报告标题扰乱了“由于新风险的威胁和监管机构的要求,使用强身份验证的案例数量有所增加。”
研究公司Javelin Strategy&Research发布了报告The State of Strong Authentication 2019(
pdf格式的
原件可以在这里下载 )。 该报告说:美国和欧洲公司使用密码的百分比(以及为什么现在很少有人使用密码); 为什么使用基于加密令牌的二元身份验证的百分比增长如此之快; 为什么通过SMS发送的一次性代码不安全。
欢迎对企业和用户应用程序中的当前,过去和将来的身份验证主题感兴趣的任何人。
报告第二部分来自翻译report,撰写此报告所用的语言相当“枯燥”而正式。 在一个简短的句子中使用“身份验证”一词有五倍的用途,不是翻译者弯曲的手(或大脑),而是作者的异想天开。 从两个选项进行翻译时-为了使读者更接近原始文本或更有趣的文本,我有时选择第一个,有时选择第二个。 但是,亲爱的读者,请耐心等待,报告的内容值得。
删除了一些无关紧要且不必要的叙述,否则大多数将不会掌握整个文本。 那些希望“无钞票”阅读报告的人可以通过单击链接以原始语言进行操作。
不幸的是,作者对术语并不总是准确的。 因此,一次性密码(一次性密码-OTP)有时被称为“密码”,有时也被称为“代码”。 身份验证方法甚至更糟。 对于未经培训的读者来说,并非总是容易猜测“使用加密密钥的身份验证”和“强身份验证”是一回事。 我试图尽可能地统一这些术语,此外,在报告本身中有一个片段及其说明。
但是,强烈建议阅读该报告,因为它包含独特的研究结果和正确的结论。
呈现的所有数字和事实都没有丝毫变化,如果您不同意它们,最好不要与译者争论,而要与报告的作者争论。 但是我的评论(由引文构成,并在意大利语中标记为文字)是我的价值判断,对于每个评论,我都会乐于争辩(以及译文的质量)。
复习
如今,与客户沟通的数字业务渠道比以往任何时候都更加重要。 在企业内部,员工之间的通信比以往任何时候都更加关注数字环境。 这些交互的安全性将取决于所选的用户身份验证方法。 攻击者使用弱认证来大量入侵用户帐户。 作为回应,监管机构正在收紧标准,以使企业更好地保护用户帐户和数据。
与身份验证相关的威胁不仅扩展到消费者应用程序,攻击者还可以访问在企业内部运行的应用程序。 这样的操作使他们可以冒充公司用户。 使用弱认证访问点的攻击者可以窃取数据并执行其他欺诈活动。 幸运的是,有一些措施可以解决这个问题。 强大的身份验证可以大大降低攻击者攻击消费者应用程序和企业业务系统的风险。
本研究探讨:企业如何实施身份验证来保护用户应用程序和企业业务系统; 他们在选择身份验证解决方案时考虑的因素; 强身份验证在其组织中扮演的角色; 这些组织获得的收益。
总结
主要发现
自2017年以来,使用强身份验证的比例急剧上升。 随着越来越多的漏洞影响传统的身份验证解决方案,组织正在通过强大的身份验证来增强其身份验证功能。 自2017年以来,使用加密技术(MFA)进行多因素身份验证的组织数量增加了三倍,而企业应用程序的数量增加了近50%。 由于生物特征认证的可用性不断提高,因此在移动身份认证中增长最快。
在这里,我们看到了这样一句俗语:“直到雷声袭来,那个人才不会交叉。” 当专家警告密码弱点时,没有人急着实施两因素身份验证。 黑客开始窃取密码后,人们便开始实施两因素身份验证。
的确,个人在引入2FA方面更加活跃。 首先,依靠智能手机内置的生物特征认证,他们可以更轻松地缓解恐惧,这实际上是非常不可靠的。 组织需要投资购买代币并进行实施(实际上非常简单)。 其次,只有懒惰的人没有写过诸如Facebook和Dropbox之类的服务泄露密码的信息,但是这些组织的IT主管不会分享有关组织中密码如何被盗(以及接下来发生的事情)的故事。
那些不使用强身份验证的人低估了他们对企业和客户的风险。 当前不使用强身份验证的某些组织倾向于将登录名和密码视为最有效和易于使用的用户身份验证方法之一。 其他人则看不到他们拥有的数字资产的价值。 毕竟,值得考虑的是,网络罪犯对任何消费者和商业信息都感兴趣。 仅使用密码对员工进行身份验证的公司中有三分之二这样做是因为他们认为密码足以保护他们所保护的信息类型。
