Yakın zamanda araştırma şirketi Javelin Strateji ve Araştırma, "Güçlü Kimlik Doğrulamanın Durumu 2019" başlıklı bir rapor yayınladı. Yaratıcıları, kurumsal ortamlarda ve tüketici uygulamalarında hangi kimlik doğrulama yöntemlerinin kullanıldığına ilişkin bilgi topladı ve ayrıca güçlü kimlik doğrulamanın geleceği hakkında ilginç sonuçlar çıkardı.
Raporun yazarlarının vardığı sonuçların yer aldığı ilk bölümün tercümesi, . Şimdi veri ve grafiklerle ikinci kısmı dikkatinize sunuyoruz.
Çevirmenden
İlk bölümdeki aynı isimli bloğun tamamını tamamen kopyalamayacağım ama yine de bir paragrafı kopyalayacağım.
Tüm rakamlar ve gerçekler en ufak bir değişiklik yapılmadan sunulmaktadır ve eğer bunlara katılmıyorsanız çevirmenle değil raporun yazarlarıyla tartışmak daha iyidir. Ve işte yorumlarım (alıntı olarak düzenlenmiş ve metinde işaretlenmiştir) İtalyan) benim değer yargımdır ve her biri (ve ayrıca çevirinin kalitesi) hakkında tartışmaktan memnuniyet duyarım.
Kullanıcı doğrulama
2017'den bu yana, tüketici uygulamalarında güçlü kimlik doğrulamanın kullanımı, büyük ölçüde mobil cihazlarda kriptografik kimlik doğrulama yöntemlerinin kullanılabilirliği nedeniyle keskin bir şekilde arttı, ancak şirketlerin yalnızca biraz daha küçük bir yüzdesi İnternet uygulamaları için güçlü kimlik doğrulama kullanıyor.
Genel olarak, işlerinde güçlü kimlik doğrulama kullanan şirketlerin yüzdesi 5'de %2017'ten 16'de %2018'ya üç kat arttı (Şekil 3).
Web uygulamaları için güçlü kimlik doğrulama kullanma yeteneği hâlâ sınırlıdır (Bazı tarayıcıların yalnızca çok yeni sürümlerinin kriptografik belirteçlerle etkileşimi desteklemesi nedeniyle bu sorun, aşağıdaki gibi ek yazılımlar yüklenerek çözülebilir: ), pek çok şirket çevrimiçi kimlik doğrulama için mobil cihazlara yönelik tek seferlik şifreler oluşturan programlar gibi alternatif yöntemler kullanıyor.
Donanım şifreleme anahtarları (burada sadece FIDO standartlarına uygun olanları kastediyoruzGoogle, Feitian, One Span ve Yubico tarafından sunulanlar gibi), masaüstü bilgisayarlara ve dizüstü bilgisayarlara ek yazılım yüklemeden güçlü kimlik doğrulama için kullanılabilir (çünkü çoğu tarayıcı FIDO'nun WebAuthn standardını zaten destekliyor), ancak şirketlerin yalnızca %3'ü kullanıcılarına oturum açmak için bu özelliği kullanıyor.
Kriptografik belirteçlerin karşılaştırılması (gibi ) ve FIDO standartlarına göre çalışan gizli anahtarlar bu raporun kapsamı dışındadır, ancak bu konudaki yorumlarım da bu raporun kapsamı dışındadır. Kısacası her iki token türü de benzer algoritmalar ve çalışma prensipleri kullanıyor. FIDO belirteçleri şu anda tarayıcı satıcıları tarafından daha iyi desteklenmektedir, ancak daha fazla tarayıcı desteklendiğinde bu durum yakında değişecektir. . Ancak klasik kriptografik belirteçler bir PIN koduyla korunur, elektronik belgeleri imzalayabilir ve Windows (herhangi bir sürüm), Linux ve Mac OS X'te iki faktörlü kimlik doğrulama için kullanılabilir, çeşitli programlama dilleri için API'lere sahiptir, 2FA ve elektronik uygulamanıza olanak tanır masaüstü, mobil ve Web uygulamalarında imza ve Rusya'da üretilen tokenlar Rus GOST algoritmalarını desteklemektedir. Her durumda, hangi standart tarafından oluşturulduğuna bakılmaksızın bir şifreleme belirteci en güvenilir ve kullanışlı kimlik doğrulama yöntemidir.
