Строгая аутентификация не сдает своих позиций и становится частью стратегии ...

Строгая аутентификация не сдает своих позиций и становится частью стратегии соответствия GDPR

Строгая аутентификация не сдает своих позиций и становится частью стратегии соответствия GDPR

Защита информации \\ 18.06.2018 18:45 \\ HID Global \\ Москва

Многофакторная аутентификация до сих пор является незаменимым элементом в современной цифровой среде.

Уже давно стало очевидно, что одних паролей для защиты активов, сетей, приложений и данных компании недостаточно. По данным аналитики Verizon, в 2017 году 81% утечек данных во всем мире было связано с некорректным использованием учетных данных,  украденными или слабыми паролями. Количество утечек  наряду с издержками компаний и последствиями этих нарушений возрастает ежегодно. Чтобы нивелировать эти риски, бизнесу ни в коем случае не стоит забывать об обеспечении безопасности своих данных.

Многофакторная аутентификация до сих пор является незаменимым элементом в современной цифровой среде. Совокупные темпы годового роста рынка аппаратных токенов составляют 8%. Аутентификация способствует повышению уровня безопасности путем объединения одного или нескольких «факторов», помогая идентифицировать человека, запрашивающего доступ, и проверить, что он является именно тем, за кого себя выдает. Эти факторы включают в себя то, что у вас есть (смарт-карта или мобильный идентификатор, хранящийся на смартфоне или другом устройстве); то, что вы знаете (например, ПИН-код), и что-то, чем вы являетесь (биометрические данные).

Все большее число компаний стремится обеспечить соблюдение регулятивных нормативов, и строгая аутентификация с журналом регистрации событий становится довольно актуальным требованием. Два ярких примера – это нормы Европейского Союза в отношении платежной директивы PSD2 для финансовых учреждений и требования к конфиденциальности Общего регламента по защите данных General Data Protection Regulation (GDPR) для граждан. Однако подобные требования касаются не только компаний Евросоюза, но и многих организаций из других частей света. Большинство компаний будут затронуты законом GDPR, а также правительственными инициативами их стран, такими как HIPAA для здравоохранения в США.

Одним из надежных методов развертывания многофакторной аутентификации для сотрудников является использование аппаратного токена. Зачастую это небольшое карманное устройство, которое вычисляет последовательность чисел, действительную в течение ограниченного промежутка времени и используемую в качестве одноразового пароля (OTP). Пользователь вводит этот код (что-то, что у него есть) плюс ПИН-код (что-то, что он знает), чтобы подтвердить свою личность для получения доступа. Фактически это значение сравнивается со значением, вычисленным на внутренней серверной платформе аутентификации с использованием тех же техник и исходных данных, включая счетчики времени и событий, ключи аутентификации и алгоритмы. Если OTP соответствует полученному значению, пользователь получает доступ, и это событие регистрируется в контрольном журнале платформы.

Аппаратные токены существует уже более десяти лет, и они по-прежнему популярны среди многих организаций. Сотрудники понимают, как ими пользоваться, а сами токены не выходят из строя долгое время. Кроме того, токены уже вышли за рамки стандартного форм-фактора в виде брелока. Сегодня существуют устройства, помещающиеся в кошелек. Они достаточно прочные для эксплуатации, и ими могут пользоваться даже люди с ослабленным зрением.

Сферы применения аппаратных токенов могут быть совершенно различными:

  • Аутентификация для доступа к рабочим местам, облачным приложениям, удаленного доступа к ресурсам;
  • Проведение финансовых транзакций, обновление данных, выполнение распоряжений;
  • Шифрование подписи, жестких дисков, электронной почты и пр.

Далеко не все требования к аутентификации у компаний одинаковы, и многие организации ищут «компромисс» между разными типами аутентификаторов. Для удобства бизнеса сегодня на рынке существует масса разнообразных видов токенов. Среди них:

  • Генераторы одноразовых паролей. OTP-токены генерируют случайный пароль, который нельзя повторно использовать. Использование этих устройств может быть частью стратегии соответствия директивам PSD2 и GDPR.
  • BlueTooth токены. Эти устройства отправляют уникальный безопасный код через Bluetooth и NFC, обеспечивая  простоту и безопасность использования. Помогают отвечать требованиям PSD2, GDPR и FIPS 140.
  • Умные USB-токены. Поддерживают все функции смарт-карты на базе инфраструктуры открытых ключей (PKI), при этом нет необходимости использовать считыватели карт. Обеспечат соответствие FIPS 140.

Современные устройства, предлагаемые сегодня на рынке, обладают также целым рядом преимуществ.

  • Безопасность. Устройства автономны и устойчивы к взлому, поддерживают несколько вариантов стандартов безопасности, такие как 3DES, OATH и FIDO.
  • Гибкость. Сегодня существует множество форм-факторов токенов. Ими удобно пользоваться (одним нажатием кнопки мыши), и срок их службы является довольно длительным.
  • Комплексность. Обычно предоставляется полная экосистема токенов вместе с инфраструктурой для обеспечения эффективной поддержки
  • Соответствие требованиям. Многим организациям по всему миру требуется применение строгой аутентификации для обеспечения безопасного доступа и защиты конфиденциальной информации. Использование аппаратных токенов поможет обеспечить соответствие сложным нормативным требованиям регуляторных органов.

