Recent, compania de cercetare Javelin Strategy & Research a publicat raportul „The State of Strong Authentication 2019”. Creatorii săi au colectat informații despre metodele de autentificare utilizate în mediile corporative și aplicațiile pentru consumatori și au făcut, de asemenea, concluzii interesante despre viitorul autentificării puternice.
Traducerea primei părți cu concluziile autorilor raportului, noi . Și acum vă prezentăm atenția a doua parte - cu date și grafice.
De la traducător
Nu voi copia complet întregul bloc cu același nume din prima parte, dar tot voi duplica un paragraf.
Toate cifrele și faptele sunt prezentate fără cele mai mici modificări, iar dacă nu sunteți de acord cu ele, atunci este mai bine să vă certați nu cu traducătorul, ci cu autorii raportului. Și iată comentariile mele (prezentate sub formă de citate și marcate în text Italiană) sunt judecata mea de valoare și voi fi bucuros să argumentez asupra fiecăreia dintre ele (precum și asupra calității traducerii).
Autentificarea utilizatorului
Din 2017, utilizarea autentificării puternice în aplicațiile de consum a crescut puternic, în mare parte datorită disponibilității metodelor de autentificare criptografică pe dispozitivele mobile, deși doar un procent puțin mai mic de companii utilizează autentificarea puternică pentru aplicațiile de Internet.
În general, procentul companiilor care utilizează autentificarea puternică în afaceri s-a triplat de la 5% în 2017 la 16% în 2018 (Figura 3).
Capacitatea de a utiliza autentificarea puternică pentru aplicațiile web este încă limitată (datorită faptului că doar versiunile foarte noi ale unor browsere acceptă interacțiunea cu jetoane criptografice, totuși această problemă poate fi rezolvată prin instalarea de software suplimentar, cum ar fi ), așa că multe companii folosesc metode alternative de autentificare online, cum ar fi programe pentru dispozitive mobile care generează parole unice.
Chei criptografice hardware (aici ne referim doar la cele care respectă standardele FIDO), precum cele oferite de Google, Feitian, One Span și Yubico pot fi folosite pentru autentificare puternică fără a instala software suplimentar pe computere desktop și laptopuri (deoarece majoritatea browserelor acceptă deja standardul WebAuthn de la FIDO), dar doar 3% dintre companii folosesc această funcție pentru a-și conecta utilizatorii.
Comparația jetoanelor criptografice (cum ar fi ) și cheile secrete care funcționează conform standardelor FIDO depășesc domeniul de aplicare al acestui raport, dar și comentariile mele la acesta. Pe scurt, ambele tipuri de jetoane folosesc algoritmi și principii de funcționare similare. Tokenurile FIDO sunt în prezent mai bine acceptate de furnizorii de browsere, deși acest lucru se va schimba în curând pe măsură ce mai multe browsere acceptă . Dar tokenurile criptografice clasice sunt protejate de un cod PIN, pot semna documente electronice și pot fi folosite pentru autentificarea cu doi factori în Windows (orice versiune), Linux și Mac OS X, au API-uri pentru diferite limbaje de programare, permițându-vă să implementați 2FA și electronice. semnătura în aplicațiile desktop, mobile și web și token-urile produse în Rusia acceptă algoritmii GOST ruși. În orice caz, un token criptografic, indiferent de ce standard este creat, este cea mai fiabilă și convenabilă metodă de autentificare.
Dincolo de securitate: Alte beneficii ale autentificării puternice
Nu este surprinzător faptul că utilizarea autentificării puternice este strâns legată de importanța datelor stocate de o companie. Companiile care stochează informații sensibile de identificare personală (PII), cum ar fi numerele de securitate socială sau informațiile personale de sănătate (PHI), se confruntă cu cea mai mare presiune legală și de reglementare. Acestea sunt companiile care sunt cei mai agresivi susținători ai autentificării puternice. Presiunea asupra afacerilor este sporită de așteptările clienților care doresc să știe că organizațiile în care au încredere cu datele lor cele mai sensibile utilizează metode puternice de autentificare. Organizațiile care se ocupă de PII sau PHI sensibile au o probabilitate de peste două ori mai mare de a utiliza autentificarea puternică decât organizațiile care stochează doar informațiile de contact ale utilizatorilor (Figura 7).
Din păcate, companiile nu sunt încă dispuse să implementeze metode puternice de autentificare. Aproape o treime dintre factorii de decizie de afaceri consideră parolele cea mai eficientă metodă de autentificare dintre toate cele enumerate în Figura 9, iar 43% consideră parolele cea mai simplă metodă de autentificare.
Acest grafic ne demonstrează că dezvoltatorii de aplicații de afaceri din întreaga lume sunt la fel... Ei nu văd beneficiile implementării mecanismelor avansate de securitate a accesului la cont și împărtășesc aceleași concepții greșite. Și doar acțiunile autorităților de reglementare pot schimba situația.
