په دې وروستیو کې، څیړنیز شرکت Javelin Strategy & Research یو راپور خپور کړ، "د قوي تصدیق 2019 حالت." د دې جوړونکو د دې په اړه معلومات راټول کړل چې د تصدیق کولو میتودونه په کارپوریټ چاپیریال او مصرف کونکي غوښتنلیکونو کې کارول کیږي ، او د قوي تصدیق راتلونکي په اړه په زړه پوري پایلې یې هم رامینځته کړې.
د راپور د لیکوالانو د پایلو سره د لومړۍ برخې ژباړه، موږ . او اوس موږ ستاسو پام ته دویمه برخه وړاندې کوو - د معلوماتو او ګرافونو سره.
د ژباړونکي څخه
زه به د لومړي برخې څخه د ورته نوم ټول بلاک په بشپړه توګه کاپي نه کړم، مګر زه به بیا هم یو پراګراف نقل کړم.
ټول ارقام او حقایق پرته له کوم لږ بدلون څخه وړاندې کیږي، او که تاسو ورسره موافق نه یاست، نو دا به غوره وي چې د ژباړونکي سره نه، مګر د راپور لیکوالانو سره بحث وکړئ. او دلته زما نظرونه دي (د نرخونو په توګه ایښودل شوي، او په متن کې نښه شوي ایټالیوي) زما د ارزښت قضاوت دی او زه به خوشحاله شم چې د دوی په هر یو باندې بحث وکړم (او همدارنګه د ژباړې کیفیت).
د کارن تصدیق
د 2017 راهیسې، د مصرف کونکي غوښتنلیکونو کې د قوي تصدیق کارول په چټکۍ سره وده کړې، په لویه کچه په ګرځنده وسیلو کې د کریپټوګرافیک تصدیق کولو میتودونو شتون له امله، که څه هم یوازې یو څه لږ سلنه شرکتونه د انټرنیټ غوښتنلیکونو لپاره قوي تصدیق کاروي.
په ټولیز ډول، د هغو شرکتونو سلنه چې د دوی په سوداګرۍ کې قوي تصدیق کاروي په 5 کې له 2017٪ څخه په 16 کې 2018٪ ته درې چنده شوي (شکل 3).
د ویب غوښتنلیکونو لپاره د قوي تصدیق کارولو وړتیا لاهم محدود ده (د دې حقیقت له امله چې د ځینې براوزرونو یوازې خورا نوي نسخې د کریپټوګرافیک ټیکونو سره تعامل ملاتړ کوي ، مګر دا ستونزه د اضافي سافټویر نصبولو سره حل کیدی شي لکه )، نو ډیری شرکتونه د آنلاین تصدیق لپاره بدیل میتودونه کاروي، لکه د ګرځنده وسیلو لپاره پروګرامونه چې یو ځل پاسورډونه تولیدوي.
د هارډویر کریپټوګرافیک کیلي (دلته موږ یوازې هغه څه معنی لرو چې د FIDO معیارونو سره مطابقت لري)، لکه د ګوګل لخوا وړاندیز شوي، Feitian، One Span، او Yubico په ډیسټاپ کمپیوټرونو او لپ ټاپونو کې د اضافي سافټویر نصبولو پرته د قوي تصدیق لپاره کارول کیدی شي (ځکه چې ډیری براوزرونه دمخه د FIDO څخه د WebAuthn معیار ملاتړ کوي)، مګر یوازې 3٪ شرکتونه دا ځانګړتیا د خپلو کاروونکو د ننوتلو لپاره کاروي.
د کریپټوګرافیک ټوکونو پرتله کول (لکه ) او پټې کیلي د FIDO معیارونو سره سم کار کول د دې راپور له دائرې بهر دي ، مګر پدې اړه زما نظرونه هم. په لنډه توګه، د ټوکن دواړه ډولونه ورته الګوریتمونه او عملیاتي اصول کاروي. د FIDO ټوکن اوس مهال د براوزر پلورونکو لخوا ښه ملاتړ کیږي ، که څه هم دا به ډیر ژر د نورو براوزرونو ملاتړ سره بدل شي . مګر کلاسیک کریپټوګرافیک ټوکنونه د PIN کوډ لخوا خوندي شوي ، بریښنایی سندونه لاسلیک کولی شي او په وینډوز (هره نسخه) کې د دوه فاکتور تصدیق لپاره کارول کیدی شي ، لینکس او ماک OS X ، د مختلف برنامې ژبو لپاره APIs لري ، تاسو ته اجازه درکوي 2FA او بریښنایی پلي کړئ. په ډیسټاپ، ګرځنده او ویب غوښتنلیکونو کې لاسلیک، او په روسیه کې تولید شوي ټوکنونه د روسیې GOST الګوریتم ملاتړ کوي. په هر حالت کې، د کریپټوګرافیک نښه، پرته له دې چې دا د کوم معیار لخوا رامینځته شوی، د اعتبار وړ او اسانه طریقه ده.
