Recentemente, a empresa de pesquisa Javelin Strategy & Research publicou um relatório, “The State of Strong Authentication 2019”. Seus criadores coletaram informações sobre quais métodos de autenticação são usados em ambientes corporativos e aplicações de consumo, e também tiraram conclusões interessantes sobre o futuro da autenticação forte.
Tradução da primeira parte com as conclusões dos autores do relatório, . E agora apresentamos a sua atenção a segunda parte - com dados e gráficos.
Do tradutor
Não copiarei completamente todo o bloco de mesmo nome da primeira parte, mas ainda duplicarei um parágrafo.
Todos os números e fatos são apresentados sem as menores alterações e, se você não concorda com eles, é melhor discutir não com o tradutor, mas com os autores do relatório. E aqui estão meus comentários (dispostos como citações e marcados no texto italiano) são meu julgamento de valor e terei prazer em discutir sobre cada um deles (bem como sobre a qualidade da tradução).
Autenticação de usuário
Desde 2017, a utilização de autenticação forte em aplicações de consumo cresceu acentuadamente, em grande parte devido à disponibilidade de métodos de autenticação criptográfica em dispositivos móveis, embora apenas uma percentagem ligeiramente menor de empresas utilize autenticação forte para aplicações de Internet.
No geral, a percentagem de empresas que utilizam autenticação forte nos seus negócios triplicou, passando de 5% em 2017 para 16% em 2018 (Figura 3).
A capacidade de usar autenticação forte para aplicações web ainda é limitada (devido ao fato de que apenas versões muito novas de alguns navegadores suportam interação com tokens criptográficos, no entanto, esse problema pode ser resolvido com a instalação de software adicional, como ), muitas empresas utilizam métodos alternativos de autenticação online, como programas para dispositivos móveis que geram senhas de uso único.
Chaves criptográficas de hardware (aqui queremos dizer apenas aqueles que cumprem os padrões FIDO), como os oferecidos pelo Google, Feitian, One Span e Yubico, podem ser usados para autenticação forte sem a instalação de software adicional em computadores desktop e laptops (porque a maioria dos navegadores já suporta o padrão WebAuthn da FIDO), mas apenas 3% das empresas usam esse recurso para fazer login de seus usuários.
Comparação de tokens criptográficos (como ) e chaves secretas que funcionam de acordo com os padrões FIDO está além do escopo deste relatório, mas também dos meus comentários a ele. Resumindo, ambos os tipos de tokens usam algoritmos e princípios operacionais semelhantes. Os tokens FIDO são atualmente mais bem suportados pelos fornecedores de navegadores, embora isso mude em breve à medida que mais navegadores oferecerem suporte . Mas os tokens criptográficos clássicos são protegidos por um código PIN, podem assinar documentos eletrônicos e ser usados para autenticação de dois fatores no Windows (qualquer versão), Linux e Mac OS X, possuem APIs para diversas linguagens de programação, permitindo implementar 2FA e eletrônicos assinatura em aplicativos de desktop, móveis e Web, e tokens produzidos na Rússia suportam algoritmos GOST russos. De qualquer forma, um token criptográfico, independentemente do padrão pelo qual foi criado, é o método de autenticação mais confiável e conveniente.
Além da segurança: outros benefícios da autenticação forte
Não é nenhuma surpresa que o uso de autenticação forte esteja intimamente ligado à importância dos dados que uma empresa armazena. As empresas que armazenam informações de identificação pessoal (PII) sensíveis, como números de segurança social ou informações pessoais de saúde (PHI), enfrentam a maior pressão legal e regulamentar. Estas são as empresas que defendem mais agressivamente a autenticação forte. A pressão sobre as empresas é aumentada pelas expectativas dos clientes que desejam saber se as organizações nas quais confiam seus dados mais confidenciais usam métodos de autenticação fortes. As organizações que lidam com PII ou PHI confidenciais têm duas vezes mais probabilidade de usar autenticação forte do que as organizações que armazenam apenas informações de contato dos usuários (Figura 7).
Infelizmente, as empresas ainda não estão dispostas a implementar métodos de autenticação fortes. Quase um terço dos tomadores de decisão de negócios considera as senhas o método de autenticação mais eficaz entre todos os listados na Figura 9, e 43% consideram as senhas o método de autenticação mais simples.
Este gráfico nos prova que os desenvolvedores de aplicativos de negócios em todo o mundo são iguais... Eles não veem o benefício de implementar mecanismos avançados de segurança de acesso a contas e compartilham os mesmos conceitos errados. E só as ações dos reguladores podem mudar a situação.
