hallitun palveluntarjoajan (MSP) mielestä kyberturvallisuus ei ole koskaan kaukana. Viimeaikaiset tutkimukset arvioivat verkkorikollisuuden aiheuttamien vahinkojen nousevan hätkähdyttävään 6 biljoonaan dollariin vuodessa vuoteen 2021 mennessä, 3 biljoonaan dollariin vuonna 2015. Jotta nämä kustannukset pysyisivät mahdollisimman pieninä asiakkaillesi, on sinun vastuullasi paitsi ymmärtää käyttäjien ja verkon tietoturvan parhaat käytännöt myös kertoa niistä asiaankuuluville loppukäyttäjille. Loppujen lopuksi asiakkaasi luottavat siihen, että tiimisi opastaa heitä jatkuvasti kehittyvässä IT-maisemassa.

vaikka tällä hetkellä on olemassa lukuisia verkon todennusmenetelmiä, jotka auttavat vankan turvallisuusstrategian toteuttamisessa, token-pohjainen todennus on monien MSP: iden suosikki. Yhdistämällä tämän kokeillun ja todellisen prosessin muiden kattavien turvatoimien kanssa MSPs auttaa pitämään asiakkaansa turvassa tietoturvaloukkauksilta, jotka vaarantavat heidän tuloksensa-ja maineensa -.

mitä on token-pohjainen todennus?

Token-pohjainen todennus on vain yksi monista web-todennusmenetelmistä, joita käytetään turvallisemman varmennusprosessin luomiseen. Muita web-todennusmenetelmiä ovat biometrinen todennus ja salasanatodennus. Vaikka jokainen todentamismenetelmä on yksilöllinen, kaikki menetelmät kuuluvat johonkin seuraavista kolmesta luokasta: tieto (jotain tiedät), perintö (jotain olet), ja hallussapito (jotain omistat).

salasanojen todentaminen kuuluu tietokategoriaan, koska käyttäjät luottavat aiemmin luomaansa sanaan tai lauseeseen henkilöllisyytensä todentamiseksi. Biometrinen todennus on esimerkki” something you aresta”, koska siinä käytetään biologisia ominaisuuksia, kuten sormenjälkiä. Ja viimeisenä, mutta ei suinkaan vähäisimpänä, token-pohjainen todennus kuuluu hallussapitoluokkaan.

Token-todennus edellyttää, että käyttäjät saavat tietokoneella luodun koodin (tai Tokenin) ennen kuin heille myönnetään pääsy verkkoon. Token-todennusta käytetään tyypillisesti salasanatodennuksen yhteydessä lisättyyn suojauskerrokseen. Tätä kutsutaan kaksivaiheiseksi todennukseksi (2FA). Tämä tarkoittaa, että vaikka hyökkääjä onnistuneesti toteuttaa brute force hyökkäys ottaa pois kaikki salasana paikallaan, ne täytyy myös ohittaa token todennus kerros. Ilman tunnuksen käyttöä verkkoon pääseminen käy yhä vaikeammaksi. Tämä lisäkerros lannistaa hyökkääjiä ja voi pelastaa verkkoja mahdollisesti tuhoisilta rikkomuksilta.

miten poletit toimivat?

monissa tapauksissa tokeneja luodaan dongleilla tai avaimen fobeilla, jotka luovat uuden todennustunnuksen 60 sekunnin välein tunnetun algoritmin mukaisesti. Koska valtaa nämä laitteet pitävät, käyttäjien on pidettävä ne turvassa koko ajan, jotta ne eivät joudu vääriin käsiin. Tällöin tiimin jäsenten on luovuttava dongle tai fob kun heidän työsuhteensa päättyy.

yleisimmät token-järjestelmät sisältävät otsikon, hyötykuorman ja allekirjoituksen. Otsikko koostuu hyötykuormityypistä sekä käytetystä allekirjoitusalgoritmista. Hyötykuorma sisältää väitteet, jotka ovat yksinkertaisesti mitä tahansa käyttäjään liittyviä lausuntoja. Allekirjoitus on juuri sitä, miltä se kuulostaa-allekirjoitusta käytetään todistamaan, että viesti ei ole vaarantunut kuljetuksen aikana. Nämä kolme tekijää työskentelevät yhdessä luodakseen erittäin tehokkaan ja turvallisen todentamisjärjestelmän.

vaikka nämä perinteiset token-todennusjärjestelmät ovat vielä nykyäänkin käytössä, älypuhelinten yleistyminen on tehnyt token-pohjaisesta todennuksesta helpompaa kuin koskaan. Älypuhelimia voidaan nyt lisätä toimimaan koodigeneraattoreina, jotka tarjoavat loppukäyttäjille tarvittavat suojauskoodit, jotta he voivat päästä verkkoonsa milloin tahansa. Osana kirjautumisprosessia käyttäjät saavat Kryptografisesti suojatun kertaluonteisen salasanan, joka on ajallisesti rajoitettu 30 tai 60 sekuntiin riippuen palvelimen päässä olevista asetuksista. Nämä pehmeät poletit syntyvät joko laitteen authenticator-sovelluksella tai lähetetään pyydettäessä tekstiviestillä.

