Rosnące zapotrzebowanie na silne uwierzytelnianie

Rosnące zapotrzebowanie na lepszy sposób ochrony danych organizacji.

Rynek zarządzania tożsamością i dostępem (IAM) nadal znacząco się rozwija, a jednostki badawcze przewidują roczne tempo wzrostu między 13 a 26 procent.

Ochrona przechowywanych przez siebie danych nigdy nie była ważniejsza dla liderów IT z organizacji o różnych kształtach i rozmiarach, a mimo to wielu pracowników nadal ma dostęp do bezpiecznych danych za pomocą hasła.

Ponieważ dane, które przechowują firmy, rosną wykładniczo, wraz z miejscami, z których pracujemy i urządzeniami, z których korzystamy jako pracownicy, bardzo ważne jest, aby organizacje dysponowały rozwiązaniami zapewniającymi dostęp do właściwych danych odpowiednim osobom.

Hasło: pR0tEct3D

Ale do wszystkiego używamy haseł. Jesteśmy chronieni, prawda?

Hasła, nawet hasła jednorazowe (OTP) są słabymi metodami uwierzytelniania i nie są bezpieczne. Cyberprzestępcy i hakerzy państwowi stosują liczne oszustwa phishingowe, socjotechnikę i brutalne metody kradzieży danych z organizacji przy użyciu słabego uwierzytelniania pracowników.

Jako organizacja standardowo stawiamy na silne uwierzytelnianie. Jednak wielu nadal jest przekonanych, że silne uwierzytelnianie jest zarezerwowane dla dużych firm i dużych budżetów.

Tak nie jest i pracujemy nad zwiększeniem świadomości, że silne uwierzytelnianie jest możliwe do osiągnięcia dla organizacji każdej wielkości.

Piramida uwierzytelniania

Możesz myśleć o cyfrowej tożsamości i hierarchiach zarządzania dostępem raczej jak o piramidzie – choć bardziej jak hierarchia potrzeb Maslowa niż Chufu i Giza.

Piramida ta zapewnia prosty sposób wizualizacji, w jaki sposób fragment uwierzytelniania w krajobrazie IAM rozkłada się i kategoryzuje technologie dostępne obecnie na rynku.

Istnieje niezliczona liczba dostawców uwierzytelniania wieloskładnikowego, ale wiedza o tym, gdzie wszystkie one pasują, a także o zaletach i wadach ich technologii, to nie lada wyczyn.

U podstawy piramidy znajduje się metoda uwierzytelniania o niskim poziomie bezpieczeństwa; hasła, które są przyczyną ponad 80 procent naruszeń danych, są z natury niepewne, uciążliwe dla użytkowników końcowych i równie frustrujące dla zespołów IT.

Następnie mamy hasła jednorazowe (OTP). OTP oferują lepszą ochronę niż same hasła, ale nadal są podatne na ataki w porównaniu z innymi, silniejszymi metodami uwierzytelniania. Na przykład OTP przez SMS, wygenerowany przez serwer i wysłany do urządzenia mobilnego, wymaga od użytkownika końcowego wprowadzenia krótkiego kodu otrzymanego przez SMS w celu zweryfikowania jego tożsamości z serwerem uwierzytelniającym. Słabość tutaj wynika z faktu, że SMS nie jest bezpiecznym kanałem komunikacji; Nieuczciwe aplikacje mogą przechwytywać i przesyłać SMS-y do hakera, nie ma bezpośredniego powiązania poświadczeń z tożsamością użytkownika, a wrażenia użytkownika są słabe. Tokeny OTP są bardziej niezawodne, często opierają się na kryptografii symetrycznej, jednak zazwyczaj opiera się to na wspólnym tajnym kluczu, który może zostać złamany.

Idąc dalej w górę piramidy mamy biometrię. Istnieje przekonanie, że jeśli tylko mogę uzyskać dostęp do tych danych za pomocą odcisku palca, muszą one być bezpieczne, prawda? Nie do końca.

Chociaż biometria jest obsługiwana na wielu różnych urządzeniach i zapewnia dobre wrażenia użytkownika, scentralizowana biometria może być zagrożona. Istnieje ryzyko fałszywych dopasowań, w zależności od używanego sprzętu i oprogramowania, a biometria nadal stanowi pojedynczy czynnik uwierzytelniania. W przypadku polityk IT wymagających środowisk o wysokim poziomie bezpieczeństwa, bezpieczeństwo platformy urządzenia biometrycznego często nie jest wymagane.

Powiadomienia push oferują wyższy poziom bezpieczeństwa uwierzytelniania – w przeciwieństwie do SMS-ów mechanizm push jest zazwyczaj szyfrowany i przez to odporny na ataki. Wymaga to pewnych inwestycji — zazwyczaj w serwer uwierzytelniania i ważne jest, aby wziąć pod uwagę bezpieczeństwo wyzwalacza mechanizmu uwierzytelniania. Chociaż powiadomienie wypychane jest bezpieczne, mechanizm uwierzytelniania przez nie wyzwalany może być mniej bezpieczny.