Güvenliğin Ötesinde: Güçlü Kimlik Doğrulamanın Diğer Faydaları
Güçlü kimlik doğrulama kullanımının, işletmenin depoladığı verilerin önemiyle yakından bağlantılı olması şaşırtıcı değildir. Sosyal Güvenlik numaraları veya Kişisel Sağlık Bilgileri (PHI) gibi hassas Kişisel Tanımlayıcı Bilgileri (PII) saklayan şirketler, en büyük yasal ve düzenleyici baskıyla karşı karşıyadır. Bunlar güçlü kimlik doğrulamanın en agresif savunucuları olan şirketlerdir. En hassas verileri konusunda güvendikleri kuruluşların güçlü kimlik doğrulama yöntemleri kullandığını bilmek isteyen müşterilerin beklentileri, işletmeler üzerindeki baskıyı artırıyor. Hassas PII veya PHI ile ilgilenen kuruluşların güçlü kimlik doğrulama kullanma olasılığı, yalnızca kullanıcıların iletişim bilgilerini depolayan kuruluşlara kıyasla iki kat daha fazladır (Şekil 7).
Ne yazık ki şirketler henüz güçlü kimlik doğrulama yöntemlerini uygulamaya istekli değil. İşletme karar vericilerinin neredeyse üçte biri, Şekil 9'da listelenenler arasında şifreleri en etkili kimlik doğrulama yöntemi olarak görüyor ve %43'ü, şifreleri en basit kimlik doğrulama yöntemi olarak görüyor.
Bu grafik bize dünya çapındaki iş uygulaması geliştiricilerinin aynı olduğunu kanıtlıyor... Gelişmiş hesap erişim güvenliği mekanizmalarını uygulamanın faydasını görmüyorlar ve aynı yanılgıları paylaşıyorlar. Ve yalnızca düzenleyicilerin eylemleri durumu değiştirebilir.
Şifrelere dokunmayalım. Peki güvenlik sorularının kriptografik belirteçlerden daha güvenli olduğuna inanmak için neye inanmanız gerekiyor? Basitçe seçilen kontrol sorularının etkinliğinin% 15 olduğu ve hacklenebilir jetonların değil - yalnızca 10 olduğu tahmin ediliyor. En azından alegorik bir biçimde olmasına rağmen sihirbazların ne kadar kolay olduğunu gösteren "Aldatma Yanılsaması" filmini izleyin. bir dolandırıcı işadamının cevaplarından gerekli tüm şeyleri kandırdı ve onu parasız bıraktı.
Kullanıcı uygulamalarındaki güvenlik mekanizmalarından sorumlu olanların nitelikleri hakkında çok şey söyleyen bir gerçek daha. Onların anlayışına göre, parola girme işlemi, kriptografik bir belirteç kullanılarak yapılan kimlik doğrulamasından daha basit bir işlemdir. Ancak belirteci bir USB bağlantı noktasına bağlamak ve basit bir PIN kodu girmek daha kolay gibi görünebilir.
Daha da önemlisi, güçlü kimlik doğrulamanın uygulanması, işletmelerin sahtekarlık planlarını engellemek için gereken kimlik doğrulama yöntemleri ve operasyonel kurallar hakkında düşünmekten müşterilerinin gerçek ihtiyaçlarını karşılamaya yönelmesine olanak tanır.
Mevzuata uygunluk, hem güçlü kimlik doğrulama kullanan hem de kullanmayan işletmeler için makul bir öncelik olsa da, halihazırda güçlü kimlik doğrulama kullanan şirketlerin, kimlik doğrulamayı değerlendirirken göz önünde bulundurdukları en önemli ölçütün müşteri sadakatini artırma olduğunu söyleme olasılıkları çok daha yüksektir. yöntem. (%18'e karşılık %12) (Şekil 10).
Kurumsal Kimlik Doğrulama
2017'den bu yana işletmelerde güçlü kimlik doğrulamanın benimsenmesi artıyor ancak bu oran tüketici uygulamalarına göre biraz daha düşük. Güçlü kimlik doğrulama kullanan kuruluşların payı 7'de %2017'den 12'de %2018'ye yükseldi. Tüketici uygulamalarından farklı olarak, kurumsal ortamda parolasız kimlik doğrulama yöntemlerinin kullanımı web uygulamalarında mobil cihazlara göre biraz daha yaygındır. İşletmelerin yaklaşık yarısı, giriş yaparken kullanıcılarının kimliğini doğrulamak için yalnızca kullanıcı adlarını ve şifreleri kullandığını bildiriyor; beşte biri (%22) ayrıca hassas verilere erişirken ikincil kimlik doğrulama için yalnızca şifrelere güveniyor (yani kullanıcı önce daha basit bir kimlik doğrulama yöntemi kullanarak uygulamaya giriş yapar ve kritik verilere erişim sağlamak isterse bu kez genellikle daha güvenilir bir yöntem kullanarak başka bir kimlik doğrulama prosedürü gerçekleştirir.).
