Hivi majuzi, kampuni ya utafiti ya Javelin Strategy & Research ilichapisha ripoti, "Hali ya Uthibitishaji Nguvu 2019." Waumbaji wake walikusanya taarifa kuhusu mbinu gani za uthibitishaji zinazotumiwa katika mazingira ya ushirika na maombi ya watumiaji, na pia walifanya hitimisho la kuvutia kuhusu wakati ujao wa uthibitishaji wa nguvu.
Tafsiri ya sehemu ya kwanza na hitimisho la waandishi wa ripoti, sisi . Na sasa tunawasilisha kwako sehemu ya pili - na data na grafu.
Kutoka kwa mfasiri
Sitaiga kabisa kizuizi kizima cha jina moja kutoka sehemu ya kwanza, lakini bado nitaiga aya moja.
Takwimu zote na ukweli zinawasilishwa bila mabadiliko kidogo, na ikiwa haukubaliani nao, basi ni bora kubishana sio na mtafsiri, bali na waandishi wa ripoti hiyo. Na hapa kuna maoni yangu (yamewekwa kama nukuu, na alama katika maandishi Kiitaliano) ni hukumu yangu ya thamani na nitafurahi kubishana juu ya kila moja yao (na vile vile juu ya ubora wa tafsiri).
Uthibitishaji wa Mtumiaji
Tangu mwaka wa 2017, matumizi ya uthibitishaji dhabiti katika programu za watumiaji yamekua kwa kasi, kwa kiasi kikubwa kutokana na upatikanaji wa mbinu za uthibitishaji wa kriptografia kwenye vifaa vya rununu, ingawa ni asilimia ndogo tu ya kampuni zinazotumia uthibitishaji dhabiti kwa programu za Mtandao.
Kwa ujumla, asilimia ya makampuni yanayotumia uthibitishaji thabiti katika biashara zao iliongezeka mara tatu kutoka 5% mwaka wa 2017 hadi 16% mwaka wa 2018 (Mchoro 3).
Uwezo wa kutumia uthibitishaji thabiti kwa programu za wavuti bado ni mdogo (kutokana na ukweli kwamba matoleo mapya tu ya vivinjari vingine yanaunga mkono mwingiliano na ishara za siri, hata hivyo tatizo hili linaweza kutatuliwa kwa kusakinisha programu ya ziada kama vile. ), kwa hivyo kampuni nyingi hutumia mbinu mbadala za uthibitishaji wa mtandaoni, kama vile programu za vifaa vya mkononi vinavyozalisha manenosiri ya mara moja.
Vifunguo vya kriptografia ya maunzi (hapa tunamaanisha wale tu wanaozingatia viwango vya FIDO), kama vile zile zinazotolewa na Google, Feitian, One Span, na Yubico zinaweza kutumika kwa uthibitishaji thabiti bila kusakinisha programu ya ziada kwenye kompyuta za mezani na kompyuta ndogo (kwa sababu vivinjari vingi tayari vinaunga mkono kiwango cha WebAuthn kutoka FIDO), lakini ni 3% tu ya makampuni hutumia kipengele hiki kuingia watumiaji wao.
Ulinganisho wa ishara za kriptografia (kama ) na funguo za siri zinazofanya kazi kulingana na viwango vya FIDO ni zaidi ya upeo wa ripoti hii, lakini pia maoni yangu kwake. Kwa kifupi, aina zote mbili za ishara hutumia algorithms sawa na kanuni za uendeshaji. Tokeni za FIDO kwa sasa zinaungwa mkono vyema na wachuuzi wa vivinjari, ingawa hii itabadilika hivi karibuni kadiri vivinjari vingi vitakavyotumika . Lakini ishara za kriptografia za kawaida zinalindwa na nambari ya PIN, inaweza kusaini hati za elektroniki na kutumika kwa uthibitishaji wa sababu mbili katika Windows (toleo lolote), Linux na Mac OS X, zina API za lugha anuwai za programu, hukuruhusu kutekeleza 2FA na elektroniki. sahihi katika eneo-kazi, programu za rununu na Wavuti , na ishara zinazozalishwa nchini Urusi zinaunga mkono algoriti za GOST za Kirusi. Kwa hali yoyote, ishara ya cryptographic, bila kujali ni kiwango gani kinachoundwa na, ni njia ya uthibitishaji ya kuaminika zaidi na rahisi.
