L’autenticació multifactorial serà clau per a les empreses que protegeixen els actius al núvol

En demostrar qui sou a un sistema de gestió de la identitat (IDM), és possible que us haureu adonat que fa poc més i més necessiten un pas addicional a més del vostre identificador d’usuari i contrasenya, com ara les indicacions que envien codis al vostre telèfon quan inicieu la sessió. a Gmail, Twitter o al vostre compte bancari des d’un dispositiu diferent del que utilitzeu normalment. Simplement assegureu-vos que no oblideu el nom de la primera mascota o el lloc on va néixer la vostra mare perquè probablement haureu d’introduir aquesta informació per demostrar la vostra identitat. Aquestes dades, necessàries en combinació amb una contrasenya, són una forma d’autenticació multifactor (MFA).

MFA no és nova. Va començar com a tecnologia física; Les targetes intel·ligents i els dongles USB són dos exemples de dispositius que vam requerir per iniciar la sessió a ordinadors o serveis de programari un cop introduïda la contrasenya correcta. Tot i això, MFA ha evolucionat ràpidament aquest procés d'inici de sessió per incloure altres identificadors, com ara les notificacions per a mòbils.

"Ja van passar els temps en què les empreses van haver de desplegar fitxes de maquinari i els usuaris es van frustrar escrivint codis de sis dígits que giraven cada 60 segons", va dir Tim Steinkopf, president de Centrify Corp., fabricant del Servei d'identitat centrífica. "Va ser costosa i una mala experiència d'usuari. Ara MFA és tan senzill com rebre una notificació push al telèfon." Tot i així, fins i tot els codis que rebem a través del servei de missatges curts (SMS) ja estan desconsolats, segons Steinkopf.

"El SMS ja no és un mètode de transport segur per als codis MFA, ja que es poden interceptar", va dir. "Per a recursos altament sensibles, les empreses ara han de tenir en compte fitxes criptogràfiques encara més segures que segueixen els nous estàndards d'Aliança Fast IDentity Online (FIDO)." A més dels tokens crypto, els estàndards FIDO2 incorporen l'especificació d'autenticació web del World Wide Web Consortium (W3C) i el protocol CTAP (Client to Authenticator). Els estàndards FIDO2 també donen suport als gestos de l'usuari mitjançant biomètriques incrustades com ara el reconeixement facial, el lliscament d'empremtes dactilars i l'exploració d'iris.

Per utilitzar MFA, haureu d’incorporar una barreja de contrasenyes i preguntes per a dispositius com telèfons intel·ligents o utilitzar empremtes dactilars i reconeixement facial, va explicar Joe Diamond, director de Gestió del màrqueting de productes de seguretat d’Okta, responsables de Okta Identity Management.

"Ara hi ha més organitzacions que reconeixen els riscos de seguretat associats amb contrasenyes basades en SMS com a factor MFA. És bastant trivial que un actor dolent es faci el" intercanvi de SIM "i es faci càrrec del número de mòbil", va dir Diamond. "Qualsevol usuari en risc d'un atac dirigit hauria de posar en pràctica segons factors més forts com un factor biomètric o un testimoni dur que crea un cop de mà criptogràfic entre el dispositiu i el servei."

De vegades, l'MFA no és perfecte. El 27 de novembre, Microsoft Azure va patir una interrupció relacionada amb MFA a causa d'un error del sistema de noms de domini (DNS) que va provocar moltes sol·licituds fallides quan els usuaris van intentar iniciar sessió en serveis com Active Directory.

Crèdit: FIDO Alliance

Notificacions Push per a mòbils

Els experts consideren que les notificacions de telefonia mòbil són la millor opció dels "factors" de seguretat perquè té una combinació efectiva de seguretat i usabilitat. Una aplicació envia un missatge al telèfon d’un usuari notificant a la persona que el servei està intentant registrar l’usuari o enviar dades.

