I metodi di autenticazione a due fattori si basano su svariate tecnologie, soprattutto OTP e PKI (infrastruttura a chiave pubblica). Che differenza c’è e quale dovresti utilizzare per la tua organizzazione?
Le OTP (One-Time Password) sono una forma di autenticazione “simmetrica”, che prevede la generazione simultanea di una password valida una sola volta in due luoghi: nel server di autenticazione e sul token hardware o software in possesso dell’utente. Se l’OTP generata dal token corrisponde a quella del server, l’autenticazione va a buon fine e l’utente può accedere.
L’autenticazione PKI è una forma di autenticazione “asimmetrica” poiché si basa su una coppia di chiavi crittografiche dissimili: una chiave privata e una pubblica. I token PKI hardware basati su certificati, come le smart card e i token USB, sono concepiti per archiviare la chiave crittografica privata e segreta in modo sicuro. Durante l’autenticazione al server di rete aziendale, ad esempio, il server emette una “sfida” numerica, che viene firmata utilizzando la chiave crittografica privata. Se esiste una correlazione matematica tra la sfida firmata e la chiave pubblica (nota al server di rete), l’autenticazione va a buon fine e l’utente può accedere alla rete (si tratta di una semplificazione. Per ulteriori dettagli, guarda i video The Science of Secrecy di Simon Singh).
Non esiste un metodo di autenticazione adatto a tutti. Di seguito riportiamo diverse considerazioni da tenere a mente quando si sceglie il metodo o i metodi più adatti alla tua organizzazione:
Mentre l'autenticazione OTP, ad esempio con le app OTP, può fornire una protezione sufficiente per la maggior parte dei casi d’uso aziendali, i settori verticali che richiedono livelli di garanzia più elevati, come i governi e il settore sanitario, possono essere obbligati per legge a utilizzare la protezione con PKI.
Obblighi normativi e standard di settore
Nell’autenticazione PKI viene utilizzata una chiave crittografica privata non trasferibile se archiviata in un token hardware. Poiché è asimmetrica, la PKI è usata in molte parti del mondo per casi d’uso che richiedono livelli di garanzia più elevati. Tuttavia, anche la sicurezza delle OTP è sempre più riconosciuta in svariati settori, come ad esempio dalle organizzazioni sanitarie statunitensi, e soddisfa i requisiti della DEA per l’EPCS in caso di utilizzo di un’app OTP conforme agli standard FIPS.
A seconda delle normative rilevanti per il tuo settore, il token hardware o software distribuito potrebbe dover essere conforme a FIPS 140-2 in Nord America o a Common Criteria in altre regioni del mondo.
Accesso fisico/logico
Quando è richiesta una combinazione di accessi fisici e logici, potrebbero essere preferibili i token hardware che supportano il controllo degli accessi fisici basati su RFID. Scopri di più visitando la nostra pagina sulle soluzioni di controllo degli accessi fisici e logici.
Autenticazione multi-fattore
A prescindere dalla tecnologia di autenticazione a due fattori utilizzata, è possibile rafforzare la sicurezza valutando attributi contestuali aggiuntivi di un tentativo di accesso, come le variabili basate sul dispositivo e sul comportamento. Scopri di più visitando la nostra pagina sull’autenticazione contestuale.
Limitare diversi vettori di minaccia
Diverse tecnologie di autenticazione sono efficaci per contrastare diverse minacce. Per un sondaggio sui metodi di autenticazione e sulle minacce che affrontano, scarica il white paper sul sondaggio relativo alle tecnologie di autenticazione
Costi di implementazione e amministrazione
L’autenticazione OTP è tradizionalmente il metodo più conveniente, facile e veloce da implementare, in quanto non richiede la creazione di un’infrastruttura PKI che comporta l'acquisto di certificati digitali PKI da una CA per ciascun utente. Diversamente dall’autenticazione OTP che utilizza app installabili su dispositivi e desktop degli utenti, l’autenticazione PKI richiede un token hardware per ciascun utente al fine di proteggere la chiave crittografica privata. Per questa ragione, l’autenticazione OTP comporta solitamente costi minori di implementazione, risparmiando tempo e sforzi da parte del personale dedicato.
Quando si utilizza un token software, basato su OTP o PKI, la sua sostituzione può avvenire via etere eliminando i costi associati alla spedizione di un hardware di rimpiazzo.
