como um provedor de serviços gerenciados (MSP), a segurança cibernética nunca está longe de sua mente. Pesquisas recentes estimam que os danos causados pelo cibercrime chegarão a surpreendentes US $6 trilhões por ano até 2021, ante US $3 trilhões em 2015. Para manter esses custos no mínimo para seus clientes, é sua responsabilidade não apenas entender as melhores práticas para a segurança do Usuário e da rede, mas também comunicá-las aos usuários finais relevantes. Afinal, seus clientes confiam em sua equipe para guiá-los pelo cenário de TI em constante evolução.

embora atualmente exista uma infinidade de métodos de autenticação de rede para ajudar na execução de uma estratégia de segurança robusta, a autenticação baseada em token é a favorita entre muitos MSPs. Ao combinar esse processo comprovado com outras medidas de segurança abrangentes, os MSPs ajudam a manter seus clientes protegidos contra violações de segurança que colocam seus resultados financeiros—e sua reputação—em risco.

o que é autenticação baseada em token?A autenticação baseada em Token é apenas um dos muitos métodos de autenticação da web usados para criar um processo de verificação mais seguro. Outros métodos de autenticação da web incluem autenticação biométrica e autenticação de senha. Embora cada método de autenticação seja exclusivo, todos os métodos se enquadram em uma das três categorias a seguir: conhecimento( algo que você sabe), herança (algo que você é) e posse (algo que você possui).

a autenticação de senha se enquadra na categoria conhecimento porque os usuários confiam em uma palavra ou frase que criaram anteriormente para verificar sua identidade. A autenticação biométrica é um exemplo de” algo que você é ” devido ao uso de características biológicas, como impressões digitais. E por último, mas certamente não menos importante, a autenticação baseada em token pertence à categoria de posse.

a autenticação de Token requer que os usuários obtenham um código gerado por computador (ou token) antes de receberem a entrada de rede. A autenticação de Token é normalmente usada em conjunto com a autenticação de senha para uma camada adicional de segurança. Isso é o que chamamos de autenticação de dois fatores (2FA). Isso significa que mesmo que um invasor implemente com sucesso um ataque de Força bruta para remover qualquer senha no lugar, ele também terá que ignorar a camada de autenticação de token. Sem acesso ao token, obter acesso à rede torna-se cada vez mais difícil. Essa camada adicional desencoraja os invasores e pode salvar as redes de violações potencialmente desastrosas.

como funcionam os tokens?

em muitos casos, os tokens são criados por meio de dongles ou key fobs que geram um novo token de autenticação a cada 60 segundos, de acordo com um algoritmo conhecido. Devido ao poder que esses dispositivos de hardware possuem, os usuários são obrigados a mantê-los seguros o tempo todo para garantir que não caiam nas mãos erradas. Como tal, os membros da equipe devem abandonar seu dongle ou fob quando seu emprego terminar.

os sistemas de token mais comuns contêm um cabeçalho, carga útil e assinatura. O cabeçalho consiste no tipo de carga útil, bem como no algoritmo de assinatura que está sendo usado. A carga útil contém as reivindicações, que são simplesmente quaisquer declarações pertencentes ao usuário. A Assinatura é exatamente o que parece-a assinatura usada para provar que a mensagem não foi comprometida em trânsito. Esses três elementos trabalham juntos para criar um sistema de autenticação altamente eficiente e seguro.

embora esses sistemas tradicionais de autenticação de token ainda estejam em vigor hoje, a ascensão dos smartphones tornou a autenticação baseada em tokens mais fácil do que nunca. Os Smartphones agora podem ser aumentados para servir como geradores de código, fornecendo aos usuários finais as senhas de segurança necessárias para obter acesso à sua rede a qualquer momento. Como parte do processo de login, os usuários recebem uma senha única criptograficamente segura que é limitada a 30 ou 60 segundos, dependendo das configurações no final do servidor. Esses tokens soft são gerados por um aplicativo autenticador no dispositivo ou enviados sob demanda via SMS.

o advento da autenticação baseada em token de smartphone significa que a maioria dos funcionários já possui o hardware para gerar os códigos. Como resultado, os custos de implementação e o treinamento da equipe são reduzidos ao mínimo, tornando essa forma de autenticação baseada em tokens uma opção tentadora para muitas empresas.

a autenticação baseada em token é Segura?