Não vamos mexer nas senhas. Mas no que você precisa acreditar para acreditar que as questões de segurança são mais seguras do que os tokens criptográficos? A eficácia das questões de controle, que são simplesmente selecionadas, foi estimada em 15%, e não dos tokens hackeáveis - apenas 10. Pelo menos assista ao filme “Illusion of Deception”, onde, embora de forma alegórica, é mostrado como facilmente os mágicos atraiu todas as coisas necessárias das respostas de um empresário-vigarista e o deixou sem dinheiro.
E mais um fato que diz muito sobre a qualificação dos responsáveis pelos mecanismos de segurança nas aplicações dos usuários. No seu entendimento, o processo de inserção de uma senha é uma operação mais simples do que a autenticação por meio de um token criptográfico. Embora pareça que seria mais simples conectar o token a uma porta USB e inserir um código PIN simples.
É importante ressaltar que a implementação de uma autenticação forte permite que as empresas deixem de pensar nos métodos de autenticação e nas regras operacionais necessárias para bloquear esquemas fraudulentos e passem a atender às necessidades reais de seus clientes.
Embora a conformidade regulatória seja uma prioridade razoável tanto para as empresas que usam autenticação forte quanto para aquelas que não o fazem, as empresas que já usam autenticação forte são muito mais propensas a dizer que aumentar a fidelidade do cliente é a métrica mais importante que consideram ao avaliar uma autenticação. método. (18% vs. 12%) (Figura 10).
Autenticação Empresarial
Desde 2017, a adoção de autenticação forte nas empresas tem crescido, mas a uma taxa ligeiramente inferior à das aplicações de consumo. A percentagem de empresas que utilizam autenticação forte aumentou de 7% em 2017 para 12% em 2018. Ao contrário das aplicações de consumo, no ambiente empresarial a utilização de métodos de autenticação sem palavra-passe é um pouco mais comum em aplicações web do que em dispositivos móveis. Cerca de metade das empresas relatam usar apenas nomes de usuário e senhas para autenticar seus usuários ao fazer login, com uma em cada cinco (22%) também contando apenas com senhas para autenticação secundária ao acessar dados confidenciais (ou seja, o usuário primeiro faz login na aplicação usando um método de autenticação mais simples e, se quiser obter acesso a dados críticos, realizará outro procedimento de autenticação, desta vez geralmente usando um método mais confiável).
É preciso entender que o relatório não leva em consideração o uso de tokens criptográficos para autenticação de dois fatores nos sistemas operacionais Windows, Linux e Mac OS X. E este é atualmente o uso mais difundido de 2FA. (Infelizmente, os tokens criados de acordo com os padrões FIDO podem implementar 2FA apenas para Windows 10).
Além disso, se a implementação de 2FA em aplicações online e móveis requer um conjunto de medidas, incluindo a modificação dessas aplicações, então para implementar 2FA no Windows você só precisa configurar PKI (por exemplo, baseado em Microsoft Certification Server) e políticas de autenticação em anúncio.
E como a proteção do login em um PC e domínio de trabalho é um elemento importante na proteção dos dados corporativos, a implementação da autenticação de dois fatores está se tornando cada vez mais comum.
Os próximos dois métodos mais comuns para autenticar usuários durante o login são senhas de uso único fornecidas por meio de um aplicativo separado (13% das empresas) e senhas de uso único entregues via SMS (12%). Apesar de a percentagem de utilização de ambos os métodos ser muito semelhante, o OTP SMS é o mais utilizado para aumentar o nível de autorização (em 24% das empresas). (Figura 12).
O aumento no uso de autenticação forte nas empresas pode provavelmente ser atribuído ao aumento da disponibilidade de implementações de autenticação criptográfica em plataformas de gerenciamento de identidade empresarial (em outras palavras, os sistemas corporativos SSO e IAM aprenderam a usar tokens).
Para a autenticação móvel de funcionários e prestadores de serviços, as empresas dependem mais de senhas do que para autenticação em aplicativos de consumo. Pouco mais da metade (53%) das empresas usa senhas ao autenticar o acesso dos usuários aos dados da empresa por meio de um dispositivo móvel (Figura 13).
No caso dos dispositivos móveis, acreditar-se-ia no grande poder da biometria, se não fossem os muitos casos de impressões digitais, vozes, rostos e até íris falsos. Uma consulta em um mecanismo de pesquisa revelará que simplesmente não existe um método confiável de autenticação biométrica. É claro que existem sensores verdadeiramente precisos, mas são muito caros e grandes - e não são instalados em smartphones.
Portanto, o único método 2FA funcional em dispositivos móveis é o uso de tokens criptográficos que se conectam ao smartphone via interfaces NFC, Bluetooth e USB Type-C.