Raporun, Windows, Linux ve Mac OS X işletim sistemlerinde iki faktörlü kimlik doğrulama için kriptografik belirteçlerin kullanımını dikkate almadığını anlamalısınız. Ve bu, şu anda 2FA'nın en yaygın kullanımıdır. (Ne yazık ki FIDO standartlarına göre oluşturulan tokenlar 2FA'yı yalnızca Windows 10 için uygulayabiliyor).
Ayrıca, çevrimiçi ve mobil uygulamalarda 2FA'nın uygulanması, bu uygulamaların değiştirilmesi de dahil olmak üzere bir dizi önlem gerektiriyorsa, o zaman 2FA'yı Windows'ta uygulamak için yalnızca PKI'yı (örneğin, Microsoft Sertifikasyon Sunucusuna dayalı) ve kimlik doğrulama politikalarını yapılandırmanız gerekir. reklamda.
Bir iş bilgisayarında ve etki alanında oturum açma bilgilerinin korunması, kurumsal verilerin korunmasında önemli bir unsur olduğundan, iki faktörlü kimlik doğrulamanın uygulanması giderek daha yaygın hale geliyor.
Oturum açarken kullanıcıların kimliğini doğrulamak için kullanılan sonraki en yaygın iki yöntem, ayrı bir uygulama aracılığıyla sağlanan tek kullanımlık şifreler (kurumların %13'ü) ve SMS yoluyla gönderilen tek kullanımlık şifrelerdir (%12). Her iki yöntemin kullanım yüzdesi çok benzer olmasına rağmen, OTP SMS çoğunlukla yetkilendirme düzeyini artırmak için kullanılıyor (şirketlerin %24'ünde). (Şekil 12).
Kuruluşta güçlü kimlik doğrulama kullanımındaki artış, büyük olasılıkla kurumsal kimlik yönetimi platformlarında kriptografik kimlik doğrulama uygulamalarının kullanılabilirliğinin artmasıyla ilişkilendirilebilir (başka bir deyişle, kurumsal SSO ve IAM sistemleri, belirteçleri kullanmayı öğrenmiştir).
Çalışanların ve yüklenicilerin mobil kimlik doğrulaması için kuruluşlar, tüketici uygulamalarındaki kimlik doğrulamadan daha çok şifrelere güveniyor. İşletmelerin yarısından biraz fazlası (%53) mobil cihaz aracılığıyla şirket verilerine kullanıcı erişimini doğrularken şifre kullanıyor (Şekil 13).
Mobil cihazlar söz konusu olduğunda, çok sayıda sahte parmak izi, ses, yüz ve hatta iris olmasa bile biyometrinin büyük gücüne inanılabilir. Bir arama motoru sorgusu, güvenilir bir biyometrik kimlik doğrulama yönteminin mevcut olmadığını ortaya çıkaracaktır. Gerçekten hassas sensörler elbette mevcut, ancak bunlar çok pahalı ve boyutları büyük ve akıllı telefonlara kurulmuyor.
Bu nedenle mobil cihazlarda çalışan tek 2FA yöntemi, akıllı telefona NFC, Bluetooth ve USB Type-C arayüzleri aracılığıyla bağlanan kriptografik tokenların kullanılmasıdır.
Bir şirketin mali verilerini korumak, parolasız kimlik doğrulamaya yatırım yapmanın en önemli nedeni (%44) olup, 2017'den bu yana en hızlı büyümeyi (yüzde sekiz puanlık artış) gösterdi. Bunu %40 ile fikri mülkiyetin ve %39 ile personel (İK) verilerinin korunması takip ediyor. Ve bunun nedeni de açık: Bu tür verilerle ilgili değer yaygın olarak kabul edilmekle kalmıyor, aynı zamanda nispeten az sayıda çalışan bunlarla çalışıyor. Yani, uygulama maliyetleri o kadar büyük değil ve daha karmaşık bir kimlik doğrulama sistemiyle çalışmak için yalnızca birkaç kişinin eğitilmesi gerekiyor. Buna karşılık, çoğu kurumsal çalışanın rutin olarak eriştiği veri ve cihaz türleri hâlâ yalnızca parolalarla korunuyor. İşletmelerin yalnızca dörtte biri bu varlıkları parolasız kimlik doğrulamayla koruduğundan çalışan belgeleri, iş istasyonları ve kurumsal e-posta portalları en büyük risk taşıyan alanlardır (Şekil 14).
