認証とパスワードはどうなりますか？ ジャベリンレポート翻訳「強力な認証ステータス」とコメント

レポートのタイトルからのネタバレ「強力な認証を使用するケースの数は、新しいリスクの脅威と規制当局の要件のために増加しました」。

調査会社のJavelin Strategy＆Researchは、レポートThe State of Strong Authentication 2019（ pdf形式のオリジナルはこちらからダウンロードできます ）を公開しました。 このレポートでは、パスワードを使用している米国および欧州の企業の割合（および現在パスワードを使用している人が少ない理由）; 暗号化トークンに基づく2要素認証を使用する割合が急速に増加している理由; SMS経由で送信されるワンタイムコードが安全でない理由。



企業およびユーザーアプリケーションでの現在、過去、および将来の認証のトピックに興味のある方は大歓迎です。



レポートの第2部

復習

今日、顧客とのコミュニケーションのデジタルチャネルは、ビジネスにとってかつてないほど重要になっています。 また、企業内では、従業員間のコミュニケーションがこれまで以上にデジタル環境に焦点を当てています。 また、これらの対話がどの程度安全であるかは、選択したユーザー認証方法によって異なります。 攻撃者は、弱い認証を使用してユーザーアカウントを大量にハッキングします。 これに対応して、規制当局は、企業がユーザーアカウントとデータをより適切に保護できるように基準を厳しくしています。



認証に関連する脅威は、コンシューマアプリケーションだけでなく、攻撃者が企業内で実行されているアプリケーションにアクセスする可能性があります。 このような操作により、企業ユーザーになりすますことができます。 弱い認証アクセスポイントを使用する攻撃者は、データを盗み、他の詐欺行為を実行できます。 幸いなことに、これに対処する手段があります。 強力な認証は、消費者アプリケーションと企業のビジネスシステムの両方で、攻撃者による攻撃のリスクを大幅に削減するのに役立ちます。



この調査では、企業がユーザーアプリケーションと企業ビジネスシステムを保護するために認証を実装する方法を調べています。 認証ソリューションを選択する際に考慮する要素。 組織で強力な認証が果たす役割。 これらの組織が受けるメリット。

まとめ

主な調査結果

2017年以降、強力な認証を使用する割合は急増しています。 従来の認証ソリューションに影響を与える脆弱性の増加に伴い、組織は強力な認証により認証機能を強化しています。 暗号化（MFA）を使用した多要素認証を使用する組織の数は、消費者向けの2017年以降3倍になり、エンタープライズアプリケーション向けにほぼ50％増加しています。 バイオメトリック認証の可用性が高まるため、モバイル認証で最も急速な成長が見られます。

ここでは、「雷が鳴るまで、男は自分自身を交差させない」ということわざの図を見ることができます。 専門家がパスワードの脆弱性について警告したとき、二要素認証の実装を急ぐ人はいませんでした。 ハッカーがパスワードを盗み始めるとすぐに、二要素認証を実装し始めました。



確かに、個人は2FAの導入により積極的です。 第一に、スマートフォンに組み込まれた生体認証に依存しているため、彼らは不安を鎮めやすくなります。これは実際には非常に信頼性が低いものです。 組織は、トークンの購入に投資し、その実装に関する作業（実際には非常に簡単です）を実施する必要があります。 そして、第二に、怠oneな人だけがFacebookやDropboxなどのサービスからのパスワード漏洩について書いていませんが、これらの組織のITディレクターは、組織でパスワードが盗まれた方法（および次に起こったこと）についての話を共有しません。

強力な認証を使用しない人は、企業や顧客に対するリスクを過小評価しています。 現在、強力な認証を使用していない組織の中には、ログインとパスワードを最も効果的で使いやすいユーザー認証方法の1つと見なす傾向があります。 他の人は、所有するデジタル資産の価値を見ません。 結局のところ、サイバー犯罪者はあらゆる消費者およびビジネス情報に関心があることを考慮する価値があります。 従業員の認証にパスワードのみを使用する企業の3分の2は、パスワードが保護する情報の種類に十分であると考えているため、これを行っています。



しかし、パスワードは墓に向かっています。 過去1年間で、組織が従来のMFAと強力な認証の使用を拡大するにつれて、コンシューマアプリケーションと企業アプリケーションのパスワード依存性が大幅に減少しました（それぞれ44％から31％、56％から47％）。

