最近,研究公司 Javelin Strategy & Research 發布了一份報告《2019 年強力認證狀況》。其創建者收集了有關企業環境和消費者應用程式中使用的身份驗證方法的信息,並對強身份驗證的未來做出了有趣的結論。
翻譯第一部分和報告作者的結論,我們 。現在我們向您介紹第二部分—包含數據和圖表。
譯者
我不會完全複製第一部分中的整個同名區塊,但我仍然會複製一個段落。
所有數據和事實都沒有絲毫改變,如果您不同意它們,那麼最好不要與譯者爭論,而是與報告作者爭論。 這是我的評論(以引文形式列出,並在文本中標記) 義大利語)是我的價值判斷,我很樂意就它們中的每一個(以及翻譯的品質)進行爭論。
使用者認證
自 2017 年以來,消費者應用程式中強式身分驗證的使用急劇增長,這主要是由於行動裝置上加密身分驗證方法的可用性,儘管只有一小部分公司在網路應用程式中使用強式身分驗證。
整體而言,在業務中使用強式身分驗證的公司比例從 5 年的 2017% 增加到 16 年的 2018%,增加了兩倍(圖 3)。
對 Web 應用程式使用強式身份驗證的能力仍然有限(由於只有某些瀏覽器的非常新版本才支援與加密令牌交互,但是可以透過安裝其他軟體來解決此問題,例如 ),因此許多公司使用替代方法進行線上身份驗證,例如產生一次性密碼的行動裝置程式。
硬體加密金鑰(這裡我們僅指那些符合 FIDO 標準的),例如 Google、飛天、One Span 和 Yubico 提供的產品,無需在桌上型電腦和筆記型電腦上安裝額外的軟體即可進行強式驗證(因為大多數瀏覽器已經支援 FIDO 的 WebAuthn 標準),但只有 3% 的公司使用此功能登入其用戶。
加密令牌的比較(例如 )和根據 FIDO 標準工作的密鑰超出了本報告的範圍,但也是我對此的評論。簡而言之,兩種類型的代幣都使用相似的演算法和操作原理。 FIDO 令牌目前得到了瀏覽器供應商的更好支持,儘管隨著更多瀏覽器支持,這種情況很快就會改變 。但經典的加密令牌受PIN 碼保護,可簽署電子文檔並用於Windows(任何版本)、Linux 和Mac OS X 中的雙重認證,具有適用於各種程式語言的API,讓您實現2FA 和電子桌面、行動和 Web 應用程式中的簽名以及俄羅斯生產的令牌支援俄羅斯 GOST 演算法。無論如何,加密令牌,無論它是由什麼標準創建的,都是最可靠、最方便的身份驗證方法。
安全性之外:強身份驗證的其他好處
毫不奇怪,強身份驗證的使用與企業儲存的資料的重要性密切相關。儲存敏感個人識別資訊 (PII)(例如社會安全號碼或個人健康資訊 (PHI))的公司面臨最大的法律和監管壓力。這些公司是強式身分驗證最積極的支持者。客戶希望知道他們所信任的擁有最敏感資料的組織是否使用強大的身份驗證方法,這增加了企業的壓力。處理敏感 PII 或 PHI 的組織使用強式身分驗證的可能性是僅儲存使用者聯絡資訊的組織的兩倍以上(圖 7)。
不幸的是,公司還不願意實施強式驗證方法。近三分之一的業務決策者認為密碼是圖 9 列出的所有方法中最有效的身份驗證方法,43% 的人認為密碼是最簡單的身份驗證方法。
這張圖表向我們證明,世界各地的業務應用程式開發人員都是一樣的......他們沒有看到實施高級帳戶存取安全機制的好處,並且有相同的誤解。只有監管機構的行動才能改變這種狀況。
我們不要碰密碼。但是您必須相信什麼才能相信安全問題比加密令牌更安全?簡單選擇的控制問題的有效性估計為 15%,而不是可破解的令牌 - 只有 10。至少觀看電影“欺騙的幻覺”,其中雖然以寓言形式,但顯示了魔術師是多麼容易從商人騙子的回答中誘騙了所有必要的東西,卻讓他身無分文。
還有一個事實充分說明了負責用戶應用程式安全機制的人員的資格。在他們看來,輸入密碼的過程比使用加密令牌進行身份驗證更簡單。儘管如此,將令牌連接到 USB 連接埠並輸入簡單的 PIN 碼似乎可能更簡單。
重要的是,實施強式驗證可以讓企業不再考慮阻止詐欺方案所需的身份驗證方法和操作規則,而是滿足客戶的真正需求。
雖然對於使用強身份驗證的企業和不使用強身份驗證的企業來說,合規性都是合理的首要任務,但已經使用強身份驗證的公司更有可能表示,提高客戶忠誠度是他們在評估身份驗證時考慮的最重要指標方法。 (18% 與 12%)(圖 10)。
企業認證
自 2017 年以來,企業對強式身分驗證的採用一直在成長,但成長速度略低於消費者應用程式。使用強式身分驗證的企業比例從7 年的2017% 增加到12 年的2018%。與消費者應用程式不同,在企業環境中,非密碼身分驗證方法的使用在Web 應用程式中比在行動裝置上更常見。大約一半的企業報告稱,在登入時僅使用使用者名稱和密碼來驗證使用者身份,五分之一 (22%) 的企業在存取敏感資料時也僅依靠密碼進行二次身份驗證(也就是說,用戶首先使用更簡單的身份驗證方法登入應用程序,如果他想獲得對關鍵數據的訪問權限,他將執行另一個身份驗證過程,這次通常使用更可靠的方法).
