Circa 13.000 organizzazioni utilizzano SecurID per verificare che i loro 30 milioni di utenti siano quelli che dichiarano di essere. Software SecurID Gli autenticatori funzionano in qualsiasi modo e in qualsiasi momento per i nostri clienti, offrendo la semplicità, la sicurezza e la convenienza di cui ogni azienda ha bisogno per affrontare le proprie sfide di identità.
Ma essere la piattaforma di identità fidata significa garantire che siamo in grado di supportare ogni e per quanto i token morbidi SecurID siano facili da usare e da gestire, a volte i token rigidi sono ancora la soluzione migliore.
Ci sono diversi motivi per cui un'organizzazione può scegliere di utilizzare i token rigidi:
- I token rigidi offrono una protezione molto più elevata per il materiale crittografico (il seme) e riducono le possibilità di accesso al token da parte di malware.
- I soft token vengono solitamente distribuiti su smartphone e, sebbene questo sia comodo per la maggior parte dei casi d'uso, in alcuni casi portare uno smartphone in un ambiente altamente controllato o sensibile potrebbe essere un'opzione non praticabile.
- I dipendenti potrebbero non volere o non essere autorizzati a installare software di tipo aziendale sui loro smartphone privati.
Ma l'hardware non deve essere difficile da distribuire, da maneggiare, da gestire o da sostituire: I token SecurID possono essere assegnati, abilitati, disabilitati e configurati dal cloud.
Gli utenti possono anche reimpostare il PIN tramite il servizio di autenticazione SecurID Access Cloud MyPage. Questa funzionalità, da sola, può portare a grandi risparmi: nelle aziende più grandi, quasi 50 per cento dei costi dell'help desk IT sono destinati alla reimpostazione delle password.
Aiuto i clienti SecurID a configurare i loro processi IAM da quasi 20 anni, e ormai mi è chiaro che ogni azienda ha le proprie esigenze di identità. Durante un recente webinar, ho condiviso alcuni dei fattori che le aziende dovrebbero considerare quando decidono tra token hard e soft. Si tratta di una domanda importante, che le aziende valutano molto spesso.
Un'altra domanda altrettanto importante, ma che tende a essere trascurata, è: "Come assegnare gli autenticatori agli utenti?".
Vorrei che le aziende dedicassero un po' più di tempo alle fasi iniziali del processo, perché è un'altra opportunità per le aziende di sviluppare processi IAM che soddisfino le loro esigenze.
Le aziende possono scegliere tra due metodi per gestire questa fase:
Si tratta di un buon metodo per le aziende che dispongono già di un meccanismo di consegna sicuro.
In questo scenario, un amministratore assegna un token specifico a un utente specifico, quindi spedisce il token all'utente (idealmente con una confezione a prova di manomissione). I costi possono essere un po' più alti perché in questo caso gli amministratori non possono spedire i token in blocco.
Ma il costo più elevato potrebbe anche garantire una maggiore sicurezza: gli amministratori possono spedire i token disabilitati agli utenti, per poi attivarli una volta che l'utente conferma la ricezione. L'utente riceve esattamente il token che gli appartiene.
Questo metodo funziona meglio se il team di sicurezza ha un modo per autenticare gli utenti in modo sicuro durante il processo di assegnazione. È anche efficace dal punto di vista dei costi: basta avere un mucchio di token non assegnati a disposizione di ogni utente. Anche inviarli per posta è più semplice: basta spedire un token (qualsiasi token disponibile) a ciascun destinatario. Non c'è bisogno di preoccuparsi di quale token viene inviato a quale utente.
In alternativa, gli utenti potrebbero acquistare i propri token, compresi quelli FIDO2.
La parte più difficile consiste nel legare il token a un'identità specifica, cosa che deve avvenire in modo sicuro. Inoltre, la fiducia che l'azienda ripone nel token non può essere significativamente più alta della fiducia iniziale che l'utente crea durante la registrazione; questo è particolarmente vero per i token FIDO, in quanto possono provenire da qualsiasi luogo. La quantità di "fiducia di registrazione" utilizzata per autenticare un token diventa il fattore limitante di quel token nel corso della sua vita.
