那么身份验证和密码会怎样？ 标枪强身份验证状态报告的第2部分

最近，研究公司标枪战略与研究公司发布了《 2019年强身份验证状态》报告。 它的创建者收集了有关在企业环境和用户应用程序中使用哪种身份验证方法的信息，并对强身份验证的未来得出了有趣的结论。

我们已经出版了第一部分的翻译，并附有哈布雷报道的作者结论。 现在，我们向您介绍第二部分-数据和图表。

用户认证

自2017年以来，用户身份验证在用户应用程序中的使用迅速增长，这主要归功于移动设备上使用了加密身份验证方法，尽管只有很少一部分公司对互联网应用程序使用了身份验证。

通常，在业务中使用强身份验证的公司比例从2017年的5％增长到2018年的16％（图3）增加了两倍。


对Web应用程序使用强身份验证的可能性仍然有限（ 由于某些浏览器只有非常新的版本才支持与加密令牌的交互，但是，通过安装其他软件（例如Rutoken插件 ） 解决了此问题 ），公司使用替代方法进行在线身份验证，例如生成一次性密码的移动设备程序。

诸如Google，Feitian，One Span和Yubico提供的硬件加密密钥（ 仅表示FIDO标准 ）可以用于强身份验证，而无需在台式计算机和便携式计算机上安装其他软件（ 因为大多数浏览器已经支持WebAuthn标准） （来自FIDO ），但只有3％的公司使用此功能登录其用户。

加密令牌（如Rutoken PKI EDS ）和根据FIDO标准工作的秘密密钥的比较不仅超出了本报告的范围，而且还涉及我的评论。 简而言之，两种令牌都将使用相似的算法和操作原理。 目前，浏览器制造商可以更好地支持FIDO令牌，不过随着更多的浏览器支持Web USB API ，情况将很快改变。 但是经典的加密令牌受PIN码保护，可以在Windows（任何版本），Linux和Mac OS X中对电子文档进行签名并用于双重身份验证，它们具有适用于各种编程语言的API，这些API允许在台式机，移动设备和Web应用程序中实施2FA和ES ，并且在俄罗斯生产的令牌支持俄语GOST算法。 在任何情况下，无论创建哪种加密令牌，加密令牌都是最可靠，最方便的身份验证方法。

超越安全性：强认证的其他好处

毫不奇怪，使用强身份验证与企业存储的数据的重要性密切相关。 存储机密个人信息（个人身份信息-PII）的公司面临着最大的法律和法规压力，例如社会安全号码或个人健康信息（PHI）。 这些公司是强身份验证的最积极参与者。 客户的期望加剧了企业的压力，他们希望知道他们信任最敏感数据的组织使用可靠的身份验证方法。 处理敏感的PII或PHI的组织使用强身份验证的可能性是仅存储用户联系信息的组织的两倍（图7）。



不幸的是，公司还不想实施可靠的身份验证方法。 在图9中列出的所有决策者中，几乎有三分之一的业务决策者认为密码是最有效的身份验证方法，而43％的人则认为密码是最简单的身份验证方法。

该图向我们证明了业务应用程序开发人员在世界各地都是相同的...他们看不到实施高级帐户访问保护机制并分享相同的误解的好处。 只有监管者的行动才能有所作为。

我们不会触摸密码。 但是，您应该考虑什么才能认为安全性问题比加密令牌更安全？ 基本选择的控制问题的有效性估计为15％，没有被窃取的令牌-仅10个。至少可以观看电影“欺骗的幻象”，尽管以寓言形式显示了魔术师多么容易地诱骗了骗子商人所有必要的东西。答案使他一无所有。

还有一个事实充分说明了负责用户应用程序中安全机制的人员的资格。 在他们的理解中，输入密码的过程比使用密码令牌进行身份验证更简单。 虽然，将令牌连接到USB端口并输入简单的PIN码似乎比较容易。

重要的是要注意，强身份验证的实施使企业不再考虑阻止身份验证方案和工作规则来阻止欺诈性方案满足其客户的实际需求。

对于使用强身份验证的企业和不使用强身份验证的企业而言，合规性是谨慎的重中之重，但已经使用强身份验证的身份验证公司更有可能说增加客户忠诚度是是评估身份验证方法时要考虑的最重要指标。 （分别为18％和12％）（图10）。

企业认证

自2017年以来，企业中强身份验证的实施一直在增长，但比消费者应用程序要适度得多。 使用强身份验证的企业比例从2017年的7％增加到2018年的12％。与用户应用程序不同，在企业环境中，Web应用程序中非密码身份验证方法的使用比移动设备更常见。 大约一半的企业报告在登录时仅使用用户名和密码来对用户进行身份验证，五分之一（22％）的企业在访问敏感数据时（ 即用户首先登录到应用程序，使用更简单的身份验证方法，并且如果他想学习对关键数据的访问，他将执行另一个身份验证过程，这次通常使用更可靠的方法 。

您需要了解，该报告未考虑在Windows，Linux和Mac OS X操作系统中使用加密令牌进行两因素身份验证。而这是2FA的最广泛使用。 （A，根据FIDO标准创建的令牌只能在Windows 10上实现2FA）。

