Problema aziendale
Le password compromesse sono una delle cause principali di violazione dei dati. Una volta compromessa una password, l'hacker ha le stesse autorizzazioni del dipendente per accedere ai dati aziendali.
L'autenticazione a più fattori (MFA) è uno strumento importante per proteggere le risorse aziendali. L'autenticazione MFA, chiamata anche verifica in due passaggi (V2P), richiede agli utenti di verificare la propria identità tramite qualcosa che conoscono (come una password) e qualcosa in loro possesso (come una chiave fisica o un codice di accesso).
Per proteggere gli account e i dati degli utenti, la tua azienda ha deciso che tutti gli utenti devono autenticarsi utilizzando la verifica in due passaggi per accedere alle risorse aziendali.
Soluzioni
Se Cloud Identity è il tuo provider di identità (IdP), puoi implementare la verifica in due passaggi in diversi modi. Se utilizzi un IdP di terze parti, verifica la loro offerta 2SV.
Puoi selezionare diversi livelli di applicazione della 2SV.
- Facoltativo: il dipendente decide se utilizzare la 2SV.
- Obbligatorio: il dipendente sceglie il metodo di 2SV.
- Token di sicurezza obbligatori: il dipendente deve utilizzare un token di sicurezza.
Token di sicurezza
L'uso di token di sicurezza offre il livello di sicurezza maggiore tra i metodi di verifica in due passaggi. In genere, gli utenti inseriscono questa chiave fisica in una porta USB del computer. Quando richiesto, l'utente tocca la chiave e genera una firma crittografata.
Alcuni truffatori creano siti di phishing che si fingono Google e chiedono i codici di 2SV. Poiché i token di sicurezza di Google utilizzano la crittografia e verificano la legittimità dei siti visitati dagli utenti, i token tendono a essere meno soggetti ad attacchi di phishing.
Per utilizzare un token di sicurezza con i dispositivi mobili Android, l'utente deve toccare il token di sicurezza sul proprio dispositivo NFC (Near Field Communication). Gli utenti possono anche trovare opzioni USB e Bluetooth Low Energy (BLE) per dispositivi Android. I dispositivi mobili Apple necessitano di token di sicurezza dotati di Bluetooth.
Messaggio di Google
Invece di generare e inserire un codice 2SV, gli utenti possono impostare i propri dispositivi mobili Android o Apple in modo tale che ricevano una richiesta di accesso. Quando accedono al proprio Account Google sul computer, ricevono il messaggio "Stai tentando di accedere?" sul dispositivo mobile. È sufficiente confermare la richiesta sul dispositivo.
App Google Authenticator
Google Authenticator genera codici 2SV monouso su dispositivi mobili Android o Apple. Gli utenti generano un codice di verifica sul proprio dispositivo mobile e lo inseriscono quando viene richiesto sul computer. Possono inserirlo per accedere a un computer desktop, laptop o anche al dispositivo mobile stesso.
Codici di backup
Nel caso in cui un utente sia lontano dal proprio dispositivo mobile o lavori in un'area ad alta sicurezza in cui non può portare dispositivi mobili, può utilizzare un codice di backup per la verifica in due passaggi. Gli utenti possono generare codici di verifica di backup e stamparli in anticipo.
Messaggio di testo o chiamata telefonica
Google invia un codice 2SV ai dispositivi mobili tramite messaggio di testo o chiamata.
Suggerimenti
Per decidere quali alternative V2P sono più adatte alla tua azienda, dovrai trovare un equilibrio tra sicurezza, costi e comodità. Indipendentemente dalle alternative che selezioni, ti consigliamo di abilitare l'applicazione forzata della verifica in due passaggi. In questo modo la 2SV è obbligatoria.
Utilizza i token di sicurezza
Consigliamo di richiedere token di sicurezza ai dipendenti che creano e accedono a dati che richiedono il massimo livello di sicurezza. Dovresti richiedere V2P a tutti gli altri dipendenti e incoraggiarli a utilizzare i token di sicurezza.
I token di sicurezza sono la forma di V2P più sicura. Si basano sullo standard aperto sviluppato da Google nell'ambito della Fast Identity Online (FIDO) Alliance. I token di sicurezza richiedono un browser compatibile sui dispositivi degli utenti.
Altre opzioni
Se costo e distribuzione sono fattori che influiscono sulla tua decisione, un messaggio di Google o l'app Google Authenticator sono valide alternative. Il messaggio di Google offre una migliore esperienza utente, perché gli utenti devono semplicemente toccare il dispositivo quando richiesto invece di inserire un codice di verifica.
Se i tuoi utenti non hanno a disposizione dispositivi mobili, possono generare codici di backup stampabili da portare in aree ad alta sicurezza.
Sconsigliamo di utilizzare i messaggi di testo. Il National Institute of Standards and Technology (NIST) non consiglia più la verifica in due passaggi basata su SMS a causa del rischio di dirottamento da parte di entità sponsorizzate dallo stato.
Esempio
L'Azienda A è una grande azienda consolidata che utilizza app e autenticazione on-premise. Per implementare maggiore sicurezza, ridurre i costi di assistenza e aumentare la scalabilità, vuole passare a Cloud Identity come provider di identità principale.
L'azienda ha adottato l'incarico di implementare un'offerta IDaaS che gestisca la sua presenza sulla cloud, che richiede l'applicazione di 2SV e il raggiungimento della conformità entro una data precisa. Il team Infosec richiede la verifica in due passaggi a tutti gli utenti.
L'azienda A decide di utilizzare Cloud Identity per implementare la V2P. Prevede di rendere i token di sicurezza obbligatori per gli utenti che lavorano alle iniziative aziendali più sensibili e business-critical, nonché per coloro che accedono alle informazioni dei dipendenti. Questo include i dirigenti di tutte le organizzazioni e il personale dei dipartimenti di ingegneria, finanza e risorse umane. Tutti gli altri dipendenti sono tenuti a utilizzare la verifica in due passaggi. Possono selezionare il metodo di V2P più adatto alle loro esigenze e sono invitati a utilizzare i token di sicurezza.
Per richiedere i token di sicurezza solo per determinati gruppi, il reparto IT crea sottoinsiemi di utenti all'interno di organizzazioni più grandi, denominate gruppi di eccezioni. Ad esempio, l'intera organizzazione di marketing è tenuta a utilizzare la verifica in due passaggi, ma solo i dirigenti devono utilizzare i token di sicurezza. L'IT crea un gruppo esecutivo all'interno di ogni organizzazione, ad esempio per il marketing, le vendite e l'assistenza, e applica i token di sicurezza ai gruppi esecutivi.
Informazioni correlate
- 2SV: Configurare la verifica in due passaggi
- Token di sicurezza: Utilizzare il token di sicurezza per la verifica in due passaggi
- Applicazione dei token di sicurezza: Applicazione
- Token di sicurezza su Google Cloud Platform: Proteggere l'account di Google Cloud Platform con i token di sicurezza
- Google Authenticator. Installare Google Authenticator
- Messaggio di Google: Accedere più rapidamente con la richiesta telefonica di verifica in due passaggi
- I codici di backup: Accedere utilizzando i codici di backup
- Sottogruppi di utenti in un'organizzazione: Applicare norme di sicurezza personalizzate
- Standard NIST: Linee guida sull'identità digitale NIST