Nyligen publicerade forskningsföretaget Javelin Strategy & Research en rapport, "The State of Strong Authentication 2019." Dess skapare samlade information om vilka autentiseringsmetoder som används i företagsmiljöer och konsumentapplikationer, och drog också intressanta slutsatser om framtiden för stark autentisering.
Översättning av den första delen med slutsatserna från författarna till rapporten, vi . Och nu presenterar vi den andra delen - med data och grafer.
Från översättaren
Jag kommer inte att helt kopiera hela blocket med samma namn från den första delen, men jag kommer fortfarande att duplicera ett stycke.
Alla siffror och fakta presenteras utan de minsta förändringar, och om du inte håller med dem, är det bättre att inte argumentera med översättaren, utan med rapportens författare. Och här är mina kommentarer (utlagda som citat och markerade i texten italienska) är min värdebedömning och jag kommer gärna att argumentera om var och en av dem (liksom om kvaliteten på översättningen).
Användarautentisering
Sedan 2017 har användningen av stark autentisering i konsumentapplikationer vuxit kraftigt, till stor del beroende på tillgängligheten av kryptografiska autentiseringsmetoder på mobila enheter, även om endast en något mindre andel av företagen använder stark autentisering för internetapplikationer.
Totalt sett tredubblades andelen företag som använder stark autentisering i sin verksamhet från 5 % 2017 till 16 % 2018 (Figur 3).
Möjligheten att använda stark autentisering för webbapplikationer är fortfarande begränsad (på grund av det faktum att endast mycket nya versioner av vissa webbläsare stöder interaktion med kryptografiska tokens, men detta problem kan lösas genom att installera ytterligare programvara som t.ex. ), så använder många företag alternativa metoder för onlineautentisering, till exempel program för mobila enheter som genererar engångslösenord.
Hårdvara kryptografiska nycklar (här menar vi endast de som uppfyller FIDO-standarderna), som de som erbjuds av Google, Feitian, One Span och Yubico kan användas för stark autentisering utan att installera ytterligare programvara på stationära datorer och bärbara datorer (eftersom de flesta webbläsare redan stöder WebAuthn-standarden från FIDO), men endast 3 % av företagen använder den här funktionen för att logga in sina användare.
Jämförelse av kryptografiska tokens (som ) och hemliga nycklar som fungerar enligt FIDO-standarder ligger utanför ramen för denna rapport, men även mina kommentarer till den. Kort sagt, båda typerna av tokens använder liknande algoritmer och driftsprinciper. FIDO-tokens stöds för närvarande bättre av webbläsarleverantörer, även om detta snart kommer att förändras när fler webbläsare stödjer . Men klassiska kryptografiska tokens skyddas av en PIN-kod, kan signera elektroniska dokument och användas för tvåfaktorsautentisering i Windows (valfri version), Linux och Mac OS X, har API:er för olika programmeringsspråk, vilket gör att du kan implementera 2FA och elektronisk signatur i skrivbords-, mobil- och webbapplikationer och tokens producerade i Ryssland stöder ryska GOST-algoritmer. I vilket fall som helst är en kryptografisk token, oavsett vilken standard den är skapad av, den mest pålitliga och bekväma autentiseringsmetoden.
Beyond Security: Andra fördelar med stark autentisering
Det är ingen överraskning att användningen av stark autentisering är nära kopplad till vikten av den data som ett företag lagrar. Företag som lagrar känslig personlig identifierbar information (PII), såsom personnummer eller personlig hälsoinformation (PHI), möter det största juridiska och regulatoriska trycket. Det är dessa företag som är de mest aggressiva förespråkarna för stark autentisering. Pressen på företag ökar av förväntningarna från kunder som vill veta att de organisationer som de litar på med sin mest känsliga data använder starka autentiseringsmetoder. Organisationer som hanterar känslig PII eller PHI har mer än dubbelt så stor sannolikhet att använda stark autentisering än organisationer som bara lagrar användarnas kontaktinformation (Figur 7).
Tyvärr är företag ännu inte villiga att implementera starka autentiseringsmetoder. Nästan en tredjedel av företagens beslutsfattare anser att lösenord är den mest effektiva autentiseringsmetoden bland alla de som anges i figur 9, och 43 % anser att lösenord är den enklaste autentiseringsmetoden.
Det här diagrammet bevisar för oss att affärsapplikationsutvecklare runt om i världen är likadana... De ser inte fördelen med att implementera avancerade säkerhetsmekanismer för kontoåtkomst och delar samma missuppfattningar. Och endast tillsynsmyndigheternas agerande kan förändra situationen.