しかし、状況を全体として評価すると、脆弱な認証方法が依然として普及しています。 ユーザー認証では、約4分の1の組織がSMS OTP（ワンタイムパスワード）とセキュリティの質問を使用しています。 その結果、脆弱性から保護するために追加の保護手段を実装する必要があり、コストが増加します。 ハードウェア暗号キーなど、はるかに信頼性の高い認証方法の使用は、組織の約5％で使用される頻度がはるかに少なくなります。



進化する規制環境は、消費者アプリケーション向けの強力な認証の実装を加速することを約束します。 PSD2の導入と、EUおよびカリフォルニアなどのいくつかの米国の州における新しいデータ保護規則により、企業はそれが熱くなっていると感じています。 ほぼ70％の企業が、顧客の強力な認証を確保するための厳しい規制圧力に直面していることに同意しています。 半数以上の企業が、数年後には認証基準が規制基準を満たすには不十分になると考えています。

プログラムとサービスのユーザーの個人データの保護に対するロシアと米国の欧州の立法者のアプローチの違いは、明らかに顕著です。 ロシア人は言う：親愛なるサービスの所有者、あなたが望むこととあなたが望むことをするが、もしあなたの管理者がベースをマージしたら、私たちはあなたを罰するでしょう。 彼らは海外で言う：あなたはベースが統合されることを許さない一連の手段を導入しなければならない。 そのため、強力な2要素認証が存在するための要件が​​MightとMainで導入されています。

確かに、私たちの立法機関がある時点でその感覚に達しず、西洋の経験を考慮に入れないという事実からはほど遠い。 それから、誰もがロシアの暗号規格に対応する2FAを緊急に実装する必要があることがわかりました。

強固な認証基盤を作成することにより、企業は規制遵守から顧客満足に焦点を移すことができます。 単純なパスワードを使用するか、SMSを介してコードを受信する組織にとって、認証方法を選択する際の最も重要な要素は、規制要件への準拠です。 ただし、すでに強力な認証を使用している企業は、顧客ロイヤルティを高める認証方法の選択に集中できます。



企業内で企業認証の方法を選択する場合、規制当局の要件はもはや重要な要素ではありません。 この場合、統合の容易さ（32％）とコスト（26％）がはるかに重要です。



フィッシングの時代、サイバー犯罪者は企業の電子メールを使用して不正にデータやアカウントにアクセスし（適切なアクセス権を使用）、従業員を説得して口座に送金することさえできます。 したがって、企業のメールアカウントとポータルは特に十分に保護する必要があります。



Googleは強力な認証によりセキュリティを強化しています。 Googleは2年以上前に、FIDO U2F標準に準拠した暗号化セキュリティキーに基づく2要素認証の実装に関するレポートを公開し、印象的な結果を報告しました。 同社によれば、85,000人以上の従業員に対して1回のフィッシング攻撃は行われていません。

推奨事項

モバイルおよびオンラインアプリケーションに強力な認証を実装します。 暗号化キーに基づく多要素認証は、従来のMFA方式よりもハッキングに対してはるかに信頼性があります。 さらに、パスワード、ワンタイムパスワード、または生体認証データをユーザーのデバイスから認証サーバーに送信および送信する必要がないため、暗号化キーを使用する方がはるかに便利です。 さらに、認証プロトコルを標準化することで、新しい認証方法が利用可能になったときに実装がはるかに簡単になり、使用コストが削減され、より複雑な不正スキームから保護されます。



ワンタイムパスワード（OTP）の日没に備えましょう。 サイバー犯罪者がソーシャルエンジニアリング、スマートフォンのクローン作成、マルウェアを使用してこれらの認証ツールを侵害すると、OTPに固有の脆弱性がますます明らかになります。 また、OTPに特定の利点がある場合は、セキュリティの観点からではなく、すべてのユーザーのユニバーサルアクセシビリティの観点からのみです。

SMSまたはプッシュ通知によるコードの受信、およびスマートフォン用のプログラムを使用したコードの生成に気付かないことは不可能です-これは、日没に備えるために提供されている同じワンタイムパスワード（OTP）の使用です。 技術的な観点から見ると、まれな詐欺師はだまされやすいユーザーからワンタイムパスワードを取得しようとしないため、ソリューションは非常に正確です。 しかし、そのようなシステムの製造業者は、最後に死にかけている技術にしがみつくと思います。

強力な認証をマーケティングツールとして使用して、顧客の信頼を高めます。 強力な認証は、ビジネスの実際のセキュリティを向上させるだけではありません。 お客様のビジネスが強力な認証を使用していることを顧客に通知することで、このビジネスのセキュリティに対する一般の認識を強化できます。これは、信頼できる認証方法に対する顧客の需要が大きい場合の重要な要因です。