à medida que os cibercriminosos avançam, as práticas e políticas de proteção que os MSPs implementam também devem avançar. Devido ao crescente uso de ataques de Força bruta, ataques de dicionário e táticas de phishing para roubar credenciais de usuário, está se tornando incrivelmente óbvio que a autenticação de senha não é mais suficiente para manter os invasores afastados.

a autenticação baseada em Token, quando usada em conjunto com outras práticas de autenticação, cria uma barreira 2FA projetada para impedir até mesmo o hacker mais avançado em suas trilhas. Como os tokens só podem ser obtidos do dispositivo que os produz—seja um chaveiro ou smartphone-os sistemas de autorização de token são considerados altamente seguros e eficazes.

mas apesar das muitas vantagens associadas a uma plataforma de token de autenticação, há sempre uma pequena chance de risco que permanece. Embora os tokens baseados em smartphones sejam incrivelmente convenientes de utilizar, os smartphones também introduzem vulnerabilidades potenciais. Os Tokens enviados como textos são mais arriscados porque podem ser interceptados durante o trânsito. Tal como acontece com outros dispositivos de hardware, os smartphones também podem ser perdidos ou roubados e acabar ao alcance daqueles com intenções perigosas.

práticas recomendadas de autenticação baseadas em tokens

implementar uma estratégia de autenticação robusta é fundamental quando se trata de ajudar seus clientes a proteger suas redes de uma violação de segurança. Mas para que sua estratégia seja realmente eficaz, é necessário uma adesão estrita a todas as melhores práticas relevantes. Aqui estão alguns fatores-chave a serem lembrados ao implantar uma estratégia de autenticação baseada em token:

• coloque o token certo em jogo: embora existam vários tokens da web, nenhum corresponde à popularidade e confiabilidade do JSON Web Token (JWT). JWT é considerado um padrão aberto (RFC 7519) para transmitir informações confidenciais entre várias partes. As informações trocadas são assinadas digitalmente usando um algoritmo ou emparelhamento de chave pública/privada para garantir a segurança ideal.
• mantenha-o Privado: um token deve ser tratado da mesma forma que as credenciais do Usuário. Eduque os clientes sobre a importância de manter seus códigos simbólicos privados—ou seja, tratá-los da mesma forma que fariam com o código em um cofre cheio de seus bens mais valiosos. Essa mentalidade é particularmente relevante quando se trata da chave de assinatura.
• aproveite as conexões HTTPS: as conexões HTTPS foram construídas com protocolos de segurança em mente, aproveitando as certificações de criptografia e segurança projetadas para proteger dados confidenciais. É importante usar a conexão HTTPS vs HTTP ou qualquer outra forma de conexão ao enviar tokens, pois esses sistemas alternativos enfrentam maiores chances de interceptação de um invasor.

colhendo os benefícios dos tokens de autenticação

historicamente, uma camada de autenticação era o padrão ouro. Mas no clima de segurança cibernética de hoje—no qual os hackers são mais astutos do que nunca-uma autenticação é o mínimo. As práticas de autenticação baseadas em conhecimento funcionam melhor quando implementadas juntamente com as baseadas em posse para formar sistemas 2FA robustos.

é aqui que a autenticação de token entra em vigor. Os sistemas de Token que dependem de hardware para implantar códigos gerados por computador são um componente crítico de qualquer estratégia de segurança abrangente. Esses sistemas colocam o 2FA para trabalhar para impedir que os invasores tenham acesso e causem estragos na rede.

além de proteger proativamente as redes de clientes, no entanto, é fundamental que os MSPs também ajudem os clientes a reagir a violações de dados. No caso de um mau ator conseguir obter acesso a uma rede, ter dados armazenados com segurança na nuvem pode impedir que seus clientes sejam vítimas de perda de dados ou da ameaça de resgates pesados.