Výskumná spoločnosť Javelin Strategy & Research nedávno zverejnila správu „Stav silnej autentizácie 2019“. Jeho tvorcovia zozbierali informácie o tom, aké metódy autentifikácie sa používajú vo firemných prostrediach a spotrebiteľských aplikáciách, a urobili aj zaujímavé závery o budúcnosti silnej autentifikácie.
Preklad prvej časti so závermi autorov správy, my . A teraz vám predstavujeme druhú časť – s údajmi a grafmi.
Od prekladateľa
Nebudem úplne kopírovať celý blok rovnakého mena z prvej časti, ale stále duplikujem jeden odsek.
Všetky čísla a fakty sú uvedené bez najmenších zmien a ak s nimi nesúhlasíte, je lepšie sa hádať nie s prekladateľom, ale s autormi správy. A tu sú moje komentáre (uvedené ako citácie a označené v texte taliansky) sú mojím hodnotovým úsudkom a o každom z nich (ako aj o kvalite prekladu) rád polemizujem.
Overenie používateľa
Od roku 2017 výrazne vzrástlo používanie silnej autentifikácie v spotrebiteľských aplikáciách, a to najmä vďaka dostupnosti kryptografických metód autentifikácie na mobilných zariadeniach, hoci len o niečo menšie percento spoločností používa silnú autentifikáciu pre internetové aplikácie.
Celkovo sa percento spoločností využívajúcich silnú autentifikáciu vo svojom podnikaní strojnásobilo z 5 % v roku 2017 na 16 % v roku 2018 (obrázok 3).
Možnosť použiť silnú autentifikáciu pre webové aplikácie je stále obmedzená (z dôvodu, že interakciu s kryptografickými tokenmi podporujú len veľmi nové verzie niektorých prehliadačov, tento problém však možno vyriešiť inštaláciou dodatočného softvéru ako napr. ), takže veľa spoločností používa alternatívne metódy online autentifikácie, ako sú programy pre mobilné zariadenia, ktoré generujú jednorazové heslá.
Hardvérové kryptografické kľúče (tu máme na mysli len tie, ktoré spĺňajú normy FIDO(pretože väčšina prehliadačov už podporuje štandard WebAuthn od FIDO), no iba 3 % spoločností využívajú túto funkciu na prihlásenie svojich používateľov.
Porovnanie kryptografických tokenov (napr ) a tajných kľúčov fungujúcich podľa štandardov FIDO je nad rámec tejto správy, ale aj mojich komentárov k nej. Stručne povedané, oba typy tokenov používajú podobné algoritmy a prevádzkové princípy. Tokeny FIDO sú v súčasnosti lepšie podporované predajcami prehliadačov, aj keď sa to čoskoro zmení, pretože bude podporovať viac prehliadačov . Ale klasické kryptografické tokeny sú chránené PIN kódom, môžu podpisovať elektronické dokumenty a môžu byť použité na dvojfaktorovú autentifikáciu vo Windows (akákoľvek verzia), Linux a Mac OS X, majú API pre rôzne programovacie jazyky, čo vám umožňuje implementovať 2FA a elektronické podpis v desktopových, mobilných a webových aplikáciách a tokeny vyrobené v Rusku podporujú ruské algoritmy GOST. V každom prípade je kryptografický token, bez ohľadu na to, akým štandardom je vytvorený, najspoľahlivejšou a najpohodlnejšou metódou autentifikácie.
Okrem bezpečnosti: Ďalšie výhody silnej autentifikácie
Nie je žiadnym prekvapením, že použitie silnej autentifikácie je úzko späté s dôležitosťou údajov, ktoré firma uchováva. Spoločnosti, ktoré uchovávajú citlivé osobné údaje (PII), ako sú čísla sociálneho poistenia alebo osobné zdravotné informácie (PHI), čelia najväčšiemu právnemu a regulačnému tlaku. Toto sú spoločnosti, ktoré sú najagresívnejšími zástancami silnej autentifikácie. Tlak na podniky je zvýšený očakávaniami zákazníkov, ktorí chcú vedieť, že organizácie, ktorým dôverujú so svojimi najcitlivejšími údajmi, používajú silné metódy autentifikácie. Organizácie, ktoré narábajú s citlivými PII alebo PHI, majú viac ako dvakrát vyššiu pravdepodobnosť použitia silnej autentifikácie ako organizácie, ktoré uchovávajú iba kontaktné informácie používateľov (obrázok 7).
