리서치 회사는 조직이 오래된 온라인 보안 관행과 증가하는 침해를 고려하여 고수준 보안 보장 강력한 인증을 채택할 것을 권장합니다
2017년 10월 24일, MONEY20/20 라스베이거스 — Javelin Strategy & Research 에 따르면 기업들은 계속해서 비밀번호에 의존하고 있으며, 추가 인증 요소를 구현하는 기업들은 데이터 침해에 취약한 정적 질문 및 SMS 일회용 비밀번호(OTP)와 같은 구식 옵션을 선택하고 있습니다 새로운 “2017 인증 현황 보고서”가 오늘 발표되었습니다. Javelin은 기업이 기존 인증 방법에 대한 공격이 점점 더 효과적으로 수행됨에 따라 보안을 강화하기 위해 여러 요소 중 하나로 공개 키 암호화를 활용하는 즉시 사용 가능한 고수준 보안 보장 강력한 인증을 채택할 것을 권장합니다.
FIDO Alliance가 후원하는 보고서 는 미국 기업들의 고객 및 기업(직원) 인증 현황을 분석합니다. 강력한 인증이 어떻게 진화하고 있는지 살펴보고, 업계의 인증 솔루션 채택에 영향을 미치는 요인에 대해 자세히 분석합니다. 다음에서 다운로드할 수 있습니다. https://fidoalliance.org/2017-state-authentication-report/ .
보고서의 주요 결과는 다음과 같습니다.
- 대부분의 경우 회사 IP와 해커 사이에 유일한 것은 암호입니다. 비밀번호의 대량 유출로 인해 크리덴셜 스터핑 봇넷 공격으로 인한 소비자 계정 사기 및 네트워크 수준 공격 위험이 증가했지만, 전체 기업의 절반 이상이 여전히 회사 IP 및 재무 데이터를 보호하기 위해 비밀번호만 사용하고 있습니다.
- 기업은 기업 내 직원보다 고객에게 강력한 인증을 제공할 가능성이 더 높지만, 두 부문 모두 고수준 보안 보장의 강력한 인증을 채택하는 데 뒤처져 있습니다. 기업의 50%는 고객을 인증할 때 최소 두 가지 요소를 제공하지만, 데이터 및 시스템에 대한 직원 인증에 두 가지 이상의 요소를 사용하는 기업은 35%에 불과합니다. 이 두 가지 중에서도 고수준 보안 보장의 강력한 인증은 드물며, 5%의 기업만이 고객에게 이 기능을 제공하거나 기업 내에서 이를 활용하고 있습니다.
- 기업은 여전히 소유가 아닌 지식에 의존합니다. 가장 취약한 인증 요소는 여전히 가장 인기 있고 일반적이며, 소유가 아닌 지식을 기반으로 합니다. 기업은 온라인 고객 인증을 위한 추가 요소로 비밀번호와 정적 질문(31%) 또는 SMS OTP(25%)를 사용하고 있다. 기업에서 비밀번호에 대한 다음으로 가장 일반적인 인증 방법은 정적 질문(26%)입니다. 보안 키 또는 기기 내 생체 인식과 같이 소유를 전제로 하는 요소는 표준이 아닌 예외로 유지됩니다.
- 통합 및 사용자 경험이 우선 순위입니다. 보고서에 따르면 기업의 인증 솔루션 구현은 대부분 솔루션의 통합 용이성에 의해 주도됩니다. 또한 솔루션이 사용자 경험에 부정적인 영향을 미치는 것으로 인식되는 경우 회사는 정적 보안 질문과 같은 더 쉬운 두 번째 요소에 의존할 것입니다.
Javelin Strategy & Research의 수석 부사장 겸 리서치 디렉터인 Al Pascual은 “모든 다단계 인증 조합이 동일하게 생성되는 것은 아니며, 이제는 강력한 인증 방법을 측정할 수 있는 새로운 척도를 설정해야 할 때”라고 말했습니다. “많은 소비자 장치에는 고수준 보안 보장의 강력한 인증을 가능하게 하는 기능이 내장되어 있어 모든 이해 관계자의 비용과 복잡성을 줄이고 있습니다. 우리는 고수준 보안 보장의 강력한 인증의 채택이 앞으로 몇 달, 몇 년 동안 증가할 것이며 자격 증명 도난으로 인한 데이터 침해는 감소할 것이라고 믿습니다.”