Faster Identity Online, lepiej znany jako FIDO, znajduje się prawie na szczycie piramidy uwierzytelniania. Oparta na standardach i wykorzystująca kryptografię z kluczem prywatnym/publicznym jest to rozwijająca się metoda uwierzytelniania. PIN, odcisk palca i identyfikator twarzy są obsługiwane przez FIDO, dzięki czemu wrażenia użytkownika są dobre. Ograniczenia FIDO polegają na tym, że jest to bezpieczna tożsamość cyfrowa, ale nie tożsamość cyfrowa powiązana z osobą. Ponieważ klucz publiczny nie jest bezpośrednio powiązany z tożsamością użytkownika, trudno jest udowodnić niezaprzeczalność. Oznacza to, że element uwierzytelniania ogranicza się do logowania – użytkownik nie może bezpiecznie podpisywać ani szyfrować bez dodatkowych rozwiązań. Inwestycja w serwer uwierzytelniający jest również wymagana dla FIDO.

Na samym szczycie piramidy uwierzytelniania znajduje się infrastruktura klucza publicznego (PKI). PKI łączy klucz prywatny z kluczem publicznym i certyfikatem wydanym przez zaufany urząd. Oparte na kryptografii, wykorzystujące kryptografię asymetryczną, po zarejestrowaniu użytkownika certyfikat wiąże klucz z urządzeniem (urządzeniami) tej osoby, z którego uwierzytelnia się za pomocą uwierzytelniania wieloskładnikowego – coś, co posiada (uwierzytelniane urządzenie (urządzenia) oraz coś, co znają ( PIN) i/lub coś, czym są (biometryczne).

Ta metoda uwierzytelniania wieloskładnikowego (MFA) jest oparta na własnych zasadach bezpieczeństwa organizacji, dlatego PKI obsługuje kod PIN, odcisk palca i identyfikator twarzy. PKI wiąże klucz z tożsamością użytkownika, umożliwiając niezaprzeczalność, umożliwiając uwierzytelnianie i autoryzację za pomocą podpisu cyfrowego oraz szyfrowanie użytkowników. Ponadto transakcje mogą być weryfikowane przez dowolny system, ponieważ klucz publiczny jest zawarty w certyfikacie, a PKI łatwo integruje się ze środowiskami Microsoft za pomocą wbudowanych funkcji zabezpieczeń systemu Windows.

Chociaż PKI zapewnia optymalne bezpieczeństwo, w opinii liderów IT od dawna jest to rozwiązanie kompleksowe. W rezultacie przedsiębiorstwa często spoglądają dalej w dół piramidy i wybierają mniej bezpieczne, ale łatwiejsze do wdrożenia rozwiązania. Dzięki ulepszonym technologiom użytkownika końcowego, takim jak smartfony i tokeny USB, takie jak YubiKey, oraz preinstalowanym technologiom, takim jak Microsoft Windows Hello for Business, ochrona na poziomie kryptowalut stała się znacznie bardziej dostępna dla organizacji każdej wielkości.

Rozwiązania skoncentrowane

Organizacje takie jak Intercede są w centrum rewolucji kryptograficznej i odpowiedziały, opracowując platformę oprogramowania do zarządzania poświadczeniami, aby umożliwić większej liczbie firm przyjęcie silnych zabezpieczeń uwierzytelniania.

Łącząc technologię Microsoft Active Directory i usług certyfikatów, które wiele organizacji już osadziło w swojej infrastrukturze IT, z predefiniowanymi procesami biznesowymi opartymi na najlepszych praktykach, opracowaliśmy zarządzanie poświadczeniami, które jest proste i przystępne cenowo dla całej nowej grupy firm, aby osiągnąć szczyt piramidy uwierzytelniania.

Bez oprogramowania do zarządzania poświadczeniami zarządzanie kartami inteligentnymi i tokenami USB w ilościach przekraczających 500 pracowników staje się skomplikowane i niezwykle czasochłonne dla zespołów IT.

Jednak ta nowa możliwość usunięcia złożoności zarządzania poświadczeniami PKI sprawia, że ​​najsilniejsza forma uwierzytelniania użytkowników jest o wiele bardziej dostępna dla przedsiębiorstw, które nie chcą narażać bezpieczeństwa danych.

Dzięki rozwiązaniom integrującym się z ich infrastrukturą IT, organizacje mogą rozpocząć wydawanie certyfikatów dla kart inteligentnych pracowników różnych producentów i tokenów USB, takich jak YubiKey. Mogą również centralnie kontrolować zarządzanie cyklem życia poświadczeń pracowników w celu ponownego wystawienia, unieważnienia, odblokowania, odnowienia, usunięcia i aktualizacji.

Niezależnie od tego, czy chodzi o zapewnienie bezpiecznego logowania do systemu Windows i sieci, sieci VPN i dostępu zdalnego, podpisywanie i szyfrowanie wiadomości e-mail lub ochronę dostępu do zasobów w chmurze, te nowo dostępne rozwiązania ułatwiają przedsiębiorstwom dowolnej wielkości i struktury przejście na najbezpieczniejszą metodę z dwóch -uwierzytelnianie czynnikowe wśród ich pracowników.

W rezultacie na rynku obserwuje się znaczny wzrost popytu ze strony organizacji, które chcą lepszego sposobu ochrony danych, za które są odpowiedzialne. To zachęcający znak – nie tylko dla dostawców rozwiązań cyberbezpieczeństwa, ale dla pracowników, obywateli, konsumentów i szerszego społeczeństwa.

___
przez Allena Storey
źródło: ITProPortal