Gần đây, công ty nghiên cứu Javelin Strategy & Research đã công bố báo cáo “Trạng thái xác thực mạnh mẽ năm 2019”. Những người tạo ra nó đã thu thập thông tin về những phương thức xác thực nào được sử dụng trong môi trường doanh nghiệp và ứng dụng tiêu dùng, đồng thời đưa ra những kết luận thú vị về tương lai của xác thực mạnh mẽ.
Dịch phần đầu với kết luận của các tác giả báo cáo, chúng tôi . Và bây giờ chúng tôi trình bày cho các bạn chú ý phần thứ hai - với dữ liệu và đồ thị.
Từ người dịch
Tôi sẽ không sao chép hoàn toàn toàn bộ khối cùng tên từ phần đầu tiên, nhưng tôi vẫn sẽ sao chép một đoạn văn.
Tất cả các số liệu và sự kiện đều được trình bày mà không có một chút thay đổi nào và nếu bạn không đồng ý với chúng, thì tốt hơn hết bạn nên tranh luận không phải với người dịch mà với các tác giả của báo cáo. Và đây là những nhận xét của tôi (được trình bày dưới dạng trích dẫn và được đánh dấu trong văn bản) người Ý) là đánh giá giá trị của tôi và tôi sẽ sẵn lòng tranh luận về từng đánh giá đó (cũng như về chất lượng của bản dịch).
Xác thực người dùng
Kể từ năm 2017, việc sử dụng xác thực mạnh trong các ứng dụng tiêu dùng đã tăng mạnh, phần lớn là do sự sẵn có của các phương thức xác thực bằng mật mã trên thiết bị di động, mặc dù chỉ có một tỷ lệ nhỏ hơn một chút các công ty sử dụng xác thực mạnh cho các ứng dụng Internet.
Nhìn chung, tỷ lệ công ty sử dụng xác thực mạnh trong hoạt động kinh doanh của mình đã tăng gấp ba lần từ 5% năm 2017 lên 16% vào năm 2018 (Hình 3).
Khả năng sử dụng xác thực mạnh cho ứng dụng web vẫn còn hạn chế (do thực tế là chỉ có những phiên bản rất mới của một số trình duyệt mới hỗ trợ tương tác với mã thông báo mật mã, tuy nhiên vấn đề này có thể được giải quyết bằng cách cài đặt phần mềm bổ sung như ), vì vậy nhiều công ty sử dụng các phương pháp thay thế để xác thực trực tuyến, chẳng hạn như các chương trình dành cho thiết bị di động tạo mật khẩu một lần.
Khóa mật mã phần cứng (ở đây chúng tôi chỉ muốn nói đến những sản phẩm tuân thủ các tiêu chuẩn FIDO), chẳng hạn như những dịch vụ do Google, Feitian, One Span và Yubico cung cấp, có thể được sử dụng để xác thực mạnh mẽ mà không cần cài đặt phần mềm bổ sung trên máy tính để bàn và máy tính xách tay (vì hầu hết các trình duyệt đều đã hỗ trợ chuẩn WebAuthn từ FIDO), nhưng chỉ có 3% công ty sử dụng tính năng này để đăng nhập người dùng của họ.
So sánh các mã thông báo mật mã (như ) và các khóa bí mật hoạt động theo tiêu chuẩn FIDO nằm ngoài phạm vi của báo cáo này, cũng như nhận xét của tôi về nó. Tóm lại, cả hai loại token đều sử dụng thuật toán và nguyên tắc hoạt động tương tự nhau. Mã thông báo FIDO hiện được các nhà cung cấp trình duyệt hỗ trợ tốt hơn, mặc dù điều này sẽ sớm thay đổi khi có nhiều trình duyệt hỗ trợ hơn . Nhưng mã thông báo mật mã cổ điển được bảo vệ bằng mã PIN, có thể ký tài liệu điện tử và được sử dụng để xác thực hai yếu tố trong Windows (bất kỳ phiên bản nào), Linux và Mac OS X, có API cho nhiều ngôn ngữ lập trình khác nhau, cho phép bạn triển khai 2FA và điện tử chữ ký trong các ứng dụng trên máy tính để bàn, thiết bị di động và Web cũng như các mã thông báo được sản xuất tại Nga hỗ trợ các thuật toán GOST của Nga. Trong mọi trường hợp, mã thông báo mật mã, bất kể nó được tạo ra theo tiêu chuẩn nào, là phương thức xác thực thuận tiện và đáng tin cậy nhất.
