Niedawno firma badawcza Javelin Strategy & Research opublikowała raport „Stan silnego uwierzytelniania 2019”. Jego twórcy zebrali informacje o tym, jakie metody uwierzytelniania są stosowane w środowiskach korporacyjnych i aplikacjach konsumenckich, a także wyciągnęli ciekawe wnioski na temat przyszłości silnego uwierzytelniania.
Tłumaczenie części pierwszej wraz z wnioskami autorów raportu, opr . A teraz przedstawiamy Państwu drugą część - z danymi i wykresami.
Od tłumacza
Nie będę całkowicie kopiował całego bloku o tej samej nazwie z pierwszej części, ale nadal powielę jeden akapit.
Wszystkie liczby i fakty przedstawiono bez najmniejszych zmian, a jeśli się z nimi nie zgadzasz, lepiej kłócić się nie z tłumaczem, ale z autorami raportu. A oto moje uwagi (umieszczone w cudzysłowie i zaznaczone w tekście Włoski) to mój ocena wartości i chętnie podejmę dyskusję na temat każdego z nich (a także jakości tłumaczenia).
Uwierzytelnianie użytkownika
Od 2017 roku gwałtownie wzrosło wykorzystanie silnego uwierzytelniania w aplikacjach konsumenckich, w dużej mierze ze względu na dostępność metod uwierzytelniania kryptograficznego na urządzeniach mobilnych, choć tylko nieco mniejszy odsetek firm stosuje silne uwierzytelnianie w aplikacjach internetowych.
Ogółem odsetek firm stosujących silne uwierzytelnianie w swojej działalności potroił się z 5% w 2017 r. do 16% w 2018 r. (wykres 3).
Możliwość stosowania silnego uwierzytelniania w aplikacjach internetowych jest nadal ograniczona (ze względu na to, że tylko bardzo nowe wersje niektórych przeglądarek obsługują interakcję z tokenami kryptograficznymi, jednak problem ten można rozwiązać instalując dodatkowe oprogramowanie takie jak ), dlatego wiele firm korzysta z alternatywnych metod uwierzytelniania w Internecie, takich jak programy na urządzenia mobilne, które generują hasła jednorazowe.
Sprzętowe klucze kryptograficzne (mamy tutaj na myśli tylko te, które spełniają standardy FIDO), takie jak te oferowane przez Google, Feitian, One Span i Yubico, można wykorzystać do silnego uwierzytelnienia bez konieczności instalowania dodatkowego oprogramowania na komputerach stacjonarnych i laptopach (ponieważ większość przeglądarek obsługuje już standard WebAuthn firmy FIDO), ale tylko 3% firm wykorzystuje tę funkcję do logowania swoich użytkowników.
Porównanie tokenów kryptograficznych (np ) i tajne klucze działające zgodnie ze standardami FIDO wykracza poza zakres tego raportu, ale także moich komentarzy do niego. Krótko mówiąc, oba typy tokenów wykorzystują podobne algorytmy i zasady działania. Tokeny FIDO są obecnie lepiej obsługiwane przez dostawców przeglądarek, chociaż wkrótce się to zmieni w miarę obsługi większej liczby przeglądarek . Natomiast klasyczne tokeny kryptograficzne są chronione kodem PIN, mogą podpisywać dokumenty elektroniczne i służyć do uwierzytelniania dwuskładnikowego w systemach Windows (dowolna wersja), Linux i Mac OS X, posiadają API dla różnych języków programowania, co pozwala na implementację 2FA i elektronicznych podpis w aplikacjach desktopowych, mobilnych i webowych, a tokeny produkowane w Rosji obsługują rosyjskie algorytmy GOST. W każdym razie token kryptograficzny, niezależnie od tego, w jakim standardzie jest tworzony, jest najbardziej niezawodną i wygodną metodą uwierzytelnienia.