В современных динамических условиях чтобы доверять пользователям, предъявляющим свои личные данные, и эффективно управлять доступом к ресурсам, требуется комплексное решение для идентификации личности, основу которого составляет строгая аутентификация. Внедрение подобных решений позволит повысить надежность идентификации пользователей и обеспечить эффективную защиту компании от текущих и будущих угроз.

Статьи Защита информации

Переход с WPA2 на WPA3

Переход с WPA2 на WPA3

Защита информации \\ 24.01.2018 11:55 \\ Комментарии()

16 октября прошлого года протокол Wi-Fi Protected Access 2, более известный как WPA2, перестал быть «любимчиком» после длительного пребывания в качестве стандартного протокола безопасности беспроводной сети. Была выявлена серьезная уязвимость, фактически положившая конец эпохе WPA2.

Найден способ блокировки Bad Rabbit

Найден способ блокировки Bad Rabbit

Защита информации \\ 27.10.2017 14:36 \\ Комментарии()

Эксперты нашли способ заблокировать активность нашумевшего шифровальщика Bad Rabbit, терроризирующего СМИ России и Украины.

Bad Rabbit: новая эпидемия шифровальщика

Bad Rabbit: новая эпидемия шифровальщика

Защита информации \\ 27.10.2017 14:07 \\ Комментарии()

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — мы говорим про здорово нашумевшие WannaCry и ExPetr (он же Petya и одновременно NotPetya) — а теперь, похоже, начинается третья. На этот раз шифровальщика зовут Bad Rabbit — по крайней мере такое имя написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей.

Сложные пароли не должны быть трудными для запоминания

Сложные пароли не должны быть трудными для запоминания

Защита информации \\ 03.10.2017 16:10 \\ Комментарии()

Билл Бёрр – человек, занимающийся общими правилами по созданию сложных паролей, которые, по его мнению, должны обязательно сочетать буквенно-цифровые символы и чередовать прописные и строчные буквы, - признал свою ошибку. По словам Бюрра, эти правила «сводят людей с ума», при этом не обязательно, что пароли получатся сильными.

Хакеры похищают телефонные номера и «угоняют» Bitcoin-адреса

Хакеры похищают телефонные номера и «угоняют» Bitcoin-адреса

Защита информации \\ 23.08.2017 15:04 \\ Комментарии()

Среди жертв хакеров числятся многие эксперты Bitcoin-сообщества.

Кибербезопасность в промышленной автоматизации

Защита информации \\ 15.08.2017 12:38 \\ Комментарии()

Автор: Чертков Андрей Анатольевич, руководитель группы технической поддержки, отдел маркетинга и технической поддержки, подразделение "Промышленная Автоматизация", email^ andrei.chertkov@schneider-electric.com Новый виток развития средств промышленной автоматизации существенно обострил проблему обеспечения кибербезопасности предприятий. Собственники производств в ряде отраслей пока только начинают осознавать значимость проблемы и масштаб возможных потерь. Однако эксперты убеждены, что в ближайшем будущем рост числа кибератак заставит пользователей систем автоматизации более взвешенно и комплексно подходить к вопросам защиты своих активов от этой категории рисков.

Советы по безопасности смартфонов

Советы по безопасности смартфонов

Защита информации \\ 21.07.2017 14:17 \\ Комментарии()

Современные смартфоны способны выполнять намного больше задач, чем несколько лет назад мобильные телефоны. Однако значительно расширенный диапазон возможностей означает и появление новых рисков.

Wanna Cry не страшен для ПЦН "АНГАР-А".

Wanna Cry не страшен для ПЦН "АНГАР-А".

Защита информации \\ 15.05.2017 16:49 \\ ООО "Ангарейон-СБ" \\ Комментарии()

Мультиформатный ПЦН "АНГАР-А" полностью защищен не только от Wanna Cry, но и любых других вирусных угроз.

Программно-технические методы анонимизации в сети интернет

Программно-технические методы анонимизации в сети интернет

Защита информации \\ 01.04.2014 22:39 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь).

Книги

Системы охранной, пожарной и охранно-пожарной сигнализации

ISBN: 978-5-7695-6218-1
Год: 2010 (май)
Страниц: 512

 

 

Учебное пособие представляет собой 5-е издание, дополненное и переработанное. Книга незаменима при обучении специалистов по монтажу любых видов сигнализаций: пожарных, охранных и охранно-пожарных. Представлены также общие сведения об организации охраны на объекте.

Технические средства охраны

Системы охранной сигнализации: основы теории и принципы построения

ISBN: 978-5-9912-0025-7
Год: 2008
Страниц: 496

 

Учебное пособие поможет при прохождении теоретических курсов специалистами в области охраны. Здесь есть всё об эксплуатации технических средств охраны. Это второе, дополненное издание, созданное на основе лекций.

Технические средства охраны

Системы контроля и управления доступом

Год: 2010
Страниц: 272

 

Книга адресована широкому кругу лиц, занятых в области службы безопасности на различного уровня объектах. Прилагается перечень нормативных материалов.

 

Технические средства охраны

вверх