Nylig publiserte forskningsselskapet Javelin Strategy & Research en rapport, "The State of Strong Authentication 2019." Skaperne samlet informasjon om hvilke autentiseringsmetoder som brukes i bedriftsmiljøer og forbrukerapplikasjoner, og kom også med interessante konklusjoner om fremtiden for sterk autentisering.
Oversettelse av første del med konklusjonene til forfatterne av rapporten, vi . Og nå presenterer vi den andre delen - med data og grafer.
Fra oversetteren
Jeg vil ikke kopiere hele blokken med samme navn fra den første delen, men jeg vil fortsatt duplisere ett avsnitt.
Alle tall og fakta presenteres uten de minste endringer, og hvis du ikke er enig med dem, er det bedre å argumentere ikke med oversetteren, men med forfatterne av rapporten. Og her er mine kommentarer (lagt ut som sitater, og markert i teksten italiensk) er min verdivurdering, og jeg vil gjerne argumentere om hver av dem (så vel som om kvaliteten på oversettelsen).
Bruker autentisering
Siden 2017 har bruken av sterk autentisering i forbrukerapplikasjoner vokst kraftig, hovedsakelig på grunn av tilgjengeligheten av kryptografiske autentiseringsmetoder på mobile enheter, selv om bare en litt mindre prosentandel av selskapene bruker sterk autentisering for Internett-applikasjoner.
Totalt sett tredoblet andelen selskaper som bruker sterk autentisering i sin virksomhet fra 5 % i 2017 til 16 % i 2018 (figur 3).
Muligheten til å bruke sterk autentisering for nettapplikasjoner er fortsatt begrenset (på grunn av det faktum at bare helt nye versjoner av enkelte nettlesere støtter interaksjon med kryptografiske tokens, men dette problemet kan løses ved å installere tilleggsprogramvare som f.eks. ), så mange selskaper bruker alternative metoder for online autentisering, for eksempel programmer for mobile enheter som genererer engangspassord.
Maskinvare kryptografiske nøkler (her mener vi kun de som overholder FIDO-standarder), som de som tilbys av Google, Feitian, One Span og Yubico kan brukes til sterk autentisering uten å installere ekstra programvare på stasjonære datamaskiner og bærbare datamaskiner (fordi de fleste nettlesere allerede støtter WebAuthn-standarden fra FIDO), men bare 3 % av bedriftene bruker denne funksjonen til å logge på brukerne sine.
Sammenligning av kryptografiske tokens (som ) og hemmelige nøkler som fungerer i henhold til FIDO-standarder er utenfor rammen av denne rapporten, men også mine kommentarer til den. Kort sagt, begge typer tokens bruker lignende algoritmer og driftsprinsipper. FIDO-tokens støttes for øyeblikket bedre av nettleserleverandører, selv om dette snart vil endre seg ettersom flere nettlesere støtter . Men klassiske kryptografiske tokens er beskyttet av en PIN-kode, kan signere elektroniske dokumenter og brukes til tofaktorautentisering i Windows (alle versjoner), Linux og Mac OS X, har APIer for ulike programmeringsspråk, slik at du kan implementere 2FA og elektronisk signatur i desktop-, mobil- og nettapplikasjoner og tokens produsert i Russland støtter russiske GOST-algoritmer. I alle fall er et kryptografisk token, uavhengig av hvilken standard det er laget av, den mest pålitelige og praktiske autentiseringsmetoden.
Beyond Security: Andre fordeler med sterk autentisering
Det er ingen overraskelse at bruken av sterk autentisering er nært knyttet til viktigheten av dataene en bedrift lagrer. Bedrifter som lagrer sensitiv personlig identifiserbar informasjon (PII), som personnummer eller personlig helseinformasjon (PHI), møter det største juridiske og regulatoriske presset. Dette er selskapene som er de mest aggressive tilhengerne av sterk autentisering. Presset på bedrifter øker av forventningene til kunder som ønsker å vite at organisasjonene de stoler på med sine mest sensitive data, bruker sterke autentiseringsmetoder. Organisasjoner som håndterer sensitiv PII eller PHI har mer enn dobbelt så stor sannsynlighet for å bruke sterk autentisering enn organisasjoner som kun lagrer brukernes kontaktinformasjon (Figur 7).
Dessverre er bedrifter ennå ikke villige til å implementere sterke autentiseringsmetoder. Nesten en tredjedel av forretningsbeslutningstakere anser passord som den mest effektive autentiseringsmetoden blant alle de som er oppført i figur 9, og 43 % anser passord som den enkleste autentiseringsmetoden.
Dette diagrammet beviser for oss at utviklere av forretningsapplikasjoner over hele verden er de samme... De ser ikke fordelen med å implementere avanserte sikkerhetsmekanismer for kontotilgang og deler de samme misoppfatningene. Og bare handlingene til regulatorer kan endre situasjonen.