Poza bezpieczeństwem: inne zalety silnego uwierzytelniania
Nic dziwnego, że stosowanie silnego uwierzytelniania jest ściśle powiązane ze znaczeniem danych przechowywanych przez firmę. Firmy przechowujące wrażliwe dane osobowe (PII), takie jak numery ubezpieczenia społecznego lub informacje o stanie zdrowia (PHI), stoją przed największą presją prawną i regulacyjną. To firmy, które są najbardziej agresywnymi zwolennikami silnego uwierzytelniania. Presję na przedsiębiorców zwiększają oczekiwania klientów, którzy chcą wiedzieć, że organizacje, którym powierzają swoje najbardziej wrażliwe dane, stosują silne metody uwierzytelniania. Organizacje, które przetwarzają wrażliwe dane osobowe lub PHI, ponad dwukrotnie częściej stosują silne uwierzytelnianie niż organizacje, które przechowują wyłącznie dane kontaktowe użytkowników (rysunek 7).
Niestety firmy nie są jeszcze skłonne do wdrażania silnych metod uwierzytelniania. Prawie jedna trzecia decydentów biznesowych uważa hasła za najskuteczniejszą metodę uwierzytelniania spośród wszystkich wymienionych na rysunku 9, a 43% uważa hasła za najprostszą metodę uwierzytelniania.
Ten wykres udowadnia nam, że twórcy aplikacji biznesowych na całym świecie są tacy sami... Nie widzą korzyści z wdrożenia zaawansowanych mechanizmów bezpieczeństwa dostępu do kont i podzielają te same błędne przekonania. I tylko działania organów regulacyjnych mogą zmienić sytuację.
Nie dotykajmy haseł. Ale w co trzeba wierzyć, aby wierzyć, że pytania zabezpieczające są bezpieczniejsze niż tokeny kryptograficzne? Skuteczność pytań kontrolnych, które są po prostu wybrane, oszacowano na 15%, a nie hakowalnych tokenów - tylko na 10. Obejrzyjcie przynajmniej film „Iluzja oszustwa”, gdzie choć w formie alegorycznej pokazano, jak łatwo magowie wywabił wszystkie niezbędne rzeczy z odpowiedzi biznesmena-oszusta i pozostawił go bez pieniędzy.
I jeszcze jeden fakt, który wiele mówi o kwalifikacjach osób odpowiedzialnych za mechanizmy bezpieczeństwa w aplikacjach użytkownika. W ich rozumieniu proces wpisania hasła jest operacją prostszą niż uwierzytelnienie za pomocą tokena kryptograficznego. Choć wydawałoby się, że prościej byłoby podłączyć token do portu USB i wpisać prosty kod PIN.
Co ważne, wdrożenie silnego uwierzytelniania pozwala firmom odejść od myślenia o metodach uwierzytelniania i zasadach operacyjnych niezbędnych do blokowania oszukańczych schematów na rzecz zaspokajania rzeczywistych potrzeb swoich klientów.
Chociaż zgodność z przepisami jest rozsądnym najwyższym priorytetem zarówno dla firm stosujących silne uwierzytelnianie, jak i tych, które tego nie robią, firmy, które już korzystają z silnego uwierzytelniania, znacznie częściej twierdzą, że zwiększenie lojalności klientów jest najważniejszym miernikiem branym pod uwagę podczas oceny uwierzytelniania metoda. (18% vs. 12%) (wykres 10).
Uwierzytelnianie przedsiębiorstwa
Od 2017 roku rośnie wykorzystanie silnego uwierzytelniania w przedsiębiorstwach, jednak w nieco niższym tempie niż w zastosowaniach konsumenckich. Odsetek przedsiębiorstw stosujących silne uwierzytelnianie wzrósł z 7% w 2017 r. do 12% w 2018 r. W odróżnieniu od aplikacji konsumenckich, w środowisku korporacyjnym stosowanie metod uwierzytelniania bez hasła jest nieco częstsze w aplikacjach internetowych niż na urządzeniach mobilnych. Około połowa firm zgłasza, że używa wyłącznie nazw użytkowników i haseł do uwierzytelniania swoich użytkowników podczas logowania, a jedna na pięć (22%) również opiera się wyłącznie na hasłach w celu wtórnego uwierzytelnienia podczas uzyskiwania dostępu do wrażliwych danych (czyli użytkownik najpierw loguje się do aplikacji prostszą metodą uwierzytelnienia, a jeśli będzie chciał uzyskać dostęp do krytycznych danych, dokona kolejnej procedury uwierzytelnienia, tym razem zwykle przy użyciu bardziej niezawodnej metody).
