Yaqinda Javelin Strategy & Research tadqiqot kompaniyasi “Kuchli autentifikatsiya holati 2019” hisobotini chop etdi. Uning yaratuvchilari korporativ muhitda va iste'molchi ilovalarida qanday autentifikatsiya usullari qo'llanilishi haqida ma'lumot to'plashdi, shuningdek, kuchli autentifikatsiyaning kelajagi haqida qiziqarli xulosalar chiqarishdi.
Ma'ruza mualliflarining xulosalari bilan birinchi qismning tarjimasi, biz . Va endi biz sizning e'tiboringizga ikkinchi qismni - ma'lumotlar va grafiklarni taqdim etamiz.
Tarjimondan
Men bir xil nomdagi butun blokni birinchi qismdan to'liq nusxa ko'chirmayman, lekin baribir bitta xatboshini takrorlayman.
Barcha raqamlar va faktlar zarracha o'zgartirishlarsiz taqdim etilgan va agar siz ular bilan rozi bo'lmasangiz, unda tarjimon bilan emas, balki hisobot mualliflari bilan bahslashganingiz ma'qul. Va bu erda mening sharhlarim (iqtibos sifatida keltirilgan va matnda belgilangan italyancha) mening baholarimdir va men ularning har biri (shuningdek, tarjima sifati bo'yicha) bo'yicha bahslashishdan xursand bo'laman.
Foydalanuvchi autentifikatsiyasi
2017 yildan beri iste'molchi ilovalarida kuchli autentifikatsiyadan foydalanish keskin o'sdi, bu asosan mobil qurilmalarda kriptografik autentifikatsiya usullari mavjudligi bilan bog'liq bo'lsa-da, kompaniyalarning atigi bir oz kamroq qismi Internet ilovalari uchun kuchli autentifikatsiyadan foydalanadi.
Umuman olganda, o‘z biznesida kuchli autentifikatsiyadan foydalanadigan kompaniyalar ulushi 5-yildagi 2017 foizdan 16-yilda 2018 foizgacha uch barobarga oshgan (3-rasm).
Veb-ilovalar uchun kuchli autentifikatsiyadan foydalanish imkoniyati hali ham cheklangan (Ba'zi brauzerlarning faqat juda yangi versiyalari kriptografik tokenlar bilan o'zaro aloqani qo'llab-quvvatlaydi, ammo bu muammoni qo'shimcha dasturlarni o'rnatish orqali hal qilish mumkin. ), shuning uchun ko'plab kompaniyalar onlayn autentifikatsiya qilish uchun muqobil usullardan foydalanadilar, masalan, bir martalik parollarni yaratadigan mobil qurilmalar uchun dasturlar.
Uskuna kriptografik kalitlari (Bu erda biz faqat FIDO standartlariga mos keladiganlarni nazarda tutamiz), masalan, Google, Feitian, One Span va Yubico tomonidan taklif qilinganlar ish stoli kompyuterlari va noutbuklariga qo'shimcha dasturlarni o'rnatmasdan kuchli autentifikatsiya qilish uchun ishlatilishi mumkin (chunki ko'pchilik brauzerlar allaqachon FIDO'dan WebAuthn standartini qo'llab-quvvatlaydi), lekin kompaniyalarning atigi 3% foydalanuvchilariga kirish uchun ushbu xususiyatdan foydalanadi.
