Kamakailan, ang kumpanya ng pananaliksik na Javelin Strategy & Research ay nag-publish ng isang ulat, "The State of Strong Authentication 2019." Nangongolekta ang mga tagalikha nito ng impormasyon tungkol sa kung anong mga paraan ng pagpapatotoo ang ginagamit sa mga kapaligiran ng kumpanya at mga aplikasyon ng consumer, at gumawa din ng mga kagiliw-giliw na konklusyon tungkol sa hinaharap ng malakas na pagpapatotoo.
Pagsasalin ng unang bahagi na may mga konklusyon ng mga may-akda ng ulat, kami . At ngayon ipinakita namin sa iyong pansin ang pangalawang bahagi - na may data at mga graph.
Mula sa tagasalin
Hindi ko ganap na kokopyahin ang buong bloke ng parehong pangalan mula sa unang bahagi, ngunit duplicate ko pa rin ang isang talata.
Ang lahat ng mga numero at katotohanan ay ipinakita nang walang kaunting pagbabago, at kung hindi ka sumasang-ayon sa kanila, mas mahusay na makipagtalo hindi sa tagasalin, ngunit sa mga may-akda ng ulat. At narito ang aking mga komento (inilatag bilang mga sipi, at minarkahan sa teksto Italyano) ang aking paghatol sa halaga at ikalulugod kong makipagtalo sa bawat isa sa kanila (pati na rin sa kalidad ng pagsasalin).
Katibayan ng pag aari
Mula noong 2017, ang paggamit ng malakas na pagpapatotoo sa mga aplikasyon ng consumer ay lumago nang husto, higit sa lahat dahil sa pagkakaroon ng mga pamamaraan ng pagpapatotoo ng cryptographic sa mga mobile device, bagaman isang bahagyang mas maliit na porsyento lamang ng mga kumpanya ang gumagamit ng malakas na pagpapatotoo para sa mga aplikasyon sa Internet.
Sa pangkalahatan, ang porsyento ng mga kumpanyang gumagamit ng malakas na authentication sa kanilang negosyo ay triple mula 5% noong 2017 hanggang 16% noong 2018 (Figure 3).
Limitado pa rin ang kakayahang gumamit ng malakas na pagpapatunay para sa mga web application (dahil sa katotohanan na ang mga bagong bersyon lamang ng ilang browser ang sumusuporta sa pakikipag-ugnayan sa mga cryptographic token, gayunpaman ang problemang ito ay malulutas sa pamamagitan ng pag-install ng karagdagang software tulad ng ), napakaraming kumpanya ang gumagamit ng mga alternatibong pamamaraan para sa online na pagpapatotoo, gaya ng mga programa para sa mga mobile device na bumubuo ng isang beses na mga password.
Mga hardware na cryptographic key (dito ang ibig naming sabihin ay ang mga sumusunod lamang sa mga pamantayan ng FIDO), gaya ng mga inaalok ng Google, Feitian, One Span, at Yubico ay maaaring gamitin para sa malakas na pagpapatotoo nang hindi nag-i-install ng karagdagang software sa mga desktop computer at laptop (dahil karamihan sa mga browser ay sumusuporta na sa WebAuthn standard mula sa FIDO), ngunit 3% lang ng mga kumpanya ang gumagamit ng feature na ito para mag-log in sa kanilang mga user.