Bohužiaľ, spoločnosti zatiaľ nie sú ochotné implementovať silné metódy autentifikácie. Takmer tretina osôb s rozhodovacou právomocou považuje heslá za najefektívnejšiu metódu autentifikácie spomedzi všetkých tých, ktoré sú uvedené na obrázku 9, a 43 % považuje heslá za najjednoduchšiu metódu autentifikácie.
Tento graf nám dokazuje, že vývojári podnikových aplikácií na celom svete sú rovnakí... Nevidia výhody implementácie pokročilých bezpečnostných mechanizmov prístupu k účtu a zdieľajú rovnaké mylné predstavy. A iba kroky regulátorov môžu zmeniť situáciu.
Nedotýkajme sa hesiel. Čomu však musíte veriť, aby ste uverili, že bezpečnostné otázky sú bezpečnejšie ako kryptografické tokeny? Účinnosť kontrolných otázok, ktoré sú jednoducho vybrané, bola odhadnutá na 15%, a nie hacknuteľné tokeny - iba 10. Pozrite si aspoň film „Illusion of Deception“, kde sa, aj keď v alegorickej podobe, ukazuje, ako ľahko kúzelníci vylákal z odpovedí podnikateľa-podvodníka všetky potrebné veci a nechal ho bez peňazí.
A ešte jeden fakt, ktorý veľa hovorí o kvalifikácii tých, ktorí sú zodpovední za bezpečnostné mechanizmy v používateľských aplikáciách. V ich chápaní je proces zadávania hesla jednoduchšia operácia ako autentifikácia pomocou kryptografického tokenu. Aj keď by sa zdalo, že by mohlo byť jednoduchšie pripojiť token k portu USB a zadať jednoduchý PIN kód.
Dôležité je, že implementácia silnej autentifikácie umožňuje podnikom prestať premýšľať o metódach autentifikácie a prevádzkových pravidlách potrebných na blokovanie podvodných schém k naplneniu skutočných potrieb svojich zákazníkov.
Zatiaľ čo súlad s predpismi je rozumnou najvyššou prioritou pre podniky, ktoré používajú silnú autentifikáciu, ako aj pre tie, ktoré ju nepoužívajú, spoločnosti, ktoré už používajú silnú autentifikáciu, s väčšou pravdepodobnosťou povedia, že zvýšenie lojality zákazníkov je najdôležitejšou metrikou, ktorú berú do úvahy pri hodnotení autentifikácie. metóda. (18 % vs. 12 %) (obrázok 10).
Enterprise Authentication
Od roku 2017 sa zavádzanie silnej autentifikácie v podnikoch zvyšuje, ale mierne nižšou rýchlosťou ako v prípade spotrebiteľských aplikácií. Podiel podnikov využívajúcich silnú autentifikáciu sa zvýšil zo 7 % v roku 2017 na 12 % v roku 2018. Na rozdiel od spotrebiteľských aplikácií je v podnikovom prostredí používanie metód autentifikácie bez hesla o niečo bežnejšie vo webových aplikáciách ako v mobilných zariadeniach. Približne polovica firiem uvádza, že na autentifikáciu svojich používateľov pri prihlasovaní používajú iba používateľské mená a heslá, pričom jedna z piatich (22 %) sa pri prístupe k citlivým údajom spolieha iba na heslá na sekundárnu autentifikáciu (to znamená, že používateľ sa najskôr prihlási do aplikácie jednoduchšou autentifikačnou metódou a ak chce získať prístup ku kritickým údajom, vykoná ďalšiu autentifikačnú procedúru, tentoraz zvyčajne spoľahlivejšou metódou).