Kriptografik tokenlarni taqqoslash (masalan ) va FIDO standartlariga muvofiq ishlaydigan maxfiy kalitlar ushbu hisobot doirasidan tashqarida, shuningdek, mening sharhlarim ham. Muxtasar qilib aytganda, ikkala turdagi tokenlar o'xshash algoritmlar va ishlash tamoyillaridan foydalanadi. FIDO tokenlari hozirda brauzer sotuvchilari tomonidan yaxshiroq qo'llab-quvvatlanadi, garchi bu ko'proq brauzerlar qo'llab-quvvatlansa, tez orada o'zgaradi . Ammo klassik kriptografik tokenlar PIN-kod bilan himoyalangan, elektron hujjatlarni imzolashi va Windows (har qanday versiya), Linux va Mac OS X da ikki faktorli autentifikatsiya qilish uchun ishlatilishi mumkin, turli dasturlash tillari uchun API-larga ega, bu sizga 2FA va elektron dasturlarni amalga oshirish imkonini beradi. ish stoli, mobil va veb-ilovalardagi imzo va Rossiyada ishlab chiqarilgan tokenlar rus GOST algoritmlarini qo'llab-quvvatlaydi. Qanday bo'lmasin, kriptografik token qaysi standart tomonidan yaratilganidan qat'i nazar, autentifikatsiyaning eng ishonchli va qulay usuli hisoblanadi.
Xavfsizlikdan tashqari: Kuchli autentifikatsiyaning boshqa afzalliklari
Kuchli autentifikatsiyadan foydalanish biznes saqlaydigan ma'lumotlarning ahamiyati bilan chambarchas bog'liqligi ajablanarli emas. Ijtimoiy sug'urta raqamlari yoki Shaxsiy salomatlik ma'lumotlari (PHI) kabi shaxsiy identifikatsiya qilinadigan nozik ma'lumotlarni (PII) saqlaydigan kompaniyalar eng katta huquqiy va tartibga solish bosimiga duch kelishadi. Bu kuchli autentifikatsiyaning eng tajovuzkor tarafdorlari bo'lgan kompaniyalardir. O'zlarining eng nozik ma'lumotlariga ishonadigan tashkilotlar kuchli autentifikatsiya usullaridan foydalanishini bilishni xohlaydigan mijozlarning umidlari korxonalarga bosimni kuchaytiradi. Nozik PII yoki PHI bilan shug'ullanadigan tashkilotlar faqat foydalanuvchilarning kontakt ma'lumotlarini saqlaydigan tashkilotlarga qaraganda kuchli autentifikatsiyadan ikki baravar ko'proq foydalanishadi (7-rasm).
Afsuski, kompaniyalar hali kuchli autentifikatsiya usullarini joriy etishga tayyor emaslar. Biznes qarorlarini qabul qiluvchilarning deyarli uchdan bir qismi parollarni 9-rasmda keltirilgan barcha autentifikatsiya qilishning eng samarali usuli deb hisoblaydi va 43% parollarni eng oddiy autentifikatsiya usuli deb hisoblaydi.
Ushbu jadval bizga butun dunyo bo'ylab biznes-ilovalarni ishlab chiquvchilari bir xil ekanligini isbotlaydi... Ular hisob qaydnomalariga kirish xavfsizligini ta'minlashning ilg'or mexanizmlarini joriy qilishning foydasini ko'rmaydilar va bir xil noto'g'ri tushunchalarga ega. Va faqat tartibga soluvchilarning harakatlari vaziyatni o'zgartirishi mumkin.
Parollarga tegmaylik. Ammo xavfsizlik savollari kriptografik tokenlarga qaraganda xavfsizroq ekanligiga ishonish uchun nimaga ishonish kerak? Shunchaki tanlangan nazorat savollarining samaradorligi 15% ga baholandi va buzib bo'lmaydigan tokenlar emas - bor-yo'g'i 10. Hech bo'lmaganda "Aldash illyuziyasi" filmini tomosha qiling, bu erda, garchi allegorik shaklda bo'lsa ham, sehrgarlar qanchalik oson ekanligi ko'rsatilgan. firibgar tadbirkorning javoblaridan barcha kerakli narsalarni tortib oldi va uni pulsiz qoldirdi.
Va yana bir fakt foydalanuvchi ilovalaridagi xavfsizlik mexanizmlari uchun mas'ul bo'lganlarning malakasi haqida ko'p narsalarni aytadi. Ularning tushunchasiga ko'ra, parolni kiritish jarayoni kriptografik token yordamida autentifikatsiya qilishdan ko'ra oddiyroq operatsiya hisoblanadi. Biroq, tokenni USB portiga ulash va oddiy PIN kodni kiritish osonroq bo'lishi mumkin.