Zaidi ya Usalama: Faida Nyingine za Uthibitishaji Imara
Haishangazi kwamba utumiaji wa uthibitishaji thabiti unahusishwa kwa karibu na umuhimu wa data ambayo biashara huhifadhi. Kampuni zinazohifadhi Taarifa nyeti Zinazoweza Kumtambulisha Mtu (PII), kama vile nambari za Usalama wa Jamii au Taarifa za Afya ya Kibinafsi (PHI), zinakabiliwa na shinikizo kubwa zaidi la kisheria na udhibiti. Haya ni makampuni ambayo ni wafuasi wa fujo zaidi wa uthibitishaji wa nguvu. Shinikizo kwa biashara huongezeka kutokana na matarajio ya wateja wanaotaka kujua kwamba mashirika wanayoamini na data zao nyeti zaidi hutumia mbinu dhabiti za uthibitishaji. Mashirika yanayoshughulikia PII au PHI nyeti yana uwezekano zaidi ya mara mbili ya kutumia uthibitishaji thabiti kuliko mashirika ambayo huhifadhi tu maelezo ya mawasiliano ya watumiaji (Mchoro 7).
Kwa bahati mbaya, kampuni bado haziko tayari kutekeleza njia dhabiti za uthibitishaji. Takriban thuluthi moja ya watoa maamuzi ya biashara huchukulia manenosiri kuwa mbinu bora zaidi ya uthibitishaji kati ya wale wote walioorodheshwa katika Kielelezo 9, na 43% huzingatia manenosiri kuwa njia rahisi zaidi ya uthibitishaji.
Chati hii inatuthibitishia kuwa wasanidi programu za biashara duniani kote ni sawa... Hawaoni manufaa ya kutekeleza mbinu za usalama za ufikiaji wa akaunti ya juu na wanashiriki mawazo sawa. Na tu vitendo vya wasimamizi vinaweza kubadilisha hali hiyo.
Tusiguse manenosiri. Lakini una nini cha kuamini kuamini kuwa maswali ya usalama ni salama zaidi kuliko ishara za siri? Ufanisi wa maswali ya udhibiti, ambayo huchaguliwa kwa urahisi, ilikadiriwa kuwa 15%, na sio ishara za hackable - 10 tu. Angalau tazama filamu "Udanganyifu wa Udanganyifu", ambapo, ingawa katika fomu ya kielelezo, inaonyeshwa jinsi wachawi wa urahisi. alivuta vitu vyote muhimu kutoka kwa majibu ya mfanyabiashara-laghai na kumwacha bila pesa.
Na ukweli mmoja zaidi ambao unasema mengi juu ya sifa za wale ambao wanawajibika kwa mifumo ya usalama katika programu za watumiaji. Kwa ufahamu wao, mchakato wa kuingia nenosiri ni operesheni rahisi zaidi kuliko uthibitishaji kwa kutumia ishara ya cryptographic. Ingawa, inaweza kuonekana kuwa inaweza kuwa rahisi zaidi kuunganisha ishara kwenye bandari ya USB na kuingiza msimbo rahisi wa PIN.
Muhimu zaidi, kutekeleza uthibitishaji thabiti huruhusu biashara kuondokana na kufikiria kuhusu mbinu za uthibitishaji na sheria za uendeshaji zinazohitajika ili kuzuia mipango ya ulaghai ili kukidhi mahitaji halisi ya wateja wao.
Ingawa utiifu wa sheria ni kipaumbele cha juu kinachofaa kwa biashara zote zinazotumia uthibitishaji thabiti na zile ambazo hazitumii, kampuni ambazo tayari zinatumia uthibitishaji thabiti zina uwezekano mkubwa wa kusema kwamba kuongeza uaminifu wa wateja ni kipimo muhimu zaidi wanachozingatia wakati wa kutathmini uthibitishaji. njia. (18% dhidi ya 12%) (Kielelezo 10).
Uthibitishaji wa Biashara
Tangu 2017, kupitishwa kwa uthibitishaji wa nguvu katika makampuni ya biashara kumekua, lakini kwa kiwango cha chini kidogo kuliko kwa maombi ya watumiaji. Sehemu ya makampuni ya biashara kwa kutumia uthibitishaji imara iliongezeka kutoka 7% mwaka wa 2017 hadi 12% mwaka wa 2018. Tofauti na maombi ya watumiaji, katika mazingira ya biashara matumizi ya njia za uthibitishaji zisizo za nenosiri ni kawaida zaidi katika programu za wavuti kuliko kwenye vifaa vya rununu. Takriban nusu ya biashara huripoti kutumia majina ya watumiaji na manenosiri pekee ili kuthibitisha watumiaji wao wakati wa kuingia, huku moja kati ya watano (22%) pia ikitegemea tu nywila kwa uthibitishaji wa pili wakati wa kufikia data nyeti (yaani, mtumiaji kwanza huingia kwenye programu kwa kutumia njia rahisi ya uthibitishaji, na ikiwa anataka kupata data muhimu, atafanya utaratibu mwingine wa uthibitishaji, wakati huu kwa kawaida kwa kutumia njia ya kuaminika zaidi.).