Låt oss inte röra lösenord. Men vad måste du tro för att tro att säkerhetsfrågor är säkrare än kryptografiska tokens? Effektiviteten av kontrollfrågor, som helt enkelt väljs, uppskattades till 15%, och inte hackbara tokens - bara 10. Se åtminstone filmen "Illusion of Deception", där det, även om det är i en allegorisk form, visas hur lätt magiker lockade alla nödvändiga saker ur en affärsman-svindlare svar och lämnade honom utan pengar.
Och ytterligare ett faktum som säger mycket om kvalifikationerna hos dem som ansvarar för säkerhetsmekanismer i användarapplikationer. Enligt deras uppfattning är processen att ange ett lösenord en enklare operation än autentisering med en kryptografisk token. Även om det verkar som att det kan vara enklare att ansluta token till en USB-port och ange en enkel PIN-kod.
Viktigt är att implementering av stark autentisering tillåter företag att gå bort från att tänka på de autentiseringsmetoder och operativa regler som behövs för att blockera bedrägliga system för att möta de verkliga behoven hos sina kunder.
Även om regelefterlevnad är en rimlig högsta prioritet för både företag som använder stark autentisering och de som inte gör det, är företag som redan använder stark autentisering mycket mer benägna att säga att ökad kundlojalitet är det viktigaste måttet de överväger när de utvärderar en autentisering metod. (18 % mot 12 %) (Figur 10).
Företagsautentisering
Sedan 2017 har antagandet av stark autentisering i företag ökat, men i en något lägre takt än för konsumentapplikationer. Andelen företag som använder stark autentisering ökade från 7 % 2017 till 12 % 2018. Till skillnad från konsumentapplikationer är användningen av autentiseringsmetoder utan lösenord något vanligare i webbapplikationer än på mobila enheter i företagsmiljön. Ungefär hälften av företagen rapporterar att de enbart använder användarnamn och lösenord för att autentisera sina användare när de loggar in, med en av fem (22 %) som också förlitar sig enbart på lösenord för sekundär autentisering vid åtkomst till känslig data (det vill säga, användaren loggar först in i applikationen med en enklare autentiseringsmetod, och om han vill få tillgång till kritiska data kommer han att utföra en annan autentiseringsprocedur, denna gång vanligtvis med en mer tillförlitlig metod).
Du måste förstå att rapporten inte tar hänsyn till användningen av kryptografiska tokens för tvåfaktorsautentisering i operativsystemen Windows, Linux och Mac OS X. Och detta är för närvarande den mest utbredda användningen av 2FA. (Ack, tokens skapade enligt FIDO-standarder kan implementera 2FA endast för Windows 10).
Dessutom, om implementeringen av 2FA i online- och mobilapplikationer kräver en uppsättning åtgärder, inklusive modifiering av dessa applikationer, behöver du bara konfigurera PKI (till exempel baserat på Microsoft Certification Server) och autentiseringspolicyer för att implementera 2FA i Windows i annons.
Och eftersom skydd av inloggningen till en arbetsdator och domän är en viktig del av att skydda företagsdata, blir implementeringen av tvåfaktorsautentisering allt vanligare.
De följande två vanligaste metoderna för att autentisera användare när de loggar in är engångslösenord som tillhandahålls via en separat app (13 % av företagen) och engångslösenord som levereras via SMS (12 %). Trots att andelen användning av båda metoderna är mycket lika, används OTP SMS oftast för att öka behörighetsnivån (i 24 % av företagen). (Figur 12).
Ökningen av användningen av stark autentisering i företaget kan sannolikt tillskrivas den ökade tillgängligheten av kryptografiska autentiseringsimplementeringar i företagsidentitetshanteringsplattformar (med andra ord, företags SSO- och IAM-system har lärt sig att använda tokens).
För mobil autentisering av anställda och entreprenörer är företag mer beroende av lösenord än för autentisering i konsumentapplikationer. Drygt hälften (53 %) av företagen använder lösenord vid autentisering av användaråtkomst till företagsdata via en mobil enhet (Figur 13).
När det gäller mobila enheter skulle man tro på biometrins stora kraft, om inte för de många fallen av falska fingeravtryck, röster, ansikten och till och med iris. En sökmotorfråga kommer att avslöja att en pålitlig metod för biometrisk autentisering helt enkelt inte existerar. Verkligen exakta sensorer finns såklart, men de är väldigt dyra och stora i storlek – och är inte installerade i smartphones.
Därför är den enda fungerande 2FA-metoden i mobila enheter användningen av kryptografiska tokens som ansluter till smarttelefonen via NFC, Bluetooth och USB Type-C-gränssnitt.
