Pred kratkim je raziskovalno podjetje Javelin Strategy & Research objavilo poročilo "Stanje močne avtentikacije 2019." Njegovi ustvarjalci so zbrali informacije o tem, katere metode avtentikacije se uporabljajo v podjetniških okoljih in potrošniških aplikacijah, prav tako pa so naredili zanimive zaključke o prihodnosti močne avtentikacije.
Prevod prvega dela z zaključki avtorjev poročila, smo . In zdaj vam predstavljamo drugi del - s podatki in grafi.
Od prevajalca
Ne bom v celoti kopiral celotnega bloka z istim imenom iz prvega dela, vendar bom vseeno podvojil en odstavek.
Vse številke in dejstva so predstavljeni brez najmanjših sprememb, in če se z njimi ne strinjate, je bolje, da se ne prepirate s prevajalcem, temveč z avtorji poročila. In tukaj so moji komentarji (navedeni kot citati in označeni v besedilu italijanščina) so moja vrednostna sodba in o vsaki izmed njih (pa tudi o kakovosti prevoda) bom z veseljem argumentiral.
Preverjanje pristnosti uporabnika
Od leta 2017 je uporaba močne avtentikacije v potrošniških aplikacijah močno narasla, predvsem zaradi razpoložljivosti kriptografskih metod avtentikacije na mobilnih napravah, čeprav le nekoliko manjši odstotek podjetij uporablja močno avtentikacijo za internetne aplikacije.
Na splošno se je odstotek podjetij, ki v svojem poslovanju uporabljajo močno avtentikacijo, potrojil s 5 % v letu 2017 na 16 % v letu 2018 (slika 3).
Možnost uporabe močne avtentikacije za spletne aplikacije je še vedno omejena (zaradi dejstva, da samo zelo nove različice nekaterih brskalnikov podpirajo interakcijo s kriptografskimi žetoni, vendar je to težavo mogoče rešiti z namestitvijo dodatne programske opreme, kot je npr. ), zato veliko podjetij uporablja alternativne metode za spletno preverjanje pristnosti, kot so programi za mobilne naprave, ki generirajo enkratna gesla.
Strojni kriptografski ključi (tu mislimo le na tiste, ki ustrezajo standardom FIDO), kot so tisti, ki jih ponujajo Google, Feitian, One Span in Yubico, je mogoče uporabiti za močno avtentikacijo brez nameščanja dodatne programske opreme na namizne in prenosne računalnike (ker večina brskalnikov že podpira standard WebAuthn iz FIDO), vendar le 3 % podjetij uporablja to funkcijo za prijavo svojih uporabnikov.
Primerjava kriptografskih žetonov (npr ) in tajnih ključev, ki delujejo v skladu s standardi FIDO, presega obseg tega poročila, pa tudi moje pripombe k njemu. Skratka, obe vrsti žetonov uporabljata podobne algoritme in principe delovanja. Žetone FIDO trenutno bolje podpirajo prodajalci brskalnikov, čeprav se bo to kmalu spremenilo, ko bo podpiralo več brskalnikov . Toda klasični kriptografski žetoni so zaščiteni s kodo PIN, lahko podpisujejo elektronske dokumente in se uporabljajo za dvostopenjsko avtentikacijo v sistemu Windows (katera koli različica), Linux in Mac OS X, imajo API-je za različne programske jezike, kar vam omogoča implementacijo 2FA in elektronskih podpis v namiznih, mobilnih in spletnih aplikacijah ter žetoni, proizvedeni v Rusiji, podpirajo ruske algoritme GOST. V vsakem primeru je kriptografski žeton, ne glede na to, po katerem standardu je ustvarjen, najbolj zanesljiv in priročen način avtentikacije.