Muhimi, kuchli autentifikatsiyani amalga oshirish korxonalarga o'z mijozlarining haqiqiy ehtiyojlarini qondirish uchun firibgarlik sxemalarini blokirovka qilish uchun zarur bo'lgan autentifikatsiya usullari va operatsion qoidalari haqida o'ylashdan uzoqlashishga imkon beradi.
Normativ hujjatlarga rioya qilish kuchli autentifikatsiyadan foydalanadigan va ishlatmaydigan korxonalar uchun oqilona ustuvor vazifa bo'lsa-da, allaqachon kuchli autentifikatsiyadan foydalanadigan kompaniyalar mijozlarning sodiqligini oshirish autentifikatsiyani baholashda hisobga oladigan eng muhim ko'rsatkich ekanligini aytishlari mumkin. usuli. (18% ga nisbatan 12%) (10-rasm).
Korxona autentifikatsiyasi
2017 yildan beri korxonalarda kuchli autentifikatsiyani qabul qilish o'sib bormoqda, ammo iste'molchi ilovalariga qaraganda biroz pastroq. Kuchli autentifikatsiyadan foydalanadigan korxonalar ulushi 7-yildagi 2017 foizdan 12-yilda 2018 foizga oshdi. Isteʼmolchi ilovalaridan farqli oʻlaroq, korporativ muhitda mobil qurilmalarga qaraganda veb-ilovalarda parolsiz autentifikatsiya usullaridan foydalanish biroz keng tarqalgan. Korxonalarning qariyb yarmi tizimga kirishda foydalanuvchilarni autentifikatsiya qilish uchun faqat foydalanuvchi nomlari va parollardan foydalanishi haqida xabar beradi, har beshdan biri (22%) maxfiy maʼlumotlarga kirishda faqat ikkinchi darajali autentifikatsiya uchun parollarga tayanadi (ya'ni foydalanuvchi avval oddiyroq autentifikatsiya usuli yordamida ilovaga kiradi va agar u muhim ma'lumotlarga kirishni xohlasa, u boshqa autentifikatsiya protsedurasini amalga oshiradi, bu safar odatda ishonchliroq usuldan foydalanadi.).
Hisobotda Windows, Linux va Mac OS X operatsion tizimlarida ikki faktorli autentifikatsiya qilish uchun kriptografik tokenlardan foydalanish hisobga olinmaganligini tushunishingiz kerak. Va bu hozirda 2FA dan eng keng tarqalgan foydalanish hisoblanadi. (Afsuski, FIDO standartlariga muvofiq yaratilgan tokenlar 2FAni faqat Windows 10 uchun amalga oshirishi mumkin).
Bundan tashqari, agar onlayn va mobil ilovalarda 2FAni amalga oshirish ushbu ilovalarni o'zgartirishni o'z ichiga olgan bir qator chora-tadbirlarni talab qilsa, Windows-da 2FAni amalga oshirish uchun siz faqat PKI (masalan, Microsoft Certification Server asosida) va autentifikatsiya siyosatlarini sozlashingiz kerak. ADda.
Ishchi kompyuter va domenga kirishni himoya qilish korporativ ma'lumotlarni himoya qilishning muhim elementi bo'lganligi sababli, ikki faktorli autentifikatsiyani amalga oshirish tobora keng tarqalgan.
Tizimga kirishda foydalanuvchilarni autentifikatsiya qilishning keyingi ikkita eng keng tarqalgan usuli bu alohida ilova orqali taqdim etiladigan bir martalik parollar (korxonalarning 13%) va SMS orqali yetkaziladigan bir martalik parollar (12%). Ikkala usuldan foydalanish foizi juda o'xshash bo'lishiga qaramay, OTP SMS ko'pincha avtorizatsiya darajasini oshirish uchun ishlatiladi (kompaniyalarning 24 foizida). (12-rasm).