企業データの重要性について徹底的なインベントリと評価を実施し、重要性に応じて保護します。 顧客の連絡先情報などの低リスクデータ（ ただし、レポートでは「低リスク」と言われていますが、この情報の重要性を過小評価しているのは非常に奇妙です ）は、詐欺師に大きな価値をもたらし、企業に問題を引き起こす可能性があります。



企業で強力な認証を使用します。 多くのシステムが犯罪者にとって最も魅力的な標的です。 これらには、会計プログラムや企業データストレージなどの内部およびインターネット接続システムが含まれます。 強力な認証では、攻撃者が不正アクセスを取得することはできません。また、どの従業員が悪意のある活動を行ったかを正確に判断することもできます。

強力な認証とは何ですか？

強力な認証を使用する場合、いくつかの方法または要素を使用してユーザーを認証します。

• 知識要素：ユーザーとユーザー認証サブジェクトの間の共有秘密（パスワード、秘密の質問への回答など）
• 所有権要因：ユーザーのみが所有するデバイス（モバイルデバイス、暗号化キーなど）
• 不特定要因：ユーザーの物理的（多くの場合、生体認証）特性（指紋、虹彩パターン、声、行動など）

さまざまな要因を回避または欺くには、各要因ごとにいくつかのタイプのハッキング戦術を使用する必要があるため、いくつかの要因をハッキングする必要があると、攻撃者の失敗の可能性が大幅に高まります。

たとえば、2FAの「パスワード+スマートフォン」では、攻撃者はユーザーのパスワードを見て、スマートフォンの正確なソフトウェアコピーを作成することで認証できます。 そして、これは単にパスワードを盗むよりもはるかに複雑です。



ただし、2FAにパスワードと暗号化トークンが使用されている場合、コピーオプションはここでは機能しません。トークンを複製することはできません。 詐欺師はユーザーからトークンを静かに盗む必要があります。 ユーザーが時間の損失に気付いて管理者に通知すると、トークンはブロックされ、詐欺師の仕事は無駄になります。 そのため、所有要因として、汎用デバイス（スマートフォン）ではなく、特殊な保護されたデバイス（トークン）を使用する必要があります。



3つの要素すべてを使用すると、この認証方法を実装するのに非常に費用がかかり、使用するのに非常に不便になります。 したがって、通常、3つの要因のうち2つが使用されます。



2要素認証の原則については、「2要素認証の仕組み」セクションで詳しく説明します 。

強力な認証で使用される認証要素の少なくとも1つが公開キー暗号化を使用する必要があることに注意することが重要です。



強力な認証は、従来のパスワードと従来のMFAに基づく単一要素認証よりもはるかに強力な保護を提供します。 パスワードは、キーロガー、フィッシングサイト、またはソーシャルエンジニアリングに基づく攻撃（詐欺された被害者が自分でパスワードを送信する場合）の助けを借りて、スパイまたは傍受される可能性があります。 さらに、パスワードの所有者は盗難について何も知りません。 従来のMFA（OTPコード、スマートフォンまたはSIMカードへのバインドを含む）も、公開キー暗号化に基づいていないため、非常に簡単にハッキングできます（ ちなみに、詐欺師が同じソーシャルエンジニアリング手法を使用してユーザーを説得しようとした例は多数あります）ワンタイムパスワードを提供します ）。



幸いなことに、昨年以来、強力な認証と従来のMFAの使用が、コンシューマアプリケーションとエンタープライズアプリケーションの両方で勢いを増しています。 コンシューマアプリケーションでの強力な認証の使用は、特に急速に増加しています。 2017年に5％の企業でしか使用されていなかった場合、2018年には既に3倍の16％になっています。 これは、公開キー暗号化（PKC）アルゴリズムをサポートするトークンの可用性の向上によって説明できます。 さらに、PSD2やGDPRなどの新しい情報保護規則の採用後の欧州規制当局の圧力の高まりは、ヨーロッパ以外（ ロシアを含む ）でも強い影響を及ぼしました。

これらの数値を詳しく見てみましょう。 ご覧のとおり、1年で多要素認証を使用している個人の割合は11％増加しました。 また、プッシュ通知、SMS、および生体認証のセキュリティを信じる人々の数は変わらないため、これはパスワード愛好家を犠牲にして明らかに起こりました。