Att skydda ett företags finansiella data är den främsta anledningen till att investera i lösenordslös autentisering (44 %), med den snabbaste tillväxten sedan 2017 (en ökning med åtta procentenheter). Detta följs av skyddet av immateriella rättigheter (40 %) och personaluppgifter (HR) (39 %). Och det är tydligt varför - inte bara är värdet som är förknippat med dessa typer av data allmänt erkänt, utan relativt få anställda arbetar med dem. Det vill säga att implementeringskostnaderna inte är så stora, och endast ett fåtal personer behöver utbildas för att arbeta med ett mer komplext autentiseringssystem. Däremot skyddas de typer av data och enheter som de flesta företagsanställda rutinmässigt använder fortfarande enbart av lösenord. Anställdas dokument, arbetsstationer och företags e-postportaler är de områden med störst risk, eftersom endast en fjärdedel av företagen skyddar dessa tillgångar med lösenordslös autentisering (Figur 14).
I allmänhet är företags e-post en mycket farlig och läckande sak, vars grad av potentiell fara underskattas av de flesta CIO:er. Anställda får dussintals e-postmeddelanden varje dag, så varför inte inkludera minst ett nätfiske-e-postmeddelande (det vill säga bedrägligt) bland dem. Detta brev kommer att formateras i stil med företagsbrev, så att medarbetaren kommer att känna sig bekväm med att klicka på länken i detta brev. Tja, då kan vad som helst hända, till exempel att ladda ner ett virus till den attackerade maskinen eller läcka lösenord (inklusive genom social ingenjörskonst, genom att ange ett falskt autentiseringsformulär skapat av angriparen).
För att förhindra att sådant här händer måste e-postmeddelanden vara signerade. Då blir det omedelbart klart vilket brev som skapades av en legitim anställd och vilket av en angripare. I Outlook/Exchange, till exempel, aktiveras kryptografiska tokenbaserade elektroniska signaturer ganska snabbt och enkelt och kan användas tillsammans med tvåfaktorsautentisering över datorer och Windows-domäner.
Bland de chefer som enbart förlitar sig på lösenordsautentisering inom företaget gör två tredjedelar (66 %) det för att de anser att lösenord ger tillräcklig säkerhet för den typ av information som deras företag behöver skydda (Figur 15).
Men starka autentiseringsmetoder blir allt vanligare. Till stor del på grund av att deras tillgänglighet ökar. Ett ökande antal identitets- och åtkomsthanteringssystem (IAM), webbläsare och operativsystem stöder autentisering med kryptografiska tokens.
Stark autentisering har en annan fördel. Eftersom lösenordet inte längre används (ersätts med en enkel PIN-kod) finns det inga förfrågningar från anställda som ber dem att ändra det glömda lösenordet. Vilket i sin tur minskar belastningen på företagets IT-avdelning.
Resultat och slutsatser
- Chefer har ofta inte den kunskap som krävs för att bedöma verklig effektiviteten hos olika autentiseringsalternativ. De är vana vid att lita på sådana föråldrad säkerhetsmetoder som lösenord och säkerhetsfrågor helt enkelt för att "det fungerade förut."
- Användare har fortfarande denna kunskap mindre, för dem är huvudsaken enkelhet och bekvämlighet. Så länge de inte har något incitament att välja säkrare lösningar.
- Utvecklare av anpassade applikationer ofta ingen anledningatt implementera tvåfaktorsautentisering istället för lösenordsautentisering. Konkurrens i skyddsnivån i användarapplikationer ingen.
- Fullt ansvar för hacket flyttas till användaren. Gav engångslösenordet till angriparen - skyldig. Ditt lösenord fångades upp eller spionerades på - skyldig. Krävde inte utvecklaren att använda tillförlitliga autentiseringsmetoder i produkten - skyldig.
- höger regulator först av allt bör kräva att företag implementerar lösningar som blockera dataläckor (särskilt tvåfaktorsautentisering), snarare än straff redan hänt dataläcka.
- Vissa mjukvaruutvecklare försöker sälja till konsumenter gammal och inte särskilt pålitlig lösningar i vacker förpackning "innovativ" produkt. Till exempel autentisering genom att länka till en specifik smartphone eller använda biometri. Som framgår av rapporten, enl verkligen pålitlig Det kan bara finnas en lösning baserad på stark autentisering, det vill säga kryptografiska tokens.
- Det samma kryptografisk token kan användas för ett antal uppgifter: för stark autentisering i företagets operativsystem, i företags- och användarapplikationer, för elektronisk signatur finansiella transaktioner (viktigt för bankapplikationer), dokument och e-post.
Källa: will.com