Autenticação corporativa de nível de hardware sem hardware: nova solução de segurança SIM para IAM

O custo médio de uma violação de dados, de acordo com a última pesquisa da IBM, agora é de US $ 4,24 milhões, o maior relatado. 

A principal causa? Credenciais comprometidas, geralmente causadas por erro humano. Embora essas descobertas continuem a mostrar uma tendência ascendente na direção errada, o desafio em si não é novo. 

O que é novo é a complexidade sem precedentes e acelerada de proteger o local de trabalho. CISOs / CIOs estão lidando com sistemas legados, hospedagem em nuvem, locais, funcionários remotos, com base em escritório, software tradicional e SaaS – Software as a service (Software como serviço).

A forma como as empresas se adaptaram foi louvável, mas agora que os funcionários se espalharam por locais, escritórios e residências – com mais da metade ameaçando não retornar aos escritórios a menos que o trabalho híbrido seja implementado – o desafio se transforma em proteger um perímetro não uniforme.

Sabemos que as senhas não são suficientes. O acesso baseado em conhecimento geralmente é fortalecido com outras formas de autenticação multifator (MFA), como aplicativos de autenticação ou tokens FIDO (Fast ID Online) e, em casos altamente confidenciais, biometria.

Por que IAM forte é essencial para o trabalho híbrido

A era do ‘BYOD’ (Traga seu próprio dispositivo) evoluiu para o que o Gartner chama de Traga sua própria identidade: os funcionários estão acessando dados de uma variedade de dispositivos remotos de vários locais diferentes.

Os cibercriminosos podem interceptar dados de várias maneiras, desde credenciais comprometidas a golpes de phishing e ataques man-in-the-middle, que são facilitados em redes públicas sem controles de segurança, como pontos de acesso Wi-Fi em cafeterias ou aeroportos. Se o acesso de seu funcionário for baseado apenas em fatores de conhecimento, como nomes de usuário e senhas, os invasores podem facilmente obter acesso total aos dados confidenciais.

Os tokens ou dongles de segurança baseados em hardware ganharam popularidade, principalmente no nível corporativo. Eles geram um código para o usuário inserir quando solicitado, de forma que apenas o usuário que possui o token possa obter acesso. Mas esses minúsculos dispositivos de hardware separados têm seus desafios.

Problemas com autenticação de hardware

Custo – os tokens de segurança custam entre US $ 50 e US $ 100 em média para um único dispositivo. Como resultado, esses dispositivos tendem a ser reservados apenas para alguns indivíduos de alto risco – enquanto os funcionários de perfil inferior ficam vulneráveis.

Dispositivos perdidos – os tokens de hardware podem ser perdidos, roubados ou esquecidos, e os funcionários geralmente só percebem quando precisam de acesso. Pedir novos tokens é inconveniente e caro.

UX – Encontrar o dispositivo e inserir o código exige esforço do usuário e não pode ser facilmente usado para provisionamento rápido, troca de pessoal ou trabalho com contratados externos.

Risco de ataque – os tokens de hardware também não são completamente eficazes contra ataques MITM – embora não possam ser acessados ​​remotamente diretamente, um malfeitor pode enganar o usuário para que ele insira o código em uma versão fraudulenta do site / página de login.

Existe uma tecnologia nova e inovadora que fornece um fator de posse forte para IAM – Identity and Access Management (sem dispositivos de hardware extras – e já está nas mãos de todos.

Posse de telefone celular como alternativa aos tokens de hardware

A alternativa mais simples e fácil de comprar tokens caros é usar algo que seus funcionários já possuem: o telefone celular.

Usando a segurança criptográfica avançada do cartão SIM – Subscriber Identity/Identification Module, as redes móveis já autenticam os clientes de forma segura e invisível para permitir chamadas e dados. A autenticação baseada em SIM é uma verificação em tempo real resistente à violação que funciona da mesma forma que os chips dos cartões bancários.

Sem nenhuma ação do usuário ou códigos para digitar, a autenticação baseada em SIM simplifica o login para seus funcionários, mas mantém os agentes mal-intencionados afastados. Ao autenticar com o próprio cartão SIM, em vez de apenas o número do celular, também é possível verificar a atividade recente de troca de SIM, interrompendo ataques de controle de conta.

É muito mais econômico, implantável em escala e universal, o que significa que cada funcionário, não apenas alguns, tem o mais alto nível de segurança. E, ao contrário de dongles de hardware minúsculos e facilmente perdidos, o telefone móvel é um dispositivo essencial que os funcionários já levarão consigo para qualquer lugar.

Agora, APIs de tru.ID abrem autenticação de rede baseada em SIM para empresas e negócios para implementar verificação segura e sem atrito.

Quaisquer preocupações adicionais sobre a privacidade do usuário são atenuadas pelo fato de que tru.ID não processa informações de identificação pessoal entre a rede móvel e suas APIs. É puramente uma pesquisa baseada em URL.

Veja a solução de segurança tru.ID SIM em ação

Uma das maneiras de usar APIs tru.ID é implementar uma solução de login e registro de um toque sem senha para acessar um sistema corporativo usando um aplicativo complementar. Aqui está um exemplo de fluxo de trabalho:

tru.ID cobre mais de 2 bilhões de telefones celulares em 20 mercados e pode ser implantado de duas maneiras. Ele pode ser integrado diretamente a um aplicativo da empresa (se houver) com APIs e SDKs REST simples ou pode ser implementado com um aplicativo complementar tru.ID que verifica o acesso dos funcionários usando suas credenciais móveis. tru.ID deseja ouvir da comunidade para discutir estudos de caso – basta visitar o site para vê-lo em ação em uma demonstração ou começar a codificar.

Fonte: The Hacker News