しかし、企業での使用のための2要素認証では、すべてがそれほど良くありません。 まず、レポートによると、パスワード認証からトークンに移行した従業員はわずか5％でした。 次に、企業環境で代替MFAオプションを使用する人の数が4％増加しました。



アナリティクスをプレイして、自分で解釈してみます。 個々のユーザーのデジタル世界の中心にはスマートフォンがあります。 そのため、デバイスが提供する機能（バイオメトリック認証、SMS、プッシュ通知、およびスマートフォン自体のアプリケーションによって生成されるワンタイムパスワード）のほとんどがデバイスを使用することは驚くことではありません。 通常、人々は通常のツールを使用するとき、安全性と信頼性について考えません。



そのため、原始的な「従来の」認証要素のユーザーの割合は変化しません。 しかし、以前にパスワードを使用した人は、どれだけリスクがあるかを理解しており、新しい認証要素を選択するとき、最新かつ最も安全なオプションである暗号トークンで停止します。



企業市場に関しては、どのシステム認証が実行されるかを理解することが重要です。 Windowsドメインへのログインが実装されている場合、暗号化トークンが使用されます。 2FAでそれらを使用する可能性は、WindowsとLinuxの両方に既に組み込まれており、代替オプションを実装することは長く困難です。 パスワードからトークンへの5％の移行はこれで終わりです。



また、企業情報システムでの2FAの実装は、開発者の資格に大きく依存しています。 また、開発者がワンタイムパスワードを生成するための既成のモジュールを使用する方が、暗号化アルゴリズムの機能を理解するよりもはるかに簡単です。 その結果、シングルサインオンや特権アクセス管理などのセキュリティが重要なアプリケーションでも、OTPを2番目の要素として使用します。

従来の認証方法の多くの脆弱性

多くの組織は従来の単一要素システムに依存していますが、従来の多要素認証の脆弱性はますます明らかになってきています。 SMS経由で配信される通常6〜8文字のワンタイムパスワードは、（パスワードの知識要素に加えて）最も一般的な認証形式のままです。 そして、「二要素認証」または「二段階検証」という言葉が人気のあるマスコミで言及されている場合、それらはほとんど常にワンタイムSMSパスワードを使用した認証を指します。

ここで著者は少し間違えています。 SMSを介したワンタイムパスワードの配信は、二要素認証ではありませんでした。 これは、2段階認証の第2段階である純粋な形式であり、第1段階はログインとパスワードの入力です。

2016年、米国国立標準技術研究所（NIST）は、SMSを介して送信されたワンタイムパスワードの使用を除外するように認証規則を更新しました。 ただし、これらのルールは、業界での抗議の後、大幅に緩和されました。

だから、プロットに従ってください。 アメリカの規制当局は、時代遅れの技術ではユーザーの安全を確保できないことを正しく認識し、新しい基準を導入しています。 オンラインおよびモバイルアプリケーション（銀行を含む）のユーザーを保護するために設計された標準。 業界は、真に信頼性の高い暗号トークンの購入、アプリケーションの再作成、公開鍵インフラストラクチャの展開、および「後脚に立って」にどれだけのお金を費やす必要があるのか​​と考えています。 一方では、ユーザーはワンタイムパスワードの信頼性を確信しており、他方では、NISTに対する攻撃がありました。 その結果、標準が緩和され、ハッキング、パスワードの盗難（および銀行アプリケーションからの金銭）の数が急激に増加しました。 しかし、業界はそれをやめる必要はありませんでした。

それ以来、SMS OTPに固有の弱点がより明らかになりました。 詐欺師は、SMSメッセージを侵害するさまざまな方法を使用します。

• SIMカードの複製。 攻撃者はSIMのコピーを作成します（モバイルオペレーターの従業員の助けを借りて、または独自に特別なソフトウェアとハ​​ードウェアを使用して ）。 その結果、攻撃者はワンタイムパスワード付きのSMSを受け取ります。 特によく知られているケースの1つでは、ハッカーは暗号通貨投資家のマイケルテルピンのAT＆Tアカウントを侵害し、暗号通貨でほぼ2400万ドルを盗むことができました。 その結果、Terpinは、SIMカードの複製につながった弱い検証方法の責任をAT＆Tが負わなければならないと述べました。

  素晴らしいロジック。 つまり、AT＆Tだけが責任があるのでしょうか？ いいえ、通信サロンの売り手がSIMカードの複製を発行したという事実におけるモバイル事業者の過失は疑う余地がありません。 暗号通貨交換認証システムはどうですか？ なぜ信頼できる暗号化トークンを使用しなかったのですか？ 導入のためのお金は残念でしたか？ マイケル自身のせいではないですか？ なぜ彼は認証メカニズムの変更を主張しなかったのか、暗号トークンに基づく2要素認証を実装する交換のみを使用しなかったのですか？
  