但是,密码正在走向坟墓。 在过去的一年中,由于组织正在扩大对传统MFA和强身份验证的使用,因此消费者和企业应用程序的密码依赖性已显着降低(分别从44%降低到31%,从56%降低到47%)。
但是,如果您从整体上评估情况,那么仍然会使用易受攻击的身份验证方法。 对于用户身份验证,大约四分之一的组织使用SMS OTP(一次性密码)以及安全性问题。 结果,必须采用附加的保护手段来防御漏洞,这增加了成本。 在大约5%的组织中,使用更可靠的身份验证方法(例如硬件加密密钥)的情况要少得多。
不断发展的监管环境有望加快针对消费者应用程序的强身份验证的实施。 随着PSD2的推出,以及欧盟和美国加利福尼亚等几个州的新数据保护规则,公司感到它正在变得越来越热。 几乎70%的公司同意他们面临强大的监管压力,要求其为客户提供强大的身份验证。 超过一半的企业认为,在几年内其认证方法将不足以满足监管标准。
显而易见,俄罗斯和美国欧洲立法者在保护程序和服务用户个人数据的方法上存在差异。 俄国人说:亲爱的服务拥有者,做您想做的事和想要做的事,但是如果您的管理员合并了这个基地,我们将惩罚您。 他们在国外说:您必须采取一系列措施, 不允许基地合并。 这就是为什么要以力所能及的主要条件引入强两因素身份验证的要求。
的确,我们的立法机制在某一时刻不会发挥作用,也不会考虑西方经验,这远非事实。 事实证明,每个人都迫切需要实现与俄罗斯密码标准相对应的2FA。
建立可靠的身份验证基础可使公司将重点从法规遵从转移到客户满意度。 对于仍使用简单密码或通过SMS接收代码的组织,选择身份验证方法时最重要的因素是遵守法规要求。 但是那些已经使用强身份验证的公司可以专注于选择那些可以提高客户忠诚度的身份验证方法。
在企业内部选择公司身份验证方法时,监管机构的要求不再是重要因素。 在这种情况下,易于集成(32%)和成本(26%)更为重要。
在网络钓鱼时代,网络罪犯可以使用公司电子邮件进行欺诈,以欺诈性地访问数据,帐户(具有适当的访问权限),甚至说服员工将钱转入他的帐户。 因此,公司邮件帐户和门户应该受到特别好的保护。
Google通过强大的身份验证增强了其安全性。 两年多以前,谷歌发布了一份报告,该报告根据FIDO U2F标准基于加密安全密钥实施了两因素身份验证,报告了令人印象深刻的结果。 据该公司称,没有针对超过85,000名员工的网络钓鱼攻击。
推荐建议
对移动和在线应用程序实施强身份验证。 与传统的MFA方法相比,基于加密密钥的多因素身份验证可防止黑客入侵。 另外,使用加密密钥更加方便,因为您不需要使用和传输其他信息-密码,一次性密码或生物识别数据从用户设备发送到身份验证服务器。 此外,身份验证协议的标准化使新的身份验证方法在可用时更容易实施,从而降低了使用成本并防范更复杂的欺诈方案。
准备使用一次性密码(OTP)。 当网络犯罪分子使用社交工程,智能手机克隆和恶意软件来破坏这些身份验证工具时,OTP中固有的漏洞变得越来越明显。 而且,如果OTP在某些情况下具有某些优势,那么仅从所有用户的通用访问权限的角度来看,而不是从安全性的角度来看。
不可能不注意到通过SMS或Push-notifications接收代码,以及使用智能手机程序生成代码-这是使用与我们为日落准备的相同一次性密码(OTP)。 从技术角度来看,该解决方案非常正确,因为罕见的欺诈者不会尝试从易受骗用户那里获得一次性密码。 但我认为,此类系统的制造商将坚持使用即将消亡的技术。
使用强身份验证作为市场营销工具来提高客户信心。 强大的身份验证不仅可以提高企业的实际安全性。 告知客户您的企业使用了强身份验证可以增强公众对该企业安全性的认识,这是当客户强烈需要可靠的身份验证方法时的重要因素。
对公司数据的重要性进行彻底的盘点和评估,并根据重要性对其进行保护。 甚至是低风险的数据,例如客户联系信息(
但是,报告没有说“低风险”,很奇怪他们低估了这些信息的重要性 )也可以为骗子带来巨大的价值并给公司带来麻烦。
在企业中使用强身份验证。 许多系统是犯罪分子最有吸引力的目标。 这些包括内部和Internet连接的系统,例如记帐程序或公司数据存储。 强大的身份验证不允许攻击者获得未经授权的访问,还可以使您准确确定哪些员工实施了恶意活动。
什么是强认证?
