Multifactor-authenticatie zal cruciaal zijn voor bedrijven die cloudactiva beschermen

Bij het bewijzen van wie u bent voor een identiteitsbeheersysteem (IDM), is het u misschien opgevallen dat recent meer en meer van hen een extra stap vereisen naast uw gebruikers-ID en wachtwoord, zoals aanwijzingen die codes naar uw telefoon verzenden wanneer u zich aanmeldt naar Gmail, Twitter of uw bankrekening vanaf een ander apparaat dan u gewoonlijk gebruikt. Zorg er wel voor dat je de naam van je eerste huisdier niet vergeet of waar je moeder is geboren, omdat je waarschijnlijk die informatie moet invoeren om je identiteit te bewijzen. Deze gegevens, vereist in combinatie met een wachtwoord, zijn één vorm van multifactor-authenticatie (MFA).

MFA is niet nieuw. Het begon als fysieke technologie; smartcards en USB-dongles zijn twee voorbeelden van apparaten die we moesten aanmelden bij computers of softwarediensten nadat het juiste wachtwoord was ingevoerd. MFA heeft dit inlogproces echter snel ontwikkeld met andere identificatiemiddelen, zoals mobiele pushmeldingen.

"De tijd is voorbij dat bedrijven hardwaretokens moesten inzetten en gebruikers gefrustreerd waren met het invoeren van zescijferige codes die elke 60 seconden ronddraaiden", zegt Tim Steinkopf, president van Centrify Corp., maker van de Centrify Identity Service. "Dat was duur en een slechte gebruikerservaring. Nu is MFA net zo eenvoudig als het ontvangen van een pushmelding op je telefoon." Maar zelfs de codes die we via Short Message Service (SMS) ontvangen, worden volgens Steinkopf nu afgekeurd.

"SMS is niet langer een veilige transportmethode voor MFA-codes omdat deze kunnen worden onderschept, " zei hij. "Voor zeer gevoelige bronnen moeten bedrijven nu nog veiligere crypto-tokens overwegen die de nieuwe Fast IDentity Online (FIDO) Alliance-normen volgen." Naast crypto-tokens bevatten de FIDO2-normen de specificatie Web Authentication van het World Wide Web Consortium (W3C) en het Client to Authenticator Protocol (CTAP). De FIDO2-standaarden ondersteunen ook gebruikersgebaren met behulp van ingebedde biometrische gegevens zoals gezichtsherkenning, vingerafdruk vegen en irisscannen.

Als u MFA wilt gebruiken, moet u een combinatie van wachtwoorden en vragen voor apparaten zoals smartphones opnemen, of vingerafdrukken en gezichtsherkenning gebruiken, legt Joe Diamond uit, directeur van Security Product Marketing Management bij Okta, makers van Okta Identity Management.

"Meer organisaties erkennen nu de beveiligingsrisico's van op SMS gebaseerde, eenmalige wachtwoorden als een MFA-factor. Het is voor een slechte acteur nogal triviaal om 'SIM-swap' te maken en het mobiele nummer over te nemen, " zei Diamond. "Elke gebruiker die het risico loopt op een dergelijke gerichte aanval, moet sterkere tweede factoren implementeren, zoals een biometrische factor of een harde token die een cryptografische handdruk tussen het apparaat en de service veroorzaakt."

Soms is MFA niet perfect. Op 27 november leed Microsoft Azure een uitval in verband met MFA vanwege een Domain Name System (DNS) -fout die veel mislukte aanvragen veroorzaakte toen gebruikers zich probeerden aan te melden bij services zoals Active Directory.

Credit: FIDO Alliance

Mobiele pushmeldingen

Experts zien mobiele pushmeldingen als de beste optie van de beveiligingsfactoren, omdat het een effectieve combinatie van beveiliging en bruikbaarheid heeft. Een toepassing verzendt een bericht naar de telefoon van een gebruiker om de persoon te melden dat de service de gebruiker probeert aan te melden of gegevens te verzenden.

"U logt in op een netwerk en in plaats van alleen uw wachtwoord in te voeren, wordt u naar uw apparaat gepusht waar het ja of nee zegt, u probeert dit apparaat te authenticeren, en als u ja zegt, verleent het u toegang tot het netwerk ", aldus Dave Lewis, CISO (Global Advisory Chief Information Security Officer) voor Cisco's Duo-beveiligingsbedrijf, dat de mobiele authenticatie-app Duo Push aanbiedt. Andere producten die MFA aanbieden, zijn de Yubico YubiKey 5 NFC en de Ping Identity PingOne.