고수준 보안 보장의 강력한 인증은 피싱, 메시지 가로채기(man-in-the-middle) 및/또는 자격 증명을 대상으로 하는 기타 공격(암호, 정적 질문 및 OTP의 알려진 취약점)에 취약하지 않습니다. Javelin은 기업이 고수준 보안 보장을 강력하게 고려할 것을 권장합니다.
- 위반 후 인증을 강화하기 위해. 보완 및 가능한 지식 요소 솔루션. 위반이 발생할 경우 기업은 수정 계획과 동시에 추가적인 고수준 보안 보장 인증 솔루션을 계층화하는 것이 좋습니다.
- 잠재 고객과의 가치 제안을 강조할 때 차별화 요소로. 고수준 보안 보장의 강력한 인증을 사용하는 것은 효과적인 예방 조치이자 잠재 고객과 고객에게 공급업체와 안전하게 거래할 수 있다는 메시지입니다.
- 기업 내에서 중요한 위치. 내부자 위협의 매력적인 표적이 되는 모든 인터넷 연결 및 내부 시스템에는 고수준 보안 보장의 강력한 인증이 있어야 합니다.
“오늘날 많은 상업 거래가 인터넷을 통해 이루어지고 있으며, 암호와 일회용 암호조차도 오늘날의 위협에 대한 충분한 보호를 제공하지 못한다는 것을 여러 번 목격했습니다”라고 FIDO Alliance의 전무 이사인 Brett McDowell은 말했습니다. “자격 증명을 장치에 바인딩하여 도난당할 수 없도록 하는 더 강력한 ‘고수준 보안’ 인증 옵션이 이제 널리 사용되고 있으며, 이 보고서는 기업이 고객과 직원 모두에게 이러한 옵션을 사용할 수 있도록 명확한 지침을 제공합니다.”
Javelin의 Al Pascual과 FIDO Alliance의 Brett McDowell은 10월 25일 Money20/20에서 “Identity is Fundamental: What You Need to Know About Identity & The Future of Money” 워크숍에서 “2017 인증 현황 보고서”에 대해 논의할 예정입니다. 자세한 내용은 다음을 방문하십시오. https://us.money2020.com/sessions/identity-is-fundamental-what-you-need-to-know-about-identity-the-future-of-money
2017년 인증 현황 보고서에 대해 자세히 알아보는 데 관심이 있는 사람은 11월 16일 목요일 오후 12:00(동부 표준시)에 열리는 무료 웨비나에 참석해야 합니다. Javelin Research 2017 인증 현황 보고서 웨비나에 등록하십시오 .
보고서 방법론:
“2017 인증 현황 보고서”는 Javelin Strategy & Research에서 개발하고 FIDO Alliance가 후원했습니다. 이 보고서는 인증된 고객 온라인 또는 모바일 포털을 보유한 200개 기업과 인증된 직원 포털을 보유한 200개 기업을 대상으로 한 두 개의 온라인 설문조사에서 수집한 데이터와 인사이트를 기반으로 합니다. 또한 기업 인증 정책에 영향을 미치는 역할을 맡고 있는 업계 경영진과 실시한 심층 인터뷰를 통해 조사 결과가 보강되었습니다. 강력한 고수준 보안 보장 인증의 정의는 NIST(National Institute of Standards and Technology)의 업데이트된 지침(NIST SP800-63-3)을 기반으로 합니다.
FIDO 얼라이언스 소개
FIDO(Fast IDentity Online) Alliance(www.fidoalliance.org)는 강력한 인증 간의 상호 운용성 부족을 해결하기 위해 2012년 7월에 결성되었습니다 기술을 사용하여 사용자가 여러 사용자 이름과 암호를 만들고 기억할 때 직면하는 문제를 해결할 수 있습니다. FIDO 얼라이언스는 비밀번호에 대한 의존도를 낮추는 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 세트를 정의하는 더 간단하고 강력한 인증 표준을 통해 인증의 본질을 바꾸고 있습니다. FIDO 인증은 더 강력하고, 비공개이며, 온라인 서비스에 인증할 때 사용하기 쉽습니다.
