最近,研究公司 Javelin Strategy & Research 发布了一份报告《2019 年强认证状况》。 其创建者收集了有关企业环境和消费者应用程序中使用的身份验证方法的信息,并对强身份验证的未来做出了有趣的结论。
翻译第一部分和报告作者的结论,我们
来自译者
我不会完全复制第一部分中的整个同名块,但我仍然会复制一个段落。
所有数据和事实都没有丝毫改变,如果您不同意它们,那么最好不要与译者争论,而是与报告作者争论。 这是我的评论(以引文形式列出,并在文本中标记) 意大利语)是我的价值判断,我很乐意就它们中的每一个(以及翻译的质量)进行争论。
用户认证
自 2017 年以来,消费者应用程序中强身份验证的使用急剧增长,这主要是由于移动设备上加密身份验证方法的可用性,尽管只有一小部分公司在互联网应用程序中使用强身份验证。
总体而言,在业务中使用强身份验证的公司比例从 5 年的 2017% 增加到 16 年的 2018%,增加了两倍(图 3)。
对 Web 应用程序使用强身份验证的能力仍然有限(由于只有某些浏览器的非常新版本才支持与加密令牌交互,但是可以通过安装其他软件来解决此问题,例如
硬件加密密钥(这里我们仅指那些符合 FIDO 标准的),例如 Google、飞天、One Span 和 Yubico 提供的产品,无需在台式机和笔记本电脑上安装额外的软件即可进行强身份验证(因为大多数浏览器已经支持 FIDO 的 WebAuthn 标准),但只有 3% 的公司使用此功能来登录其用户。
加密令牌的比较(例如
Rutoken EDS PKI )和根据 FIDO 标准工作的密钥超出了本报告的范围,但也是我对此的评论。 简而言之,两种类型的代币都使用相似的算法和操作原理。 FIDO 令牌目前得到了浏览器供应商的更好支持,尽管随着更多浏览器支持,这种情况很快就会改变网络USB API 。 但经典的加密令牌受 PIN 码保护,可以签署电子文档并用于 Windows(任何版本)、Linux 和 Mac OS X 中的双因素身份验证,具有适用于各种编程语言的 API,允许您实现 2FA 和电子桌面、移动和 Web 应用程序中的签名以及俄罗斯生产的令牌支持俄罗斯 GOST 算法。 无论如何,加密令牌,无论它是由什么标准创建的,都是最可靠、最方便的身份验证方法。
安全之外:强身份验证的其他好处
毫不奇怪,强身份验证的使用与企业存储的数据的重要性密切相关。 存储敏感个人身份信息 (PII)(例如社会安全号码或个人健康信息 (PHI))的公司面临着最大的法律和监管压力。 这些公司是强身份验证最积极的支持者。 客户希望知道他们所信任的拥有最敏感数据的组织是否使用强大的身份验证方法,这增加了企业的压力。 处理敏感 PII 或 PHI 的组织使用强身份验证的可能性是仅存储用户联系信息的组织的两倍多(图 7)。
不幸的是,公司还不愿意实施强身份验证方法。 近三分之一的业务决策者认为密码是图 9 列出的所有方法中最有效的身份验证方法,43% 的人认为密码是最简单的身份验证方法。
该图表向我们证明,世界各地的业务应用程序开发人员都是一样的......他们没有看到实施高级帐户访问安全机制的好处,并且有相同的误解。 只有监管机构的行动才能改变这种状况。
我们不要碰密码。 但是您必须相信什么才能相信安全问题比加密令牌更安全? 简单选择的控制问题的有效性估计为 15%,而不是可破解的令牌 - 只有 10。至少观看电影“欺骗的幻觉”,其中虽然以寓言形式,但显示了魔术师是多么容易从商人骗子的回答中诱骗了所有必要的东西,却让他身无分文。
还有一个事实充分说明了负责用户应用程序安全机制的人员的资格。 在他们看来,输入密码的过程比使用加密令牌进行身份验证更简单。 尽管如此,将令牌连接到 USB 端口并输入简单的 PIN 码似乎可能更简单。
重要的是,实施强身份验证可以让企业不再考虑阻止欺诈方案所需的身份验证方法和操作规则,而是满足客户的真正需求。
虽然对于使用强身份验证的企业和不使用强身份验证的企业来说,合规性都是合理的首要任务,但已经使用强身份验证的公司更有可能表示,提高客户忠诚度是他们在评估身份验证时考虑的最重要指标方法。 (18% 与 12%)(图 10)。
企业认证
自 2017 年以来,企业对强身份验证的采用一直在增长,但增速略低于消费者应用程序。 使用强身份验证的企业比例从 7 年的 2017% 增加到 12 年的 2018%。与消费者应用程序不同,在企业环境中,非密码身份验证方法的使用在 Web 应用程序中比在移动设备上更常见。 大约一半的企业报告称,在登录时仅使用用户名和密码来验证用户身份,五分之一 (22%) 的企业在访问敏感数据时也仅依靠密码进行二次身份验证(也就是说,用户首先使用更简单的身份验证方法登录应用程序,如果他想获得对关键数据的访问权限,他将执行另一个身份验证过程,这次通常使用更可靠的方法).