Mobiele pushmeldingen missen de eenmalige wachtwoorden die via sms worden verzonden omdat deze wachtwoorden vrij eenvoudig kunnen worden gehackt. De codering maakt de meldingen effectief, volgens Hed Kovetz, mede-oprichter en CEO van MFA-oplossingsprovider Silverfort.

"Het is slechts één klik en de beveiliging is erg sterk omdat het een heel ander apparaat is", zei hij. "Je kunt de app wijzigen als deze gecompromitteerd is en volledig is gecodeerd en geverifieerd met moderne protocollen. Het is bijvoorbeeld niet zoals een sms, die gemakkelijk gecompromitteerd wordt omdat de standaard in principe zwak is en gemakkelijk wordt overtreden met de Signaling System 7 (SS7) -aanvallen en allerlei andere aanvallen op sms."

MFA neemt Zero Trust op

MFA is een belangrijk onderdeel van het Zero Trust-model waarin u geen netwerkgebruikers vertrouwt totdat u verifieert dat ze legitiem zijn. "Het toepassen van MFA is een noodzakelijke stap om te controleren of de gebruiker daadwerkelijk is wie hij of zij zegt te zijn, " zei Steinkopf.

"MFA speelt een cruciale rol in het Zero Trust-volwassenheidsmodel van elke organisatie, omdat we eerst gebruikersvertrouwen moeten vestigen voordat we toegang kunnen verlenen", voegde Okta's Diamond toe. "Dit moet ook worden gekoppeld aan een gecentraliseerde identiteitsstrategie voor alle bronnen, zodat MFA-beleid kan worden gecombineerd met toegangsbeleid om ervoor te zorgen dat de juiste gebruikers de juiste toegang hebben tot de juiste middelen, met zo min mogelijk wrijving."

Credit: FIDO Alliance

Worden wachtwoorden vervangen?

Veel mensen zijn misschien niet klaar om wachtwoorden achter te laten, maar als gebruikers erop blijven vertrouwen, moeten ze worden beschermd. Uit het Data Breach Report 2017 van Verizon bleek zelfs dat 81 procent van de datalekken het gevolg is van gestolen wachtwoorden. Dat soort statistieken maakt wachtwoorden een probleem voor elke organisatie die haar systemen betrouwbaar wil beschermen.

"Als we wachtwoorden kunnen oplossen en verkrijgen en overgaan naar een slimmer type authenticatie, zullen we voorkomen dat de meeste datalekken vandaag plaatsvinden, " zei Kovetz van Silverfort.

Wachtwoorden verdwijnen waarschijnlijk niet overal, maar ze kunnen worden verwijderd voor specifieke apps, merkte Kovetz van Silverfort op. Hij zei dat het elimineren van wachtwoorden voor computerhardware en Internet of Things (IoT) -apparaten complexer zou zijn. Een andere reden waarom hij zei dat volledige authenticatie zonder wachtwoord niet zo snel kan gebeuren, is omdat mensen psychologisch aan hen gehecht zijn.

Overgang van wachtwoorden betekent ook een culturele verandering in organisaties volgens Lewis van Cisco. "De overgang van statische wachtwoorden naar MFA is fundamenteel een culturele verschuiving, " zei Lewis. "Je laat mensen dingen anders doen dan ze al jaren doen."

MFA-verwerking en kunstmatige intelligentie

Kunstmatige intelligentie (AI) wordt gebruikt om IDM-beheerders en MFA-systemen te helpen omgaan met een spervuur ​​van nieuwe inloggegevens. MFA-oplossingen van leveranciers zoals Silverfort passen AI toe om inzicht te krijgen in wanneer MFA nodig is en wanneer niet.

"Het AI-gedeelte stelt u in staat om, wanneer u het combineert, de eerste beslissing te nemen of een specifieke authenticatie MFA vereist of niet, " zei Kovetz van Silverfort. Hij zei dat de machine learning (ML) -component van de app een hoge risicoscore kan opleveren als het een abnormaal activiteitspatroon detecteert, zoals wanneer de account van een werknemer plotseling wordt geopend door iemand in China en de werknemer regelmatig in de Verenigde Staten werkt.

