In qualità di Managed Services Provider (MSP), la sicurezza informatica non è mai lontana dalla tua mente. Una recente ricerca stima che i danni causati dalla criminalità informatica raggiungeranno un sorprendente trillion 6 trilioni all’anno da 2021, rispetto a trillion 3 trilioni in 2015. Per mantenere questi costi al minimo per i tuoi clienti, è tua responsabilità non solo comprendere le best practice per la sicurezza degli utenti e della rete, ma anche comunicarle agli utenti finali pertinenti. Dopo tutto, i tuoi clienti si affidano al tuo team per guidarli attraverso il panorama IT in continua evoluzione.

Mentre attualmente esiste una pletora di metodi di autenticazione di rete per aiutare l’esecuzione di una solida strategia di sicurezza, l’autenticazione basata su token è uno dei preferiti tra molti MSP. Associando questo processo provato e vero con altre misure di sicurezza complete, gli MSP aiutano a mantenere i loro clienti al sicuro da violazioni della sicurezza che mettono a repentaglio i loro profitti e la loro reputazione.

Cos’è l’autenticazione basata su token?

L’autenticazione basata su token è solo uno dei molti metodi di autenticazione Web utilizzati per creare un processo di verifica più sicuro. Altri metodi di autenticazione web includono l’autenticazione biometrica e l’autenticazione con password. Mentre ogni metodo di autenticazione è unico, tutti i metodi rientrano in una delle seguenti tre categorie: conoscenza (qualcosa che conosci), eredità (qualcosa che sei) e possesso (qualcosa che possiedi).

L’autenticazione della password rientra nella categoria knowledge perché gli utenti si affidano a una parola o una frase creata in precedenza per verificare la propria identità. L’autenticazione biometrica è un esempio di” qualcosa che sei ” a causa del suo uso di tratti biologici, come le impronte digitali. E ultimo, ma certamente non meno importante, l’autenticazione basata su token appartiene alla categoria possession.

L’autenticazione dei token richiede agli utenti di ottenere un codice (o token) generato dal computer prima che venga loro concesso l’accesso alla rete. L’autenticazione token viene in genere utilizzata in combinazione con l’autenticazione password per un ulteriore livello di sicurezza. Questo è ciò a cui ci riferiamo come autenticazione a due fattori (2FA). Ciò significa che anche se un utente malintenzionato implementa con successo un attacco di forza bruta per eliminare qualsiasi password sul posto, dovrà anche bypassare il livello di autenticazione del token. Senza l’accesso al token, ottenere l’accesso alla rete diventa sempre più difficile. Questo livello aggiuntivo scoraggia gli aggressori e può salvare le reti da violazioni potenzialmente disastrose.

Come funzionano i token?

In molti casi, i token vengono creati tramite dongle o portachiavi che generano un nuovo token di autenticazione ogni 60 secondi in conformità con un algoritmo noto. A causa della potenza di questi dispositivi hardware, gli utenti sono tenuti a tenerli al sicuro in ogni momento per assicurarsi che non cadano nelle mani sbagliate. Come tale, i membri del team devono rinunciare loro dongle o fob quando il loro lavoro finisce.

I sistemi di token più comuni contengono un’intestazione, un payload e una firma. L’intestazione è costituita dal tipo di payload e dall’algoritmo di firma utilizzato. Il payload contiene le affermazioni, che sono semplicemente tutte le dichiarazioni relative all’utente. La firma è esattamente quello che sembra-la firma utilizzata per dimostrare che il messaggio non è stato compromesso in transito. Questi tre elementi lavorano insieme per creare un sistema di autenticazione altamente efficiente e sicuro.

Mentre questi sistemi di autenticazione token tradizionali sono ancora in vigore oggi, l’ascesa degli smartphone ha reso l’autenticazione basata su token più facile che mai. Gli smartphone possono ora essere potenziati per fungere da generatori di codice, fornendo agli utenti finali i passcode di sicurezza necessari per accedere alla propria rete in qualsiasi momento. Come parte del processo di accesso, gli utenti ricevono un codice di accesso una tantum crittograficamente sicuro che è limitato a 30 o 60 secondi, a seconda delle impostazioni alla fine del server. Questi token soft sono generati da un’app di autenticazione sul dispositivo o inviati su richiesta tramite SMS.

