jako dostawca usług zarządzanych (MSP), cyberbezpieczeństwo nigdy nie jest daleko od Twojego umysłu. Najnowsze badania szacują, że szkody spowodowane cyberprzestępczością osiągną zaskakujące 6 bilionów dolarów rocznie do 2021 r., w porównaniu z 3 bilionami dolarów w 2015 r. Aby ograniczyć te koszty do minimum dla klientów, Twoim obowiązkiem jest nie tylko zrozumienie najlepszych praktyk w zakresie bezpieczeństwa użytkowników i sieci, ale także przekazanie ich odpowiednim użytkownikom końcowym. W końcu twoi klienci polegają na swoim zespole, który poprowadzi ich przez stale zmieniający się krajobraz IT.

chociaż obecnie istnieje wiele metod uwierzytelniania sieciowego, które pomagają w realizacji solidnej strategii bezpieczeństwa, uwierzytelnianie oparte na tokenach jest ulubionym rozwiązaniem wśród wielu dostawców usług płatniczych. Łącząc ten wypróbowany i prawdziwy proces z innymi kompleksowymi środkami bezpieczeństwa, Dostawcy Usług MSP pomagają chronić swoich klientów przed naruszeniami bezpieczeństwa, które narażają ich zyski i reputację.

co to jest uwierzytelnianie oparte na tokenie?

uwierzytelnianie oparte na tokenie jest tylko jedną z wielu metod uwierzytelniania internetowego używanych do tworzenia bezpieczniejszego procesu weryfikacji. Inne metody uwierzytelniania internetowego obejmują uwierzytelnianie biometryczne i uwierzytelnianie hasłem. Chociaż każda metoda uwierzytelniania jest unikalna, wszystkie metody należą do jednej z następujących trzech kategorii: wiedza (coś, co wiesz), dziedziczenie (coś, czym jesteś) i posiadanie (coś, co posiadasz).

uwierzytelnianie hasłem należy do kategorii wiedzy, ponieważ użytkownicy polegają na słowie lub frazie, które wcześniej utworzyli, aby zweryfikować swoją tożsamość. Uwierzytelnianie Biometryczne jest przykładem „czegoś, czym jesteś” ze względu na wykorzystanie cech biologicznych, takich jak odciski palców. I wreszcie, ale na pewno nie najmniej ważne, uwierzytelnianie oparte na tokenach należy do kategorii posiadania.

uwierzytelnianie tokenów wymaga od użytkowników uzyskania wygenerowanego komputerowo kodu (lub tokena) przed uzyskaniem dostępu do sieci. Uwierzytelnianie tokenów jest zwykle używane w połączeniu z uwierzytelnianiem hasłem dla dodatkowej warstwy zabezpieczeń. To jest to, co nazywamy uwierzytelnianiem dwuskładnikowym (2FA). Oznacza to, że nawet jeśli atakujący skutecznie wdroży atak brute force w celu usunięcia dowolnego hasła, będzie musiał również ominąć warstwę uwierzytelniania tokenów. Bez dostępu do tokena uzyskanie dostępu do sieci staje się coraz trudniejsze. Ta dodatkowa warstwa zniechęca atakujących i może uchronić sieci przed potencjalnie katastrofalnymi naruszeniami.

jak działają tokeny?

w wielu przypadkach tokeny są tworzone za pomocą kluczy sprzętowych lub breloków, które generują nowy token uwierzytelniania co 60 sekund zgodnie ze znanym algorytmem. Ze względu na moc tych urządzeń sprzętowych, użytkownicy są zobowiązani do zapewnienia ich bezpieczeństwa przez cały czas, aby upewnić się, że nie wpadną w niepowołane ręce. W związku z tym członkowie zespołu muszą zrezygnować z klucza sprzętowego lub fob po zakończeniu zatrudnienia.

najczęstsze systemy tokenów zawierają nagłówek, ładunek i podpis. Nagłówek składa się z typu ładunku, a także używanego algorytmu podpisywania. Ładunek zawiera oświadczenia, które są po prostu oświadczeniami odnoszącymi się do użytkownika. Podpis jest dokładnie taki, jak brzmi-podpis używany do udowodnienia, że wiadomość nie została zagrożona podczas transportu. Te trzy elementy współpracują ze sobą, tworząc wysoce wydajny i bezpieczny system uwierzytelniania.

chociaż te tradycyjne systemy uwierzytelniania tokenów są nadal w użyciu, rozwój smartfonów sprawił, że uwierzytelnianie oparte na tokenach było łatwiejsze niż kiedykolwiek. Smartfony można teraz rozszerzyć, aby służyły jako generatory kodu, zapewniając użytkownikom końcowym kody bezpieczeństwa niezbędne do uzyskania dostępu do ich sieci w dowolnym momencie. W ramach procesu logowania użytkownicy otrzymują kryptograficznie bezpieczne jednorazowe hasło, które jest ograniczone czasowo do 30 lub 60 sekund, w zależności od ustawień na końcu serwera. Te miękkie tokeny są generowane przez aplikację authenticator na urządzeniu lub wysyłane na żądanie za pośrednictwem wiadomości SMS.