"Als een gebruiker zich aanmeldt bij een toepassing vanuit het kantoor met behulp van zijn eigen pc die door het bedrijf is uitgegeven, dan is MFA niet nodig omdat dat 'normaal' is, " legde Steinkopf van Centrify uit. "Maar als diezelfde gebruiker naar het buitenland reist of het apparaat van iemand anders gebruikt, wordt hem / haar gevraagd om MFA omdat het risico hoger is." Steinkopf voegde eraan toe dat MFA vaak een eerste stap is bij het gebruik van aanvullende verificatietechnieken.

CIO's houden ook de gedragsbiometrie nauwlettend in de gaten, wat een groeiende trend is geworden bij nieuwe MFA-implementaties. Behavoriale biometrie maakt gebruik van software om bij te houden hoe gebruikers typen of vegen. Hoewel dit eenvoudig klinkt, vereist het eigenlijk het verwerken van grote hoeveelheden snel veranderende gegevens, en daarom gebruiken leveranciers ML om te helpen.

"De waarde in ML voor authenticatie zou zijn om meerdere complexe signalen te evalueren, een basislijn 'identiteit' van de gebruiker te leren op basis van die signalen en alert te zijn op afwijkingen in die basislijn, " zei Okta's Diamond. "Gedragsbiometrie is een voorbeeld waar dit in het spel kan komen. Om de nuances te begrijpen van hoe een gebruiker typt, loopt of anderszins interactie heeft met zijn apparaat, is een geavanceerd intelligentiesysteem vereist om dat gebruikersprofiel te maken."

Perimeter verdwijnen

Met de evolutie van cloudinfrastructuur, cloudservices en vooral de hoge datavolumes van externe IoT-apparaten, is er nu meer dan een fysieke perimeter op de locatie van het datacenter van een organisatie. Er is ook een virtuele perimeter die de bedrijfsmiddelen in de cloud moet beschermen. In beide scenario's speelt identiteit een belangrijke rol volgens Kovetz.

"Perimeters werden vroeger fysiek gedefinieerd, zoals op kantoor, maar tegenwoordig worden perimeters bepaald door identiteit, " zei Kovetz. Als perimeters verdwijnen, verdwijnen ook de beveiligingen die sterke firewalls gebruikten voor bedrade desktopcomputers. MFA zou een manier kunnen zijn om te vervangen wat firewalls traditioneel hebben gedaan, suggereerde Kovetz.

• Twee-factor authenticatie: wie heeft het en hoe het in te stellen Twee-factor authenticatie: wie heeft het en hoe het in te stellen
• Voorbij de perimeter: hoe om te gaan met gelaagde beveiliging Voorbij de perimeter: hoe om te gaan met gelaagde beveiliging
• Zero Trust Model wint stoom met beveiligingsexperts Zero Trust Model wint stoom met beveiligingsexperts

", waar plaatst u netwerkbeveiligingsproducten?" Vroeg Kovetz. "netwerkbeveiliging werkt niet echt meer. MFA wordt de nieuwe manier om uw perimeterloze netwerk daadwerkelijk te beschermen."

Een belangrijke manier waarop MFA voorbij de perimeter evolueert, is door een groeiende menigte van identiteitssystemen die worden verkocht op basis van Software-as-a-Service (SaaS), inclusief de meeste IDM-services die PCMag Labs het afgelopen jaar heeft beoordeeld. "Het enorme aantal SaaS-producten waarmee MKB-bedrijven gemakkelijk aan de slag kunnen, werkt al buiten de perimeter", zegt Nathan Rowe, mede-oprichter en Chief Product Officer (CPO) bij gegevensbeveiligingsprovider Evident. Het SaaS-model vermindert drastisch zowel de kosten als de complexiteit van de implementatie, dus het is een grote hulp voor kleine tot middelgrote bedrijven omdat het de IT-uitgaven en overhead vermindert, volgens Rowe.

SaaS-oplossingen zijn zeker de toekomst van IDM, waardoor ze ook de toekomst van MFA zijn. Dat is goed nieuws, want zelfs kleine bedrijven stappen onverbiddelijk over naar een IT-architectuur met meerdere cloudservices en cloudservices, waar gemakkelijke toegang tot MFA en andere geavanceerde beveiligingsmaatregelen binnenkort verplicht zullen worden.