Poleg varnosti: druge prednosti močne avtentikacije
Ni presenetljivo, da je uporaba močne avtentikacije tesno povezana s pomembnostjo podatkov, ki jih podjetje shranjuje. Podjetja, ki hranijo občutljive podatke, ki omogočajo osebno identifikacijo (PII), kot so številke socialnega zavarovanja ali osebni zdravstveni podatki (PHI), se soočajo z največjim pravnim in regulativnim pritiskom. To so podjetja, ki so najbolj agresivna zagovornika močne avtentikacije. Pritisk na podjetja je povečan zaradi pričakovanj strank, ki želijo vedeti, da organizacije, ki jim zaupajo svoje najbolj občutljive podatke, uporabljajo močne metode avtentikacije. Organizacije, ki obravnavajo občutljive PII ali PHI, imajo več kot dvakrat večjo verjetnost, da bodo uporabile močno avtentikacijo kot organizacije, ki shranjujejo le kontaktne podatke uporabnikov (slika 7).
Na žalost podjetja še niso pripravljena uvesti močnih metod avtentikacije. Skoraj tretjina poslovnih odločevalcev meni, da so gesla najučinkovitejša metoda preverjanja pristnosti med vsemi naštetimi na sliki 9, 43 % pa meni, da so gesla najpreprostejša metoda preverjanja pristnosti.
Ta grafikon nam dokazuje, da so razvijalci poslovnih aplikacij po vsem svetu enaki ... Ne vidijo prednosti implementacije naprednih varnostnih mehanizmov za dostop do računa in imajo enake napačne predstave. In samo ukrepi regulatorjev lahko spremenijo situacijo.
Ne dotikajmo se gesel. Toda kaj morate verjeti, da verjamete, da so varnostna vprašanja varnejša od kriptografskih žetonov? Učinkovitost kontrolnih vprašanj, ki so preprosto izbrana, je bila ocenjena na 15%, nežetonov, ki jih je mogoče vdreti, pa le 10. Oglejte si vsaj film "Iluzija prevare", kjer je, čeprav v alegorični obliki, prikazano, kako zlahka čarovniki iz odgovorov poslovneža-goljufa zvabil vse potrebne stvari in ga pustil brez denarja.
In še en podatek, ki pove veliko o usposobljenosti tistih, ki skrbijo za varnostne mehanizme v uporabniških aplikacijah. Po njihovem razumevanju je postopek vnosa gesla preprostejša operacija kot avtentikacija s kriptografskim žetonom. Čeprav se zdi, da bi bilo morda enostavneje žeton povezati z vrati USB in vnesti preprosto kodo PIN.
Pomembno je, da uvedba močne avtentikacije omogoča podjetjem, da se odmaknejo od razmišljanja o metodah avtentikacije in operativnih pravilih, ki so potrebna za blokiranje goljufivih shem, in zadovoljujejo resnične potrebe svojih strank.
Medtem ko je skladnost s predpisi razumna prednostna naloga za podjetja, ki uporabljajo močno avtentikacijo, in tista, ki je ne uporabljajo, je veliko večja verjetnost, da bodo podjetja, ki že uporabljajo močno avtentikacijo, povedala, da je povečanje zvestobe strank najpomembnejše merilo, ki ga upoštevajo pri ocenjevanju avtentikacije. metoda. (18 % v primerjavi z 12 %) (slika 10).
Preverjanje pristnosti podjetja
Od leta 2017 sprejemanje močne avtentikacije v podjetjih narašča, vendar nekoliko nižje kot pri potrošniških aplikacijah. Delež podjetij, ki uporabljajo močno avtentikacijo, se je povečal s 7 % v 2017 na 12 % v 2018. Za razliko od potrošniških aplikacij je v poslovnem okolju uporaba metod avtentikacije brez gesla nekoliko pogostejša v spletnih aplikacijah kot na mobilnih napravah. Približno polovica podjetij poroča, da uporablja samo uporabniška imena in gesla za preverjanje pristnosti svojih uporabnikov pri prijavi, pri čemer se eno od petih (22 %) zanaša samo na gesla za sekundarno preverjanje pristnosti pri dostopu do občutljivih podatkov (uporabnik se v aplikacijo najprej prijavi z enostavnejšo metodo avtentikacije, če želi pridobiti dostop do kritičnih podatkov, pa izvede še en postopek avtentikacije, tokrat običajno z bolj zanesljivo metodo.).