Ngoài bảo mật: Các lợi ích khác của xác thực mạnh mẽ
Không có gì ngạc nhiên khi việc sử dụng xác thực mạnh gắn liền với tầm quan trọng của dữ liệu mà doanh nghiệp lưu trữ. Các công ty lưu trữ Thông tin nhận dạng cá nhân (PII) nhạy cảm, chẳng hạn như số An sinh xã hội hoặc Thông tin sức khỏe cá nhân (PHI), phải đối mặt với áp lực pháp lý và quy định lớn nhất. Đây là những công ty ủng hộ mạnh mẽ nhất việc xác thực mạnh mẽ. Áp lực lên các doanh nghiệp càng tăng cao do kỳ vọng của khách hàng muốn biết rằng tổ chức mà họ tin tưởng cung cấp dữ liệu nhạy cảm nhất có sử dụng các phương pháp xác thực mạnh mẽ hay không. Các tổ chức xử lý PII hoặc PHI nhạy cảm có khả năng sử dụng xác thực mạnh cao hơn gấp đôi so với các tổ chức chỉ lưu trữ thông tin liên hệ của người dùng (Hình 7).
Thật không may, các công ty vẫn chưa sẵn sàng triển khai các phương pháp xác thực mạnh mẽ. Gần một phần ba số người ra quyết định kinh doanh coi mật khẩu là phương thức xác thực hiệu quả nhất trong số tất cả những phương pháp được liệt kê trong Hình 9 và 43% coi mật khẩu là phương thức xác thực đơn giản nhất.
Biểu đồ này chứng minh cho chúng ta thấy rằng các nhà phát triển ứng dụng kinh doanh trên khắp thế giới đều giống nhau... Họ không thấy được lợi ích của việc triển khai các cơ chế bảo mật truy cập tài khoản nâng cao và có chung những quan niệm sai lầm. Và chỉ có hành động của cơ quan quản lý mới có thể thay đổi được tình hình.
Chúng ta đừng chạm vào mật khẩu. Nhưng bạn phải tin vào điều gì để tin rằng các câu hỏi bảo mật an toàn hơn mã thông báo mật mã? Hiệu quả của các câu hỏi kiểm soát, được chọn đơn giản, ước tính là 15% và không phải mã thông báo có thể hack được - chỉ 10. Ít nhất hãy xem bộ phim “Ảo tưởng về sự lừa dối”, trong đó, mặc dù ở dạng ngụ ngôn, nó cho thấy các nhà ảo thuật dễ dàng như thế nào đã dụ dỗ tất cả những thứ cần thiết từ câu trả lời của một doanh nhân lừa đảo và khiến anh ta không có tiền.
Và một thực tế nữa nói lên rất nhiều điều về trình độ của những người chịu trách nhiệm về cơ chế bảo mật trong ứng dụng của người dùng. Theo cách hiểu của họ, quá trình nhập mật khẩu là một thao tác đơn giản hơn so với xác thực bằng mã thông báo mật mã. Mặc dù vậy, có vẻ như việc kết nối mã thông báo với cổng USB và nhập mã PIN đơn giản có thể đơn giản hơn.
Điều quan trọng là việc triển khai xác thực mạnh mẽ cho phép doanh nghiệp chuyển từ việc suy nghĩ về các phương thức xác thực và quy tắc hoạt động cần thiết để chặn các âm mưu lừa đảo sang việc đáp ứng nhu cầu thực sự của khách hàng.
Mặc dù việc tuân thủ quy định là ưu tiên hàng đầu hợp lý cho cả những doanh nghiệp sử dụng xác thực mạnh và những doanh nghiệp không sử dụng, nhưng các công ty đã sử dụng xác thực mạnh có nhiều khả năng nói rằng việc tăng mức độ trung thành của khách hàng là thước đo quan trọng nhất mà họ xem xét khi đánh giá xác thực phương pháp. (18% so với 12%) (Hình 10).
Xác thực doanh nghiệp
Kể từ năm 2017, việc áp dụng xác thực mạnh mẽ trong các doanh nghiệp đã tăng lên nhưng với tốc độ thấp hơn một chút so với các ứng dụng dành cho người tiêu dùng. Tỷ lệ doanh nghiệp sử dụng xác thực mạnh đã tăng từ 7% năm 2017 lên 12% vào năm 2018. Không giống như các ứng dụng tiêu dùng, trong môi trường doanh nghiệp, việc sử dụng các phương thức xác thực không cần mật khẩu có phần phổ biến hơn trong các ứng dụng web so với trên thiết bị di động. Khoảng một nửa số doanh nghiệp báo cáo chỉ sử dụng tên người dùng và mật khẩu để xác thực người dùng của họ khi đăng nhập, với 22/XNUMX (XNUMX%) cũng chỉ dựa vào mật khẩu để xác thực phụ khi truy cập dữ liệu nhạy cảm (nghĩa là, trước tiên người dùng đăng nhập vào ứng dụng bằng phương thức xác thực đơn giản hơn và nếu muốn có quyền truy cập vào dữ liệu quan trọng, anh ta sẽ thực hiện một quy trình xác thực khác, lần này thường sử dụng phương pháp đáng tin cậy hơn).