Unahitaji kuelewa kwamba ripoti hiyo haizingatii matumizi ya ishara za cryptographic kwa uthibitishaji wa sababu mbili katika mifumo ya uendeshaji Windows, Linux na Mac OS X. Na hii kwa sasa ni matumizi makubwa zaidi ya 2FA. (Ole, ishara zilizoundwa kulingana na viwango vya FIDO zinaweza kutekeleza 2FA tu kwa Windows 10).
Zaidi ya hayo, ikiwa utekelezaji wa 2FA katika programu za mtandaoni na za mkononi unahitaji seti ya hatua, ikiwa ni pamoja na marekebisho ya programu hizi, basi ili kutekeleza 2FA katika Windows unahitaji tu kusanidi PKI (kwa mfano, kulingana na Seva ya Uthibitishaji wa Microsoft) na sera za uthibitishaji. katika AD.
Na kwa kuwa kulinda kuingia kwa PC ya kazi na kikoa ni kipengele muhimu cha kulinda data ya ushirika, utekelezaji wa uthibitishaji wa sababu mbili unazidi kuwa wa kawaida.
Mbinu mbili zinazofuata za kawaida za kuthibitisha watumiaji wakati wa kuingia ni manenosiri ya mara moja yanayotolewa kupitia programu tofauti (13% ya biashara) na manenosiri ya mara moja yanayotumwa kupitia SMS (12%). Licha ya ukweli kwamba asilimia ya matumizi ya njia zote mbili ni sawa, OTP SMS hutumiwa mara nyingi kuongeza kiwango cha idhini (katika 24% ya makampuni). (Kielelezo 12).
Kuongezeka kwa matumizi ya uthibitishaji thabiti katika biashara kunaweza kuhusishwa na kuongezeka kwa upatikanaji wa uthibitishaji wa kriptografia katika mifumo ya usimamizi wa utambulisho wa biashara (kwa maneno mengine, mifumo ya SSO na IAM ya biashara imejifunza kutumia tokeni).
Kwa uthibitishaji wa simu za wafanyikazi na wakandarasi, biashara hutegemea zaidi nywila kuliko uthibitishaji katika programu za watumiaji. Zaidi ya nusu (53%) ya biashara hutumia manenosiri wakati wa kuthibitisha ufikiaji wa mtumiaji kwa data ya kampuni kupitia kifaa cha rununu (Mchoro 13).
Katika kesi ya vifaa vya simu, mtu angeamini katika nguvu kubwa ya biometriska, ikiwa sio kwa matukio mengi ya vidole vya bandia, sauti, nyuso na hata irises. Swali moja la injini ya utafutaji litaonyesha kuwa njia ya kuaminika ya uthibitishaji wa kibayometriki haipo. Sensorer sahihi kweli, kwa kweli, zipo, lakini ni ghali sana na ni kubwa kwa saizi - na hazijasanikishwa kwenye simu mahiri.
Kwa hivyo, njia pekee ya kufanya kazi ya 2FA katika vifaa vya rununu ni matumizi ya tokeni za kriptografia zinazounganishwa na simu mahiri kupitia violesura vya NFC, Bluetooth na USB Type-C.
Kulinda data ya kifedha ya kampuni ndiyo sababu kuu ya kuwekeza katika uthibitishaji usio na nenosiri (44%), na ukuaji wa haraka zaidi tangu 2017 (ongezeko la asilimia nane). Hii inafuatiwa na ulinzi wa haki miliki (40%) na data ya wafanyakazi (HR) (39%). Na ni wazi kwa nini - sio tu kwamba thamani inayohusishwa na aina hizi za data inatambuliwa sana, lakini ni wafanyikazi wachache wanaofanya kazi nao. Hiyo ni, gharama za utekelezaji sio kubwa sana, na ni watu wachache tu wanaohitaji kufundishwa kufanya kazi na mfumo mgumu zaidi wa uthibitishaji. Kinyume chake, aina za data na vifaa ambavyo wafanyakazi wengi wa biashara hufikia mara kwa mara bado zinalindwa na manenosiri pekee. Hati za wafanyikazi, vituo vya kazi, na tovuti za barua pepe za kampuni ni maeneo yenye hatari kubwa, kwani ni robo tu ya biashara hulinda mali hizi kwa uthibitishaji usio na nenosiri (Mchoro 14).
