SOM en leverandør av administrerte TJENESTER (MSP) er cybersikkerhet aldri langt fra tankene dine. Nyere forskning anslår skader fra nettkriminalitet vil nå en oppsiktsvekkende $ 6 billioner per år av 2021, opp fra $3 billioner i 2015. For å holde disse kostnadene på et minimum for kundene dine, er det ditt ansvar å ikke bare forstå beste praksis for bruker-og nettverkssikkerhet, men også å kommunisere dem til relevante sluttbrukere. Kundene er tross alt avhengige av teamet ditt for å veilede DEM gjennom DET STADIG utviklende IT-landskapet.

mens en mengde nettverksautentiseringsmetoder for tiden eksisterer for å hjelpe til med å utføre en robust sikkerhetsstrategi, er token-basert autentisering en favoritt blant Mange Msp-Er. Ved å koble denne prøvde og sanne prosessen med andre omfattende sikkerhetstiltak, Hjelper Msp-er med å holde kundene trygge fra sikkerhetsbrudd som setter bunnlinjen—og deres omdømme – i fare.

Hva er token-basert autentisering?

Tokenbasert godkjenning er bare en av mange webgodkjenningsmetoder som brukes til å opprette en sikrere bekreftelsesprosess. Andre webautentiseringsmetoder inkluderer biometrisk autentisering og passordautentisering. Selv om hver godkjenningsmetode er unik, faller alle metoder under en av følgende tre kategorier: kunnskap (noe du vet), arv (noe du er), og besittelse (noe du eier).

passordgodkjenning faller innenfor kunnskapskategorien fordi brukere stoler på et ord eller uttrykk de tidligere har opprettet for å bekrefte identiteten sin. Biometrisk autentisering er et eksempel på «noe du er» på grunn av bruken av biologiske egenskaper, som fingeravtrykk. Og sist, men absolutt ikke minst, token-basert autentisering tilhører i besittelse kategorien.

Tokengodkjenning krever at brukerne får en datamaskingenerert kode (eller token) før de får nettverksoppføring. Tokengodkjenning brukes vanligvis i forbindelse med passordgodkjenning for et ekstra sikkerhetslag. Dette er hva vi refererer til som tofaktorautentisering (2fa). Det betyr at selv om en angriper vellykket implementerer et brute force-angrep for å ta ut et passord på plass, må de også omgå token-autentiseringslaget. Uten tilgang til token blir det stadig vanskeligere å få tilgang til nettverket. Dette ekstra laget motvirker angripere og kan lagre nettverk fra potensielt katastrofale brudd.

hvordan fungerer tokens?

i mange tilfeller opprettes tokens via dongler eller nøkkelfobber som genererer et nytt autentiseringstoken hvert 60. sekund i samsvar med en kjent algoritme. På grunn av kraften disse maskinvareenhetene holder, er brukerne pålagt å holde dem trygge hele tiden for å sikre at de ikke faller i gale hender. Som sådan, gruppemedlemmer må gi avkall på dongle eller fob når deres ansettelse ender.

de vanligste token-systemene inneholder en topptekst, nyttelast og signatur. Overskriften består av nyttelasttype samt signeringsalgoritmen som brukes. Nyttelasten inneholder krav, som er bare noen uttalelser knyttet til brukeren. Signaturen er akkurat det det høres ut som-signaturen som brukes til å bevise at meldingen ikke har blitt truet i transitt. Disse tre elementene jobber sammen for å skape et svært effektivt og sikkert autentiseringssystem.

mens disse tradisjonelle token-autentiseringssystemene fortsatt er i kraft i dag, har økningen av smarttelefoner gjort token-basert autentisering enklere enn noensinne. Smarttelefoner kan nå utvides for å fungere som kodegeneratorer, og gir sluttbrukere de sikkerhetskodene som er nødvendige for å få tilgang til nettverket til enhver tid. Som en del av påloggingsprosessen mottar brukerne en kryptografisk sikker engangspassord som er tidsbegrenset til 30 eller 60 sekunder, avhengig av innstillingene på serverenden. Disse myke tokens genereres enten av en autentiseringsapp på enheten eller sendes på forespørsel VIA SMS.

ankomsten av smartphone token-basert autentisering betyr at de fleste ansatte allerede har maskinvaren til å generere kodene. Som et resultat holdes implementeringskostnader og personalopplæring på et minimum, noe som gjør denne form for token-basert autentisering til et fristende alternativ for mange selskaper.

er token-basert autentisering sikker?

som nettkriminelle forhånd, så må beskyttelse praksis og retningslinjer Som Msp satt på plass. På grunn av den økende bruken av brute force-angrep, ordboksangrep og phishing-taktikk for å snappe brukerlegitimasjon, blir det tydelig at passordautentisering ikke lenger er nok til å holde angriperne i sjakk.