L’avvento dell’autenticazione basata su token per smartphone significa che la maggior parte del personale ha già l’hardware per generare i codici. Di conseguenza, i costi di implementazione e la formazione del personale sono ridotti al minimo, rendendo questa forma di autenticazione basata su token un’opzione allettante per molte aziende.

L’autenticazione basata su token è sicura?

Man mano che i criminali informatici avanzano, così devono le pratiche e le politiche di protezione messe in atto dagli MSP. A causa del crescente uso di attacchi di forza bruta, attacchi al dizionario e tattiche di phishing per strappare le credenziali dell’utente, sta diventando palesemente ovvio che l’autenticazione della password non è più sufficiente per tenere a bada gli aggressori.

L’autenticazione basata su token, se utilizzata in tandem con altre pratiche di autenticazione, crea una barriera 2FA progettata per fermare anche l’hacker più avanzato nelle sue tracce. Poiché i token possono essere raccolti solo dal dispositivo che li produce, sia che si tratti di un portachiavi o di uno smartphone, i sistemi di autorizzazione dei token sono considerati altamente sicuri ed efficaci.

Ma nonostante i numerosi vantaggi associati a una piattaforma di token di autenticazione, rimane sempre una piccola possibilità di rischio. Mentre i token basati su smartphone sono incredibilmente convenienti da utilizzare, gli smartphone introducono anche potenziali vulnerabilità. I token inviati come testi sono più rischiosi perché possono essere intercettati durante il transito. Come con altri dispositivi hardware, gli smartphone possono anche essere persi o rubati e finire in mano a quelli con intenzioni pericolose.

Best practice di autenticazione basate su token

L’implementazione di una solida strategia di autenticazione è fondamentale quando si tratta di aiutare i clienti a proteggere le loro reti da una violazione della sicurezza. Ma per la vostra strategia per essere veramente efficace richiede il rispetto rigoroso di tutte le migliori pratiche pertinenti. Ecco alcuni fattori chiave da tenere a mente quando si distribuisce una strategia di autenticazione basata su token:

• Metti in gioco il token giusto: mentre esistono numerosi token Web, nessuno corrisponde alla popolarità e all’affidabilità del token Web JSON (JWT). JWT è considerato uno standard aperto (RFC 7519) per la trasmissione di informazioni sensibili tra più parti. Le informazioni scambiate sono firmate digitalmente utilizzando un algoritmo o un accoppiamento chiave pubblica/privata per garantire una sicurezza ottimale.
• Mantienilo privato: un token dovrebbe essere trattato allo stesso modo delle credenziali dell’utente. Educare i clienti sull’importanza di mantenere i loro codici token privati, ovvero trattarli allo stesso modo in cui avrebbero il codice in un caveau pieno dei loro beni più preziosi. Questa mentalità è particolarmente rilevante quando si tratta della chiave di firma.
• Sfrutta le connessioni HTTPS: le connessioni HTTPS sono state costruite con protocolli di sicurezza al top, sfruttando la crittografia e le certificazioni di sicurezza progettate per proteggere i dati sensibili. È importante utilizzare la connessione HTTPS vs HTTP o qualsiasi altra forma di connessione quando si inviano token, poiché questi sistemi alternativi hanno maggiori possibilità di intercettazione da parte di un utente malintenzionato.

Sfruttare i vantaggi dei token di autenticazione

Storicamente, un livello di autenticazione è stato il gold standard. Ma nel clima di sicurezza informatica di oggi—in cui gli hacker sono più furbi che mai-un’autenticazione è il minimo indispensabile. Le pratiche di autenticazione basate sulla conoscenza funzionano meglio se implementate insieme a quelle basate sul possesso per formare robusti sistemi 2FA.

È qui che entra in vigore l’autenticazione del token. I sistemi di token che si basano sull’hardware per distribuire codici generati dal computer sono un componente fondamentale di qualsiasi strategia di sicurezza completa. Questi sistemi mettono 2FA al lavoro per fermare gli aggressori prima di ottenere l’accesso a-e devastare – la rete.

Oltre a proteggere in modo proattivo le reti dei clienti, è fondamentale che gli MSP aiutino anche i clienti a reagire alle violazioni dei dati. Nel caso in cui un cattivo attore riesce a ottenere con successo l’accesso a una rete, avendo i dati memorizzati in modo sicuro sul cloud può impedire ai clienti di dover cadere vittima di perdita di dati o la minaccia di ingenti riscatti.