Paghahambing ng mga cryptographic na token (tulad ng ) at mga lihim na key na gumagana ayon sa mga pamantayan ng FIDO ay lampas sa saklaw ng ulat na ito, ngunit pati na rin ang aking mga komento dito. Sa madaling salita, ang parehong uri ng mga token ay gumagamit ng magkatulad na mga algorithm at mga prinsipyo ng pagpapatakbo. Ang mga token ng FIDO ay kasalukuyang mas mahusay na sinusuportahan ng mga vendor ng browser, bagama't malapit na itong magbago habang mas maraming browser ang sumusuporta . Ngunit ang mga klasikong cryptographic na token ay protektado ng isang PIN code, maaaring pumirma sa mga elektronikong dokumento at magamit para sa dalawang-factor na pagpapatotoo sa Windows (anumang bersyon), Linux at Mac OS X, may mga API para sa iba't ibang mga programming language, na nagbibigay-daan sa iyong ipatupad ang 2FA at electronic pirma sa desktop, mobile at Web application , at mga token na ginawa sa Russia ay sumusuporta sa mga algorithm ng Russian GOST. Sa anumang kaso, ang isang cryptographic token, anuman ang pamantayan na ito ay nilikha, ay ang pinaka maaasahan at maginhawang paraan ng pagpapatunay.
Higit pa sa Seguridad: Iba Pang Mga Benepisyo ng Malakas na Pagpapatunay
Hindi nakakagulat na ang paggamit ng malakas na pagpapatotoo ay malapit na nauugnay sa kahalagahan ng data na iniimbak ng isang negosyo. Ang mga kumpanyang nag-iimbak ng sensitibong Personally Identifiable Information (PII), gaya ng mga numero ng Social Security o Personal Health Information (PHI), ay nahaharap sa pinakamalaking legal at pangregulasyon na presyon. Ito ang mga kumpanyang pinaka-agresibong tagapagtaguyod ng malakas na pagpapatotoo. Ang presyon sa mga negosyo ay pinatataas ng mga inaasahan ng mga customer na gustong malaman na ang mga organisasyong pinagkakatiwalaan nila sa kanilang pinakasensitibong data ay gumagamit ng matibay na paraan ng pagpapatunay. Ang mga organisasyong humahawak ng sensitibong PII o PHI ay higit sa dalawang beses na mas malamang na gumamit ng malakas na pagpapatotoo kaysa sa mga organisasyong nag-iimbak lamang ng impormasyon sa pakikipag-ugnayan ng mga user (Figure 7).
Sa kasamaang palad, ang mga kumpanya ay hindi pa handang magpatupad ng malakas na pamamaraan ng pagpapatunay. Halos isang-katlo ng mga gumagawa ng desisyon sa negosyo ang itinuturing na ang mga password ang pinakamabisang paraan ng pagpapatunay sa lahat ng nakalista sa Figure 9, at 43% ang itinuturing na ang mga password ang pinakasimpleng paraan ng pagpapatunay.
Ang chart na ito ay nagpapatunay sa amin na ang mga developer ng application ng negosyo sa buong mundo ay pareho... Hindi nila nakikita ang benepisyo ng pagpapatupad ng mga advanced na mekanismo ng seguridad sa pag-access sa account at nagbabahagi ng parehong mga maling kuru-kuro. At ang mga aksyon lamang ng mga regulator ang maaaring magbago ng sitwasyon.
Huwag nating hawakan ang mga password. Ngunit ano ang dapat mong paniwalaan upang maniwala na ang mga tanong sa seguridad ay mas secure kaysa sa mga cryptographic na token? Ang pagiging epektibo ng mga tanong sa pagkontrol, na napili lamang, ay tinatantya sa 15%, at hindi na-hack na mga token - 10 lamang. Panoorin man lang ang pelikulang "Illusion of Deception", kung saan, bagaman sa isang alegorya na anyo, ipinakita kung gaano kadali ang mga salamangkero naakit ang lahat ng kinakailangang bagay sa mga sagot ng isang negosyanteng manloloko at iniwan siyang walang pera.
At isa pang katotohanan na nagsasabi ng maraming tungkol sa mga kwalipikasyon ng mga taong responsable para sa mga mekanismo ng seguridad sa mga application ng gumagamit. Sa kanilang pag-unawa, ang proseso ng pagpasok ng isang password ay isang mas simpleng operasyon kaysa sa pagpapatunay gamit ang isang cryptographic token. Bagaman, mukhang mas simple na ikonekta ang token sa isang USB port at maglagay ng simpleng PIN code.
