Jadi apa yang akan terjadi dengan otentikasi dan kata sandi? Bagian 2 dari Laporan Status Otentikasi Kuat Javelin

Baru-baru ini, perusahaan riset Javelin Strategy & Research menerbitkan laporan The State of Strong Authentication 2019. Pembuatnya mengumpulkan informasi tentang metode otentikasi apa yang digunakan di lingkungan perusahaan dan aplikasi pengguna, dan juga membuat kesimpulan menarik tentang masa depan otentikasi yang kuat.

Kami sudah menerbitkan terjemahan bagian pertama dengan kesimpulan penulis laporan tentang Habré . Dan sekarang kami hadir untuk perhatian Anda bagian kedua - dengan data dan grafik.

Otentikasi pengguna

Sejak 2017, penggunaan otentikasi kuat dalam aplikasi pengguna telah berkembang pesat, terutama karena ketersediaan metode otentikasi kriptografi pada perangkat seluler, meskipun hanya sedikit persentase perusahaan yang menggunakan otentikasi kuat untuk aplikasi Internet.

Secara umum, persentase perusahaan yang menggunakan otentikasi kuat dalam bisnis mereka meningkat tiga kali lipat dari 5% pada 2017 menjadi 16% pada 2018 (Gambar 3).


Kemungkinan menggunakan otentikasi kuat untuk aplikasi web masih terbatas ( karena fakta bahwa hanya versi yang sangat baru dari beberapa browser yang mendukung interaksi dengan token kriptografi, namun, masalah ini diselesaikan dengan menginstal perangkat lunak tambahan, seperti Plug-in Rutoken ), sehingga banyak Perusahaan menggunakan metode alternatif untuk otentikasi online, seperti program perangkat seluler yang menghasilkan kata sandi satu kali.

Kunci kriptografi perangkat keras ( artinya standar FIDO saja ), seperti yang ditawarkan oleh Google, Feitian, One Span, dan Yubico, dapat digunakan untuk otentikasi kuat tanpa menginstal perangkat lunak tambahan pada komputer desktop dan laptop ( karena sebagian besar browser sudah mendukung standar WebAuthn dari FIDO ), tetapi hanya 3% perusahaan yang menggunakan fitur ini untuk login pengguna mereka.

Perbandingan token kriptografi (seperti Rutoken PKI EDS ) dan kunci rahasia yang bekerja sesuai dengan standar FIDO tidak hanya di luar lingkup laporan ini, tetapi juga komentar saya tentang hal itu. Jika sama sekali, secara singkat, maka kedua jenis token menggunakan algoritma dan prinsip operasi yang sama. Token FIDO saat ini lebih baik didukung oleh produsen peramban, meskipun beberapa hal akan berubah segera setelah lebih banyak peramban mendukung Web USB API . Tetapi token kriptografi klasik dilindungi oleh kode PIN, dapat menandatangani dokumen elektronik dan digunakan untuk otentikasi dua faktor di Windows (versi apa pun), Linux dan Mac OS X, mereka memiliki API untuk berbagai bahasa pemrograman yang memungkinkan penerapan 2FA dan ES di desktop, aplikasi seluler dan Web , dan token yang diproduksi di Rusia mendukung algoritme GOST Rusia. Dalam kasus apa pun, token kriptografi, terlepas dari standar yang digunakannya, adalah metode otentikasi yang paling andal dan mudah.

Melampaui Keamanan: Manfaat Lain dari Otentikasi Kuat

Tidak mengherankan, penggunaan otentikasi yang kuat terkait erat dengan pentingnya data yang disimpan oleh bisnis. Tekanan paling hukum dan peraturan dihadapi oleh perusahaan yang menyimpan informasi pribadi rahasia (Informasi Identifikasi Pribadi - PII), seperti nomor Jaminan Sosial atau Informasi Kesehatan Pribadi (PHI). Perusahaan-perusahaan inilah yang merupakan penganut otentikasi kuat yang paling agresif. Tekanan pada bisnis diperburuk oleh harapan pelanggan yang ingin tahu bahwa organisasi yang mereka percayai data mereka yang paling sensitif menggunakan metode otentikasi yang dapat diandalkan. Organisasi yang memproses PII atau PHI sensitif lebih dari dua kali lebih mungkin menggunakan otentikasi kuat daripada organisasi yang hanya menyimpan informasi kontak pengguna (Gambar 7).