Musíte pochopiť, že správa neberie do úvahy použitie kryptografických tokenov na dvojfaktorovú autentifikáciu v operačných systémoch Windows, Linux a Mac OS X. A to je v súčasnosti najrozšírenejšie využitie 2FA. (Žiaľ, tokeny vytvorené podľa štandardov FIDO môžu implementovať 2FA iba pre Windows 10).
Navyše, ak si implementácia 2FA v online a mobilných aplikáciách vyžaduje súbor opatrení vrátane úpravy týchto aplikácií, potom na implementáciu 2FA v systéme Windows stačí nakonfigurovať PKI (napríklad na základe Microsoft Certification Server) a zásady autentifikácie. v AD.
A keďže ochrana prihlásenia do pracovného PC a domény je dôležitým prvkom ochrany firemných dát, implementácia dvojfaktorovej autentifikácie sa stáva čoraz bežnejšou.
Ďalšími dvoma najbežnejšími spôsobmi overovania používateľov pri prihlasovaní sú jednorazové heslá poskytované prostredníctvom samostatnej aplikácie (13 % podnikov) a jednorazové heslá doručené prostredníctvom SMS (12 %). Napriek tomu, že percento využitia oboch spôsobov je veľmi podobné, najčastejšie sa na zvýšenie úrovne autorizácie využíva OTP SMS (v 24 % firiem). (Obrázok 12).
Nárast používania silnej autentifikácie v podniku možno pravdepodobne pripísať zvýšenej dostupnosti implementácií kryptografickej autentifikácie v podnikových platformách na správu identít (inými slovami, podnikové systémy SSO a IAM sa naučili používať tokeny).
Pri mobilnej autentifikácii zamestnancov a dodávateľov sa podniky viac spoliehajú na heslá ako na autentifikáciu v spotrebiteľských aplikáciách. O niečo viac ako polovica (53 %) podnikov používa heslá pri overovaní prístupu používateľov k firemným údajom prostredníctvom mobilného zariadenia (obrázok 13).
V prípade mobilných zariadení by človek veril vo veľkú silu biometrie, nebyť mnohých prípadov falošných odtlačkov prstov, hlasov, tvárí a dokonca aj dúhoviek. Jeden dotaz vo vyhľadávači odhalí, že spoľahlivá metóda biometrickej autentifikácie jednoducho neexistuje. Skutočne presné senzory, samozrejme, existujú, ale sú veľmi drahé a veľké – a nie sú inštalované v smartfónoch.
Preto jedinou fungujúcou metódou 2FA v mobilných zariadeniach je použitie kryptografických tokenov, ktoré sa pripájajú k smartfónu cez rozhrania NFC, Bluetooth a USB Type-C.
Ochrana finančných údajov spoločnosti je hlavným dôvodom investovania do autentifikácie bez hesla (44 %) s najrýchlejším rastom od roku 2017 (nárast o osem percentuálnych bodov). Nasleduje ochrana duševného vlastníctva (40 %) a personálnych (HR) údajov (39 %). A je jasné prečo – nielenže je hodnota spojená s týmito typmi údajov všeobecne uznávaná, ale pracuje s nimi pomerne málo zamestnancov. To znamená, že náklady na implementáciu nie sú také veľké a na prácu so zložitejším autentifikačným systémom je potrebné zaškoliť len niekoľko ľudí. Naproti tomu typy údajov a zariadení, ku ktorým väčšina zamestnancov podniku bežne pristupuje, sú stále chránené výlučne heslami. Zamestnanecké dokumenty, pracovné stanice a podnikové e-mailové portály sú oblasťami najväčšieho rizika, pretože iba štvrtina podnikov chráni tieto aktíva pomocou autentifikácie bez hesla (obrázok 14).