La oss ikke røre passord. Men hva må du tro for å tro at sikkerhetsspørsmål er sikrere enn kryptografiske tokens? Effektiviteten til kontrollspørsmål, som ganske enkelt er valgt, ble estimert til 15%, og ikke hackbare tokens - bare 10. Se i det minste filmen "Illusion of Deception", hvor det, selv om det er i en allegorisk form, vises hvor lett magikere lokket alle de nødvendige tingene ut av en forretningsmann-svindler svar og forlot ham uten penger.
Og enda et faktum som sier mye om kvalifikasjonene til de som er ansvarlige for sikkerhetsmekanismer i brukerapplikasjoner. Etter deres forståelse er prosessen med å skrive inn et passord en enklere operasjon enn autentisering ved hjelp av et kryptografisk token. Selv om det ser ut til at det kan være enklere å koble tokenet til en USB-port og angi en enkel PIN-kode.
Viktigere er at implementering av sterk autentisering lar bedrifter gå bort fra å tenke på autentiseringsmetodene og driftsreglene som er nødvendige for å blokkere uredelige ordninger til å møte de reelle behovene til kundene deres.
Selv om overholdelse av regelverk er en rimelig toppprioritet for både virksomheter som bruker sterk autentisering og de som ikke gjør det, er det mye mer sannsynlig at selskaper som allerede bruker sterk autentisering sier at økende kundelojalitet er den viktigste beregningen de vurderer når de evaluerer en autentisering. metode. (18 % vs. 12 %) (Figur 10).
Enterprise Authentication
Siden 2017 har bruken av sterk autentisering i bedrifter vokst, men med en litt lavere hastighet enn for forbrukerapplikasjoner. Andelen virksomheter som bruker sterk autentisering økte fra 7 % i 2017 til 12 % i 2018. I motsetning til forbrukerapplikasjoner er bruk av autentiseringsmetoder uten passord noe mer vanlig i webapplikasjoner enn på mobile enheter i bedriftsmiljøet. Omtrent halvparten av virksomhetene rapporterer at de kun bruker brukernavn og passord for å autentisere brukerne sine når de logger på, mens én av fem (22 %) også stoler utelukkende på passord for sekundær autentisering når de får tilgang til sensitive data (det vil si at brukeren først logger på applikasjonen ved hjelp av en enklere autentiseringsmetode, og hvis han ønsker å få tilgang til kritiske data, vil han utføre en annen autentiseringsprosedyre, denne gangen vanligvis med en mer pålitelig metode).
Du må forstå at rapporten ikke tar hensyn til bruken av kryptografiske tokens for tofaktorautentisering i operativsystemene Windows, Linux og Mac OS X. Og dette er for tiden den mest utbredte bruken av 2FA. (Akk, tokens opprettet i henhold til FIDO-standarder kan implementere 2FA bare for Windows 10).
Videre, hvis implementeringen av 2FA i nettbaserte og mobile applikasjoner krever et sett med tiltak, inkludert modifikasjon av disse applikasjonene, trenger du bare å konfigurere PKI (for eksempel basert på Microsoft Certification Server) og autentiseringspolicyer for å implementere 2FA i Windows i annonse.
Og siden beskyttelse av påloggingen til en arbeids-PC og domene er et viktig element for å beskytte bedriftsdata, blir implementeringen av tofaktorautentisering mer og mer vanlig.
De neste to vanligste metodene for å autentisere brukere når de logger på er engangspassord gitt gjennom en egen app (13 % av bedriftene) og engangspassord levert via SMS (12 %). Til tross for at prosentandelen av bruk av begge metodene er svært lik, brukes OTP SMS oftest for å øke autorisasjonsnivået (i 24 % av selskapene). (Figur 12).
Økningen i bruken av sterk autentisering i bedriften kan sannsynligvis tilskrives den økte tilgjengeligheten av kryptografiske autentiseringsimplementeringer i bedriftsidentitetsadministrasjonsplattformer (med andre ord, enterprise SSO og IAM-systemer har lært å bruke tokens).
For mobil autentisering av ansatte og entreprenører er bedrifter mer avhengige av passord enn for autentisering i forbrukerapplikasjoner. Litt over halvparten (53 %) av bedriftene bruker passord når de autentiserer brukertilgang til bedriftsdata via en mobilenhet (Figur 13).
Når det gjelder mobile enheter, ville man tro på den store kraften i biometri, hvis ikke for de mange tilfellene med falske fingeravtrykk, stemmer, ansikter og til og med iris. En søkemotor vil avsløre at en pålitelig metode for biometrisk autentisering rett og slett ikke eksisterer. Virkelig nøyaktige sensorer finnes selvfølgelig, men de er veldig dyre og store i størrelse - og er ikke installert i smarttelefoner.
Derfor er den eneste fungerende 2FA-metoden i mobile enheter bruken av kryptografiske tokens som kobles til smarttelefonen via NFC, Bluetooth og USB Type-C-grensesnitt.