Să nu atingem parolele. Dar ce trebuie să crezi pentru a crede că întrebările de securitate sunt mai sigure decât jetoanele criptografice? Eficacitatea întrebărilor de control, care sunt pur și simplu selectate, a fost estimată la 15%, și nu la jetoane hackabile - doar 10. Cel puțin vizionați filmul „Illusion of Deception”, unde, deși într-o formă alegorică, se arată cât de ușor magicieni a ademenit toate lucrurile necesare din răspunsurile unui om de afaceri-escroc și l-a lăsat fără bani.
Și încă un fapt care spune multe despre calificările celor care sunt responsabili de mecanismele de securitate în aplicațiile utilizator. În înțelegerea lor, procesul de introducere a unei parole este o operațiune mai simplă decât autentificarea folosind un token criptografic. Deși, s-ar părea că ar putea fi mai simplu să conectați jetonul la un port USB și să introduceți un cod PIN simplu.
Important, implementarea autentificării puternice permite companiilor să nu se mai gândească la metodele de autentificare și regulile operaționale necesare pentru a bloca schemele frauduloase pentru a satisface nevoile reale ale clienților lor.
În timp ce conformitatea cu reglementările este o prioritate rezonabilă atât pentru companiile care folosesc autentificarea puternică, cât și pentru cele care nu o folosesc, companiile care folosesc deja autentificarea puternică sunt mult mai probabil să spună că creșterea loialității clienților este cea mai importantă măsură pe care o iau în considerare atunci când evaluează o autentificare. metodă. (18% față de 12%) (Figura 10).
Autentificare Enterprise
Din 2017, adoptarea autentificării puternice în întreprinderi a crescut, dar la o rată puțin mai mică decât pentru aplicațiile de consum. Ponderea întreprinderilor care utilizează autentificarea puternică a crescut de la 7% în 2017 la 12% în 2018. Spre deosebire de aplicațiile de consum, în mediul de întreprindere utilizarea metodelor de autentificare fără parolă este ceva mai frecventă în aplicațiile web decât pe dispozitivele mobile. Aproximativ jumătate dintre companii raportează că folosesc numai nume de utilizator și parole pentru a-și autentifica utilizatorii atunci când se conectează, una din cinci (22%) bazându-se, de asemenea, numai pe parole pentru autentificarea secundară atunci când accesează date sensibile (adică utilizatorul se conectează mai întâi în aplicație folosind o metodă de autentificare mai simplă, iar dacă dorește să obțină acces la datele critice, va efectua o altă procedură de autentificare, de data aceasta folosind de obicei o metodă mai fiabilă).
Trebuie să înțelegeți că raportul nu ia în considerare utilizarea token-urilor criptografice pentru autentificarea cu doi factori în sistemele de operare Windows, Linux și Mac OS X. Și aceasta este în prezent cea mai răspândită utilizare a 2FA. (Din păcate, tokenurile create conform standardelor FIDO pot implementa 2FA numai pentru Windows 10).
Mai mult, dacă implementarea 2FA în aplicațiile online și mobile necesită un set de măsuri, inclusiv modificarea acestor aplicații, atunci pentru a implementa 2FA în Windows trebuie doar să configurați PKI (de exemplu, pe baza Microsoft Certification Server) și politicile de autentificare. în AD.
Și din moment ce protejarea login-ului la un computer și un domeniu de lucru este un element important al protecției datelor corporative, implementarea autentificării cu doi factori devine din ce în ce mai comună.
Următoarele două cele mai comune metode de autentificare a utilizatorilor la conectare sunt parolele unice furnizate printr-o aplicație separată (13% dintre companii) și parolele unice furnizate prin SMS (12%). În ciuda faptului că procentul de utilizare a ambelor metode este foarte asemănător, SMS-ul OTP este cel mai des folosit pentru a crește nivelul de autorizare (la 24% dintre companii). (Figura 12).
Creșterea utilizării autentificării puternice în întreprindere poate fi atribuită probabil disponibilității crescute a implementărilor de autentificare criptografică în platformele de gestionare a identității întreprinderii (cu alte cuvinte, sistemele SSO și IAM ale întreprinderii au învățat să folosească token-uri).
Pentru autentificarea mobilă a angajaților și contractorilor, întreprinderile se bazează mai mult pe parole decât pentru autentificarea în aplicațiile consumatorilor. Puțin peste jumătate (53%) dintre întreprinderi folosesc parole atunci când autentifică accesul utilizatorilor la datele companiei printr-un dispozitiv mobil (Figura 13).
În cazul dispozitivelor mobile, s-ar crede în marea putere a biometriei, dacă nu ar fi numeroasele cazuri de amprente, voci, fețe și chiar irisi false. O interogare a motorului de căutare va dezvălui că o metodă fiabilă de autentificare biometrică pur și simplu nu există. Senzori cu adevărat precisi, desigur, există, dar sunt foarte scumpi și de dimensiuni mari - și nu sunt instalați în smartphone-uri.
Prin urmare, singura metodă 2FA funcțională în dispozitivele mobile este utilizarea token-urilor criptografice care se conectează la smartphone prin interfețe NFC, Bluetooth și USB Type-C.
