Cerca de 13.000 organizações usam o SecurID para verificar se seus 30 milhões de usuários são quem afirmam ser. Software SecurID funcionam como e quando nossos clientes o fazem, proporcionando a simplicidade, a segurança e a conveniência de que toda empresa precisa para enfrentar seus desafios exclusivos de identidade.
Mas ser a plataforma de identidade confiável significa garantir que somos capazes de oferecer suporte a todos e, por mais que os soft tokens SecurID sejam fáceis de usar e gerenciar, às vezes os hard tokens ainda são a melhor opção.
Há vários motivos pelos quais uma organização pode optar por usar hard tokens:
- Os hard tokens oferecem uma proteção muito maior para o material criptográfico (a semente) e reduzem a chance de qualquer malware acessar o token
- Os soft tokens são normalmente implantados em smartphones e, embora isso seja útil para a maioria dos casos de uso, em alguns casos, levar um smartphone para um ambiente altamente controlado ou sensível pode não ser uma boa ideia
- Os funcionários podem não querer ou não ter permissão para instalar software relacionado à empresa em seus smartphones particulares
Mas o hardware não precisa ser difícil de distribuir, difícil de manusear, difícil de gerenciar ou difícil de substituir: Os hard tokens SecurID podem ser atribuídos, ativados, desativados e configurados a partir da nuvem.
Os usuários podem até mesmo redefinir seu PIN por meio do SecurID Access Cloud Authentication Service MyPage. Essa funcionalidade, por si só, pode resultar em uma grande economia: em empresas maiores, quase 50 por cento dos custos do help desk de TI são alocados para redefinição de senhas.
Venho ajudando os clientes da SecurID a configurar seus processos de IAM há quase 20 anos e, agora, está claro para mim que cada empresa tem suas próprias necessidades de identidade. Durante uma recente webinar, Em meu artigo, compartilhei alguns dos fatores que as empresas devem considerar ao decidir entre hard tokens e soft tokens. Essa é uma questão importante - e que as empresas gastam muito tempo ponderando.
Outra pergunta igualmente importante, mas que tende a ser ignorada, é: "Como devemos atribuir autenticadores aos usuários?
É algo que eu gostaria que as empresas dedicassem um pouco mais de tempo no início do processo, porque é outra oportunidade para as empresas desenvolverem processos de IAM que atendam às suas necessidades.
As empresas podem escolher entre dois métodos para gerenciar essa etapa:
Esse é um bom método para empresas que já têm um mecanismo de entrega seguro.
Nesse cenário, um administrador atribui um token específico a um usuário específico e, em seguida, envia esse token para o usuário (de preferência com uma embalagem inviolável). Os custos podem ser um pouco mais altos porque, nesse caso, os administradores não podem enviar os tokens em massa.
No entanto, o custo mais alto também pode proporcionar maior segurança: os administradores podem enviar tokens desativados para os usuários e ativá-los assim que o usuário confirmar o recebimento. O usuário recebe exatamente o token que lhe pertence.
Esse método funciona melhor se a sua equipe de segurança tiver uma maneira de autenticar os usuários com segurança durante o processo de atribuição. Também é econômico: basta ter vários tokens não atribuídos disponíveis para que cada usuário os pegue. Até mesmo enviá-los pelo correio é mais fácil: basta que alguém envie um token (qualquer token disponível) para cada destinatário. Não há necessidade de se preocupar com qual token será enviado a qual usuário.
Como alternativa, os usuários poderiam sair e comprar seus próprios tokens, incluindo os tokens FIDO2.
A parte mais complicada é vincular o token a uma identidade específica, o que precisa ocorrer de forma segura. Além disso, qualquer confiança que a empresa deposite no token não pode ser significativamente maior do que a confiança inicial que o usuário cria durante o registro - isso é particularmente verdadeiro para os tokens FIDO, pois eles podem ser obtidos de qualquer lugar. Qualquer quantidade de "confiança de registro" usada para autenticar um token torna-se o fator limitante desse token ao longo de sua vida útil.
A resposta curta é que ambos os métodos podem funcionar e que não existe um modelo "melhor" para a distribuição de tokens de hardware.
A resposta mais longa é que, assim como o IAM em geral, a distribuição e a autenticação devem atender às suas necessidades comerciais. As organizações precisam de soluções que sejam práticas suficiente e seguro suficiente para equilibrar os comportamentos dos usuários e abordar as preocupações de segurança mais prováveis, mais frequentes e mais impactantes.
Pode-se argumentar que "Atribuir e depois distribuir" é o mais seguro dos dois métodos. Em um mundo perfeito, usar um número de série para associar um token a um usuário específico poderia ser uma maneira útil de reduzir as variáveis e controlar a autenticação desde o início.
Mas "Atribuir e depois distribuir" não ter ser a mais segura das duas. "Distribuir e depois atribuir" pode ser seguro e prático o suficiente para atender às necessidades da sua equipe.
E lembre-se, independentemente do método, qualquer quantidade de segurança é inútil se não for prática. Esse é um dos motivos pelos quais pedir aos funcionários que se lembrem e gerenciem 100 senhas em média pode criar vulnerabilidades significativas para as organizações.
Outro fator é que muitos de nós estamos tentando nos adaptar à COVID-19, que mudou tudo, desde a forma como nos adaptamos à COVID-19 até a forma como nos adaptamos à COVID-19. trabalho para como nós voto. Hoje, pedir à sua equipe que se aglomere em um escritório e pegue um token pode não ser ideal, seguro ou prático.
A boa notícia para os clientes SecurID é que, independentemente de você optar por "Atribuir e depois distribuir" ou "Distribuir e depois atribuir", o token de hardware SecurID: SecurID Access pode lidar com ambos.
Na verdade, nossos tokens de hardware foram projetados para oferecer o máximo possível de flexibilidade semelhante à do software:
- Os clientes do SecurID Access Cloud Authentication podem registrar e gerenciar tokens SecurID 700 de qualquer lugar
- A adição de novos tokens é simples: tudo o que os administradores precisam fazer é carregar um arquivo XML seed e fornecer a senha correspondente
- A desativação de tokens é igualmente simples: os administradores podem excluir em lote todos os tokens expirados ou fornecer os números de série de tokens específicos a serem excluídos
- Depois de registrados, os administradores podem definir políticas de PIN e bloqueio de usuários de acordo com as necessidades da organização. Os administradores também podem optar por ativar ou desativar as notificações por e-mail sobre bloqueios ou redefinições de PIN
- Precisa saber quantos tokens você está gerenciando ou quem os possui? Isso também é fácil: basta criar um relatório sobre todos os seus tokens importados. O relatório também oferece visibilidade do número de série do token, seu tipo, data de expiração, status, usuário atribuído e muito mais
- As equipes de segurança também podem ajustar os níveis de garantia conforme necessário - uma dica profissional é usar autenticação baseada em risco para reduzir a necessidade de step-up e aumentar a conveniência sem sacrificar a segurança.
Sua organização pode usar esses tokens com aplicativos da Web, RADIUS, autenticação multifator SecurID (MFA) (incluindo Windows 10 e MacOS).
Na verdade, os tokens de hardware SecurID são apenas um tipo de token de hardware que você pode gerenciar a partir da nuvem: qualquer token compatível com FIDO U2F ou FIDO2 pode ser gerenciado por meio do SecurID Access Cloud Authentication Service.
Qualquer que seja a escolha de sua organização, certifique-se de que sua solução de IAM possa se adaptar às suas necessidades - e não o contrário.
Deseja eliminar a parte "difícil" do hardware? Entre em contato conosco para ver como os tokens de hardware podem ser fáceis.