Beskyttelse av et selskaps økonomiske data er hovedårsaken til å investere i passordløs autentisering (44 %), med den raskeste veksten siden 2017 (en økning på åtte prosentpoeng). Deretter følger beskyttelse av immaterielle rettigheter (40 %) og personell (HR) data (39 %). Og det er klart hvorfor – ikke bare er verdien knyttet til denne typen data allment anerkjent, men relativt få ansatte jobber med dem. Det vil si at implementeringskostnadene ikke er så store, og bare noen få personer trenger å bli opplært til å jobbe med et mer komplekst autentiseringssystem. Derimot er typene data og enheter som de fleste bedriftsansatte rutinemessig får tilgang til, fortsatt beskyttet utelukkende av passord. Ansattes dokumenter, arbeidsstasjoner og bedriftens e-postportaler er områdene med størst risiko, siden bare en fjerdedel av virksomhetene beskytter disse eiendelene med passordløs autentisering (Figur 14).
Generelt er bedrifts-e-post en veldig farlig og lekk ting, hvor grad av potensiell fare er undervurdert av de fleste IT-sjefer. Ansatte mottar dusinvis av e-poster hver dag, så hvorfor ikke inkludere minst én phishing (det vil si uredelig) e-post blant dem. Dette brevet vil være formatert i stil med firmabrev, slik at den ansatte vil føle seg komfortabel ved å klikke på lenken i dette brevet. Vel, da kan alt skje, for eksempel å laste ned et virus til den angrepne maskinen eller lekke passord (inkludert gjennom sosial manipulering, ved å skrive inn et falskt autentiseringsskjema laget av angriperen).
For å unngå at ting som dette skjer, må e-poster signeres. Da vil det umiddelbart være klart hvilket brev som ble opprettet av en legitim ansatt og hvilket av en angriper. I Outlook/Exchange, for eksempel, aktiveres kryptografiske tokenbaserte elektroniske signaturer ganske raskt og enkelt og kan brukes i forbindelse med tofaktorautentisering på tvers av PC-er og Windows-domener.
Blant de lederne som utelukkende er avhengige av passordautentisering i bedriften, gjør to tredjedeler (66 %) det fordi de mener passord gir tilstrekkelig sikkerhet for den typen informasjon bedriften deres trenger å beskytte (Figur 15).
Men sterke autentiseringsmetoder blir mer vanlig. Mye på grunn av at tilgjengeligheten deres øker. Et økende antall systemer for identitets- og tilgangsadministrasjon (IAM), nettlesere og operativsystemer støtter autentisering ved bruk av kryptografiske tokens.
Sterk autentisering har en annen fordel. Siden passordet ikke lenger brukes (erstattes med en enkel PIN-kode), er det ingen forespørsler fra ansatte som ber dem om å endre det glemte passordet. Noe som igjen reduserer belastningen på bedriftens IT-avdeling.
Resultater og konklusjoner
- Ledere har ofte ikke den nødvendige kunnskapen for å vurdere ekte effektiviteten til ulike autentiseringsalternativer. De er vant til å stole på slike utdatert sikkerhetsmetoder som passord og sikkerhetsspørsmål ganske enkelt fordi "det fungerte før."
- Brukerne har fortsatt denne kunnskapen mindre, for dem er hovedsaken enkelhet og bekvemmelighet. Så lenge de ikke har noe insentiv til å velge sikrere løsninger.
- Utviklere av tilpassede applikasjoner ofte ingen grunnå implementere tofaktorautentisering i stedet for passordautentisering. Konkurranse i beskyttelsesnivået i brukerapplikasjoner ikke.
- Fullt ansvar for hacket flyttet til brukeren. Ga engangspassordet til angriperen - å skylde på. Passordet ditt ble fanget opp eller spionert på - å skylde på. Krevde ikke utvikleren å bruke pålitelige autentiseringsmetoder i produktet - å skylde på.
- Riktig regulator først bør kreve at bedrifter implementerer løsninger som blokkere datalekkasjer (spesielt tofaktorautentisering), i stedet for å straffe allerede skjedd datalekkasje.
- Noen programvareutviklere prøver å selge til forbrukere gammel og ikke spesielt pålitelig løsninger i vakker innpakning "nyskapende" produkt. For eksempel autentisering ved å koble til en spesifikk smarttelefon eller bruke biometri. Som det fremgår av rapporten, iht virkelig pålitelig Det kan bare være en løsning basert på sterk autentisering, det vil si kryptografiske tokens.
- Det samme kryptografisk token kan brukes til en rekke oppgaver: for sterk autentisering i bedriftsoperativsystemet, i bedrifts- og brukerapplikasjoner, for elektronisk signatur finansielle transaksjoner (viktig for bankapplikasjoner), dokumenter og e-post.
Kilde: www.habr.com