effectiviteit van verschillende authenticatieopties. Ze zijn eraan gewend zulke mensen te vertrouwen verouderd beveiligingsmethoden zoals wachtwoorden en beveiligingsvragen simpelweg omdat ‘het eerder werkte’.
- Gebruikers hebben deze kennis nog steeds minder, voor hen is het belangrijkste eenvoud en gemak. Zolang ze geen prikkel hebben om te kiezen veiligere oplossingen.
- Vaak ontwikkelaars van maatwerkapplicaties geen redenom tweefactorauthenticatie te implementeren in plaats van wachtwoordauthenticatie. Concurrentie op het niveau van bescherming in gebruikersapplicaties Geen.
- Volledige verantwoordelijkheid voor de hack verschoven naar de gebruiker. Gaf het eenmalige wachtwoord aan de aanvaller - schuldig. Uw wachtwoord is onderschept of bespioneerd - schuldig. Vereist niet dat de ontwikkelaar betrouwbare authenticatiemethoden in het product gebruikt - schuldig.
- rechts regelaar allereerst zou van bedrijven moeten eisen dat zij oplossingen daarvoor implementeren blok datalekken (met name tweefactorauthenticatie) in plaats van bestraffing al gebeurd datalek.
- Sommige softwareontwikkelaars proberen aan consumenten te verkopen oud en niet bijzonder betrouwbaar oplossingen in mooie verpakking "vernieuwend" product. Bijvoorbeeld authenticatie door koppeling aan een specifieke smartphone of het gebruik van biometrie. Zoals blijkt uit het rapport, aldus echt betrouwbaar Er kan alleen een oplossing zijn die gebaseerd is op sterke authenticatie, dat wil zeggen cryptografische tokens.
- Hetzelfde cryptografisch token kan worden gebruikt een aantal taken: voor sterke authenticatie in het bedrijfsbesturingssysteem, in bedrijfs- en gebruikerstoepassingen, voor elektronische handtekening financiële transacties (belangrijk voor banktoepassingen), documenten en e-mail.
Bron: www.habr.com