Korxonada kuchli autentifikatsiyadan foydalanishning o'sishi, ehtimol, korporativ identifikatsiyani boshqarish platformalarida kriptografik autentifikatsiyani amalga oshirish imkoniyatlarining ortishi bilan bog'liq bo'lishi mumkin (boshqacha qilib aytganda, korxona SSO va IAM tizimlari tokenlardan foydalanishni o'rgangan).
Xodimlar va pudratchilarning mobil autentifikatsiyasi uchun korxonalar iste'molchi ilovalaridagi autentifikatsiyadan ko'ra ko'proq parollarga tayanadi. Korxonalarning yarmidan sal ko'pi (53%) mobil qurilma orqali kompaniya ma'lumotlariga foydalanuvchi kirishini autentifikatsiya qilishda parollardan foydalanadi (13-rasm).
Mobil qurilmalarga kelsak, soxta barmoq izlari, ovozlar, yuzlar va hatto irislarning ko'p holatlari bo'lmasa, biometrikaning buyuk kuchiga ishonish mumkin. Qidiruv tizimining bitta so'rovi biometrik autentifikatsiyaning ishonchli usuli shunchaki mavjud emasligini ko'rsatadi. Haqiqatan ham aniq sensorlar, albatta, mavjud, ammo ular juda qimmat va o'lchamlari katta - va smartfonlarga o'rnatilmagan.
Shu sababli, mobil qurilmalarda yagona ishlaydigan 2FA usuli bu smartfonga NFC, Bluetooth va USB Type-C interfeyslari orqali ulanadigan kriptografik tokenlardan foydalanishdir.
Kompaniyaning moliyaviy ma'lumotlarini himoya qilish parolsiz autentifikatsiyaga sarmoya kiritishning asosiy sababidir (44%), 2017 yildan beri eng tez o'sish (sakkiz foiz punktga o'sish). Undan keyin intellektual mulk (40%) va xodimlar (HR) ma'lumotlari (39%) himoyasi keladi. Va buning sababi aniq - nafaqat bu turdagi ma'lumotlar bilan bog'liq qiymat keng e'tirof etiladi, balki ular bilan nisbatan kam sonli xodimlar ishlaydi. Ya'ni, amalga oshirish xarajatlari unchalik katta emas va faqat bir nechta odamni yanada murakkab autentifikatsiya tizimi bilan ishlashga o'rgatish kerak. Aksincha, korxona xodimlarining ko'pchiligi muntazam kiradigan ma'lumotlar va qurilmalar turlari hali ham faqat parollar bilan himoyalangan. Xodimlar hujjatlari, ish stantsiyalari va korporativ elektron pochta portallari eng katta xavf sohalari hisoblanadi, chunki korxonalarning atigi to'rtdan bir qismi ushbu aktivlarni parolsiz autentifikatsiya bilan himoya qiladi (14-rasm).
Umuman olganda, korporativ elektron pochta juda xavfli va sizib chiqadigan narsa bo'lib, uning potentsial xavfi darajasi ko'pchilik CIOlar tomonidan kam baholanadi. Xodimlar har kuni o'nlab elektron pochta xabarlarini olishadi, shuning uchun ular orasida hech bo'lmaganda bitta fishing (ya'ni, firibgar) elektron pochta xabarlarini qo'shmaslik kerak. Ushbu xat kompaniya harflari uslubida shakllantiriladi, shuning uchun xodim ushbu xatdagi havolani bosish orqali o'zini qulay his qiladi. Xo'sh, keyin hamma narsa sodir bo'lishi mumkin, masalan, hujum qilingan mashinaga virusni yuklab olish yoki parollarning sizib chiqishi (jumladan, ijtimoiy muhandislik orqali, tajovuzkor tomonidan yaratilgan soxta autentifikatsiya shaklini kiritish orqali).
