Rund 13.000 Organisationen verwenden SecurID, um zu überprüfen, ob ihre 30 Millionen Benutzer die sind, die sie vorgeben zu sein. SecurID-Software Authentifikatoren funktionieren, wie und wann immer unsere Kunden es tun, und bieten die Einfachheit, Sicherheit und den Komfort, den jedes Unternehmen benötigt, um seine individuellen Identitätsprobleme zu lösen.
Aber die vertrauenswürdige Identitätsplattform zu sein, bedeutet, dass wir in der Lage sind, Folgendes zu unterstützen jede Und so einfach SecurID Soft-Token auch zu verwenden und zu verwalten sind, manchmal sind Hard-Token immer noch die beste Lösung.
Es gibt mehrere Gründe, warum sich eine Organisation für die Verwendung von Hard-Tokens entscheidet:
- Harte Token bieten einen wesentlich höheren Schutz für das kryptografische Material (den Seed) und verringern die Wahrscheinlichkeit, dass Malware auf den Token zugreift.
- Soft-Token werden in der Regel auf Smartphones eingesetzt. Das ist zwar für die meisten Anwendungsfälle praktisch, aber in manchen Fällen kann es nicht sinnvoll sein, ein Smartphone in eine stark kontrollierte oder sensible Umgebung mitzunehmen.
- Mitarbeiter wollen oder dürfen möglicherweise keine geschäftsbezogene Software auf ihren privaten Smartphones installieren
Aber Hardware muss nicht schwer zu verteilen, schwer zu handhaben, schwer zu verwalten oder schwer zu ersetzen sein: SecurID Hard Token können über die Cloud zugewiesen, aktiviert, deaktiviert und konfiguriert werden.
Benutzer können ihre PIN sogar über den SecurID Access Cloud Authentication Service MyPage zurücksetzen. Allein diese Funktionalität kann zu großen Einsparungen führen: In größeren Unternehmen können fast 50 Prozent der IT-Helpdesk-Kosten entfallen auf das Zurücksetzen von Passwörtern.
Seit fast 20 Jahren unterstütze ich SecurID-Kunden bei der Konfiguration ihrer IAM-Prozesse, und mittlerweile ist mir klar, dass jedes Unternehmen seine eigenen Identitätsbedürfnisse hat. Während einer kürzlichen Webinar, habe ich einige der Faktoren genannt, die Unternehmen bei der Entscheidung zwischen Hard- und Soft-Tokens berücksichtigen sollten. Es ist eine wichtige Frage - und eine, mit der Unternehmen viel Zeit verbringen, um sie abzuwägen.
Eine andere Frage, die ebenso wichtig ist, aber oft übersehen wird, lautet: "Wie sollen wir den Benutzern Authentifikatoren zuweisen?
Ich würde mir wünschen, dass sich die Unternehmen zu einem früheren Zeitpunkt mit diesem Thema befassen würden, denn es ist eine weitere Möglichkeit für Unternehmen, IAM-Prozesse zu entwickeln, die ihren Anforderungen entsprechen.
Die Unternehmen haben die Wahl zwischen zwei Methoden, um diesen Schritt zu bewältigen:
Dies ist eine gute Methode für Unternehmen, die bereits über einen sicheren Zustellungsmechanismus verfügen.
In diesem Szenario weist ein Administrator einem bestimmten Benutzer ein bestimmtes Token zu und versendet dieses Token dann an den Benutzer (idealerweise mit einer manipulationssicheren Verpackung). Die Kosten können etwas höher sein, da die Administratoren in diesem Fall die Token nicht in großen Mengen verschicken können.
Die höheren Kosten können aber auch zu einer größeren Sicherheit führen: Admins können deaktivierte Token an die Nutzer versenden und sie dann aktivieren, sobald der Nutzer den Erhalt bestätigt. Der Nutzer erhält genau den Token, der ihm gehört.
Diese Methode funktioniert am besten, wenn Ihr Sicherheitsteam über eine Möglichkeit verfügt, die Benutzer während des Zuweisungsprozesses sicher zu authentifizieren. Sie ist auch kostengünstig: Halten Sie einfach eine Reihe von nicht zugewiesenen Token bereit, die jeder Benutzer abholen kann. Auch der Versand ist einfacher: Jemand muss nur einen Token (irgendeinen verfügbaren Token) an jeden Empfänger schicken. Man muss sich nicht darum kümmern, welcher Token an welchen Benutzer geschickt wird.
Alternativ könnten die Nutzer ihre eigenen Token kaufen, einschließlich FIDO2-Tokens.
Der kniffligere Teil ist die Bindung des Tokens an eine bestimmte Identität, die sicher erfolgen muss. Außerdem darf das Vertrauen, das das Unternehmen in das Token setzt, nicht wesentlich höher sein als das anfängliche Vertrauen, das der Nutzer bei der Registrierung aufbaut - dies gilt insbesondere für FIDO-Token, da sie von überallher stammen können. Die Höhe des "Registrierungsvertrauens", das zur Authentifizierung eines Tokens verwendet wird, wird zum begrenzenden Faktor dieses Tokens im Laufe seiner Lebensdauer.