Ang mahalaga, ang pagpapatupad ng malakas na pagpapatotoo ay nagbibigay-daan sa mga negosyo na lumayo sa pag-iisip tungkol sa mga pamamaraan ng pagpapatunay at mga panuntunan sa pagpapatakbo na kinakailangan upang harangan ang mga mapanlinlang na pamamaraan upang matugunan ang mga tunay na pangangailangan ng kanilang mga customer.
Bagama't ang pagsunod sa regulasyon ay isang makatwirang pangunahing priyoridad para sa parehong mga negosyong gumagamit ng malakas na pagpapatotoo at sa mga hindi gumagamit, ang mga kumpanyang gumagamit na ng malakas na pagpapatotoo ay mas malamang na sabihin na ang pagtaas ng katapatan ng customer ay ang pinakamahalagang sukatan na kanilang isinasaalang-alang kapag nagsusuri ng isang pagpapatotoo paraan. (18% kumpara sa 12%) (Larawan 10).
Enterprise Authentication
Mula noong 2017, ang pagpapatibay ng malakas na pagpapatotoo sa mga negosyo ay lumalaki, ngunit sa isang bahagyang mas mababang rate kaysa para sa mga aplikasyon ng consumer. Ang bahagi ng mga negosyo na gumagamit ng malakas na pagpapatotoo ay tumaas mula 7% noong 2017 hanggang 12% noong 2018. Hindi tulad ng mga application ng consumer, sa kapaligiran ng enterprise ang paggamit ng mga pamamaraan sa pagpapatunay na hindi password ay medyo mas karaniwan sa mga web application kaysa sa mga mobile device. Humigit-kumulang kalahati ng mga negosyo ang nag-uulat na gumagamit lamang ng mga username at password upang patotohanan ang kanilang mga user kapag nagla-log in, na may isa sa lima (22%) na umaasa lamang sa mga password para sa pangalawang pagpapatotoo kapag nag-a-access ng sensitibong data (ibig sabihin, ang gumagamit ay unang nag-log in sa application gamit ang isang mas simpleng paraan ng pagpapatunay, at kung gusto niyang makakuha ng access sa kritikal na data, magsasagawa siya ng isa pang pamamaraan ng pagpapatunay, sa pagkakataong ito ay karaniwang gumagamit ng isang mas maaasahang paraan).
Kailangan mong maunawaan na ang ulat ay hindi isinasaalang-alang ang paggamit ng mga cryptographic token para sa dalawang-factor na pagpapatotoo sa mga operating system na Windows, Linux at Mac OS X. At ito ang kasalukuyang pinakalaganap na paggamit ng 2FA. (Sayang, ang mga token na ginawa ayon sa mga pamantayan ng FIDO ay maaaring magpatupad ng 2FA para lamang sa Windows 10).
Bukod dito, kung ang pagpapatupad ng 2FA sa mga online at mobile na application ay nangangailangan ng isang hanay ng mga hakbang, kabilang ang pagbabago ng mga application na ito, pagkatapos ay upang ipatupad ang 2FA sa Windows kailangan mo lamang i-configure ang PKI (halimbawa, batay sa Microsoft Certification Server) at mga patakaran sa pagpapatunay sa ad.
At dahil ang pagprotekta sa pag-login sa isang work PC at domain ay isang mahalagang elemento ng pagprotekta sa corporate data, ang pagpapatupad ng two-factor authentication ay nagiging mas karaniwan.
Ang susunod na dalawang pinakakaraniwang paraan para sa pag-authenticate ng mga user kapag nagla-log in ay ang isang beses na password na ibinigay sa pamamagitan ng isang hiwalay na app (13% ng mga negosyo) at isang beses na password na inihatid sa pamamagitan ng SMS (12%). Sa kabila ng katotohanan na ang porsyento ng paggamit ng parehong mga pamamaraan ay halos magkapareho, ang OTP SMS ay kadalasang ginagamit upang mapataas ang antas ng awtorisasyon (sa 24% ng mga kumpanya). (Larawan 12).