Bạn cần hiểu rằng báo cáo không tính đến việc sử dụng mã thông báo mật mã để xác thực hai yếu tố trong hệ điều hành Windows, Linux và Mac OS X. Và đây hiện là cách sử dụng 2FA phổ biến nhất. (Than ôi, mã thông báo được tạo theo tiêu chuẩn FIDO chỉ có thể triển khai 2FA cho Windows 10).
Hơn nữa, nếu việc triển khai 2FA trong các ứng dụng trực tuyến và di động yêu cầu một bộ biện pháp, bao gồm cả việc sửa đổi các ứng dụng này, thì để triển khai 2FA trong Windows, bạn chỉ cần định cấu hình PKI (ví dụ: dựa trên Máy chủ chứng nhận của Microsoft) và các chính sách xác thực trong quảng cáo.
Và vì việc bảo vệ thông tin đăng nhập vào PC và miền làm việc là một yếu tố quan trọng để bảo vệ dữ liệu của công ty nên việc triển khai xác thực hai yếu tố ngày càng trở nên phổ biến.
Hai phương pháp phổ biến nhất tiếp theo để xác thực người dùng khi đăng nhập là mật khẩu một lần được cung cấp thông qua một ứng dụng riêng biệt (13% doanh nghiệp) và mật khẩu một lần được gửi qua SMS (12%). Mặc dù thực tế là tỷ lệ sử dụng cả hai phương pháp là rất giống nhau, SMS OTP thường được sử dụng nhiều nhất để tăng mức độ ủy quyền (ở 24% công ty). (Hình 12).
Sự gia tăng sử dụng xác thực mạnh trong doanh nghiệp có thể là do tính khả dụng ngày càng tăng của việc triển khai xác thực bằng mật mã trong nền tảng quản lý danh tính doanh nghiệp (nói cách khác, hệ thống SSO và IAM của doanh nghiệp đã học cách sử dụng mã thông báo).
Để xác thực di động của nhân viên và nhà thầu, doanh nghiệp phụ thuộc nhiều vào mật khẩu hơn là xác thực trong các ứng dụng tiêu dùng. Chỉ hơn một nửa (53%) doanh nghiệp sử dụng mật khẩu khi xác thực quyền truy cập của người dùng vào dữ liệu công ty thông qua thiết bị di động (Hình 13).
Trong trường hợp của thiết bị di động, người ta sẽ tin vào sức mạnh to lớn của sinh trắc học, nếu không có nhiều trường hợp giả mạo dấu vân tay, giọng nói, khuôn mặt và thậm chí cả mống mắt. Một truy vấn của công cụ tìm kiếm sẽ tiết lộ rằng một phương pháp xác thực sinh trắc học đáng tin cậy đơn giản là không tồn tại. Tất nhiên, có những cảm biến thực sự chính xác, nhưng chúng rất đắt tiền và kích thước lớn - và không được cài đặt trong điện thoại thông minh.
Do đó, phương pháp 2FA hoạt động duy nhất trên thiết bị di động là sử dụng mã thông báo mật mã kết nối với điện thoại thông minh thông qua giao diện NFC, Bluetooth và USB Type-C.
Bảo vệ dữ liệu tài chính của công ty là lý do hàng đầu để đầu tư vào xác thực không mật khẩu (44%), với mức tăng trưởng nhanh nhất kể từ năm 2017 (tăng 40 điểm phần trăm). Tiếp theo là bảo vệ sở hữu trí tuệ (39%) và dữ liệu nhân sự (HR) (14%). Và rõ ràng là tại sao - không chỉ giá trị liên quan đến các loại dữ liệu này được công nhận rộng rãi mà còn tương đối ít nhân viên làm việc với chúng. Nghĩa là, chi phí triển khai không quá lớn và chỉ một số người cần được đào tạo để làm việc với hệ thống xác thực phức tạp hơn. Ngược lại, các loại dữ liệu và thiết bị mà hầu hết nhân viên doanh nghiệp thường xuyên truy cập vẫn chỉ được bảo vệ bằng mật khẩu. Tài liệu của nhân viên, máy trạm và cổng email của công ty là những lĩnh vực có rủi ro lớn nhất vì chỉ XNUMX/XNUMX doanh nghiệp bảo vệ những tài sản này bằng xác thực không cần mật khẩu (Hình XNUMX).