älypuhelinten token-pohjaisen todennuksen tulo tarkoittaa, että suurimmalla osalla henkilökunnasta on jo laitteisto koodien luomiseen. Tämän seurauksena toteutuskustannukset ja henkilöstön koulutus on pidetty minimissä, mikä tekee tästä token-pohjaisesta tunnistautumisesta houkuttelevan vaihtoehdon monille yrityksille.

onko token-pohjainen todennus turvallinen?

verkkorikollisten edetessä on myös MSPs: n käyttöön ottamien suojauskäytäntöjen ja-käytäntöjen otettava käyttöön. Brute force-hyökkäysten, sanakirjahyökkäysten ja tietojenkalastelutaktiikoiden lisääntyvän käytön vuoksi käyttäjätunnusten kaappaamiseksi on tulossa räikeän ilmeiseksi, että salasanojen todennus ei enää riitä pitämään hyökkääjiä loitolla.

Token-pohjainen todennus, kun sitä käytetään yhdessä muiden todennuskäytäntöjen kanssa, luo 2FA-esteen, jonka tarkoituksena on pysäyttää edistyneinkin hakkeri hänen jäljillään. Koska tokeneja voidaan poimia vain niitä tuottavalta laitteelta—olipa kyseessä sitten avain fob tai älypuhelin—token authorization systems pidetään erittäin turvallisina ja tehokkaina.

mutta huolimatta monista authentication token Platformiin liittyvistä eduista, riskin mahdollisuus on aina pieni. Vaikka älypuhelinpohjaiset poletit ovat uskomattoman käteviä käyttää, älypuhelimissa on myös mahdollisia haavoittuvuuksia. Teksteinä lähetetyt poletit ovat riskialttiimpia, koska ne voidaan siepata kuljetuksen aikana. Kuten muutkin laitteet, älypuhelimet voivat myös kadota tai varastaa ja päätyä niiden käsiin, joilla on vaarallisia aikeita.

Token-based authentication best practices

vankan todennusstrategian toteuttaminen on ratkaisevan tärkeää, kun autat asiakkaitasi suojaamaan verkkojaan tietoturvaloukkaukselta. Mutta jotta strategiasi olisi todella tehokas, se edellyttää kaikkien asiaankuuluvien parhaiden käytäntöjen tiukkaa noudattamista. Seuraavassa on muutamia avaintekijöitä, jotka on pidettävä mielessä, kun otetaan käyttöön token – pohjainen todennusstrategia:

• laita oikea token peliin: vaikka on olemassa useita web tokens olemassa, mikään aivan vastaa suosiota ja luotettavuutta JSON Web Token (JWT). JWT: tä pidetään avoimena standardina (RFC 7519) arkaluonteisten tietojen välittämiseen useiden osapuolten välillä. Vaihdetut tiedot allekirjoitetaan digitaalisesti käyttäen algoritmia tai julkisen / yksityisen avaimen paritusta optimaalisen turvallisuuden varmistamiseksi.
• pidä se yksityisenä: tunnusta tulee käsitellä samalla tavalla kuin käyttäjän tunnuksia. Valistaa asiakkaita siitä, miten tärkeää pitää niiden tunnuskoodit yksityinen-eli kohdella heitä samalla tavalla he olisivat koodin holvi täynnä arvokkainta omaisuuttaan. Tämä ajattelutapa on erityisen tärkeää, kun se tulee allekirjoitusavain.
• Leverage HTTPS-yhteydet: HTTPS-yhteydet on rakennettu tietoturvaprotokollilla päällimmäisenä mielessä, hyödyntämällä salausta ja tietoturvasertifikaatteja, jotka on suunniteltu suojaamaan arkaluonteisia tietoja. On tärkeää käyttää HTTPS-yhteyttä vs HTTP – yhteyttä tai mitä tahansa muuta yhteyden muotoa lähetettäessä tokeneita, koska nämä vaihtoehtoiset järjestelmät kohtaavat suuremmat mahdollisuudet sieppaukseen hyökkääjältä.

aitoustunnusten hyödyt

historiallisesti yksi aitoustaso oli kultakanta. Mutta nykypäivän kyberturvallisuusilmapiirissä-jossa hakkerit ovat ovelampia kuin koskaan ennen—yksi tunnistautuminen on vähimmäisvaatimus. Tietoon perustuvat todennuskäytännöt toimivat parhaiten, kun ne toteutetaan hallussapitoon perustuvien järjestelmien rinnalla vankkojen 2fa-järjestelmien muodostamiseksi.

tässä astuu voimaan token authentication. Token-järjestelmät, jotka luottavat laitteistoon tietokonekoodien käyttöönotossa, ovat kriittinen osa mitä tahansa kattavaa turvallisuusstrategiaa. Nämä järjestelmät laittavat 2FA: n toimimaan pysäyttääkseen hyökkääjät ennen kuin he pääsevät verkkoon—ja aiheuttavat siellä tuhoa.

asiakasverkkojen ennakoivan turvaamisen lisäksi on kuitenkin tärkeää, että MSPs auttaa myös asiakkaita reagoimaan tietomurtoihin. Siinä tapauksessa, että huono toimija onnistuu pääsemään verkkoon, tietojen tallentaminen turvallisesti pilveen voi estää asiakkaitasi joutumasta tietojen menetyksen tai mojovan lunnasuhan uhriksi.