Ang pagtaas sa paggamit ng malakas na pagpapatotoo sa enterprise ay malamang na maiugnay sa pagtaas ng availability ng mga pagpapatupad ng cryptographic na pagpapatotoo sa mga platform ng pamamahala ng pagkakakilanlan ng enterprise (sa madaling salita, ang mga enterprise SSO at IAM system ay natutong gumamit ng mga token).
Para sa pagpapatotoo sa mobile ng mga empleyado at kontratista, higit na umaasa ang mga negosyo sa mga password kaysa sa pagpapatunay sa mga application ng consumer. Mahigit kalahati lamang (53%) ng mga negosyo ang gumagamit ng mga password kapag pinapatotohanan ang pag-access ng user sa data ng kumpanya sa pamamagitan ng isang mobile device (Figure 13).
Sa kaso ng mga mobile device, maniniwala ang isang tao sa dakilang kapangyarihan ng biometrics, kung hindi para sa maraming kaso ng mga pekeng fingerprint, boses, mukha at kahit iris. Ang isang query sa search engine ay magbubunyag na ang isang maaasahang paraan ng biometric authentication ay hindi umiiral. Ang mga tunay na tumpak na sensor, siyempre, ay umiiral, ngunit ang mga ito ay napakamahal at malaki ang sukat - at hindi naka-install sa mga smartphone.
Samakatuwid, ang tanging gumaganang paraan ng 2FA sa mga mobile device ay ang paggamit ng mga cryptographic token na kumokonekta sa smartphone sa pamamagitan ng NFC, Bluetooth at USB Type-C na mga interface.
Ang pagprotekta sa data ng pananalapi ng isang kumpanya ay ang nangungunang dahilan para sa pamumuhunan sa walang password na pagpapatotoo (44%), na may pinakamabilis na paglago mula noong 2017 (isang pagtaas ng walong porsyentong puntos). Sinusundan ito ng proteksyon ng intelektwal na ari-arian (40%) at data ng tauhan (HR) (39%). At malinaw kung bakit - hindi lamang ang halaga na nauugnay sa mga uri ng data na ito ay malawak na kinikilala, ngunit medyo kakaunting empleyado ang nagtatrabaho sa kanila. Iyon ay, ang mga gastos sa pagpapatupad ay hindi gaanong kalaki, at kakaunti lamang ang kailangang sanayin upang gumana sa isang mas kumplikadong sistema ng pagpapatunay. Sa kabaligtaran, ang mga uri ng data at device na karaniwang ina-access ng karamihan sa mga empleyado ng enterprise ay pinoprotektahan pa rin ng mga password. Ang mga dokumento ng empleyado, workstation, at corporate email portal ay ang mga lugar na may pinakamalaking panganib, dahil isang quarter lang ng mga negosyo ang nagpoprotekta sa mga asset na ito gamit ang walang password na pagpapatotoo (Figure 14).
Sa pangkalahatan, ang corporate email ay isang napaka-mapanganib at tumutulo na bagay, ang antas ng potensyal na panganib na kung saan ay minamaliit ng karamihan sa mga CIO. Ang mga empleyado ay tumatanggap ng dose-dosenang mga email araw-araw, kaya bakit hindi magsama ng kahit isang phishing (iyon ay, mapanlinlang) na email sa kanila. Ipo-format ang liham na ito sa istilo ng mga liham ng kumpanya, kaya magiging komportable ang empleyado sa pag-click sa link sa liham na ito. Kung gayon, maaaring mangyari ang anumang bagay, halimbawa, ang pag-download ng virus sa inaatakeng makina o pag-leak ng mga password (kabilang ang pamamagitan ng social engineering, sa pamamagitan ng pagpasok ng pekeng form ng pagpapatunay na ginawa ng umaatake).