Bunday holatlarning oldini olish uchun elektron pochta xabarlari imzolanishi kerak. Shunda qaysi xat qonuniy xodim tomonidan va qaysi biri hujumchi tomonidan yaratilgani darhol aniq bo'ladi. Masalan, Outlook/Exchange-da kriptografik tokenga asoslangan elektron imzolar juda tez va oson yoqiladi va ular shaxsiy kompyuterlar va Windows domenlarida ikki faktorli autentifikatsiya bilan birgalikda ishlatilishi mumkin.
Korxonada faqat parol autentifikatsiyasiga tayanadigan rahbarlar orasida uchdan ikki qismi (66%) parollar o'z kompaniyasi himoya qilishi kerak bo'lgan ma'lumotlar turi uchun yetarlicha xavfsizlikni ta'minlaydi, deb hisoblagani uchun shunday qiladi (15-rasm).
Ammo kuchli autentifikatsiya usullari keng tarqalgan. Ko'p jihatdan ularning mavjudligi ortib borayotganligi bilan bog'liq. Identifikatsiya va kirishni boshqarish (IAM) tizimlari, brauzerlar va operatsion tizimlar soni ortib bormoqda, kriptografik tokenlar yordamida autentifikatsiyani qo'llab-quvvatlaydi.
Kuchli autentifikatsiya yana bir afzalliklarga ega. Parol endi ishlatilmagani uchun (oddiy PIN-kod bilan almashtirilgan), xodimlardan unutilgan parolni o'zgartirishni so'ragan so'rovlar yo'q. Bu o'z navbatida korxonaning IT bo'limiga yukni kamaytiradi.
Natijalar va xulosalar
- Menejerlar ko'pincha baholash uchun zarur bilimga ega emaslar haqiqiy turli autentifikatsiya opsiyalarining samaradorligi. Ular bunga ishonishga odatlangan eskirgan parollar va xavfsizlik savollari kabi xavfsizlik usullari shunchaki "u avval ishlagan".
- Foydalanuvchilar hali ham bu bilimga ega Ozroq, ular uchun asosiy narsa soddaligi va qulayligi. Ular tanlash uchun hech qanday rag'bat yo'q ekan xavfsizroq echimlar.
- Ko'pincha maxsus ilovalarni ishlab chiquvchilar sabab yo'qparolni autentifikatsiya qilish o'rniga ikki faktorli autentifikatsiyani amalga oshirish. Foydalanuvchi ilovalarida himoya darajasida raqobat yo'q.
- Hack uchun to'liq javobgarlik foydalanuvchiga o'tkazildi. Buzg'unchiga bir martalik parol berdi - ayblamoq. Sizning parolingiz ushlandi yoki josuslik qilindi - ayblamoq. Ishlab chiqaruvchidan mahsulotda ishonchli autentifikatsiya usullaridan foydalanishni talab qilmadi - ayblamoq.
- To'g'ri regulyator Birinchidan kompaniyalardan bunday echimlarni amalga oshirishni talab qilishi kerak blok jazolash o'rniga ma'lumotlarning sizib chiqishi (xususan, ikki faktorli autentifikatsiya). allaqachon sodir bo'lgan ma'lumotlar sizib chiqishi.
- Ba'zi dasturiy ta'minot ishlab chiqaruvchilari iste'molchilarga sotishga harakat qilmoqdalar eski va ayniqsa ishonchli emas echimlar chiroyli qadoqda "innovatsion" mahsulot. Masalan, ma'lum bir smartfonga ulanish yoki biometrik ma'lumotlardan foydalanish orqali autentifikatsiya. Hisobotdan ko'rinib turibdiki, ko'ra haqiqatan ham ishonchli faqat kuchli autentifikatsiyaga, ya'ni kriptografik tokenlarga asoslangan yechim bo'lishi mumkin.
- Xuddi shu uchun kriptografik tokendan foydalanish mumkin bir qator vazifalar: uchun kuchli autentifikatsiya korxona operatsion tizimida, korporativ va foydalanuvchi ilovalarida, uchun elektron imzo moliyaviy operatsiyalar (bank ilovalari uchun muhim), hujjatlar va elektron pochta.
Manba: www.habr.com