Trzeba zrozumieć, że raport nie uwzględnia wykorzystania tokenów kryptograficznych do uwierzytelniania dwuskładnikowego w systemach operacyjnych Windows, Linux i Mac OS X. I to jest obecnie najpowszechniejsze zastosowanie 2FA. (Niestety, tokeny utworzone zgodnie ze standardami FIDO mogą implementować 2FA tylko dla Windows 10).
Co więcej, jeśli wdrożenie 2FA w aplikacjach internetowych i mobilnych wymaga zestawu działań, w tym modyfikacji tych aplikacji, to aby wdrożyć 2FA w Windows wystarczy skonfigurować PKI (np. w oparciu o Microsoft Certification Server) i zasady uwierzytelniania w reklamie.
A ponieważ ochrona logowania do służbowego komputera i domeny jest ważnym elementem ochrony danych firmowych, wdrażanie uwierzytelniania dwuskładnikowego staje się coraz powszechniejsze.
Kolejne dwie najpopularniejsze metody uwierzytelniania użytkowników podczas logowania to hasła jednorazowe podawane przez osobną aplikację (13% firm) oraz hasła jednorazowe dostarczane SMS-em (12%). Pomimo tego, że odsetek wykorzystania obu metod jest bardzo podobny, SMS OTP najczęściej wykorzystywany jest w celu podniesienia poziomu autoryzacji (w 24% firm). (Rysunek 12).
Wzrost wykorzystania silnego uwierzytelniania w przedsiębiorstwie można prawdopodobnie przypisać zwiększonej dostępności implementacji uwierzytelniania kryptograficznego na platformach zarządzania tożsamością w przedsiębiorstwie (innymi słowy, korporacyjne systemy SSO i IAM nauczyły się korzystać z tokenów).
W przypadku mobilnego uwierzytelniania pracowników i kontrahentów przedsiębiorstwa w większym stopniu opierają się na hasłach niż przy uwierzytelnianiu w aplikacjach konsumenckich. Nieco ponad połowa (53%) przedsiębiorstw używa haseł podczas uwierzytelniania dostępu użytkowników do danych firmowych za pośrednictwem urządzenia mobilnego (wykres 13).
W przypadku urządzeń mobilnych można by wierzyć w ogromną moc biometrii, gdyby nie liczne przypadki fałszywych odcisków palców, głosów, twarzy, a nawet tęczówek. Jedno zapytanie w wyszukiwarce ujawni, że niezawodna metoda uwierzytelniania biometrycznego po prostu nie istnieje. Istnieją oczywiście naprawdę dokładne czujniki, ale są one bardzo drogie i duże - i nie są instalowane w smartfonach.
Dlatego jedyną działającą metodą 2FA w urządzeniach mobilnych jest wykorzystanie tokenów kryptograficznych, które łączą się ze smartfonem poprzez interfejsy NFC, Bluetooth i USB Type-C.
Ochrona danych finansowych firmy to główny powód inwestycji w uwierzytelnianie bez hasła (44%), przy najszybszym wzroście od 2017 r. (wzrost o osiem punktów procentowych). Na drugim miejscu znajduje się ochrona własności intelektualnej (40%) i danych personalnych (HR) (39%). I jasne jest, dlaczego – nie tylko wartość związana z tego typu danymi jest powszechnie uznawana, ale stosunkowo niewielu pracowników z nimi pracuje. Oznacza to, że koszty wdrożenia nie są tak duże, a do pracy z bardziej złożonym systemem uwierzytelniania trzeba przeszkolić tylko kilka osób. Z kolei typy danych i urządzeń, do których rutynowo uzyskuje dostęp większość pracowników przedsiębiorstw, są nadal chronione wyłącznie hasłami. Dokumenty pracowników, stacje robocze i korporacyjne portale e-mail to obszary o największym ryzyku, ponieważ tylko jedna czwarta firm chroni te zasoby za pomocą uwierzytelniania bez hasła (rysunek 14).