Kwa ujumla, barua pepe ya kampuni ni jambo hatari sana na lisilo na uvujaji, kiwango cha hatari ambacho kinaweza kupuuzwa na CIO nyingi. Wafanyikazi hupokea barua pepe nyingi kila siku, kwa hivyo kwa nini usijumuishe angalau barua pepe moja ya ulaghai (yaani, ya ulaghai) miongoni mwao. Barua hii itaundwa kwa mtindo wa barua za kampuni, kwa hivyo mfanyakazi atahisi vizuri kubonyeza kiunga katika barua hii. Kweli, basi chochote kinaweza kutokea, kwa mfano, kupakua virusi kwenye mashine iliyoshambuliwa au nywila zinazovuja (pamoja na uhandisi wa kijamii, kwa kuingiza fomu ya uthibitishaji bandia iliyoundwa na mshambuliaji).
Ili kuzuia mambo kama haya kutokea, ni lazima barua pepe zitiwe saini. Kisha itakuwa wazi mara moja ambayo barua iliundwa na mfanyakazi halali na ambayo kwa mshambuliaji. Katika Outlook/Exchange, kwa mfano, sahihi za kielektroniki za tokeni za kriptografia huwashwa haraka na kwa urahisi na zinaweza kutumika pamoja na uthibitishaji wa vipengele viwili kwenye Kompyuta na vikoa vya Windows.
Miongoni mwa watendaji hao ambao wanategemea tu uthibitishaji wa nenosiri ndani ya biashara, theluthi mbili (66%) hufanya hivyo kwa sababu wanaamini nywila hutoa usalama wa kutosha kwa aina ya habari ambayo kampuni yao inahitaji kulinda (Mchoro 15).
Lakini mbinu kali za uthibitishaji zinazidi kuwa za kawaida. Kwa kiasi kikubwa kutokana na ukweli kwamba upatikanaji wao unaongezeka. Idadi inayoongezeka ya mifumo ya utambulisho na udhibiti wa ufikiaji (IAM), vivinjari na mifumo ya uendeshaji inasaidia uthibitishaji kwa kutumia tokeni za kriptografia.
Uthibitishaji wa nguvu una faida nyingine. Kwa kuwa nenosiri halitumiki tena (kubadilishwa na PIN rahisi), hakuna maombi kutoka kwa wafanyakazi wanaowauliza kubadili nenosiri lililosahau. Ambayo kwa upande hupunguza mzigo kwenye idara ya IT ya biashara.
Matokeo na hitimisho
- Wasimamizi mara nyingi hawana maarifa muhimu ya kutathmini halisi ufanisi wa chaguzi mbalimbali za uthibitishaji. Wamezoea kuamini vile imepitwa na wakati njia za usalama kama vile manenosiri na maswali ya usalama kwa sababu tu "ilifanya kazi hapo awali."
- Watumiaji bado wana ujuzi huu kidogo, kwao jambo kuu ni unyenyekevu na urahisi. Ilimradi hawana motisha ya kuchagua suluhisho salama zaidi.
- Watengenezaji wa programu maalum mara nyingi bila sababukutekeleza uthibitishaji wa mambo mawili badala ya uthibitishaji wa nenosiri. Ushindani katika kiwango cha ulinzi katika maombi ya mtumiaji hakuna.
- Wajibu kamili kwa hack imehamishiwa kwa mtumiaji. Alitoa nenosiri la wakati mmoja kwa mshambuliaji - hatia. Nenosiri lako lilizuiliwa au kutapeliwa - hatia. Haikuhitaji msanidi programu kutumia njia za uthibitishaji za kuaminika katika bidhaa - hatia.
- Sahihi mdhibiti kwanza kabisa inapaswa kuhitaji makampuni kutekeleza masuluhisho ambayo kuzuia uvujaji wa data (haswa uthibitishaji wa sababu mbili), badala ya kuadhibu tayari imetokea uvujaji wa data.
- Baadhi ya wasanidi programu wanajaribu kuuza kwa watumiaji zamani na si hasa kuaminika ufumbuzi katika ufungaji mzuri bidhaa "bunifu". Kwa mfano, uthibitishaji kwa kuunganisha kwa smartphone maalum au kutumia biometriska. Kama inavyoonekana kutoka kwa ripoti, kulingana na kuaminika kweli Kunaweza tu kuwa na suluhisho kulingana na uthibitishaji wa nguvu, yaani, ishara za siri.
- Sawa ishara ya kriptografia inaweza kutumika kwa idadi ya kazi: kwa uthibitishaji wa nguvu katika mfumo wa uendeshaji wa biashara, katika maombi ya ushirika na mtumiaji, kwa sahihi ya elektroniki shughuli za kifedha (muhimu kwa maombi ya benki), hati na barua pepe.
Chanzo: mapenzi.com