Mantenimento dei token correnti
Le organizzazioni che hanno già implementato soluzioni di autenticazione a due fattori, basate su OTP o PKI, possono cercare modi di preservare i propri attuali investimenti.
Dove esistono già token PKI, le organizzazioni possono espandere o evolvere le implementazioni per garantire la mobilità. A tal fine, i progressi nella tecnologia mobile come SafeNet IDPrime Virtual e i dispositivi FIDO possono consentire alle organizzazioni di preservare i propri attuali investimenti e sfruttare l’infrastruttura PKI esistente.
Dove esistono già token OTP, le organizzazioni possono preservare i propri attuali investimenti cercando soluzioni che supportano token di terze parti e server RADIUS di fornitori terzi o soluzioni in grado di importare i token correnti basati su standard in una soluzione nuova (ad es. i token basati su OATH)
Le organizzazioni che offrono una maggiore mobilità della forza lavoro, o che estendono l’autenticazione a partner e consulenti, possono cercare metodi di autenticazione sempre più trasparenti. I token basati su software e dispositivi mobili, come anche le soluzioni senza token, forniscono un percorso di autenticazione più conveniente che facilita l’attuazione di iniziative sicure di mobilità.
Scopri quanto è facile garantire la sicurezza delle app nel cloud con l'SSO
Passa facilmente da policy di accesso globali a granulari.
Scegli il futuro!
Autenticatori OTP SafeNet: Thales offre la gamma di hardware, software e autenticatori OTP basati su dispositivi mobili più ampia del mercato, permettendo alle aziende di raggiungere vari livelli di efficacia nel proteggere qualsiasi soluzione di tipo enterprise, sia essa on-premise, basata sul cloud, remota o virtuale.
Scopri di più
Autenticatori OOB SafeNet di Thales : offrendo un’autenticazione fuori banda tramite notifiche push, SMS o e-mail, gli autenticatori OOB di Thales utilizzano un canale di comunicazione diverso da quello a cui si accede per fornire una OTP, migliorando sia la sicurezza che la praticità.
Scopri di più
Controllo degli accessi fisici e logici: combinando i controlli degli accessi fisici con quelli logici, le organizzazioni possono proteggere gli accessi fisici agli uffici e ai siti industriali e manifatturieri mettendo in sicurezza al contempo le reti e le applicazioni sensibili.
Scopri di più
Autenticatori PKI: la suite SafeNet di Thales di token PKI basati su certificati permette un accesso sicuro a un’ampia gamma di risorse e ad altre applicazioni di sicurezza avanzate tra cui firme digitali, crittografia di e-mail e autenticazione a due fattori.
Scopri di più
L'autenticazione a due fattori (2FA) verifica le identità degli utenti. Più fattori vengono utilizzati per determinare l'identità di una persona, maggiore è la probabilità che sia autentica.
Proprio come non vorresti che la tua banca consentisse l’accesso al tuo conto corrente con una semplice password, vuoi garantire la protezione delle risorse chiedendo ai dipendenti di fornire un fattore di autenticazione aggiuntivo. In questo modo puoi verificarne l’identità e proteggerne le credenziali di accesso da hackeraggio o furti. Non vuoi consentire l'accesso alle tue risorse preziose (che si tratti di VPN, Citrix, Outlook Web Access o applicazioni cloud) con un unico fattore, spesso una password debole.
L’autenticazione a due fattori permette di rafforzare la protezione delle risorse vitali riducendo drasticamente le possibilità di vari attacchi alla sicurezza quali furti d’identità, phishing, frodi online e altro ancora.
Possono essere utilizzati svariati metodi di autenticazione per verificare l’identità di una persona. SafeNet offre la gamma più ampia di metodi di autenticazione e fattori di forma del settore, permettendo ai clienti di affrontare svariati casi d’uso, livelli di garanzia e vettori di minacce.
L’autenticazione contestuale utilizza le informazioni contestuali per accertare l’identità di un utente. Viene raccomandata come complemento ad altre tecnologie di autenticazione avanzata.