使用强身份验证时,可以使用几种方法或因素对用户进行身份验证:
- 知识因素:用户与用户身份验证主体之间的共享机密(例如密码,机密问题的答案等)
- 所有权因数:仅用户拥有的设备(例如,移动设备,加密密钥等)
- 不可分割因素:用户的身体(通常是生物特征)特征(例如指纹,虹膜图案,声音,行为等)
破解几种因素的需要大大增加了攻击者失败的可能性,因为规避或欺骗各种因素要求针对每种因素分别使用几种类型的黑客手段。
例如,使用2FA“密码+智能手机”,攻击者可以通过查看用户的密码并对其智能手机进行精确的软件复制来进行身份验证。 这比窃取密码要复杂得多。
但是,如果将密码和加密令牌用于2FA,则复制选项在这里不起作用-无法复制令牌。 欺诈者将需要悄悄地从用户那里窃取令牌。 如果用户注意到丢失的时间并通知管理员,则令牌将被阻止,欺诈者的工作将徒劳无功。 因此,出于所有权考虑,必须使用专用的受保护设备(令牌),而不是通用设备(智能手机)。
使用所有这三个因素将使此身份验证方法实现起来非常昂贵,并且使用起来非常不便。 因此,通常使用三个因素中的两个。
两因素身份验证的原理在“两因素身份验证如何工作”部分中进行了详细说明。
重要的是要注意,强认证中使用的至少一种认证因素必须使用公钥密码术。与基于经典密码和传统MFA的单因素身份验证相比,强身份验证提供了更多的保护。 可以通过键盘记录器,网络钓鱼站点或基于社会工程学的攻击(当受骗的受害者自己发送密码时)来监视或拦截密码。 而且,密码的拥有者对盗窃一无所知。 传统的MFA(包括OTP代码,绑定到智能手机或SIM卡)也可以很容易地被黑客入侵,因为它不是基于公钥密码学的(
顺便说一下,有很多示例使用相同的社会工程技术,诱骗者说服了用户给他们一个一次性密码 )。
幸运的是,自去年以来,在消费者和企业应用程序中,使用强身份验证和传统MFA的势头越来越大。 消费者应用程序中对强身份验证的使用增长特别快。 如果在2017年只有5%的公司使用它,那么到2018年它已经是三倍-16%。 这可以通过支持公钥密码术(PKC)算法的令牌的可用性增加来解释。 此外,在采用新的信息保护规则(如PSD2和GDPR)之后,欧洲监管机构的压力越来越大,甚至在欧洲以外(
包括俄罗斯 )也产生了巨大影响。
让我们仔细看看这些数字。 如我们所见,这一年使用多因素身份验证的私人个人百分比增长了11%。 这显然以牺牲密码爱好者为代价,因为相信推送通知,SMS和生物识别技术安全的人数没有改变。
但是,对于企业使用的双重身份验证,一切都不尽人意。 首先,根据报告判断,只有5%的员工从密码身份验证转移到令牌。 其次,在企业环境中使用替代MFA选项的人员数量增加了4%。
我将尝试进行分析并给出解释。 智能手机是个人用户数字世界的中心。 因此,毫不奇怪的是,大多数人使用该设备为其提供的功能-生物识别,SMS和Push通知以及智能手机本身上的应用程序生成的一次性密码。 人们在使用常用工具时通常不会考虑安全性和可靠性。
这就是为什么原始“传统”身份验证因子的用户百分比保持不变的原因。 但是,那些以前使用过密码的人知道密码会带来多大的风险,并且在选择新的身份验证因素时,他们会停止使用最新,最安全的选项-加密令牌。
对于公司市场,重要的是要了解在哪个系统中执行身份验证。 如果实现了登录Windows域的功能,则使用加密令牌。 在Windows和Linux中已经将它们用于2FA的可能性已经合并,并且实现替代选项很长且很困难。 从密码到令牌的5%迁移非常重要。