Nhìn chung, email công ty là một thứ rất nguy hiểm và dễ bị rò rỉ, mức độ nguy hiểm tiềm tàng của nó bị hầu hết các CIO đánh giá thấp. Nhân viên nhận được hàng tá email mỗi ngày, vậy tại sao không đưa ít nhất một email lừa đảo (nghĩa là lừa đảo) vào số đó. Thư này sẽ được định dạng theo kiểu thư của công ty nên nhân viên sẽ cảm thấy thoải mái khi nhấp vào liên kết trong thư này. Chà, bất cứ điều gì cũng có thể xảy ra, chẳng hạn như tải vi-rút xuống máy bị tấn công hoặc rò rỉ mật khẩu (bao gồm thông qua kỹ thuật xã hội, bằng cách nhập biểu mẫu xác thực giả do kẻ tấn công tạo).
Để ngăn những điều như thế này xảy ra, email phải được ký. Sau đó, sẽ ngay lập tức biết rõ bức thư nào được tạo bởi một nhân viên hợp pháp và bức thư nào được tạo bởi kẻ tấn công. Ví dụ: trong Outlook/Exchange, chữ ký điện tử dựa trên mã thông báo mật mã được kích hoạt khá nhanh chóng và dễ dàng và có thể được sử dụng cùng với xác thực hai yếu tố trên các miền PC và Windows.
Trong số những giám đốc điều hành chỉ dựa vào xác thực mật khẩu trong doanh nghiệp, hai phần ba (66%) làm như vậy vì họ tin rằng mật khẩu cung cấp đủ mức độ bảo mật cho loại thông tin mà công ty họ cần bảo vệ (Hình 15).
Nhưng các phương pháp xác thực mạnh mẽ đang trở nên phổ biến hơn. Phần lớn là do thực tế là tính sẵn có của chúng ngày càng tăng. Ngày càng có nhiều hệ thống, trình duyệt và hệ điều hành quản lý danh tính và quyền truy cập (IAM) hỗ trợ xác thực bằng cách sử dụng mã thông báo mật mã.
Xác thực mạnh mẽ có một lợi thế khác. Vì mật khẩu không còn được sử dụng (được thay thế bằng mã PIN đơn giản) nên không có yêu cầu từ nhân viên yêu cầu họ thay đổi mật khẩu đã quên. Từ đó giảm tải cho bộ phận CNTT của doanh nghiệp.
Kết quả và kết luận
- Các nhà quản lý thường không có đủ kiến thức cần thiết để đánh giá có thật hiệu quả của các tùy chọn xác thực khác nhau. Họ đã quen tin tưởng như vậy lỗi thời các phương pháp bảo mật như mật khẩu và câu hỏi bảo mật đơn giản chỉ vì “trước đây nó đã hoạt động”.
- Người dùng vẫn có kiến thức này ít hơn, đối với họ điều chính là sự đơn giản và tiện lợi. Chừng nào họ còn không có động cơ để lựa chọn giải pháp an toàn hơn.
- Các nhà phát triển ứng dụng tùy chỉnh thường không có lý dođể triển khai xác thực hai yếu tố thay vì xác thực bằng mật khẩu. Cạnh tranh về mức độ bảo vệ trong các ứng dụng của người dùng Không.
- Chịu hoàn toàn trách nhiệm về vụ hack đã chuyển sang người dùng. Đã đưa mật khẩu một lần cho kẻ tấn công - đổ lỗi. Mật khẩu của bạn đã bị chặn hoặc bị theo dõi - đổ lỗi. Không yêu cầu nhà phát triển sử dụng các phương thức xác thực đáng tin cậy trong sản phẩm - đổ lỗi.
- Đúng người điều tiết Đầu tiên nên yêu cầu các công ty thực hiện các giải pháp khối rò rỉ dữ liệu (đặc biệt là xác thực hai yếu tố), thay vì trừng phạt vừa mới xảy ra rò rỉ dữ liệu.
- Một số nhà phát triển phần mềm đang cố gắng bán cho người tiêu dùng cũ và không đặc biệt đáng tin cậy các giải pháp trong bao bì đẹp sản phẩm “sáng tạo”. Ví dụ: xác thực bằng cách liên kết với một điện thoại thông minh cụ thể hoặc sử dụng sinh trắc học. Như có thể thấy từ báo cáo, theo thực sự đáng tin cậy Chỉ có thể có một giải pháp dựa trên xác thực mạnh mẽ, đó là mã thông báo mật mã.
- Giống nhau mã thông báo mật mã có thể được sử dụng cho một số nhiệm vụ: vì xác thực mạnh mẽ trong hệ điều hành doanh nghiệp, trong các ứng dụng của công ty và người dùng, dành cho Chữ ký điện tử giao dịch tài chính (quan trọng đối với các ứng dụng ngân hàng), tài liệu và email.
Nguồn: www.habr.com