Sayangnya, perusahaan belum ingin menerapkan metode otentikasi yang andal. Hampir sepertiga dari pembuat keputusan bisnis menganggap kata sandi sebagai metode otentikasi yang paling efektif, di antara semua yang tercantum dalam Gambar 9, dan 43% menganggap kata sandi sebagai metode otentikasi yang paling mudah.

Diagram ini membuktikan kepada kami bahwa pengembang aplikasi bisnis sama di seluruh dunia ... Mereka tidak melihat untung dalam menerapkan mekanisme perlindungan akses akun lanjutan dan berbagi kesalahpahaman yang sama. Dan hanya tindakan regulator yang dapat membuat perbedaan.

Kami tidak akan menyentuh kata sandi. Tapi apa yang harus Anda yakini untuk mempertimbangkan bahwa pertanyaan keamanan lebih aman daripada token kriptografi ?? Efektivitas pertanyaan kontrol, yang dipilih secara elemen, diperkirakan 15%, dan bukan token yang diretas - hanya 10. Paling tidak film "The Illusion of Deception" akan ditonton, meskipun dalam bentuk alegoris, ditunjukkan betapa mudahnya para pesulap memikat semua yang diperlukan untuk para pelaku bisnis. jawabannya membuatnya tanpa uang.

Dan satu fakta lagi yang mengatakan banyak tentang kualifikasi mereka yang bertanggung jawab atas mekanisme keamanan dalam aplikasi pengguna. Dalam pemahaman mereka, proses memasukkan kata sandi adalah operasi yang lebih sederhana daripada otentikasi menggunakan token kriptografi. Meskipun, tampaknya akan lebih mudah untuk menghubungkan token ke port USB dan memasukkan kode PIN sederhana.

Penting untuk dicatat bahwa penerapan otentikasi yang kuat memungkinkan perusahaan untuk tidak lagi memikirkan metode otentikasi dan aturan kerja yang diperlukan untuk memblokir skema penipuan untuk memenuhi kebutuhan nyata pelanggan mereka.

Sementara kepatuhan terhadap peraturan merupakan prioritas utama yang bijaksana untuk bisnis yang menggunakan otentikasi kuat dan yang tidak, perusahaan otentikasi yang sudah menggunakan otentikasi kuat jauh lebih mungkin untuk mengatakan bahwa peningkatan loyalitas pelanggan adalah indikator paling penting yang mereka perhitungkan ketika mengevaluasi metode otentikasi. (18% vs 12%) (Gambar 10).

Otentikasi Perusahaan

Sejak 2017, penerapan otentikasi yang kuat di perusahaan telah berkembang, tetapi sedikit lebih sederhana daripada untuk aplikasi konsumen. Pangsa perusahaan yang menggunakan otentikasi kuat meningkat dari 7% pada 2017 menjadi 12% pada 2018. Tidak seperti aplikasi pengguna, dalam lingkungan perusahaan penggunaan metode otentikasi non-sandi agak lebih umum di aplikasi web daripada di perangkat seluler. Sekitar setengah dari perusahaan melaporkan hanya menggunakan nama pengguna dan kata sandi untuk mengautentikasi pengguna mereka saat login, dan satu dari lima (22%) juga bergantung secara eksklusif pada kata sandi untuk otentikasi sekunder ketika mengakses data sensitif ( yaitu, pengguna pertama kali masuk ke dalam aplikasi, menggunakan metode otentikasi yang lebih sederhana, dan jika dia ingin mempelajari akses ke data penting, dia akan melakukan prosedur otentikasi lain, kali ini biasanya menggunakan metode yang lebih andal ).

