Нещодавно дослідницька компанія Javelin Strategy & Research опублікувала звіт The State of Strong Authentication 2019. Його творці зібрали інформацію про те, які способи аутентифікації використовуються в корпоративному середовищі та додатках користувача, а також зробили цікаві висновки про майбутнє суворої аутентифікації.
Переклад першої частини з висновками авторів звіту, ми . А зараз представляємо до вашої уваги другу частину — з даними та графіками.
Від перекладача
Не повністю копіюватиму весь однойменний блок з першої частини, але один абзац все ж таки продублюю.
Усі цифри та факти наведені без жодних змін, і якщо ви з ними не згодні, то сперечатися краще не з перекладачем, а з авторами звіту. А ось мої коментарі (зверстані як цитати, а в тексті зазначені італіком) є моїм оцінним судженням і по кожному з них я буду радий посперечатися (як і за якістю перекладу).
Аутентифікація користувача
З 2017 року застосування суворої автентифікації в додатках користувача різко зросло, в основному через доступність криптографічних методів аутентифікації на мобільних пристроях, хоча лише трохи менший відсоток компаній використовують сувору автентифікацію для інтернет-додатків.
Загалом, відсоток компаній, які використовують сувору автентифікацію у своєму бізнесі, збільшився втричі з 5% у 2017 до 16% у 2018 (рисунок 3).
Можливості з використання суворої автентифікації для web-додатків досі обмежені (через те, що тільки зовсім нові версії деяких браузерів підтримують взаємодію з криптографічними токенами, проте ця проблема вирішується за допомогою встановлення додаткового програмного забезпечення, такого як ), тому багато компаній використовують альтернативні методи для онлайн аутентифікації, такі як програми для мобільних пристроїв, що генерують одноразові паролі.
Апаратні криптографічні ключі (тут маю на увазі лише відповідні стандартам FIDO), такі як пропоновані Google, Feitian, One Span, та Yubico можуть бути використані для суворої автентифікації без встановлення додаткового ПЗ на стаціонарних комп'ютерах та ноутбуках (тому що більшість браузерів вже підтримують стандарт WebAuthn від FIDO), але лише 3% компаній використовує цю можливість для логіну своїх користувачів.
Порівняння криптографічних токенів (на кшталт ) та секретних ключів, що працюють за стандартами FIDO, виходить не лише за рамки даного звіту, а й моїх коментарів до нього. Якщо зовсім, коротко, то обидва види токенів використовують подібні алгоритми та принципи роботи. Токени FIDO на даний момент краще підтримуються виробниками браузерів, правда ситуація скоро зміниться в міру того, як все більше браузерів будуть підтримувати . Зате класичні криптографічні токени захищені PIN-кодом, можуть підписувати електронні документи та використовуватися для двофакторної аутентифікації у Windows (будь-якої версії), Linux та Mac OS X, мають API для різних мов програмування, що дозволяють реалізувати 2ФА та ЕП у настільних, мобільних та Web додатках , А токени вироблені Росії підтримують російські алгоритми ГОСТ. У будь-якому випадку криптографічний токен, незалежно від того, за яким стандартом він створений, є найбільш надійним і зручним методом аутентифікації.
Крім безпеки: інші переваги суворої автентифікації
Не дивно, що застосування суворої автентифікації тісно пов'язане з важливістю даних, що зберігаються бізнесом. З найбільшим юридичним та нормативним тиском стикаються компанії, які зберігають конфіденційну особисту інформацію (Personally Identifiable Information – PII), таку як номери соціального страхування або особисту медичну інформацію (Personal Health Information – PHI). Саме такі компанії є найбільш агресивними прихильниками суворої автентифікації. Тиск на бізнес посилюється очікуваннями клієнтів, які хочуть знати, що організаціям, яким вони довіряють свої найбільш конфіденційні дані, використовують надійні методи аутентифікації. Організації, які обробляють чутливий PII або PHI, більш ніж удвічі частіше використовують сувору автентифікацію, ніж організації, які зберігають лише контактну інформацію користувачів (рисунок 7).
На жаль, компанії поки що не хочуть впроваджувати надійні методи аутентифікації. Майже третина осіб, які приймають бізнес-рішення, вважають паролі найефективнішим із методів аутентифікації, серед усіх перерахованих на малюнку 9, а 43% вважають паролі найпростішим методом аутентифікації.
Ця діаграма доводить нам, що розробники бізнес-додатків у всьому світі однакові... Вони не бачать профіту в реалізації просунутих механізмів захисту доступу до облікових записів і поділяють ті самі помилки. І лише дії регуляторів можуть змінити ситуацію.