您需要了解的是,该报告并未考虑在 Windows、Linux 和 Mac OS X 操作系统中使用加密令牌进行双因素身份验证。而这是目前 2FA 最广泛的使用。 (唉,根据 FIDO 标准创建的令牌只能在 Windows 2 上实现 10FA)。
而且,如果在线和移动应用程序中实施2FA需要一套措施,包括对这些应用程序的修改,那么要在Windows中实施2FA,您只需配置PKI(例如,基于Microsoft Certification Server)和身份验证策略在广告中。
由于保护工作 PC 和域的登录是保护公司数据的重要因素,因此双因素身份验证的实施变得越来越普遍。
接下来两种最常见的登录时验证用户身份的方法是通过单独的应用程序提供的一次性密码(13% 的企业)和通过短信传送的一次性密码(12%)。 尽管两种方法的使用比例非常相似,但 OTP SMS 最常用于提高授权级别(24% 的公司)。 (图 12)。
企业中强身份验证使用的增加可能归因于企业身份管理平台中加密身份验证实现可用性的提高(换句话说,企业 SSO 和 IAM 系统已经学会使用令牌)。
对于员工和承包商的移动身份验证,企业更依赖于密码,而不是消费者应用程序中的身份验证。 超过一半 (53%) 的企业在验证用户通过移动设备访问公司数据时使用密码(图 13)。
就移动设备而言,如果不是出现许多假指纹、声音、面部甚至虹膜的情况,人们会相信生物识别技术的巨大力量。 搜索引擎查询将显示根本不存在可靠的生物特征认证方法。 当然,真正精确的传感器是存在的,但它们非常昂贵且尺寸较大 - 并且不安装在智能手机中。
因此,移动设备中唯一有效的 2FA 方法是使用通过 NFC、蓝牙和 USB Type-C 接口连接到智能手机的加密令牌。
保护公司的财务数据是投资无密码身份验证的首要原因 (44%),这是自 2017 年以来增长最快的(增长了 40 个百分点)。 其次是知识产权(39%)和人事(HR)数据(14%)的保护。 原因很明显——不仅与这些类型的数据相关的价值得到了广泛认可,而且使用它们的员工也相对较少。 也就是说,实施成本并不那么大,并且只需要培训少数人即可使用更复杂的身份验证系统。 相比之下,大多数企业员工日常访问的数据和设备类型仍然仅受密码保护。 员工文档、工作站和企业电子邮件门户是风险最大的领域,因为只有四分之一的企业通过无密码身份验证来保护这些资产(图 XNUMX)。
总的来说,企业电子邮件是一个非常危险和泄密的东西,其潜在危险程度被大多数CIO低估了。 员工每天都会收到数十封电子邮件,那么为什么不在其中至少包含一封网络钓鱼(即欺诈)电子邮件呢? 这封信的格式将采用公司信函的风格,因此员工可以轻松点击这封信中的链接。 好吧,那么任何事情都可能发生,例如,将病毒下载到受攻击的计算机上或泄露密码(包括通过社会工程,通过输入攻击者创建的虚假身份验证表单)。
为了防止此类事情发生,必须对电子邮件进行签名。 然后就可以立即清楚哪封信是由合法员工创建的,哪封信是由攻击者创建的。 例如,在 Outlook/Exchange 中,基于加密令牌的电子签名可以非常快速、轻松地启用,并且可以与跨 PC 和 Windows 域的双因素身份验证结合使用。
在企业内部完全依赖密码身份验证的高管中,三分之二 (66%) 这样做是因为他们认为密码为其公司需要保护的信息类型提供了足够的安全性(图 15)。
但强身份验证方法正变得越来越普遍。 很大程度上是因为它们的可用性正在增加。 越来越多的身份和访问管理 (IAM) 系统、浏览器和操作系统支持使用加密令牌进行身份验证。
强身份验证还有另一个优点。 由于不再使用该密码(替换为简单的 PIN),因此员工不会要求他们更改忘记的密码。 从而减轻了企业IT部门的负担。
结果和结论
- 管理者通常没有必要的知识来评估 实 各种身份验证选项的有效性。 他们习惯于信任这样的人 过时的 密码和安全问题等安全方法只是因为“它以前有效”。
- 用户仍然有这些知识 较少的,对他们来说最重要的是 简单方便。 只要他们没有动力去选择 更安全的解决方案.
- 定制应用程序的开发人员经常 没有理由实现双因素身份验证而不是密码身份验证。 用户应用程序保护级别的竞争 没有.
- 对黑客攻击负全部责任 转移给用户。 将一次性密码提供给攻击者 - 是责备。 您的密码被截获或监视 - 是责备。 没有要求开发者在产品中使用可靠的认证方法—— 是责备.
- 权 调节器 主要 应要求公司实施以下解决方案 堵塞 数据泄露(特别是双因素身份验证),而不是惩罚 已经发生了 数据泄露。
- 一些软件开发商正试图向消费者销售 旧且不是特别可靠 解决方案 精美的包装 “创新”产品。 例如,通过链接到特定智能手机或使用生物识别技术进行身份验证。 从报告中可以看出,根据 真正可靠 只能有一个基于强认证的解决方案,那就是加密令牌。
- 相同 加密令牌可用于 多项任务: 为了 强认证 在企业操作系统、企业和用户应用程序中, 电子签名 金融交易(对于银行应用很重要)、文件和电子邮件。
来源: habr.com