Genel olarak kurumsal e-posta çok tehlikeli ve sızdıran bir şeydir; potansiyel tehlike derecesi çoğu CIO tarafından hafife alınır. Çalışanlar her gün düzinelerce e-posta alıyor; o halde neden bunların arasına en az bir kimlik avı (yani sahtekarlık) e-postası eklemeyesiniz? Bu mektup şirket mektupları tarzında biçimlendirilecek, böylece çalışan bu mektuptaki bağlantıya tıklayarak rahat hissedecektir. O zaman her şey olabilir, örneğin, saldırıya uğrayan makineye bir virüs indirilmesi veya şifrelerin sızdırılması (sosyal mühendislik yoluyla, saldırgan tarafından oluşturulan sahte bir kimlik doğrulama formuna girilmesi dahil).
Bu gibi durumların yaşanmaması için e-postaların imzalanması gerekmektedir. O zaman hangi mektubun meşru bir çalışan tarafından, hangisinin bir saldırgan tarafından oluşturulduğu hemen belli olacak. Örneğin Outlook/Exchange'te kriptografik belirteç tabanlı elektronik imzalar oldukça hızlı ve kolay bir şekilde etkinleştirilir ve bilgisayarlar ve Windows etki alanlarında iki faktörlü kimlik doğrulamayla birlikte kullanılabilir.
Kuruluş içinde yalnızca parola kimlik doğrulamasına güvenen yöneticilerin üçte ikisi (%66), parolaların şirketlerinin koruması gereken bilgi türü için yeterli güvenlik sağladığına inandıkları için bunu yapıyor (Şekil 15).
Ancak güçlü kimlik doğrulama yöntemleri daha yaygın hale geliyor. Büyük ölçüde kullanılabilirliklerinin artması nedeniyle. Giderek artan sayıda kimlik ve erişim yönetimi (IAM) sistemi, tarayıcı ve işletim sistemi, kriptografik belirteçler kullanılarak kimlik doğrulamayı desteklemektedir.
Güçlü kimlik doğrulamanın başka bir avantajı daha vardır. Şifre artık kullanılmadığından (basit bir PIN ile değiştirildiğinden), çalışanlar tarafından unutulan şifrenin değiştirilmesi yönünde herhangi bir talepte bulunulmamaktadır. Bu da kurumun BT departmanının üzerindeki yükü azaltır.
Sonuçlar ve sonuçlar
- Yöneticiler genellikle değerlendirme yapmak için gerekli bilgiye sahip değildir. gerçek çeşitli kimlik doğrulama seçeneklerinin etkinliği. Böyle güvenmeye alışkınlar modası geçmiş şifreler ve güvenlik soruları gibi güvenlik yöntemlerinin sırf "daha önce işe yaradığı" için.
- Kullanıcılar hâlâ bu bilgiye sahip azonlar için asıl mesele basitlik ve rahatlık. Seçmeye teşvik edilmedikleri sürece daha güvenli çözümler.
- Özel uygulama geliştiricileri sıklıkla sebep yokParola kimlik doğrulaması yerine iki faktörlü kimlik doğrulamayı uygulamak. Kullanıcı uygulamalarında koruma düzeyinde rekabet hayır.
- Hack'in tüm sorumluluğu kullanıcıya kaydırıldı. Saldırganın tek kullanımlık şifresini verdim suçlamak. Şifreniz ele geçirildi veya casuslukla ele geçirildi - suçlamak. Geliştiricinin üründe güvenilir kimlik doğrulama yöntemleri kullanmasını gerektirmedi - suçlamak.
- Doğru regülatör öncelikle şirketlerin şu çözümleri uygulamasını gerektirmelidir: engellemek cezalandırmak yerine veri sızıntıları (özellikle iki faktörlü kimlik doğrulama) zaten oldu veri sızıntısı.
- Bazı yazılım geliştiricileri tüketicilere satış yapmaya çalışıyor eski ve özellikle güvenilir değil çözümleri güzel ambalajda "yenilikçi" ürün. Örneğin, belirli bir akıllı telefona bağlanarak veya biyometri kullanarak kimlik doğrulama. Rapordan da anlaşılacağı üzere gerçekten güvenilir Yalnızca güçlü kimlik doğrulamaya yani kriptografik tokenlara dayalı bir çözüm olabilir.
- Bir ve aynı kriptografik belirteç şu amaçlarla kullanılabilir: bir dizi görev: için güçlü kimlik doğrulama kurumsal işletim sisteminde, kurumsal ve kullanıcı uygulamalarında, Elektronik İmza finansal işlemler (bankacılık uygulamaları için önemlidir), belgeler ve e-posta.
Kaynak: habr.com