Upang maiwasang mangyari ang mga bagay na tulad nito, dapat na lagdaan ang mga email. Pagkatapos ay magiging malinaw kaagad kung aling liham ang nilikha ng isang lehitimong empleyado at alin ng isang umaatake. Sa Outlook/Exchange, halimbawa, ang mga electronic signature na nakabatay sa cryptographic na token ay pinapagana nang mabilis at madali at maaaring gamitin kasabay ng two-factor na pagpapatotoo sa mga PC at Windows domain.
Sa mga executive na umaasa lamang sa pagpapatotoo ng password sa loob ng enterprise, dalawang-ikatlo (66%) ang gumagawa nito dahil naniniwala silang ang mga password ay nagbibigay ng sapat na seguridad para sa uri ng impormasyong kailangang protektahan ng kanilang kumpanya (Figure 15).
Ngunit nagiging mas karaniwan ang malakas na paraan ng pagpapatunay. Higit sa lahat dahil sa ang katunayan na ang kanilang kakayahang magamit ay tumataas. Ang dumaraming bilang ng mga identity at access management (IAM) system, browser, at operating system ay sumusuporta sa pagpapatotoo gamit ang mga cryptographic token.
Ang malakas na pagpapatunay ay may isa pang kalamangan. Dahil hindi na ginagamit ang password (pinalitan ng simpleng PIN), walang mga kahilingan mula sa mga empleyado na humihiling sa kanila na baguhin ang nakalimutang password. Na kung saan ay binabawasan ang pagkarga sa IT department ng enterprise.
Buod at Konklusyon
- Ang mga tagapamahala ay madalas na walang kinakailangang kaalaman upang masuri totoo pagiging epektibo ng iba't ibang mga opsyon sa pagpapatunay. Sanay na silang magtiwala sa ganyan lipas na sa panahon mga paraan ng seguridad tulad ng mga password at mga tanong sa seguridad dahil lang sa "nagtrabaho ito dati."
- Ang mga gumagamit ay mayroon pa ring kaalamang ito mas mababa, para sa kanila ang pangunahing bagay ay pagiging simple at kaginhawaan. Hangga't wala silang incentive na pumili mas ligtas na mga solusyon.
- Madalas ang mga developer ng custom na application walang dahilanupang ipatupad ang two-factor authentication sa halip na ang password authentication. Kumpetisyon sa antas ng proteksyon sa mga application ng user hindi.
- Buong responsibilidad para sa hack inilipat sa gumagamit. Ibinigay ang isang beses na password sa umaatake - nagkasala. Ang iyong password ay naharang o natiktikan - nagkasala. Hindi hinihiling ng developer na gumamit ng maaasahang mga paraan ng pagpapatunay sa produkto - nagkasala.
- Tama regulator una sa lahat dapat mangailangan ng mga kumpanya na ipatupad ang mga solusyon na harangan data leaks (sa partikular na dalawang-factor na pagpapatotoo), sa halip na parusahan nangyari na data leak.
- Sinusubukang ibenta ng ilang software developer sa mga consumer luma at hindi partikular na maaasahan solusyon sa magandang packaging "makabagong" produkto. Halimbawa, ang pagpapatotoo sa pamamagitan ng pag-link sa isang partikular na smartphone o paggamit ng biometrics. Tulad ng makikita mula sa ulat, ayon sa tunay na maaasahan Maaari lamang magkaroon ng solusyon batay sa malakas na pagpapatotoo, iyon ay, mga cryptographic na token.
- Pareho maaaring gamitin ang cryptographic token para sa isang bilang ng mga gawain: para sa malakas na pagpapatunay sa enterprise operating system, sa corporate at user application, para sa Electronic Signature mga transaksyon sa pananalapi (mahalaga para sa mga aplikasyon sa pagbabangko), mga dokumento at email.
Pinagmulan: www.habr.com