Protejarea datelor financiare ale unei companii este motivul principal pentru a investi în autentificarea fără parolă (44%), cu cea mai rapidă creștere din 2017 (o creștere cu opt puncte procentuale). Acesta este urmat de protecția proprietății intelectuale (40%) și a datelor de personal (HR) (39%). Și este clar de ce - nu numai că valoarea asociată acestor tipuri de date este recunoscută pe scară largă, ci și relativ puțini angajați lucrează cu ele. Adică, costurile de implementare nu sunt atât de mari și doar câțiva oameni trebuie să fie instruiți pentru a lucra cu un sistem de autentificare mai complex. În schimb, tipurile de date și dispozitive pe care majoritatea angajaților întreprinderilor le accesează în mod obișnuit sunt încă protejate doar de parole. Documentele angajaților, stațiile de lucru și portalurile de e-mail corporative sunt zonele cu cel mai mare risc, deoarece doar un sfert dintre companii protejează aceste active cu autentificare fără parolă (Figura 14).
În general, e-mailul corporativ este un lucru foarte periculos și cu scurgeri, al cărui grad de potențial pericol este subestimat de majoritatea CIO. Angajații primesc zeci de e-mailuri în fiecare zi, așa că de ce să nu includeți cel puțin un e-mail de phishing (adică fraudulent) printre ele. Această scrisoare va fi formatată în stilul scrisorilor companiei, astfel încât angajatul se va simți confortabil făcând clic pe linkul din această scrisoare. Ei bine, atunci orice se poate întâmpla, de exemplu, descărcarea unui virus pe mașina atacată sau scurgerea de parole (inclusiv prin inginerie socială, prin introducerea unui formular de autentificare fals creat de atacator).
Pentru a preveni astfel de lucruri, e-mailurile trebuie să fie semnate. Atunci va fi imediat clar care scrisoare a fost creată de un angajat legitim și care de către un atacator. În Outlook/Exchange, de exemplu, semnăturile electronice bazate pe token criptografic sunt activate destul de rapid și ușor și pot fi utilizate împreună cu autentificarea cu doi factori pe PC-uri și domenii Windows.
Dintre acei directori care se bazează exclusiv pe autentificarea cu parole în cadrul întreprinderii, două treimi (66%) o fac pentru că consideră că parolele oferă suficientă securitate pentru tipul de informații pe care compania lor trebuie să le protejeze (Figura 15).
Dar metodele puternice de autentificare devin din ce în ce mai frecvente. În mare parte datorită faptului că disponibilitatea lor este în creștere. Un număr tot mai mare de sisteme de gestionare a identității și accesului (IAM), browsere și sisteme de operare acceptă autentificarea folosind token-uri criptografice.
Autentificarea puternică are un alt avantaj. Deoarece parola nu mai este folosită (înlocuită cu un simplu PIN), nu există solicitări din partea angajaților care să le solicite să schimbe parola uitată. Ceea ce, la rândul său, reduce sarcina asupra departamentului IT al întreprinderii.
Rezultate și concluzii
- Managerii de multe ori nu au cunoștințele necesare pentru a evalua real eficacitatea diferitelor opțiuni de autentificare. Sunt obișnuiți să aibă încredere în așa ceva învechit metode de securitate precum parolele și întrebările de securitate pur și simplu pentru că „a funcționat înainte”.
- Utilizatorii au încă aceste cunoștințe Mai puțin, pentru ei principalul este simplitate și comoditate. Atâta timp cât nu au niciun stimulent să aleagă soluții mai sigure.
- Dezvoltatorii de aplicații personalizate adesea fara motivpentru a implementa autentificarea cu doi factori în loc de autentificarea prin parolă. Concurență în nivelul de protecție în aplicațiile utilizator nu.
- Responsabilitate totală pentru hack mutat către utilizator. A dat o parolă unică atacatorului - de vina. Parola dvs. a fost interceptată sau spionată - de vina. Nu a solicitat dezvoltatorului să folosească metode de autentificare fiabile în produs - de vina.
- Dreapta regulator în primul rând ar trebui să solicite companiilor să implementeze soluții care bloc scurgeri de date (în special autentificarea cu doi factori), mai degrabă decât pedepsirea sa întâmplat deja scurgere de date.
- Unii dezvoltatori de software încearcă să vândă consumatorilor vechi și nu deosebit de fiabil Soluții într-un ambalaj frumos produs „inovator”. De exemplu, autentificare prin conectarea la un anumit smartphone sau prin utilizarea datelor biometrice. După cum se poate vedea din raport, conform cu adevărat de încredere Nu poate exista decât o soluție bazată pe autentificare puternică, adică token-uri criptografice.
- Aceeași tokenul criptografic poate fi folosit pentru o serie de sarcini: pentru autentificare puternică în sistemul de operare enterprise, în aplicații corporative și de utilizator, pt semnatura electronica tranzacții financiare (importante pentru aplicațiile bancare), documente și e-mail.
Sursa: www.habr.com