Anda perlu memahami bahwa laporan tersebut tidak memperhitungkan penggunaan token kriptografis untuk otentikasi dua faktor dalam sistem operasi Windows, Linux dan Mac OS X. Dan saat ini merupakan penggunaan 2FA yang paling luas. (Sayangnya, token yang dibuat sesuai dengan standar FIDO hanya dapat mengimplementasikan 2FA untuk Windows 10).

Selain itu, jika penerapan 2FA dalam aplikasi online dan seluler memerlukan serangkaian langkah-langkah, termasuk penyelesaian aplikasi ini, maka untuk penerapan 2FA di Windows Anda hanya perlu mengkonfigurasi PKI (misalnya, berdasarkan Server Sertifikasi Microsoft) dan kebijakan otentikasi dalam AD.

Dan karena perlindungan pintu masuk ke PC dan domain yang berfungsi merupakan elemen penting untuk melindungi data perusahaan, penerapan otentikasi dua faktor menjadi semakin dan semakin banyak.

Dua metode otentikasi pengguna yang paling umum berikutnya ketika memasuki sistem adalah kata sandi satu kali yang disediakan melalui aplikasi terpisah (13% dari perusahaan) dan kata sandi satu kali yang dikirimkan melalui SMS (12%). Meskipun persentase menggunakan kedua metode ini sangat mirip, OTP SMS paling sering digunakan untuk meningkatkan tingkat otorisasi (di 24% perusahaan). (Gambar 12).



Peningkatan dalam penggunaan otentikasi kuat di perusahaan mungkin dapat dijelaskan dengan meningkatnya ketersediaan implementasi metode otentikasi kriptografi pada platform manajemen identitas perusahaan (dengan kata lain, sistem SSO dan IAM perusahaan telah belajar cara menggunakan token).

Untuk otentikasi seluler karyawan dan kontraktor, perusahaan lebih mengandalkan kata sandi daripada otentikasi dalam aplikasi konsumen. Lebih dari setengah (53%) perusahaan menggunakan kata sandi untuk mengautentikasi akses pengguna ke data perusahaan melalui perangkat seluler (Gambar 13).

Dalam hal perangkat seluler, orang bisa percaya pada kekuatan biometrik yang hebat, jika bukan karena banyak kasus dengan pemalsuan cetakan, suara, wajah, dan bahkan iris. Permintaan pencarian tunggal akan menunjukkan bahwa cara yang dapat diandalkan untuk otentikasi biometrik sama sekali tidak ada. Memang ada sensor yang benar-benar akurat, tetapi harganya sangat mahal dan ukurannya besar - dan mereka tidak dipasang di smartphone.

Oleh karena itu, satu-satunya metode 2FA yang berfungsi dalam perangkat seluler adalah penggunaan token kriptografis yang terhubung ke smartphone melalui antarmuka NFC, Bluetooth dan USB Type-C.

Melindungi data keuangan perusahaan adalah alasan utama untuk berinvestasi dalam otentikasi tanpa kata sandi (44%) dengan pertumbuhan tercepat sejak 2017 (meningkat delapan poin persentase). Berikut ini adalah perlindungan data kekayaan intelektual (40%) dan personel (SDM) (39%). Dan dapat dimengerti mengapa - tidak hanya nilai yang terkait dengan jenis data yang diakui secara luas, tetapi sejumlah kecil karyawan juga bekerja dengan mereka. Artinya, biaya implementasi tidak begitu besar, dan hanya beberapa orang perlu belajar bagaimana bekerja dengan sistem otentikasi yang lebih kompleks. Sebaliknya, tipe data dan perangkat yang biasanya diakses sebagian besar karyawan perusahaan masih dilindungi secara eksklusif dengan kata sandi. Dokumen karyawan, workstation, dan portal email perusahaan adalah area dengan risiko terbesar, karena hanya seperempat perusahaan yang melindungi aset ini dengan otentikasi tanpa kata sandi (Gambar 14).