Token-basert autentisering, når den brukes sammen med andre godkjenningspraksis, skaper EN 2fa-barriere designet for å stoppe selv den mest avanserte hackeren i hans eller hennes spor. Fordi tokens kun kan hentes fra enheten som produserer dem-enten det er en nøkkelfob eller smartphone-token autorisasjonssystemer anses å være svært sikre og effektive.

men til tross for de mange fordelene forbundet med en autentiseringstokenplattform, er det alltid en liten sjanse for risiko som gjenstår. Mens smarttelefonbaserte tokens er utrolig praktiske å bruke, introduserer smarttelefoner også potensielle sårbarheter. Tokens sendt som tekster er mer risikofylt fordi de kan bli fanget opp under transitt. Som med andre maskinvareenheter, kan smarttelefoner også gå tapt eller stjålet og komme opp i forståelsen av de med farlige intensjoner.

Beste Praksis for Token-basert autentisering

Implementering av en robust autentiseringsstrategi er avgjørende når det gjelder å hjelpe kundene med å beskytte nettverkene sine mot sikkerhetsbrudd. Men for din strategi for å virkelig være effektiv krever streng overholdelse av alle relevante beste praksis. Her er noen viktige faktorer å huske på når du distribuerer en token-basert autentiseringsstrategi:

• Sett riktig token i spill: Mens det finnes en rekke webtokener, samsvarer ingen helt med populariteten OG påliteligheten TIL JSON Web Token (JWT). JWT regnes som EN åpen standard (RFC 7519) for overføring av sensitiv informasjon mellom flere parter. Informasjonen som utveksles, signeres digitalt ved hjelp av en algoritme eller offentlig / privat nøkkelparing for å sikre optimal sikkerhet.
• Hold det privat: et token skal behandles på samme måte som brukerlegitimasjon er. Opplær kundene om viktigheten av å holde sine tokenkoder privat – det vil si å behandle dem på samme måte som de ville koden til et hvelv fullt av sine mest verdifulle eiendeler. Denne tankegangen er spesielt relevant når det gjelder signeringsnøkkelen.
• Utnytt HTTPS-tilkoblinger: HTTPS-tilkoblinger har blitt konstruert med sikkerhetsprotokoller, og utnytter kryptering og sikkerhetssertifiseringer designet for å beskytte sensitive data. DET er viktig å bruke HTTPS-tilkobling vs HTTP eller annen form for tilkobling når du sender tokens, da disse alternative systemene står overfor høyere sjanser for avlytting fra en angriper.

Høster fordelene med autentiseringstokener

Historisk sett var ett lag med autentisering gullstandarden. Men i dagens cybersikkerhetsklima – der hackere er mer listige enn noen gang før – er en autentisering det minste minimum. Kunnskapsbasert autentiseringspraksis fungerer best når den implementeres sammen med besittelsesbaserte for å danne robuste 2fa-systemer.

dette er hvor tokenautentisering trer i kraft. Token-systemer som er avhengige av maskinvare for å distribuere datamaskingenererte koder, er en kritisk komponent i enhver omfattende sikkerhetsstrategi. Disse systemene setter 2FA i arbeid for å stoppe angripere før de får tilgang til—og skape kaos på—nettverket.

i tillegg til proaktivt sikring av kundenettverk, er Det imidlertid viktig At Msp-Er også hjelper kundene med å reagere på databrudd. Hvis en dårlig aktør lykkes med å få tilgang til et nettverk, kan det å ha data lagret trygt på skyen forhindre at kundene dine blir offer for tap av data eller trusselen om heftige løsepenger.