Razumeti morate, da poročilo ne upošteva uporabe kriptografskih žetonov za dvofaktorsko avtentikacijo v operacijskih sistemih Windows, Linux in Mac OS X. In to je trenutno najbolj razširjena uporaba 2FA. (Žal, žetoni, ustvarjeni v skladu s standardi FIDO, lahko implementirajo 2FA samo za Windows 10).
Poleg tega, če implementacija 2FA v spletnih in mobilnih aplikacijah zahteva nabor ukrepov, vključno s spreminjanjem teh aplikacij, morate za implementacijo 2FA v sistemu Windows samo konfigurirati PKI (na primer na podlagi Microsoftovega certifikacijskega strežnika) in pravilnike za preverjanje pristnosti. v AD.
In ker je zaščita prijave v službeni računalnik in domeno pomemben element zaščite korporativnih podatkov, postaja implementacija dvofaktorske avtentikacije vse pogostejša.
Naslednji dve najpogostejši metodi za preverjanje pristnosti uporabnikov pri prijavi sta enkratna gesla, posredovana prek ločene aplikacije (13 % podjetij) in enkratna gesla, dostavljena prek SMS-a (12 %). Kljub temu, da je odstotek uporabe obeh načinov zelo podoben, se OTP SMS najpogosteje uporablja za povečanje stopnje avtorizacije (v 24 % podjetij). (Slika 12).
Porast uporabe močne avtentikacije v podjetju je verjetno mogoče pripisati povečani razpoložljivosti implementacij kriptografske avtentikacije v platformah za upravljanje identitete podjetja (z drugimi besedami, sistemi SSO in IAM v podjetju so se naučili uporabljati žetone).
Za mobilno avtentikacijo zaposlenih in pogodbenikov se podjetja bolj zanašajo na gesla kot za avtentikacijo v potrošniških aplikacijah. Nekaj več kot polovica (53 %) podjetij uporablja gesla pri preverjanju pristnosti uporabniškega dostopa do podatkov podjetja prek mobilne naprave (slika 13).
Pri mobilnih napravah bi človek verjel v veliko moč biometrije, če ne bi bilo številnih primerov lažnih prstnih odtisov, glasov, obrazov in celo šarenice. Ena poizvedba v iskalniku bo razkrila, da zanesljiva metoda biometrične avtentikacije preprosto ne obstaja. Resnično natančni senzorji seveda obstajajo, vendar so zelo dragi in veliki - in niso nameščeni v pametnih telefonih.
Zato je edina delujoča metoda 2FA v mobilnih napravah uporaba kriptografskih žetonov, ki se na pametni telefon povežejo prek vmesnikov NFC, Bluetooth in USB Type-C.
Zaščita finančnih podatkov podjetja je glavni razlog za vlaganje v avtentikacijo brez gesla (44 %), z najhitrejšo rastjo od leta 2017 (zvišanje za osem odstotnih točk). Sledita varstvo intelektualne lastnine (40 %) in kadrovskih (HR) podatkov (39 %). In jasno je zakaj – ne le, da je vrednost, povezana s temi vrstami podatkov, splošno priznana, ampak z njimi dela relativno malo zaposlenih. To pomeni, da stroški implementacije niso tako visoki, za delo s kompleksnejšim avtentikacijskim sistemom pa je treba usposobiti le nekaj ljudi. Nasprotno pa so vrste podatkov in naprav, do katerih redno dostopa večina zaposlenih v podjetjih, še vedno zaščitene izključno z gesli. Dokumenti zaposlenih, delovne postaje in korporativni e-poštni portali so področja največjega tveganja, saj le četrtina podjetij ščiti ta sredstva z avtentikacijo brez gesla (slika 14).