Не чіпатимемо паролі. Але в що ж треба вірити, щоб вважати, що контрольні питання безпечніші, ніж криптографічні токени? Ефективність контрольних питань, які елементарно підбираються, оцінили в 15%, а не токенів, що зламуються, - всього в 10. Хоча б фільм «Ілюзія обману» подивилися б, там хоч і в алегоричній формі, але показано як легко фокусники виманили у бізнесмена-афериста всі необхідні відповіді та залишили його без грошей.
І ще один факт, що багато говорить про кваліфікацію тих, хто відповідає за механізми безпеки в додатках користувача. У розумінні процес введення пароля є більш простою операцією, ніж аутентифікація з допомогою криптографического токена. Хоча, здавалося б, що може бути простіше підключення токена до USB-порту та введення простого PIN-коду.
Важливо, що використання суворої аутентифікації дозволяє підприємствам більше думати про методи аутентифікації і правила роботи, необхідні блокування шахрайських схем, до задоволення реальних потреб своїх клієнтів.
У той час як дотримання нормативних вимог є цілком розумним головним пріоритетом як для підприємств, які використовують сувору аутентифікацію, так і для тих, які цього не роблять, компанії, які вже використовують сувору аутентифікацію, зі значно більшою ймовірністю скажуть, що підвищення лояльності клієнтів найбільш важливим показником, який вони враховують в оцінці методу аутентифікації. (18% проти 12%) (малюнок 10).
Корпоративна автентифікація
З 2017 року впровадження суворої автентифікації на підприємствах зростає, але дещо скромніше, ніж для споживчих додатків. Частка підприємств, що використовують сувору автентифікацію збільшилася з 7% у 2017 до 12% у 2018. На відміну від додатків, у корпоративному середовищі використання не-парольних методів аутентифікації дещо більш поширене у web-додатках, ніж на мобільних пристроях. Близько половини підприємств повідомляють про використання тільки імен користувачів та паролів для аутентифікації своїх користувачів при вході в систему, причому кожен п'ятий (22%) також покладається виключно на паролі для вторинної аутентифікації при доступі до особливо важливих даних (тобто користувач спочатку логіниться в додаток, використовуючи простіший спосіб аутентифікації, а якщо захоче повчити доступ до критичних даних, то виконає ще одну процедуру аутентифікації, цього разу зазвичай використовуючи більш надійний метод).
Потрібно розуміти, що у звіті не враховано використання криптографічних токенів для двофакторної аутентифікації в операційних системах Windows, Linux та Mac OS X. А це на даний момент наймасовіше використання 2ФА. (На жаль, але токени створені за стандартами FIDO вміють продавати 2ФА тільки для Windows 10).
Причому, якщо для впровадження 2ФА в онлайн і мобільні програми необхідний комплекс заходів, що включає доробку цих додатків, то для впровадження 2ФА в Windows необхідно всього лише налаштувати PKI (наприклад, на базі Microsoft Certification Server) і політики аутентифікації в AD.
А оскільки захист входу в робочий ПК та домен є важливим елементом захисту корпоративних даних, то впроваджень двофакторної автентифікації стає дедалі більше.
Наступними двома найпоширенішими методами автентифікації користувачів при вході в систему є одноразові паролі, що надаються через окрему програму (13% підприємств), та одноразові паролі, що доставляють за допомогою SMS (12%). Незважаючи на те, що відсоток використання обох методів дуже схожий, але OTP SMS найчастіше використовується для підвищення рівня авторизації (24% компаній). (Малюнок 12).
Зростання використання суворої аутентифікації на підприємстві, ймовірно, можна пояснити зростанням доступності реалізацій криптографічних методів аутентифікації на платформах управління ідентифікацією підприємства (простіше кажучи – корпоративні системи SSO та IAM навчилися використовувати токени).
Для мобільної автентифікації співробітників і підрядників, підприємства більшою мірою покладаються на паролі, ніж при автентифікації в споживчих додатках. Трохи більше половини (53%) підприємств використовують паролі під час аутентифікації доступу користувачів до даних компанії через мобільний пристрій (рисунок 13).
У випадку з мобільними пристроями можна було б повірити у велику силу біометрії, якби не безліч випадків з підробками відбитків, голосів, облич і навіть райдужок. Один запит у пошуковій системі покаже, що надійного способу біометричної автентифікації не існує. По-справжньому точні датчики звичайно існують, але дуже дорогі і мають великий розмір - і смартфони не встановлюються.