A proteção dos dados financeiros de uma empresa é o principal motivo para investir na autenticação sem senha (44%), com o crescimento mais rápido desde 2017 (um aumento de oito pontos percentuais). Segue-se a proteção da propriedade intelectual (40%) e dos dados pessoais (RH) (39%). E o motivo é claro: não apenas o valor associado a esses tipos de dados é amplamente reconhecido, mas relativamente poucos funcionários trabalham com eles. Ou seja, os custos de implementação não são tão grandes e apenas algumas pessoas precisam ser treinadas para trabalhar com um sistema de autenticação mais complexo. Por outro lado, os tipos de dados e dispositivos que a maioria dos funcionários das empresas acessa rotineiramente ainda são protegidos apenas por senhas. Documentos de funcionários, estações de trabalho e portais de e-mail corporativos são as áreas de maior risco, já que apenas um quarto das empresas protege esses ativos com autenticação sem senha (Figura 14).
Em geral, o e-mail corporativo é algo muito perigoso e vazante, cujo grau de perigo potencial é subestimado pela maioria dos CIOs. Os funcionários recebem dezenas de e-mails todos os dias, então por que não incluir pelo menos um e-mail de phishing (ou seja, fraudulento) entre eles? Esta carta será formatada no estilo das cartas corporativas, para que o funcionário se sinta confortável clicando no link desta carta. Bem, então tudo pode acontecer, por exemplo, baixar um vírus na máquina atacada ou vazar senhas (inclusive por meio de engenharia social, inserindo um formulário de autenticação falso criado pelo invasor).
Para evitar que coisas assim aconteçam, os e-mails devem ser assinados. Então ficará imediatamente claro qual carta foi criada por um funcionário legítimo e qual foi criada por um invasor. No Outlook/Exchange, por exemplo, assinaturas eletrônicas baseadas em tokens criptográficos são habilitadas de forma bastante rápida e fácil e podem ser usadas em conjunto com autenticação de dois fatores em PCs e domínios Windows.
Entre os executivos que dependem exclusivamente da autenticação por senha dentro da empresa, dois terços (66%) o fazem porque acreditam que as senhas fornecem segurança suficiente para o tipo de informação que sua empresa precisa proteger (Figura 15).
Mas métodos de autenticação fortes estão se tornando mais comuns. Em grande parte devido ao facto de a sua disponibilidade estar a aumentar. Um número crescente de sistemas, navegadores e sistemas operacionais de gerenciamento de identidade e acesso (IAM) oferece suporte à autenticação usando tokens criptográficos.
A autenticação forte tem outra vantagem. Como a senha não é mais utilizada (substituída por um simples PIN), não há solicitações de funcionários solicitando alteração da senha esquecida. O que, por sua vez, reduz a carga do departamento de TI da empresa.
Resultados e conclusões
- Os gestores muitas vezes não têm o conhecimento necessário para avaliar real eficácia de várias opções de autenticação. Eles estão acostumados a confiar em tais obsoleto métodos de segurança como senhas e perguntas de segurança simplesmente porque “funcionou antes”.
- Os usuários ainda têm esse conhecimento menos, para eles o principal é simplicidade e comodidade. Desde que não tenham incentivo para escolher soluções mais seguras.
- Os desenvolvedores de aplicativos personalizados geralmente sem motivopara implementar a autenticação de dois fatores em vez da autenticação por senha. Concorrência no nível de proteção em aplicativos de usuários Não.
- Responsabilidade total pelo hack transferido para o usuário. Forneceu a senha de uso único ao invasor - culpar. Sua senha foi interceptada ou espionada - culpar. Não exigiu que o desenvolvedor usasse métodos de autenticação confiáveis no produto - culpar.
- Correto regulador antes de tudo deve exigir que as empresas implementem soluções que bloquear vazamentos de dados (em particular autenticação de dois fatores), em vez de punir já aconteceu vazamento de dados.
- Alguns desenvolvedores de software estão tentando vender aos consumidores antigo e não particularmente confiável soluções em linda embalagem produto "inovador". Por exemplo, autenticação através de ligação a um smartphone específico ou utilização de biometria. Como pode ser visto no relatório, de acordo com verdadeiramente confiável Só pode haver uma solução baseada em autenticação forte, ou seja, tokens criptográficos.
- O mesmo token criptográfico pode ser usado para uma série de tarefas: para autenticação forte no sistema operacional corporativo, em aplicativos corporativos e de usuário, para Assinatura Eletrônica transações financeiras (importantes para aplicações bancárias), documentos e e-mail.
Fonte: habr.com