  
  
  真に信頼できる認証方法の導入は、ハッキングする前にユーザーが驚くほど無謀であり、その後、古代の「穴のあいた」認証技術以外のあらゆるものを非難するため、遅れています。

• 悪意のあるプログラム モバイルマルウェアの最も初期の機能の1つは、テキストメッセージを傍受してサイバー犯罪者に転送することでした。 また、Man-in-the-BrowserおよびMan-in-the-Middle攻撃は、感染したラップトップまたはデスクトップデバイスに入力されたワンタイムパスワードを傍受する可能性があります。
  
  

  スマートフォンのSberbankアプリケーションがステータスバーの緑色のアイコンを点滅させると、スマートフォンの「マルウェア」も探しています。 このイベントの目的は、典型的なスマートフォンの信頼できないランタイムを、少なくとも何らかの形で信頼できるものに変えることです。
  
  ところで、スマートフォンは、何でも実行できる絶対に信頼できないデバイスとして、保護され、ウイルスやトロイの木馬のない認証にハードウェアトークンのみを使用するもう1つの理由です。

• ソーシャルエンジニアリング。 詐欺師は、被害者がSMSを介してワンタイムパスワードを持っていることを知った場合、銀行や信用組合などの信頼できる組織を装って被害者に直接連絡し、被害者をだまして、受け取ったコードを提供することができます。
  
  

  たとえば、人気のあるオンラインフリーマーケットで何かを販売しようとしたときに、個人的にこのタイプの詐欺に繰り返し遭遇しました。 私自身は私をだまそうとする詐欺師をsc笑しました。 しかし悲しいかな、私は詐欺師の次の犠牲者が「考えなかった」とニュースで定期的に読み、確認コードを報告し、大量を失いました。 そしてこれは、銀行がアプリケーションで暗号トークンの実装を台無しにしたくないだけだからです。 結局、何かが起こった場合、顧客は「非難する」ことになります。

ワンタイムパスワードを配信する別の方法でこの認証方法の脆弱性を緩和できますが、他の脆弱性は残ります。 悪意のあるプログラムでもコードジェネレーターと直接やり取りできないため、スタンドアロンのコード生成アプリケーションは傍受に対する最良の保護です （ 真剣ですか？レポート作成者はリモートコントロールを忘れていましたか？ ）、しかし、ブラウザに入るとき（ たとえば、キーロガー ）、ハッキングされたモバイルアプリケーションを介して; また、ソーシャルエンジニアリングを通じてユーザーから直接取得することもできます。

デバイス認識（ 合法ユーザーに属さないデバイスから操作を実行する試みを識別する ）、ジオロケーション（ ノボシビルスクから操作を実行しようとしているモスクワにいるユーザー ）、行動分析などのいくつかのリスク評価ツールの使用は、脆弱性を排除するために非常に重要ですが、 1つの解決策は万能薬ではありません。 状況とデータタイプごとに、リスクを慎重に評価し、使用する認証テクノロジを選択する必要があります。

認証ソリューションは万能薬ではありません

図2.認証オプションの表

セキュリティキーは、レポートに示されたトークンであり、FIDO標準（U2FまたはFIDO2）に従って作成されます。 この標準に従って作成されたトークンは、ハードウェアOTPにもないように、実際には保護されていません-デバイスを盗んだり見つけたりした人は、正当な所有者に代わって行動することができます（もちろん、パスワードを見つけない限り）。



ただし、従来の暗号化トークンとスマートカードはPINコードで保護されています。 作業を開始する前に、ユーザーはUSB、Bluetooth、NFC、またはSmartCard Readerを介してトークンをデバイスに接続します。 次に、保護されたトークンメモリへのアクセスをロック解除し、認証を許可するPINコードを入力します。 PINコードはサーバーに送信されないため、送信中に傍受することはできません。 パスワードとは異なり、簡単で覚えやすいものにすることができます。 このPINコードは知識要素であるため、暗号化トークン/スマートカードを使用した2要素認証を簡単に整理できます。



したがって、暗号トークンを除くほとんどすべての認証方法に欠陥があります。



出版物の第2部では、最もおいしいものが私たちを待っています-最初の部で与えられた結論と推奨事項に基づいている数字と事実。 ユーザーアプリケーションおよび企業システムでの認証については、別途説明します。