Vo všeobecnosti je firemný email veľmi nebezpečná a deravá vec, ktorej mieru potenciálneho nebezpečenstva väčšina CIO podceňuje. Zamestnanci dostávajú denne desiatky emailov, tak prečo medzi nich nezaradiť aspoň jeden phishingový (teda podvodný) email. Tento list bude naformátovaný v štýle firemných listov, takže zamestnanec sa bude cítiť pohodlne kliknutím na odkaz v tomto liste. Potom sa môže stať čokoľvek, napríklad stiahnutie vírusu do napadnutého počítača alebo únik hesiel (aj prostredníctvom sociálneho inžinierstva zadaním falošného overovacieho formulára vytvoreného útočníkom).
Aby sa podobným veciam zabránilo, e-maily musia byť podpísané. Potom bude hneď jasné, ktorý list vytvoril legitímny zamestnanec a ktorý útočník. Napríklad v programe Outlook/Exchange sú elektronické podpisy založené na kryptografických tokenoch aktivované pomerne rýchlo a jednoducho a možno ich použiť v spojení s dvojfaktorovou autentifikáciou naprieč počítačmi a doménami Windows.
Medzi tými vedúcimi pracovníkmi, ktorí sa v rámci podniku spoliehajú výlučne na autentifikáciu heslom, dve tretiny (66 %) tak robia, pretože veria, že heslá poskytujú dostatočné zabezpečenie pre typ informácií, ktoré ich spoločnosť potrebuje chrániť (obrázok 15).
Silné metódy autentifikácie sú však čoraz bežnejšie. Do veľkej miery kvôli tomu, že ich dostupnosť sa zvyšuje. Rastúci počet systémov správy identity a prístupu (IAM), prehliadačov a operačných systémov podporuje autentifikáciu pomocou kryptografických tokenov.
Silná autentifikácia má ďalšiu výhodu. Keďže heslo sa už nepoužíva (nahradené jednoduchým PIN), zamestnanci nevyžadujú zmenu zabudnutého hesla. Čo zase znižuje zaťaženie podnikového IT oddelenia.
Výsledky a závery
- Manažéri často nemajú potrebné znalosti na posúdenie reálny efektívnosť rôznych možností autentifikácie. Na takéto sú zvyknutí dôverovať zastarané bezpečnostné metódy, ako sú heslá a bezpečnostné otázky, jednoducho preto, že „to predtým fungovalo“.
- Používatelia stále majú tieto znalosti menej, pre nich je hlavná vec jednoduchosť a pohodlie. Pokiaľ nemajú motiváciu vyberať si bezpečnejšie riešenia.
- Vývojári vlastných aplikácií často žiadny dôvodimplementovať dvojfaktorovú autentifikáciu namiesto autentifikácie heslom. Konkurencia v úrovni ochrany v používateľských aplikáciách nie.
- Plná zodpovednosť za hack presunuté na používateľa. Poskytol útočníkovi jednorazové heslo - na vine. Vaše heslo bolo zachytené alebo spozorované - na vine. Nevyžadovalo sa, aby vývojár používal v produkte spoľahlivé metódy autentifikácie - na vine.
- doprava regulátor predovšetkým by mala od spoločností vyžadovať implementáciu riešení blokovať úniky údajov (najmä dvojfaktorové overenie), a nie trestanie už sa stalo únik dát.
- Niektorí vývojári softvéru sa snažia predať spotrebiteľom staré a nie príliš spoľahlivé riešenie v krásnom balení „inovatívny“ produkt. Napríklad autentifikácia prepojením s konkrétnym smartfónom alebo pomocou biometrie. Ako vidno zo správy, podľa skutočne spoľahlivé Môže existovať len riešenie založené na silnej autentifikácii, teda kryptografických tokenoch.
- Rovnaký možno použiť kryptografický token množstvo úloh: pre silná autentifikácia v podnikovom operačnom systéme, v podnikových a užívateľských aplikáciách, pre elektronický podpis finančné transakcie (dôležité pre bankové aplikácie), dokumenty a e-mail.
Zdroj: hab.com