Ogólnie rzecz biorąc, korporacyjna poczta e-mail jest rzeczą bardzo niebezpieczną i nieszczelną, a stopień potencjalnego zagrożenia jest niedoceniany przez większość CIO. Pracownicy otrzymują codziennie dziesiątki e-maili, więc dlaczego nie uwzględnić wśród nich przynajmniej jednego e-maila phishingowego (czyli fałszywego). List ten będzie sformatowany w stylu listów firmowych, dzięki czemu pracownik będzie czuł się komfortowo, klikając link zawarty w tym liście. Cóż, wtedy może się zdarzyć wszystko, np. pobranie wirusa na zaatakowaną maszynę lub wyciek haseł (m.in. poprzez socjotechnikę, poprzez wprowadzenie fałszywego formularza uwierzytelniającego stworzonego przez atakującego).
Aby zapobiec takim sytuacjom, e-maile muszą być podpisane. Wtedy od razu będzie jasne, który list został stworzony przez legalnego pracownika, a który przez atakującego. Na przykład w programie Outlook/Exchange podpisy elektroniczne oparte na tokenach kryptograficznych są włączane dość szybko i łatwo i można ich używać w połączeniu z uwierzytelnianiem dwuskładnikowym na komputerach PC i domenach Windows.
Wśród menedżerów, którzy w przedsiębiorstwie polegają wyłącznie na uwierzytelnianiu za pomocą haseł, dwie trzecie (66%) robi tak, ponieważ uważa, że hasła zapewniają wystarczające bezpieczeństwo w przypadku informacji, które ich firma musi chronić (rysunek 15).
Jednak metody silnego uwierzytelniania stają się coraz bardziej powszechne. W dużej mierze ze względu na fakt, że ich dostępność jest coraz większa. Coraz większa liczba systemów zarządzania tożsamością i dostępem (IAM), przeglądarek i systemów operacyjnych obsługuje uwierzytelnianie za pomocą tokenów kryptograficznych.
Silne uwierzytelnianie ma jeszcze jedną zaletę. Ponieważ hasło nie jest już używane (zastąpione prostym PIN-em), nie ma żadnych próśb ze strony pracowników o zmianę zapomnianego hasła. Co z kolei odciąża dział IT przedsiębiorstwa.
Wyniki i wnioski
- Menedżerowie często nie mają wiedzy niezbędnej do oceny prawdziwy skuteczność różnych opcji uwierzytelniania. Są przyzwyczajeni do ufania takim przestarzały metod bezpieczeństwa, takich jak hasła i pytania zabezpieczające, po prostu dlatego, że „wcześniej to działało”.
- Użytkownicy nadal posiadają tę wiedzę mniejdla nich najważniejsze jest prostota i wygoda. Pod warunkiem, że nie mają motywacji do wyboru bezpieczniejsze rozwiązania.
- Często twórcy niestandardowych aplikacji bez powoduwdrożyć uwierzytelnianie dwuskładnikowe zamiast uwierzytelniania hasłem. Konkurencja w poziomie ochrony aplikacji użytkownika Nie.
- Pełna odpowiedzialność za hack przeniesiony na użytkownika. Przekazał atakującemu jednorazowe hasło - winny. Twoje hasło zostało przechwycone lub szpiegowane - winny. Nie wymagał od programisty stosowania niezawodnych metod uwierzytelniania w produkcie - winny.
- Racja regulator po pierwsze powinien wymagać od firm wdrożenia rozwiązań, które blok wycieki danych (w szczególności uwierzytelnianie dwuskładnikowe), a nie karanie już się stało wyciek danych.
- Niektórzy twórcy oprogramowania próbują sprzedawać klientom stary i niezbyt niezawodny Rozwiązania w pięknym opakowaniu produkt „innowacyjny”. Na przykład uwierzytelnianie poprzez połączenie z konkretnym smartfonem lub wykorzystanie danych biometrycznych. Jak wynika z raportu wg naprawdę niezawodny Może istnieć jedynie rozwiązanie oparte na silnym uwierzytelnianiu, czyli tokenach kryptograficznych.
- To samo można wykorzystać token kryptograficzny szereg zadań: dla silne uwierzytelnienie w korporacyjnym systemie operacyjnym, w aplikacjach korporacyjnych i użytkownikach, dla podpis elektroniczny transakcje finansowe (istotne dla aplikacji bankowych), dokumenty i pocztę elektroniczną.
Źródło: www.habr.com