調査会社は、時代遅れのオンラインセキュリティ慣行と侵害の増加に照らして、組織が高保証の強力な認証を採用することを推奨しています
2017 年 10 月 24 日、ラスベガス、MONEY20/20 — Javelin Strategy & Research によると 、企業は引き続きパスワードに依存しており、追加の認証要素を実装している企業は、静的な質問や SMS ワンタイムパスワード (OTP) などの時代遅れのオプションを選択しているため、データ侵害に対して脆弱になっています 本日公開した「2017年認証状況レポート」です。 Javelinは、従来の認証方法に対する攻撃がますます効果的になっていることを踏まえて、セキュリティを強化するために、複数の要素の1つとして公開鍵暗号を利用する、すぐに利用できる高保証の強力な認証を企業に採用することを推奨しています。
このレポートは、FIDOアライアンスが後援しています は、米国企業における顧客と企業(従業員)の認証状況を分析しています。 本書では、強力な認証がどのように進化しているかを検証し、各業界の認証ソリューション導入に影響を与える要因の詳細な内訳を提供している。 からダウンロードできます。 https://fidoalliance.org/2017-state-authentication-report/ 。
本レポートの主な調査結果は以下の通りです。
- ほとんどの場合、企業のIPとハッカーの間にあるのはパスワードだけです。 パスワードの大量侵害により、消費者アカウントに対する詐欺やクレデンシャルスタッフィングボットネット攻撃によるネットワークレベルの攻撃のリスクが高まっていますが、全企業の半数以上が、企業の知的財産と財務データの保護にパスワードのみを使用しています。
- 企業は、企業内の従業員よりも顧客に強力な認証を提供する傾向がありますが、どちらのセグメントも高保証の強力な認証の採用が遅れています。 50%の企業が顧客認証時に少なくとも2つの要素を提供していますが、データやシステムに対する従業員の認証に2つ以上の要素を使用している企業は35%に過ぎません。 この2つの中で、高保証の強力な認証は稀であり、顧客に機能を提供したり、企業内で活用したりしている企業はわずか5%です。
- 企業は依然として、所有物ではなく知識に依存しています。 最も脆弱な認証要素は、依然として最も一般的で一般的であり、所有ではなく知識に基づいています。 企業は、オンラインでの顧客認証の追加要素として、パスワードと静的な質問(31%)またはSMS OTP(25%)を使用しています。 企業では、パスワードに次いで一般的な認証方法は静的な質問(26%)です。 セキュリティキーやデバイス上の生体認証など、所持を前提とする要素は例外であり、標準ではありません。
- 統合とユーザーエクスペリエンスが優先されます。 レポートによると、企業による認証ソリューションの実装は、主にソリューションの統合の容易さによって推進されています。 また、ソリューションがユーザーエクスペリエンスに悪影響を与えると認識されている場合、企業は静的なセキュリティの質問など、より簡単な2番目の要素に頼ることになります。
「すべての多要素認証の組み合わせが同じように作られているわけではありません。今こそ、強力な認証方法を測定するための新しい基準を設定し、最も強力な認証方法と見なされるものが『高保証』と見なされるときです」と、Javelin Strategy & Researchのシニアバイスプレジデント兼リサーチディレクターであるAl Pascual氏は述べています。 「多くのコンシューマデバイスには、高保証の強力な認証を可能にする機能が組み込まれており、すべての関係者のコストと複雑さが軽減されています。高保証の強力な認証の採用は、今後数か月から数年で増加の一途をたどり、認証情報の盗難によるデータ侵害は減少すると考えています。」
高保証の強力な認証は、パスワード、静的な質問、OTPに関する既知の脆弱性である資格情報を標的としたフィッシング、中間者攻撃、その他の攻撃の影響を受けません。 Javelinは、企業が高保証の強力な認証を強く検討することを推奨しています。
- 侵害後の認証を強化するため。 補足、場合によっては知識要因の解決策。 侵害が発生した場合、企業は修復計画と同時に、追加の高保証認証ソリューションを階層化するのがよいでしょう。
- 見込み客との価値提案を強調する際の差別化要因として。 高保証の強力な認証を使用することは、効果的な予防策であると同時に、見込み客やクライアントに対して、ベンダーと安全に取引できるというメッセージでもあります。
- 企業内で重要な場合。 インサイダー脅威の魅力的なターゲットであるインターネットに接続されたシステムや内部システムには、高保証の強力な認証が必要です。
「今日、私たちの商取引の多くはインターネット上で行われており、パスワードやワンタイムパスコードでさえ、今日の脅威に対する十分な保護を提供していないことを何度も見てきました」と、FIDOアライアンスのエグゼクティブディレクターであるブレット・マクダウェルは述べています。 「認証情報をデバイスにバインドして盗まれないようにする、より強力な「高保証」認証オプションが広く利用可能になりました。このレポートは、顧客と従業員の両方がこれらのオプションを利用できるようにするための明確なガイドを企業に提供します。」
10月25日にMoney20/20で開催されるワークショップ「Identity is Fundamental: What You Need to Know About Identity & The Future of Money」では、JavelinのAl Pascual氏とFIDOアライアンスのBrett McDowell氏が「2017年認証の現状レポート」について議論します。 詳細については、以下をご覧ください。 https://us.money2020.com/sessions/identity-is-fundamental-what-you-need-to-know-about-identity-the-future-of-money
2017年版認証最新レポートの詳細をご覧になりたい方は、11月16日(木)12:00pm(米国東部標準時)に開催される無料ウェビナーにご参加ください。 Javelin Research 2017 State of Authentication Report ウェビナーへのご登録はこちら から。
レポートの方法論:
「2017 State of Authentication Report」は、Javelin Strategy & Researchが開発し、FIDOアライアンスが後援しています。 このレポートの調査結果は、認証された顧客オンラインまたはモバイルポータルを所有する200社と、認証された従業員ポータルを所有する200社を対象とした2つのオンライン調査から収集されたデータと洞察に基づいています。 調査結果は、企業の認証ポリシーに影響を与える役割を担う業界の幹部に対して実施された詳細なインタビューによっても補強されています。 高保証の強力な認証の定義は、米国国立標準技術研究所 (NIST SP800-63-3) の最新のガイダンスに基づいています。
FIDOアライアンスについて
FIDO(Fast IDentity Online)アライアンス(www.fidoalliance.org)は、強力な認証間の相互運用性の欠如に対処するために、2012年7月に設立されました テクノロジー、およびユーザーが複数のユーザー名とパスワードを作成して記憶する際に直面する問題を解決します。 FIDOアライアンスは、パスワードへの依存を軽減する、オープンでスケーラブル、相互運用可能な一連のメカニズムを定義する、よりシンプルで強力な認証のための標準によって、認証の本質を変えようとしている。 FIDO認証は、オンラインサービスへの認証において、より強力でプライベートで使いやすいものです。