"Heu accedit a una xarxa i, en comptes d'introduir la vostra contrasenya, se us empeny al dispositiu on diu que sí o no, esteu intentant autenticar aquest dispositiu i, si dius que sí, us permet accedir a la xarxa ", va explicar Dave Lewis, responsable global de seguretat de la informació de l'assessorament d'informació (CISO) per al negoci de seguretat de Duo Cisco, que ofereix l'aplicació d'autenticació mòbil Duo Push. Altres productes que ofereixen MFA inclouen el Yubico YubiKey 5 NFC i el PingOing Identity PingOne.

Les notificacions push mòbils no tenen les contrasenyes que s’envien alhora mitjançant SMS perquè aquestes contrasenyes es poden piratejar bastant fàcilment. El xifratge fa que les notificacions siguin efectives, segons Hed Kovetz, cofundador i conseller delegat del proveïdor de solucions MFA Silverfort.

"És només un clic i la seguretat és molt forta perquè és un dispositiu totalment diferent", va dir. "Podeu canviar l'aplicació si està compromesa i està completament xifrada i autentificada amb protocols moderns. No és com un SMS, per exemple, fàcilment compromès perquè l'estàndard bàsicament és feble i es trenca fàcilment amb els atacs del sistema de senyalització 7 (SS7). i tot tipus d’atacs contra SMS."

MFA incorpora Zero Trust

MFA és una part clau del model Zero Trust en què no confieu en cap usuari de xarxa fins que no verifiqueu que són legítims. "L'aplicació de MFA és un pas necessari per verificar que l'usuari sigui realment qui diu", va dir Steinkopf.

"MFA exerceix un paper crític en el model de maduresa de la confiança Zero de qualsevol organització, ja que primer hem de constituir la confiança dels usuaris abans de poder concedir accés", va afegir Diamond d'Okta. "Això també s'ha de combinar amb una estratègia d'identitat centralitzada per a tots els recursos perquè les polítiques d'MFA es puguin combinar amb polítiques d'accés per garantir que els usuaris adequats tinguin l'accés adequat als recursos adequats, amb la menor fricció possible."

Crèdit: FIDO Alliance

S’han de substituir les contrasenyes?

És possible que molta gent no estigui disposada a abandonar les contrasenyes, però si els usuaris continuaran confiant en elles, hauran de ser protegides. De fet, l’informe de incompliment de dades de Verizon del 2017 va revelar que el 81 per cent de les infraccions de dades provenen de contrasenyes robades. Aquest tipus d'estadístiques fan que les contrasenyes siguin un problema per a qualsevol organització que vulgui protegir els seus sistemes de manera fiable.

"Si podem solucionar les contrasenyes i obtenir-les i entrar a un tipus d'autenticació més intel·ligent, evitarem que la majoria de les incomplències de dades es produeixin avui", va dir Kovetz de Silverfort.

És probable que les contrasenyes no desapareixin a tot arreu, sinó que es poden eliminar per a aplicacions específiques, va assenyalar Kovetz de Silverfort. Va dir que l’eliminació de les contrasenyes del conjunt per al maquinari d’ordinador i els dispositius Internet of Things (IoT) seria més complex. Una altra de les raons que va dir que l’autenticació completa sense contrasenya pot no passar tan aviat és perquè les persones estan psicològicament lligades a elles.

El canvi de contrasenyes també comporta un canvi cultural en les organitzacions segons Lewis de Cisco. "L'abandonament de les contrasenyes estàtiques a MFA és un canvi cultural fonamental", va dir Lewis. "Estàs aconseguint que la gent faci les coses d'una manera diferent a la que fa anys".

Processament MFA i Intel·ligència Artificial

La intel·ligència artificial (AI) s’utilitza per ajudar els administradors d’IDM i els sistemes MFA a fer front a una barrera de noves dades d’inici de sessió. Les solucions MFA de venedors com Silverfort apliquen AI per obtenir informació sobre quan és necessària la MFA i quan no ho és.

"La part de la IA, quan la combina, permet prendre la decisió inicial de si una autenticació específica ha de requerir o no una MFA", va dir Kovetz de Silverfort. Va dir que el component d'aprenentatge automàtic (ML) de l'aplicació pot proporcionar una puntuació de risc elevada si detecta un patró d'activitat anormal, com si algú a la Xina accedeixi de sobte al compte d'un empleat i l'empleat treballi regularment als Estats Units.