Die kurze Antwort lautet, dass beide Methoden funktionieren können und dass es kein "bestes" Modell für die Verteilung von Hardware-Tokens gibt.
Die längere Antwort ist, dass - genau wie IAM im Allgemeinen - die Verteilung und Authentifizierung Ihren Geschäftsanforderungen entsprechen sollte. Unternehmen brauchen Lösungen, die praktisch sind genug und sicher genug um das Verhalten der Nutzer auszugleichen und die wahrscheinlichsten, häufigsten und folgenreichsten Sicherheitsprobleme anzugehen.
Es könnte argumentiert werden, dass "Zuweisen und dann verteilen" die sicherere der beiden Methoden ist. In einer perfekten Welt könnte die Verwendung einer Seriennummer zur Zuordnung eines Tokens zu einem bestimmten Benutzer ein nützliches Mittel sein, um die Anzahl der Variablen zu verringern und die Authentifizierung von Anfang an zu kontrollieren.
Aber "erst zuweisen, dann verteilen" funktioniert nicht haben als die sicherere der beiden Varianten. Verteilen und dann zuweisen" könnte sicher und praktisch genug sein, um die Anforderungen Ihres Teams zu erfüllen.
Und denken Sie daran: Unabhängig von der Methode ist jede noch so große Sicherheit nutzlos, wenn sie nicht praktikabel ist. Das ist einer der Gründe, warum die Angestellten aufgefordert werden, sich die Daten zu merken und zu verwalten. 100 Passwörter im Durchschnitt erstellen können erhebliche Schwachstellen für Organisationen.
Ein weiterer Faktor ist, dass viele von uns versuchen, sich an COVID-19 anzupassen, das alles verändert hat, von der Art, wie wir Arbeit wie wir Abstimmung. Heutzutage ist es vielleicht nicht ideal, sicher oder praktisch, wenn Sie Ihr Team bitten, in ein Büro zu kommen und eine Wertmarke abzuholen.
Die gute Nachricht für SecurID-Kunden ist, dass der SecurID-Hardware-Token unabhängig davon, ob Sie sich für "Zuweisen, dann verteilen" oder "Verteilen, dann zuweisen" entscheiden: SecurID Access kann beides verarbeiten.
Tatsächlich wurden unsere Hardware-Token so konzipiert, dass sie so viel softwareähnliche Flexibilität wie möglich bieten:
- SecurID Access Cloud Authentication-Kunden können SecurID 700-Tokens von überall aus registrieren und verwalten
- Das Hinzufügen neuer Token ist ganz einfach: Administratoren müssen lediglich eine XML-Seed-Datei hochladen und das entsprechende Passwort angeben
- Das Deaktivieren von Token ist ebenso einfach: Administratoren können entweder alle abgelaufenen Token im Stapel löschen oder die Seriennummern bestimmter Token angeben, die gelöscht werden sollen.
- Nach der Registrierung können Administratoren die Benutzer-PIN und Sperrrichtlinien entsprechend den Anforderungen ihrer Organisation festlegen. Admins können auch E-Mail-Benachrichtigungen über Sperrungen oder PIN-Rücksetzungen aktivieren oder deaktivieren.
- Möchten Sie herausfinden, wie viele Token Sie verwalten oder wem sie gehören? Auch das ist einfach: Erstellen Sie einfach einen Bericht über alle Ihre importierten Token. Der Bericht bietet auch Einblick in die Seriennummer des Tokens, seinen Typ, das Ablaufdatum, den Status, den zugewiesenen Benutzer und mehr
- Sicherheitsteams können die Sicherheitsstufen auch nach Bedarf anpassen - ein Profi-Tipp ist die Verwendung von risikobasierte Authentifizierung um die Notwendigkeit eines Step-up zu verringern und den Komfort zu erhöhen, ohne die Sicherheit zu beeinträchtigen.
Ihr Unternehmen kann diese Token mit Webanwendungen, RADIUS, SecurID-Multifaktor-Authentifizierung (MFA) Agenten (einschließlich Windows 10 und MacOS).
Tatsächlich sind SecurID-Hardware-Token nur eine Art von Hardware-Token, die Sie über die Cloud verwalten können: Jedes FIDO U2F- oder FIDO2-kompatible Token kann über den SecurID Access Cloud Authentication Service verwaltet werden.
Egal, wofür sich Ihr Unternehmen entscheidet, stellen Sie sicher, dass sich Ihre IAM-Lösung an Ihre Bedürfnisse anpassen kann - und nicht umgekehrt.
Sie möchten das "schwer" aus der Hardware herausnehmen? Kontakt um zu sehen, wie einfach Hardware-Tokens sein können.