pojawienie się uwierzytelniania opartego na tokenach smartfonów oznacza, że większość pracowników ma już sprzęt do generowania kodów. W rezultacie koszty wdrożenia i szkolenia personelu są ograniczone do minimum, co czyni tę formę uwierzytelniania opartego na tokenach kuszącą opcją dla wielu firm.

czy uwierzytelnianie oparte na tokenach jest bezpieczne?

wraz z postępem cyberprzestępców muszą również obowiązywać praktyki i polityki ochrony wprowadzane przez MSP. Ze względu na coraz częstsze stosowanie ataków brute force, ataków słownikowych i taktyk phishingowych w celu przechwytywania danych uwierzytelniających użytkowników staje się rażąco oczywiste, że uwierzytelnianie hasłem nie wystarczy już, aby utrzymać atakujących na dystans.

uwierzytelnianie oparte na tokenach, gdy jest używane w połączeniu z innymi praktykami uwierzytelniania, tworzy barierę 2FA zaprojektowaną, aby zatrzymać nawet najbardziej zaawansowanego hakera na jego tropie. Ponieważ tokeny można pobierać tylko z urządzenia, które je wytwarza-niezależnie od tego, czy jest to brelok, czy smartfon—systemy autoryzacji tokenów są uważane za wysoce bezpieczne i skuteczne.

ale pomimo wielu zalet związanych z platformą tokenów uwierzytelniających, zawsze pozostaje niewielka szansa na ryzyko. Podczas gdy tokeny oparte na smartfonach są niezwykle wygodne w użyciu, smartfony wprowadzają również potencjalne luki w zabezpieczeniach. Tokeny wysyłane jako teksty są bardziej ryzykowne, ponieważ mogą być przechwycone podczas transportu. Podobnie jak w przypadku innych urządzeń sprzętowych, smartfony mogą również zostać zgubione lub skradzione i znaleźć się w zasięgu tych, którzy mają niebezpieczne intencje.

najlepsze praktyki uwierzytelniania oparte na tokenach

wdrożenie solidnej strategii uwierzytelniania ma kluczowe znaczenie, jeśli chodzi o pomoc klientom w ochronie ich sieci przed naruszeniem zabezpieczeń. Ale aby Twoja strategia była naprawdę skuteczna, wymaga ścisłego przestrzegania wszystkich odpowiednich najlepszych praktyk. Oto kilka kluczowych czynników, o których należy pamiętać podczas wdrażania strategii uwierzytelniania opartego na tokenach:

• umieść odpowiedni token w grze: chociaż istnieje wiele tokenów internetowych, żaden nie odpowiada popularności i niezawodności Tokena internetowego JSON (JWT). JWT jest uważany za otwarty standard (RFC 7519) do przesyłania poufnych informacji między wieloma stronami. Wymieniane informacje są podpisywane cyfrowo za pomocą algorytmu lub parowania klucza publicznego / prywatnego w celu zapewnienia optymalnego bezpieczeństwa.
• zachowaj prywatność: token powinien być traktowany tak samo jak poświadczenia użytkownika. Informowanie klientów o tym, jak ważne jest, aby ich kody tokenów były prywatne—tj. traktowanie ich w taki sam sposób, w jaki kod trafiałby do skarbca pełnego ich najcenniejszych rzeczy. Ten sposób myślenia jest szczególnie istotny, jeśli chodzi o klucz do podpisywania.
• wykorzystaj połączenia HTTPS: połączenia HTTPS zostały skonstruowane przy użyciu protokołów bezpieczeństwa, wykorzystując szyfrowanie i certyfikaty bezpieczeństwa zaprojektowane w celu ochrony poufnych danych. Ważne jest, aby podczas wysyłania tokenów używać połączenia HTTPS vs HTTP lub jakiejkolwiek innej formy połączenia, ponieważ te alternatywne systemy mają większe szanse na przechwycenie od atakującego.

czerpanie korzyści z tokenów uwierzytelniania

historycznie jedna warstwa uwierzytelniania była złotym standardem. Ale w dzisiejszym klimacie cyberbezpieczeństwa—w którym hakerzy są bardziej przebiegli niż kiedykolwiek wcześniej—jedno uwierzytelnianie to absolutne minimum. Praktyki uwierzytelniania oparte na wiedzy działają najlepiej, gdy są wdrażane obok opartych na posiadaniu, tworząc solidne systemy 2FA.

tutaj zaczyna obowiązywać uwierzytelnianie tokenów. Systemy tokenów, które polegają na sprzęcie do wdrażania generowanych komputerowo kodów, są kluczowym elementem każdej kompleksowej strategii bezpieczeństwa. Systemy te uruchamiają 2FA, aby powstrzymać atakujących, zanim uzyskają dostęp do sieci i sieją spustoszenie w niej.

oprócz aktywnego zabezpieczania sieci klientów ważne jest jednak, aby Dostawcy Usług MSP pomagali również klientom reagować na naruszenia danych. W przypadku, gdy zły aktor z powodzeniem uzyska dostęp do sieci, bezpieczne przechowywanie danych w chmurze może zapobiec padnięciu ofiarą utraty danych lub groźbie potężnego okupu.