在企业信息系统中2FA的实施在很大程度上取决于开发人员的资格。 对于开发人员而言,采用现成的模块来生成一次性密码要比了解密码算法的工作容易得多。 结果,即使是像Single Sign-On或Privileged Access Management这样的安全性至关重要的应用程序,也将OTP用作第二个因素。
传统身份验证方法中的许多漏洞
尽管许多组织仍然依赖于传统的单因素系统,但是传统的多因素身份验证中的漏洞变得越来越明显。 通过SMS发送的一次性密码(通常长度为6至8个字符)仍然是最常见的身份验证形式(当然,除了密码知识因素之外)。 而且,如果在大众媒体中提到“两因素验证”或“两步验证”一词,那么它们几乎总是指使用一次性SMS密码进行验证。
在这里,作者有点误会。 通过SMS传递一次性密码从来都不是两因素验证。 这纯粹是两步验证的第二阶段,第一步是输入登录名和密码。
2016年,美国国家标准技术研究院(NIST)更新了其身份验证规则,以排除使用通过SMS发送的一次性密码。 但是,在行业抗议之后,这些规定已大大放松。
因此,请遵循情节。 美国监管机构正确地认识到过时的技术无法为用户提供安全,因此引入了新的标准。旨在保护在线和移动应用程序(包括银行业务)用户的标准。业内人士在想,要购买真正可靠的加密令牌,重建应用程序,部署公钥基础结构以及“站在后腿上”,将花费多少钱。一方面,用户确信一次性密码的可靠性,另一方面,NIST也遭到了攻击。结果,该标准被软化,黑客数量,密码盗窃(以及来自银行应用程序的资金)急剧增加。但是,该行业不必掏空。
从那时起,SMS OTP固有的弱点变得更加明显。欺诈者使用多种破坏SMS消息的方法:- SIM-. SIM ( , , ). SMS . AT&T , 24 . , AT&T - , SIM-.
. AT&T? , , , . ? ? ? ? , ?
- - , , – , «»
- (malware). . , « » (man-in-the-browser) « » (man-in-the-middle) , .
— «» . — , - , .
, , , , — , .
- . , SMS, , , , .
, , - -. , , . , « », . , . - , « ».
尽管提供一次性密码的替代方法可以缓解此身份验证方法中的某些漏洞,但其他漏洞仍然存在。独立代码生成应用程序是防止拦截的最佳方法,因为即使恶意程序也无法直接与代码生成器进行交互(严重吗?报告作者是否忘记了远程控制?),但是进入浏览器时仍然可以拦截OTP(例如,使用键盘记录器),通过被黑的移动应用程序;并且还可以通过社交工程直接从用户那里获得。使用多种风险评估工具,例如设备识别(识别试图从不属于合法用户的设备上执行操作的尝试),地理位置(刚好在莫斯科尝试从新西伯利亚执行操作的用户)和行为分析对于消除漏洞至关重要,但是解决方案都不是灵丹妙药。对于每种情况和数据类型,有必要仔细评估风险并选择应使用哪种身份验证技术。认证解决方案不是万能药
图2.身份验证选项表, , , FIDO (U2F FIDO2). , – , , (, , ).
但是经典的密码令牌和智能卡受PIN码保护。在开始工作之前,用户通过USB,蓝牙,NFC或SmartCard Reader将其令牌连接到设备。接下来,他输入PIN码,以解锁对受保护令牌存储器的访问并允许身份验证。 PIN码不会传输到服务器,这意味着在传输过程中无法将其截获。与密码不同,它可以简单易记。 PIN码是一个知识因素,它使使用加密令牌/智能卡组织两因素身份验证变得容易。
因此,除密码令牌外,几乎任何身份验证方法都存在缺陷。在出版物的第二部分最美味的等待着我们-数字和事实,第一部分给出的结论和建议都基于这些事实和事实。用户应用程序和公司系统中的身份验证将单独讨论。