د امنیت هاخوا: د قوي تصدیق نورې ګټې
دا د حیرانتیا خبره نده چې د قوي تصدیق کارول د سوداګرۍ پلورنځي ډیټا اهمیت سره نږدې تړاو لري. هغه شرکتونه چې د شخصي پیژندنې حساس معلومات (PII) ذخیره کوي، لکه د ټولنیز امنیت شمیرې یا شخصي روغتیا معلومات (PHI)، د خورا لوی قانوني او تنظیمي فشار سره مخ دي. دا هغه شرکتونه دي چې د قوي تصدیق خورا تیریدونکي ملاتړ کونکي دي. په سوداګرۍ باندې فشار د پیرودونکو توقعاتو لخوا لوړیږي څوک چې غواړي پوه شي چې هغه سازمانونه چې دوی د دوی خورا حساس ډیټا سره باور لري د قوي تصدیق میتودونه کاروي. هغه سازمانونه چې حساس PII یا PHI اداره کوي د هغو سازمانونو په پرتله چې یوازې د کاروونکو د اړیکو معلومات ذخیره کوي د قوي تصدیق کارولو احتمال دوه چنده ډیر دي (شکل 7).
له بده مرغه، شرکتونه لاهم د قوي تصدیق کولو میتودونو پلي کولو ته لیواله ندي. د سوداګرۍ تصمیم نیونکو نږدې دریمه برخه پاسورډونه د ټولو هغو ټولو څخه چې په 9 شکل کې لیست شوي د تصدیق کولو خورا اغیزمن میتود ګڼي، او 43٪ پاسورډونه د تصدیق کولو ترټولو ساده میتود ګڼي.
دا چارټ موږ ته دا ثابتوي چې په ټوله نړۍ کې د سوداګرۍ غوښتنلیک پراختیا کونکي یو شان دي ... دوی د پرمختللي حساب لاسرسي امنیت میکانیزم پلي کولو ګټه نه ګوري او ورته غلط فهمونه شریکوي. او یوازې د تنظیم کونکو عمل کولی شي وضعیت بدل کړي.
راځئ چې پاسورډونه لمس نه کړو. مګر تاسو څه شی ته اړتیا لرئ چې باور ولرئ چې امنیتي پوښتنې د کریپټوګرافیک توکیو په پرتله خورا خوندي دي؟ د کنټرول پوښتنو اغیزمنتوب، چې په ساده ډول ټاکل شوي، 15٪ اټکل شوي، او د هیک کولو وړ ټوکنونه نه دي - یوازې 10. لږترلږه فلم وګورئ "د فریب د فریب"، چیرې چې، که څه هم په علوي بڼه کې، دا ښودل شوي چې څومره په اسانۍ سره جادوګران. د یو سوداګر - غلا کونکي ځوابونو څخه ټول اړین شیان راوباسي او پرته له پیسو یې پریښود.
او یو بل حقیقت چې د هغو کسانو وړتیاو په اړه ډیر څه وايي څوک چې د کارونکي غوښتنلیکونو کې د امنیت میکانیزمونو مسؤل دي. د دوی په پوهیدو کې، د پټنوم د ننوتلو پروسه د کریپټوګرافیک نښه په کارولو سره د تصدیق کولو په پرتله یو ساده عملیات دی. که څه هم، داسې ښکاري چې دا به ساده وي چې نښه د USB پورټ سره وصل کړئ او یو ساده PIN کوډ داخل کړئ.