"Si un usuari està connectant-se a una aplicació de l'oficina mitjançant el seu propi ordinador emès per l'empresa, aleshores no es requeriria MFA, ja que és normal", va explicar Steinkopf de Centrify. "Però si aquest mateix usuari viatja a l'estranger o utilitza el dispositiu d'una altra persona, llavors se'ls demanaran la MFA perquè el risc és més gran." Steinkopf va afegir que l’MFA sol ser un primer pas quan s’utilitzen tècniques de verificació addicionals.

Els CIO també mantenen un gran atenció en la biometria del comportament, que s'ha convertit en una tendència creixent en els nous desplegaments d'MFA. El comportament biomètric utilitza un programari per fer un seguiment de com es mouen o es desplacen els usuaris. Tot i que això sembla fàcil, en realitat requereix processar grans fragments de dades que canvien ràpidament, i és per això que els venedors utilitzen ML per ajudar-los.

"El valor de ML per a l'autenticació seria avaluar diversos senyals complexos, aprendre una identitat de base de l'usuari en funció d'aquests senyals i alertar sobre anomalies a aquesta línia de base", va dir Okta's Diamond. "La biometria comportamental és un exemple on això pot entrar en joc. Entendre els matisos de com un usuari escriu, camina o interacciona amb el seu dispositiu requereix un sistema d'intel·ligència avançat per crear aquest perfil d'usuari."

Perímetres desapareguts

Amb l’evolució de la infraestructura del núvol, dels serveis al núvol i, sobretot, dels alts volums de dades dels dispositius IoT fora de locals, ara hi ha més d’un perímetre físic a la ubicació del centre de dades d’una organització. També hi ha un perímetre virtual que ha de protegir els actius de la companyia al núvol. En ambdós escenaris, la identitat té un paper clau segons Kovetz.

"Els perímetres solien definir-se físicament, com l'oficina, però avui en dia els perímetres es defineixen per identitat", va dir Kovetz. A mesura que els perímetres desapareixen, també les proteccions que els tallafocs forts s’utilitzaven per als ordinadors d’escriptori per cable. MFA podria ser una manera de substituir el que tradicionalment han fet els tallafocs, va suggerir Kovetz.

• Autenticació de dos factors: qui la té i com configurar-la Autenticació de dos factors: qui la té i com configurar-la
• Més enllà del perímetre: Com abordar la seguretat en capes més enllà del perímetre: com abordar la seguretat en capes
• El model de Zero Trust guanya Steam amb els experts en seguretat El model de zero Trust guanya Steam amb els experts en seguretat

", On poseu productes de seguretat de xarxa?" Va preguntar Kovetz. "La seguretat de la xarxa ja no funciona. MFA es converteix en la nova forma de protegir la vostra xarxa sense perímetre".

Una de les maneres bàsiques d’evolucionar MFA més enllà del perímetre és a través d’un dinamitzador grup de sistemes d’identitat venuts a base de programari com a servei (SaaS), incloent la majoria dels serveis d’IDM que PCMag Labs ha revisat en l’últim any. "El gran nombre de productes SaaS que permeten que les PIME es posin en funcionament i funcionin fàcilment ja funcionen fora del perímetre", va dir Nathan Rowe, cofundador i Chief Product Officer (CPO) del proveïdor de seguretat de dades Evident. El model SaaS redueix dràsticament la complexitat del cost i del desplegament, de manera que és una gran ajuda per a les empreses petites i mitjanes empreses, ja que redueix la despesa en IT i les despeses generals, segons Rowe.

Les solucions SaaS són, sens dubte, el futur de IDM, el que els converteix en el futur de MFA. Aquesta és una bona notícia, ja que fins i tot les petites empreses es traslladen inexorablement a una arquitectura informàtica de serveis de núvols i núvols, on l'accés fàcil a MFA i altres mesures de seguretat avançades aviat serà obligatori.