您需要了解的是,該報告並未考慮在 Windows、Linux 和 Mac OS X 作業系統中使用加密令牌進行雙重認證。而這是目前 2FA 最廣泛的使用。 (唉,根據 FIDO 標準建立的令牌只能在 Windows 2 上實作 10FA)。
而且,如果在線上和行動應用程式中實施2FA需要一套措施,包括對這些應用程式的修改,那麼要在Windows中實作2FA,您只需設定PKI(例如,基於Microsoft Certification Server)和驗證策略在廣告中。
由於保護工作 PC 和網域的登入是保護公司資料的重要因素,因此雙重認證的實施變得越來越普遍。
接下來兩種最常見的登入時驗證使用者身分的方法是透過單獨的應用程式提供的一次性密碼(13% 的企業)和透過簡訊傳送的一次性密碼(12%)。儘管兩種方法的使用比例非常相似,但 OTP SMS 最常用於提高授權等級(24% 的公司)。 (圖 12)。
企業中強式身分驗證使用的增加可能歸因於企業身分管理平台中加密身分驗證實現可用性的提高(換句話說,企業 SSO 和 IAM 系統已經學會使用令牌)。
對於員工和承包商的行動身份驗證,企業更依賴密碼,而不是消費者應用程式中的身份驗證。超過一半 (53%) 的企業在驗證使用者透過行動裝置存取公司資料時使用密碼(圖 13)。
就行動裝置而言,如果不是出現許多假指紋、聲音、臉部甚至虹膜的情況,人們會相信生物辨識技術的巨大力量。搜尋引擎查詢將顯示根本不存在可靠的生物特徵認證方法。當然,真正精確的傳感器是存在的,但它們非常昂貴且尺寸較大 - 並且不安裝在智慧型手機中。
因此,行動裝置中唯一有效的 2FA 方法是使用透過 NFC、藍牙和 USB Type-C 連接埠連接到智慧型手機的加密令牌。
保護公司的財務資料是投資無密碼身分驗證的首要原因 (44%),這是自 2017 年以來成長最快的(成長了 40 個百分點)。其次是智慧財產權(39%)和人事(HR)資料(14%)的保護。原因很明顯——不僅與這些類型的數據相關的價值得到了廣泛認可,而且使用它們的員工也相對較少。也就是說,實施成本不那麼大,只需要培訓少數人即可使用更複雜的身份驗證系統。相較之下,大多數企業員工日常存取的資料和設備類型仍然僅受密碼保護。員工文件、工作站和企業電子郵件入口網站是風險最大的領域,因為只有四分之一的企業透過無密碼身分驗證來保護這些資產(圖 XNUMX)。
總的來說,企業電子郵件是一個非常危險和洩密的東西,其潛在危險程度被大多數CIO低估了。員工每天都會收到數十封電子郵件,那麼為什麼不在其中至少包含一封網路釣魚(即詐騙)電子郵件呢?這封信的格式將採用公司信函的風格,因此員工可以輕鬆地點擊這封信中的連結。好吧,那麼任何事情都可能發生,例如,將病毒下載到受攻擊的電腦或洩漏密碼(包括透過社會工程,透過輸入攻擊者創建的虛假身份驗證表單)。
為了防止此類事情發生,必須對電子郵件進行簽署。然後就可以立即清楚哪封信是由合法員工創建的,哪封信是由攻擊者創建的。例如,在 Outlook/Exchange 中,基於加密令牌的電子簽章可以非常快速、輕鬆地啟用,並且可以與跨 PC 和 Windows 網域的雙重認證結合使用。
在企業內部完全依賴密碼驗證的高階主管中,三分之二 (66%) 這樣做是因為他們認為密碼為其公司需要保護的資訊類型提供了足夠的安全性(圖 15)。
但強式身份驗證方法正變得越來越普遍。很大程度上是因為它們的可用性正在增加。越來越多的身份和存取管理 (IAM) 系統、瀏覽器和作業系統支援使用加密令牌進行身份驗證。
強式身份驗證還有另一個優點。由於不再使用該密碼(替換為簡單的 PIN),因此員工不會要求他們更改忘記的密碼。從而減輕了企業IT部門的負擔。
結果與結論
- 管理者通常沒有必要的知識來評估 真實的 各種身份驗證選項的有效性。他們習慣信任這樣的人 過時的 密碼和安全問題等安全方法只是因為「它以前有效」。
- 用戶仍然有這些知識 較少的,對他們來說最重要的是 簡單方便。只要他們沒有動力去選擇 更安全的解決方案.
- 客製化應用程式的開發人員經常 沒有理由實現雙重認證而不是密碼身份驗證。用戶應用程式保護等級的競爭 沒有.
- 對駭客攻擊負全部責任 轉移給用戶。將一次性密碼提供給攻擊者 - 有罪的。您的密碼被截獲或監視 - 有罪的。沒有要求開發者在產品中使用可靠的認證方法— 有罪的.
- 權 調節器 首先 應要求公司實施以下解決方案 堵塞 資料外洩(特別是雙重認證),而不是懲罰 已經發生了 資料外洩。
- 一些軟體開發商正試圖向消費者銷售 舊且不是特別可靠 解決方案 精美的包裝 “創新”產品。例如,透過連結到特定智慧型手機或使用生物辨識技術進行身份驗證。從報告中可以看出,根據 真正可靠 只能有一個基於強認證的解決方案,那就是加密令牌。
- 相同 加密令牌可用於 多項任務: 為了 強認證 在企業作業系統、企業和用戶應用程式中, 電子簽名 金融交易(對銀行應用程式很重要)、文件和電子郵件。
來源: www.habr.com