په مهمه توګه، د قوي تصدیق پلي کول سوداګرۍ ته اجازه ورکوي چې د تصدیق کولو میتودونو او عملیاتي قواعدو په اړه فکر کولو څخه لیرې شي چې د دوی د پیرودونکو ریښتیني اړتیاو پوره کولو لپاره د درغلیو سکیمونو مخنیوي لپاره اړین دي.
پداسې حال کې چې تنظیمي اطاعت د دواړو سوداګرۍ لپاره مناسب لومړیتوب دی چې قوي تصدیق کاروي او هغه چې نه کوي، هغه شرکتونه چې دمخه یې قوي تصدیق کاروي ډیر احتمال لري چې ووایی چې د پیرودونکو وفادارۍ زیاتوالی یو خورا مهم میټریک دی چې دوی د تصدیق ارزولو پرمهال په پام کې نیسي. طریقه (18٪ vs. 12٪) (شکل 10).
د شرکت تصدیق
له 2017 راهیسې ، په تصدیو کې د قوي تصدیق پلي کول وده کوي ، مګر د مصرف کونکو غوښتنلیکونو په پرتله یو څه ټیټ نرخ کې. د تصدیو برخه چې قوي تصدیق کاروي په 7 کې له 2017٪ څخه په 12 کې 2018٪ ته لوړه شوې. د مصرف کونکي غوښتنلیکونو برعکس ، د تصدۍ چاپیریال کې د غیر پاسورډ تصدیق کولو میتودونو کارول د ګرځنده وسیلو په پرتله په ویب غوښتنلیکونو کې یو څه ډیر عام دي. شاوخوا نیمایي سوداګرۍ راپور ورکوي چې د ننوتلو پرمهال د خپلو کاروونکو تصدیق کولو لپاره یوازې د کارونکي نومونه او پاسورډونه کاروي ، په هرو پنځو کې یو (22٪) هم یوازې د ثانوي تصدیق لپاره په پاسورډونو تکیه کوي کله چې حساس ډیټا ته لاسرسی ومومي (دا دی، کاروونکي لومړی د ساده تصدیق کولو طریقې په کارولو سره غوښتنلیک ته ننوځي، او که هغه غواړي چې مهم معلوماتو ته لاسرسی ومومي، نو هغه به د تصدیق کولو بله بله کړنلاره ترسره کړي، دا ځل معمولا د یو ډیر باوري میتود په کارولو سره.).
تاسو باید پوه شئ چې راپور د وینډوز، لینکس او ماک OS X په عملیاتي سیسټمونو کې د دوه فکتور تصدیق کولو لپاره د کریپټوګرافیک ټوکن کارول په پام کې نه نیسي. او دا اوس مهال د 2FA خورا پراخه کارول دي. (افسوس، د FIDO معیارونو سره سم جوړ شوي ټوکن کولی شي 2FA یوازې د وینډوز 10 لپاره پلي کړي).
سربیره پردې ، که چیرې په آنلاین او ګرځنده غوښتنلیکونو کې د 2FA پلي کول یو لړ اقداماتو ته اړتیا ولري ، پشمول د دې غوښتنلیکونو ترمیم ، نو بیا په وینډوز کې د 2FA پلي کولو لپاره تاسو یوازې د PKI تنظیم کولو ته اړتیا لرئ (د مثال په توګه ، د مایکروسافټ تصدیق سرور پراساس) او د تصدیق پالیسۍ په AD کې
او له هغه وخته چې د کار کمپیوټر او ډومین ته د ننوتلو ساتنه د کارپوریټ ډیټا خوندي کولو یو مهم عنصر دی ، د دوه فاکتور تصدیق پلي کول ورځ تر بلې عام کیږي.
د ننوتلو پرمهال د کاروونکو تصدیق کولو لپاره راتلونکي دوه خورا عام میتودونه د یو ځل پاسورډونه دي چې د جلا اپلیکیشن له لارې چمتو شوي (13٪ تشبثات) او د یو ځل پاسورډونه د SMS له لارې سپارل شوي (12٪). د دې حقیقت سره سره چې د دواړو میتودونو کارولو سلنه خورا ورته ده ، د OTP SMS ډیری وختونه د واک کچې لوړولو لپاره کارول کیږي (په 24٪ شرکتونو کې). (شکل 12).