La risposta breve è che entrambi i metodi possono funzionare e che non esiste un modello "migliore" per la distribuzione dei token hardware.
La risposta più lunga è che, proprio come l'IAM in generale, la distribuzione e l'autenticazione devono soddisfare le esigenze aziendali. Le organizzazioni hanno bisogno di soluzioni pratiche abbastanza e sicuro abbastanza per bilanciare i comportamenti degli utenti e affrontare i problemi di sicurezza più probabili, più frequenti e più impattanti.
Si potrebbe sostenere che "Assegnare, poi distribuire" sia il più sicuro dei due metodi. In un mondo perfetto, l'uso di un numero di serie per abbinare un token a un utente specifico potrebbe essere un modo utile per ridurre le variabili e controllare l'autenticazione fin dall'inizio.
Ma "Assegnare, quindi distribuire" non avere è il più sicuro dei due. Distribuire e poi assegnare" potrebbe essere abbastanza sicuro e pratico da soddisfare le esigenze del vostro team.
E ricordate che, a prescindere dal metodo, qualsiasi quantità di sicurezza è inutile se non è pratica. Questo è uno dei motivi per cui si chiede ai dipendenti di ricordare e gestire 100 password in media può creare vulnerabilità significative per le organizzazioni.
Un altro fattore è il fatto che molti di noi stanno cercando di adattarsi alla COVID-19, che ha cambiato tutto, dal modo in cui lavoro a come noi voto. Oggi chiedere al vostro team di affollarsi in un ufficio per ritirare un gettone potrebbe non essere ideale, sicuro o pratico.
La buona notizia per i clienti SecurID è che, sia che si opti per "Assegna, poi distribuisci" o "Distribuisci, poi assegna", il token hardware SecurID: SecurID Access può gestire entrambe le opzioni.
In effetti, i nostri token hardware sono stati progettati per offrire la massima flessibilità possibile, simile a quella del software:
- I clienti di SecurID Access Cloud Authentication possono registrare e gestire i token SecurID 700 da qualsiasi luogo.
- L'aggiunta di nuovi token è semplice: tutto ciò che gli amministratori devono fare è caricare un file seed XML e fornire la password corrispondente.
- Disattivare i token è altrettanto semplice: gli amministratori possono cancellare in batch tutti i token scaduti o fornire i numeri di serie di token specifici da eliminare.
- Una volta registrati, gli amministratori possono impostare i criteri di blocco e PIN degli utenti in base alle esigenze della propria organizzazione. Gli amministratori possono anche scegliere di attivare o disattivare le notifiche via e-mail relative al blocco o alla reimpostazione del PIN.
- Avete bisogno di sapere quanti token state gestendo o chi li possiede? Anche questo è facile: basta creare un report su tutti i token importati. Il report fornisce anche visibilità sul numero di serie del token, il suo tipo, la data di scadenza, lo stato, l'utente assegnato e altro ancora.
- I team di sicurezza possono anche regolare i livelli di garanzia in base alle esigenze: un consiglio è quello di usare autenticazione basata sul rischio per ridurre la necessità di un passaggio per aumentare la convenienza senza sacrificare la sicurezza.
L'organizzazione può utilizzare questi token con applicazioni web, RADIUS, autenticazione a più fattori SecurID (MFA) (compresi Windows 10 e MacOS).
Infatti, i token hardware SecurID sono solo un tipo di token hardware che è possibile gestire dal cloud: qualsiasi token FIDO U2F o FIDO2 compatibile può essere gestito tramite il SecurID Access Cloud Authentication Service.
Qualunque sia la scelta della vostra organizzazione, assicuratevi che la vostra soluzione IAM possa adattarsi alle vostre esigenze, e non viceversa.
Volete eliminare il "difficile" dall'hardware? Contattateci per vedere come possono essere facili i token hardware.