Secara umum, email perusahaan adalah hal yang sangat berbahaya dan "bocor", tingkat potensi bahaya yang diremehkan oleh sebagian besar CIO. Setiap hari, karyawan menerima lusinan email, jadi mengapa tidak ada satu pun pesan phishing (yaitu penipuan) di antara mereka. Surat ini akan diterbitkan dalam gaya surat perusahaan, sehingga karyawan akan mengklik tautan dalam surat ini tanpa rasa takut. Nah, bisa jadi apa saja, misalnya, memuat virus ke mesin yang diserang atau menguras kata sandi (termasuk menggunakan rekayasa sosial, dengan memasukkan formulir otentikasi palsu yang dibuat oleh penyerang).

Untuk mencegah hal-hal seperti itu terjadi, email harus ditandatangani. Maka akan segera jelas surat mana yang dibuat oleh karyawan legal, dan penyerang mana. Di Outlook / Exchange, misalnya, tanda tangan elektronik yang didasarkan pada token kriptografi dimasukkan dengan cukup cepat dan sederhana dan dapat digunakan bersama dengan otentikasi dua faktor di PC dan domain Windows.

Di antara para eksekutif yang hanya mengandalkan otentikasi kata sandi dalam perusahaan, dua pertiga (66%) melakukannya karena mereka berpikir bahwa kata sandi memberikan keamanan yang cukup untuk jenis informasi yang perlu dilindungi perusahaan mereka (Gambar 15).

Tetapi metode otentikasi yang kuat menjadi lebih umum. Sebagian besar karena kenyataan bahwa ketersediaan mereka meningkat. Semakin banyak identitas dan kontrol akses (IAM), browser dan sistem operasi mendukung otentikasi dengan token kriptografi.

Otentikasi yang kuat juga memiliki keunggulan lain. Karena kata sandi tidak lagi digunakan (diganti dengan PIN sederhana), tidak ada permintaan dari karyawan yang meminta untuk mengganti kata sandi yang terlupakan. Yang pada gilirannya mengurangi beban pada departemen TI perusahaan.

Ringkasan dan Kesimpulan

1. Manajer sering tidak memiliki pengetahuan yang diperlukan untuk mengevaluasi efektivitas nyata dari berbagai opsi otentikasi. Mereka terbiasa mempercayai metode keamanan yang sudah ketinggalan zaman seperti kata sandi dan pertanyaan keamanan hanya karena "dulu berfungsi."
2. Pengguna memiliki pengetahuan ini pada tingkat yang lebih rendah lagi , bagi mereka yang utama adalah kesederhanaan dan kenyamanan . Sejauh ini, mereka tidak memiliki insentif untuk memilih solusi yang lebih aman .
3. Pengembang aplikasi khusus seringkali tidak memiliki alasan untuk menerapkan otentikasi dua faktor, bukan otentikasi kata sandi. Tidak ada persaingan di tingkat perlindungan dalam aplikasi pengguna.
4. Semua tanggung jawab untuk peretasan ditransfer ke pengguna . Dia menyebut kata sandi satu kali kepada penyerang - untuk disalahkan . Kata sandi Anda dicegat atau dimata-matai - untuk disalahkan . Saya tidak meminta pengembang untuk menggunakan metode otentikasi yang dapat diandalkan dalam produk - itu yang harus disalahkan .
5. Regulator yang tepat pertama-tama mengharuskan perusahaan untuk mengimplementasikan solusi yang memblokir kebocoran data (khususnya otentikasi dua faktor), dan tidak menghukum kebocoran data yang telah terjadi .
6. Beberapa pengembang perangkat lunak berusaha menjual solusi lama dan tidak terlalu dapat diandalkan untuk konsumen dalam kemasan yang indah dari produk "inovatif". Misalnya, otentikasi, dengan mengikat ke smartphone tertentu atau menggunakan biometrik. Seperti yang dapat Anda lihat dari laporan, hanya solusi yang didasarkan pada otentikasi kuat, yaitu, token kriptografi, yang benar - benar dapat diandalkan .
7. Token kriptografi yang sama dapat digunakan untuk sejumlah tugas : untuk otentikasi kuat dalam sistem operasi perusahaan, dalam aplikasi perusahaan dan pengguna, untuk penandatanganan elektronik transaksi keuangan (penting untuk aplikasi perbankan), dokumen, dan email.