Le soluzioni di autenticazione SafeNet di ultima generazione offrono agli amministratori IT un approccio multistrato al controllo degli accessi. I dipendenti possono accedere in modo facile e sicuro ad applicazioni aziendali e SaaS, a patto che soddisfino i criteri predefiniti impostati dall'amministratore. Se un utente non rispetta le regole di accesso in vigore, potrebbe essere invitato a fornire un’autenticazione aggiuntiva prima che gli venga accordato l'accesso. Potrebbe trattarsi di un SMS o di una OTP generata da un token su smartphone, o un token hardware a seconda delle politiche aziendali. Clicca qui per leggere la nostra infografica sull’autenticazione contestuale.
Con l’offuscamento dei confini perimetrali tradizionali a causa del passaggio al cloud, le organizzazioni hanno difficoltà ad acquistare, implementare e gestire criteri di accesso coerenti e unificati alle risorse aziendali distribuite. Con l’aumento dell'adozione del SaaS, non esiste più un unico punto di accesso alle app aziendali.
Le soluzioni di autenticazione SafeNet superano queste problematiche consentendo alle organizzazioni di estendere perfettamente gli accessi sicuri al cloud attraverso la federazione di identità. Le piattaforme di autenticazione SafeNet sfruttano le infrastrutture di autenticazione esistenti delle organizzazioni, permettendo loro di estendere le identità on-premises degli utenti al cloud e consentendo di attuare criteri unificati di controllo degli accessi per le applicazioni sia cloud che di rete. Scopri di più sull’autenticazione avanzata per le applicazioni e i servizi SaaS basati sul cloud
Fornendo un unico punto di gestione per definire e applicare i controlli degli accessi a tutte le risorse virtuali, su cloud e on-premises, SafeNet consente di estendere l’autenticazione a due fattori a tutti gli utenti a qualunque livello di rischio, inclusi i dipendenti da remoto.
Diversi metodi di autenticazione e fattori di forma affrontano diversi livelli di rischio degli utenti. Pertanto, un dipendente che ha accesso solo al portale aziendale avrà un metodo di autenticazione/fattore di forma diverso dall’amministratore IT della società.
SafeNet offre diversi metodi per garantire un accesso sicuro dai dispositivi mobili alle risorse di rete, alle e-mail, alla VDI e altro:
Le soluzioni di autenticazione SafeNet aiutano a proteggere gli accessi in scenari BYOD chiedendo agli utenti di registrare i propri dispositivi. In questo modo, le organizzazioni possono decidere che solo i dispositivi preregistrati possono accedere alla rete o che i dispositivi non registrati devono fornire un ulteriore metodo di autenticazione, ad esempio una OTP.
La necessità di attuare criteri unificati di controllo degli accessi ad applicazioni SaaS, soluzioni basate sul cloud e ambienti on-premises è fondamentale per creare e mantenere un accesso sicuro negli attuali ambienti della forza lavoro, estremamente mobili.
Sotto pressione per ridurre i costi e dimostrare il proprio valore, il personale dell’amministrazione IT cerca costantemente di ridurre i TCO. La gestione semplificata include gestione degli utenti, provisioning, Single Sign-On, autenticazione avanzata, autorizzazione, reportistica, audit e avvisi sui criteri integrati con LDAP/Active Directory.
Le soluzioni di autenticazione centralizzate SafeNet si basano su un’unica piattaforma di gestione che supporta:
Un ecosistema informatico frammentato ostacola la sicurezza e la messa in conformità. Proteggere gli accessi dei dipendenti alle risorse aziendali in un ambiente frammentato è difficile. Le soluzioni di autenticazione SafeNet forniscono un unico punto di gestione che applica controlli di accesso coerenti all’intero ecosistema informatico. Grazie a una copertura completa dei casi d’uso, le nostre soluzioni forniscono oltre 100 integrazioni perfette pronte all’uso per cloud, VPN, VDI, portali web e LAN.
SafeNet garantisce una gestione agevole per gli amministratori IT fornendo:
Il desiderio di mantenere livelli accettabili di sicurezza degli accessi senza gravare sugli utenti finali, insieme alla necessità di supportare svariati dispositivi, porta le organizzazioni ad adottare soluzioni con un impatto minimo sull’esperienza utente. SafeNet garantisce un’autenticazione utente fluida con un’ampia gamma di token 2FA, metodi senza token e SSO federati al cloud.
End users and IT teams are experiencing waves of high stress due to the pandemic and escalating cyberattacks. Thales offers a simple and highly secure authenticator app that makes login fast and secure throughout each login session, lowering risk and ensuring secure remote...