په تصدۍ کې د قوي تصدیق کارولو زیاتوالی احتمال د تصدۍ پیژندنې مدیریت پلیټ فارمونو کې د کریپټوګرافیک تصدیق پلي کولو ډیریدونکي شتون ته منسوب کیدی شي (په بل عبارت ، د تصدۍ SSO او IAM سیسټمونو د ټوکن کارول زده کړي).
د کارمندانو او قراردادیانو د ګرځنده تصدیق لپاره، تصدۍ د مصرف کونکي غوښتنلیکونو تصدیق کولو په پرتله خورا ډیر په پاسورډونو تکیه کوي. یوازې نیمایي (53٪) تصدۍ پاسورډونه کاروي کله چې د ګرځنده وسیلې له لارې د شرکت ډیټا ته د کارونکي لاسرسي تصدیق کوي (شکل 13).
د ګرځنده وسیلو په قضیه کې ، یو څوک به د بایومیټریک په لوی ځواک باور ولري ، که نه د جعلي ګوتو نښو ، غږونو ، مخونو او حتی د ویښتو ډیری قضیو لپاره. د لټون انجن یوه پوښتنه به په ډاګه کړي چې د بایومیټریک تصدیق کولو معتبر میتود شتون نلري. ریښتیا دقیق سینسرونه، البته، شتون لري، مګر دوی خورا ګران او په اندازې کې لوی دي - او په سمارټ فونونو کې ندي نصب شوي.
له همدې امله، په ګرځنده وسیلو کې د کار کولو یوازینۍ 2FA میتود د کریپټوګرافیک ټوکن کارول دي چې د NFC، بلوتوټ او USB ډول-C انٹرفیسونو له لارې سمارټ فون سره وصل کیږي.
د شرکت د مالي معلوماتو خوندي کول د پاسورډ پرته تصدیق (44٪) کې د پانګوونې ترټولو لوی لامل دی ، د 2017 راهیسې ترټولو ګړندۍ وده سره (د اتو سلنه ټکو زیاتوالی). دا د فکري ملکیت (40٪) او د پرسونل (HR) معلوماتو (39٪) محافظت تعقیبوي. او دا روښانه ده چې ولې - نه یوازې د دې ډول معلوماتو سره تړلې ارزښت په پراخه کچه پیژندل شوی، مګر نسبتا لږ کارمندان ورسره کار کوي. دا دی، د پلي کولو لګښتونه دومره لوی ندي، او یوازې یو څو خلکو ته اړتیا لري چې د یو ډیر پیچلي تصدیق سیسټم سره کار وکړي. په مقابل کې، د ډیټا او وسایلو ډولونه چې ډیری تصدۍ کارمندان په منظم ډول لاسرسی لري لاهم یوازې د پاسورډونو لخوا ساتل کیږي. د کارمندانو اسناد، کاري سټیشنونه، او د کارپوریټ بریښنالیک پورټلونه د لوی خطر ساحې دي، ځکه چې یوازې څلورمه برخه سوداګرۍ دا شتمنۍ د پټنوم پرته تصدیق سره ساتي (شکل 14).
په عموم کې ، کارپوریټ بریښنالیک خورا خطرناک او لیک شی دی ، د احتمالي خطر کچه چې د ډیری CIOs لخوا کم اټکل کیږي. کارمندان هره ورځ لسګونه بریښنالیکونه ترلاسه کوي، نو ولې د دوی په منځ کې لږترلږه یو فشینګ (یعنې درغلي) بریښنالیک شامل نه کړئ. دا لیک به د شرکت لیکونو په سټایل کې فارمیټ شي ، نو کارمند به پدې لیک کې لینک باندې کلیک کولو کې د آرامۍ احساس وکړي. ښه ، بیا هرڅه پیښ کیدی شي ، د مثال په توګه ، په برید شوي ماشین کې د ویروس ډاونلوډ کول یا د پاسورډونو لیک کول (پشمول د ټولنیز انجینرۍ له لارې ، د برید کونکي لخوا رامینځته شوي جعلي تصدیق فارم ته ننوتلو سره).
د دې په څیر شیانو د پیښیدو څخه مخنیوي لپاره ، بریښنالیکونه باید لاسلیک شي. بیا به سمدلاسه روښانه شي چې کوم لیک د مشروع کارمند لخوا رامینځته شوی او کوم د برید کونکي لخوا. په Outlook/Exchange کې، د بیلګې په توګه، د کریپټوګرافیک ټوکن پر بنسټ بریښنایی لاسلیکونه په چټکۍ او اسانۍ سره فعال شوي او په کمپیوټر او وینډوز ډومینونو کې د دوه فاکتور تصدیق سره په ګډه کارول کیدی شي.