此外，如果在线和移动应用程序中2FA的实现需要一套措施（包括这些应用程序的完成），那么对于Windows中2FA的实现，您只需要在AD中配置PKI（例如基于Microsoft认证服务器）和身份验证策略。

并且由于保护工作PC和域的入口是保护公司数据的重要元素，因此两因素身份验证的实现变得越来越多。

进入系统时，用户身份验证的接下来两种最常见的方法是通过单独的应用程序提供的一次性密码（占企业的13％）和通过SMS提供的一次性密码（占12％）。 尽管使用这两种方法的百分比非常相似，但是OTP SMS最常用于提高授权级别（在24％的公司中）。 （图12）。



企业中使用强身份验证的增加可能可以用企业身份管理平台上加密身份验证方法的实现的可用性增加来解释（换句话说，企业SSO和IAM系统已经学会了如何使用令牌）。

对于员工和承包商的移动身份验证，企业在消费者应用程序中比在身份验证中更依赖密码。 略超过一半（53％）的企业使用密码来验证用户通过移动设备对公司数据的访问（图13）。

在移动设备的情况下，人们可能会相信生物识别技术的强大功能，即使在许多情况下，印刷品，声音，面部甚至虹膜的伪造品也无法获得。 单个搜索查询将显示根本不存在可靠的生物特征认证方法。 确实存在真正精确的传感器，但它们非常昂贵且尺寸很大-并且未安装在智能手机中。

因此，移动设备中唯一可行的2FA方法是使用通过NFC，蓝牙和USB Type-C接口连接到智能手机的加密令牌。

保护公司的财务数据是投资自2017年以来增长最快的非密码身份验证（44％）的主要原因（增长了8个百分点）。 以下是知识产权（40％）和人员（HR）数据（39％）的保护。 这是可以理解的原因-不仅与这些类型的数据相关的价值得到了广泛认可，而且只有很少数量的员工也与之合作。 也就是说，实施成本并不算高，只有少数人需要学习如何使用更复杂的身份验证系统。 相比之下，大多数企业员工通常访问的数据和设备的类型仍然仅受密码保护。 员工文档，工作站和公司电子邮件门户是最大的风险领域，因为只有四分之一的企业使用无密码身份验证来保护这些资产（图14）。

通常，公司电子邮件是非常危险和“泄漏”的事情，大多数CIO都低估了它的潜在危险程度。 每天，员工都会收到数十封电子邮件，所以为什么在其中甚至没有一封网络钓鱼（即欺诈）邮件。 这封信将以公司信件的形式发出，因此员工将不用担心就单击该信件中的链接。 好吧，那可能就是任何事情，例如，将病毒加载到被攻击的计算机上或耗尽密码（包括通过输入由攻击者创建的虚假身份验证表进行的社交工程）。

为防止此类情况发生，必须对电子邮件进行签名。 然后，将立即清楚地知道哪个字母是由合法雇员创建的，以及哪个攻击者。 例如，在Outlook / Exchange中，基于加密令牌的电子签名非常快速，简单地包含在内，并且可以与PC和Windows域中的两因素身份验证结合使用。

在仅依靠企业内部密码身份验证的高管中，有三分之二（66％）这样做是因为他们认为密码为公司需要保护的信息类型提供了足够的安全性（图15）。

但是强大的身份验证方法正变得越来越普遍。 很大程度上是由于它们的可用性正在增加。 越来越多的身份和访问控制（IAM），浏览器和操作系统支持使用加密令牌的身份验证。

强身份验证还具有另一个优势。 由于不再使用该密码（用一个简单的PIN代替），因此没有员工要求更改忘记的密码的请求。 这反过来减轻了企业IT部门的负担。

总结与结论

1. 管理人员通常没有必要的知识来评估各种身份验证选项的实际有效性。 他们习惯于信任过时的安全性方法，例如密码和安全性问题，仅仅是因为“它曾经起作用”。
2. 用户对这些知识的了解程度甚至更低 ，因为他们的主要目的是简单和方便 。 到目前为止，他们没有动力选择更安全的解决方案 。
3. 定制应用程序开发人员通常没有理由实施两因素身份验证而不是密码身份验证。 用户应用程序的保护级别没有竞争。
4. 黑客的所有责任都转移给了用户 。 他把一次一次性的密码叫给攻击者- 怪罪 。 您的密码遭到拦截或间谍- 怪罪 。 我不要求开发人员在产品中使用可靠的身份验证方法-这应该怪 。
5. 正确的监管者首先应要求公司实施阻止数据泄漏的解决方案（尤其是两因素身份验证），而不是对已经发生的数据泄漏进行惩罚。
6. 一些软件开发人员正试图以精美的 “创新”产品包装将旧的，不是特别可靠的解决方案出售给消费者。 例如，通过绑定到特定的智能手机或使用生物识别技术进行身份验证。 从报告中可以看到，只有基于强身份验证的解决方案（即加密令牌） 才是真正可靠的 。
7. 相同的密码令牌可以用于许多任务 ：在企业操作系统，公司和用户应用程序中进行强身份验证 ，金融交易的电子签名 （对于银行应用程序很重要），文档和电子邮件。