Тому єдиним працюючим методом 2ФА у мобільних пристроях є використання криптографічних токенів, які підключаються до смартфону за інтерфейсами NFC, Bluetooth та USB Type-C.
Захист фінансових даних компанії є головною причиною інвестицій у безпарольну автентифікацію (44%) із найшвидшим зростанням з 2017 року (збільшення на вісім процентних пунктів). Далі слідує захист інтелектуальної власності (40%) та кадрових (HR) даних (39%). І зрозуміло чому мало того, що цінність, пов'язана з цими типами даних, широко зізнається, так з ними ще й працює порівняно невелика кількість співробітників. Тобто витрати на впровадження не такі великі, та й навчити працювати з більш складною системою автентифікації потрібно лише кілька людей. Навпаки, типи даних та пристрої, до яких зазвичай звертаються більшість співробітників підприємства, як і раніше, захищені виключно паролями. Документи працівників, робочі станції та корпоративні портали електронної пошти є областями найбільшого ризику, оскільки лише чверть підприємств захищають ці активи за допомогою безпарольної автентифікації (Малюнок 14).
Взагалі, корпоративна електронна пошта – дуже небезпечна та «дірява» штука, ступінь потенційної небезпеки якої недооцінена більшістю ІТ-директорів. Щодня співробітники отримують десятки листів, тож чому б серед них не виявитися хоча б одному фішинговому (тобто шахрайському). Цей лист буде оформлено у стилі листів компанії, тому співробітник без побоювання натисне на посилання у цьому листі. Ну а далі може бути будь-що, наприклад, завантаження вірусу на атаковану машину або злив паролів (у тому числі методом соціального інжинірингу, через введення в створену зловмисником фальшиву форму автентифікації).
Щоб подібні речі не траплялися, електронні листи мають бути підписані. Тоді одразу буде зрозуміло, який лист створив легальний співробітник, а який зловмисник. В Outlook / Exchange, наприклад, електронний підпис на основі криптографічних токенів включається досить швидко і просто і може бути використаний спільно з двофакторною автентифікацією в ПК та домени Windows.
Серед тих керівників, які покладаються виключно на аутентифікацію за паролем усередині підприємства, дві третини (66%) роблять це, тому що вважають, що паролі забезпечують достатню безпеку для того типу інформації, яку їхня компанія має захистити (рис. 15).
Але методи суворої автентифікації стають все більш поширеними. Багато в чому через те, що підвищується їхня доступність. Все більше систем керування ідентифікацією та доступом (IAM), браузерів та операційних систем підтримує аутентифікацію за допомогою криптографічних токенів.
Є у строгої автентифікації та ще одна перевага. Оскільки пароль більше не використовується (замінений на простий PIN-код), немає і запитів від співробітників з проханням змінити забутий пароль. Що, у свою чергу, знижує навантаження на ІТ-департамент підприємства.
Підсумки і висновки
- Керівники часто не мають необхідних знань, що дозволяють оцінити реальну ефективність різних варіантів автентифікації. Вони звикли довіряти таким застарілим способам захисту як паролі та секретні питання просто тому, що «раніше це працювало».
- Користувачі цими знаннями мають ще в меншій мірі, для них головне - простота та зручність. Поки що у них немає спонукальних мотивів вибирати більш захищені рішення.
- У розробників користувацьких додатків часто нема причин, щоб впроваджувати двофакторну аутентифікацію замість парольної. Конкуренція за рівнем захисту в програмах користувача відсутня.
- Вся відповідальність за злом перекладено на користувача. Назвав одноразовий пароль зловмиснику винен. Твій пароль перехопили або підглянули винен. Не зажадав від розробника використовувати у продукті надійні методи аутентифікації – винен.
- правильний регулятор в першу чергу має вимагати від компаній впровадження рішень, які блокують витоку даних (зокрема двофакторна автентифікація), а не карати за вже відбулася витік даних.
- Деякі розробники ПЗ намагаються продати споживачам старі та не особливо надійні рішення у гарній упаковці "інноваційного" продукту. Наприклад, автентифікація шляхом прив'язки до конкретного смартфона або використання біометрії. Як видно зі звіту, за справжньому надійним може бути тільки рішення на основі суворої автентифікації, тобто криптографічних токенів.
- Один і той же криптографічний токен можна використовувати для цілого ряду завдань: для суворої автентифікації в операційній системі підприємства, в корпоративному та користувальницькому додатку, електронного підпису фінансових транзакцій (важливо для банківських додатків), документів та електронної пошти.
Джерело: habr.com