Na splošno je poslovna elektronska pošta zelo nevarna in puščajoča stvar, katere stopnjo potencialne nevarnosti večina CIO podcenjuje. Zaposleni vsak dan prejmejo na desetine e-poštnih sporočil, zakaj torej ne bi mednje vključili vsaj enega phishing (tj. goljufivega) e-poštnega sporočila. To pismo bo oblikovano v slogu pisem podjetja, tako da bo zaposleni udobno kliknil povezavo v tem pismu. No, potem se lahko zgodi karkoli, na primer prenos virusa na napadeni stroj ali uhajanje gesel (tudi prek socialnega inženiringa, z vnosom lažnega obrazca za preverjanje pristnosti, ki ga ustvari napadalec).
Da se takšne stvari ne bi dogajale, morajo biti e-poštna sporočila podpisana. Potem bo takoj jasno, katero pismo je ustvaril zakoniti uslužbenec in katero napadalec. V Outlooku/Exchangeu so na primer elektronski podpisi na osnovi kriptografskih žetonov omogočeni precej hitro in enostavno ter jih je mogoče uporabljati v povezavi z dvofaktorsko avtentikacijo v osebnih računalnikih in domenah Windows.
Med tistimi vodstvenimi delavci, ki se v podjetju zanašajo izključno na preverjanje pristnosti z geslom, jih dve tretjini (66 %) to počneta, ker menita, da gesla zagotavljajo zadostno varnost za vrsto informacij, ki jih mora njihovo podjetje zaščititi (slika 15).
Toda močne metode avtentikacije postajajo vse pogostejše. Predvsem zaradi dejstva, da je njihova dostopnost vse večja. Vse več sistemov za upravljanje identitete in dostopa (IAM), brskalnikov in operacijskih sistemov podpira avtentikacijo s kriptografskimi žetoni.
Močna avtentikacija ima še eno prednost. Ker se geslo ne uporablja več (zamenja se z enostavnim PIN-om), ni nobenih prošenj zaposlenih za spremembo pozabljenega gesla. Kar posledično zmanjša obremenitev IT oddelka podjetja.
Rezultati in zaključki
- Vodje pogosto nimajo potrebnega znanja za ocenjevanje resnično učinkovitost različnih možnosti avtentikacije. Takim so navajeni zaupati zastarel varnostne metode, kot so gesla in varnostna vprašanja preprosto zato, ker je "prej delovalo."
- Uporabniki imajo to znanje še vedno manj, zanje je glavno preprostost in udobje. Dokler nimajo spodbude za izbiro bolj varne rešitve.
- Pogosto razvijalci aplikacij po meri brez razlogaza implementacijo dvostopenjske avtentikacije namesto avtentikacije z geslom. Konkurenca v stopnji zaščite uporabniških aplikacij No.
- Popolna odgovornost za vdor prenese na uporabnika. Napadalcu dal enkratno geslo - kriv. Vaše geslo je bilo prestreženo ali vohunjeno - kriv. Od razvijalca ni zahteval uporabe zanesljivih metod preverjanja pristnosti v izdelku – kriv.
- Prav regulator najprej bi morali od podjetij zahtevati implementacijo rešitev, ki blok uhajanja podatkov (zlasti dvostopenjske avtentikacije), namesto kaznovanja se je že zgodilo uhajanje podatkov.
- Nekateri razvijalci programske opreme poskušajo prodati potrošnikom star in ne posebej zanesljiv Rešitve v lepi embalaži "inovativni" izdelek. Na primer preverjanje pristnosti s povezovanjem z določenim pametnim telefonom ali uporabo biometrije. Kot je razvidno iz poročila, po resnično zanesljiv rešitev je lahko le na podlagi močne avtentikacije, torej kriptografskih žetonov.
- Enako kriptografski žeton se lahko uporablja za številne naloge: za močna avtentikacija v podjetniškem operacijskem sistemu, v podjetniških in uporabniških aplikacijah, za elektronski podpis finančne transakcije (pomembno za bančne aplikacije), dokumente in e-pošto.
Vir: www.habr.com