د هغو اجرایوي رییسانو په منځ کې چې یوازې په تصدۍ کې د پاسورډ تصدیق کولو باندې تکیه کوي، دوه پر دریمه برخه (66٪) دا کار کوي ځکه چې دوی باور لري پاسورډونه د هغه ډول معلوماتو لپاره کافي امنیت چمتو کوي چې د دوی شرکت اړتیا لري ساتنه وکړي (شکل 15).
مګر د قوي تصدیق کولو میتودونه ډیر عام کیږي. په لویه کچه د دې حقیقت له امله چې د دوی شتون مخ په ډیریدو دی. د پیژندنې او لاسرسي مدیریت (IAM) ډیریدونکي شمیر سیسټمونه ، براوزرونه او عملیاتي سیسټمونه د کریپټوګرافیک توکیو په کارولو سره د تصدیق ملاتړ کوي.
قوي تصدیق بله ګټه لري. څرنګه چې پټنوم نور نه کارول کیږي (د ساده PIN سره بدل شوی)، د کارمندانو لخوا هیڅ ډول غوښتنې شتون نلري چې دوی یې هیر شوي پاسورډ بدل کړي. کوم چې په پایله کې د تصدۍ IT ډیپارټمنټ بار کموي.
پایلې او پایلې
- مدیران اکثرا د ارزونې لپاره اړین پوهه نلري ریښتینی د مختلف تصدیق کولو اختیارونو اغیزمنتوب. دوی په داسې باور کولو عادت شوي دي متروک امنیتي میتودونه لکه پاسورډونه او امنیتي پوښتنې په ساده ډول ځکه چې "دا مخکې کار کاوه."
- کاروونکي لاهم دا پوهه لري لږد دوی لپاره اصلي شی دی سادگي او اسانتیا. تر هغه چې دوی د انتخاب کولو لپاره هیڅ هڅونه نلري ډیر خوندي حلونه.
- ډیری وختونه د دودیز غوښتنلیکونو پراختیا کونکي هیڅ دلیلد پاسورډ تصدیق کولو پرځای دوه فاکتور تصدیق پلي کول. د کارونکي غوښتنلیکونو کې د محافظت کچې کې سیالي غیر حاضر.
- د هیک لپاره بشپړ مسؤلیت کارونکي ته لیږدول شوی. بریدګر ته یو ځل پاسورډ ورکړ - ملامت کول. ستاسو پټنوم مداخله یا جاسوسي شوې - ملامت کول. پراختیا کونکي ته اړتیا نلري چې په محصول کې د اعتبار وړ تصدیق میتودونه وکاروي - ملامت کول.
- سم تنظیم کونکی له هرڅه لومړی باید شرکتونو ته اړتیا وي چې حلونه پلي کړي بلاک د معلوماتو لیکونه (په ځانګړي ډول دوه فاکتور تصدیق کول) د مجازاتو پرځای دمخه پیښ شوی د معلوماتو لیک
- ځینې سافټویر جوړونکي هڅه کوي چې مرصفوونکو ته وپلوري زاړه او په ځانګړې توګه د اعتبار وړ ندي فورګینیا په ښکلي بسته بندۍ کې "نوښتګر" محصول. د مثال په توګه، د یو ځانګړي سمارټ فون سره لینک کولو یا د بایومیټریک کارولو له لارې تصدیق. لکه څنګه چې د راپور څخه لیدل کیدی شي، په وینا واقعیا د اعتماد وړ یوازې د قوي تصدیق پراساس حل کیدی شي ، دا د کریپټوګرافیک توکیو دی.
- همدا شان د کریپټوګرافیک نښه کارول کیدی شي یو شمیر دندې: لپاره قوي تصدیق د تصدۍ عملیاتي سیسټم کې، په کارپوریټ او کاروونکي غوښتنلیکونو کې، لپاره بریښنایی لاسلیک مالي راکړې ورکړې (د بانکي غوښتنلیکونو لپاره مهم)، اسناد او بریښنالیک.
سرچینه: www.habr.com