Menu

Applicare in modo uniforme l'MFA alle risorse di proprietà della società

Problema aziendale

Le password compromesse sono una delle cause principali di violazione dei dati. Una volta che una password viene compromessa, l'hacker è in possesso delle stesse autorizzazioni di un dipendente per accedere ai dati aziendali.

L'autenticazione multifattore (MFA) è uno strumento importante per proteggere le risorse aziendali. L'MFA, chiamata anche verifica in due passaggi (2SV), richiede agli utenti di verificare la propria identità utilizzando qualcosa che conoscono (come una password) e qualcosa di cui dispongono (come una chiave fisica o un codice di accesso).

La tua azienda ha deciso che tutti gli utenti devono eseguire l'autenticazione utilizzando la 2SV per accedere alle risorse aziendali in modo da proteggere i propri account e i relativi dati.

Soluzioni

Se Cloud Identity è il tuo provider di identità (IdP), puoi implementare la 2SV in diversi modi. Se utilizzi un IdP di terze parti, verifica la loro offerta 2SV.

Puoi selezionare diversi livelli di applicazione della 2SV.

  • Facoltativo: il dipendente decide se utilizzare la 2SV.
  • Obbligatorio: il dipendente sceglie il metodo di 2SV.
  • Token di sicurezza obbligatori: il dipendente deve utilizzare un token di sicurezza.

Token di sicurezza

I token di sicurezza sono il metodo 2SV più sicuro.

L'uso di token di sicurezza offre il livello di sicurezza maggiore tra i metodi di verifica in due passaggi. Gli utenti in genere inseriscono questa chiave fisica in una porta USB del computer. Quando richiesto, l'utente tocca la chiave e genera una firma crittografata.

Alcuni truffatori creano siti di phishing che si fingono Google e chiedono i codici di 2SV. Poiché i token di sicurezza di Google utilizzano la crittografia e verificano la legittimità dei siti visitati dagli utenti, i token tendono a essere meno soggetti ad attacchi di phishing.

Per utilizzare un token di sicurezza con i dispositivi mobili Android, l'utente deve toccare il token di sicurezza sul proprio dispositivo NFC (Near Field Communication). Gli utenti di dispositivi Android hanno anche a disposizione opzioni come USB e Bluetooth Low Energy (BLE). I dispositivi mobili Apple necessitano di token di sicurezza dotati di Bluetooth.

Messaggio di Google

Il messaggio di Google è un metodo 2SV alternativo.

Invece di generare e inserire un codice 2SV, gli utenti possono impostare i propri dispositivi mobili Android o Apple in modo tale che ricevano una richiesta di accesso. Quando accedono al proprio Account Google sul proprio computer, ricevono il messaggio "Stai tentando di accedere?" sul proprio dispositivo mobile. È sufficiente confermare toccando il dispositivo.

App Google Authenticator

Google Authenticator è un metodo 2SV alternativo.

Google Authenticator genera codici 2SV monouso su dispositivi mobili Android o Apple. Gli utenti generano un codice di verifica sul proprio dispositivo mobile e lo inseriscono, quando richiesto, sul computer. Possono inserirlo per accedere a un computer desktop, laptop o anche al dispositivo mobile stesso.

Codici di backup

I codici di backup sono un metodo 2SV alternativo.

Nel caso in cui un utente non abbia il proprio dispositivo mobile a portata di mano o lavori in un'area ad alta sicurezza in cui non è possibile portare dispositivi mobili, può utilizzare un codice di backup per la verifica in due passaggi. Gli utenti possono generare codici di verifica di backup e stamparli in anticipo.

Messaggio di testo o chiamata telefonica

I messaggi di testo o le chiamate sono metodi di 2SV alternativi.

Google invia un codice 2SV ai dispositivi mobili tramite messaggio di testo o chiamata.

Consigli

Quando decidi quale alternativa 2SV è la più adatta alla tua azienda, dovrai trovare un equilibrio tra sicurezza, costo e convenienza. Indipendentemente dall'alternativa che sceglierai, ti consigliamo di attivare la verifica in due passaggi. In questo modo la 2SV è obbligatoria.

Utilizzare i token di sicurezza

Ti consigliamo di rendere obbligatorio l'uso di token di sicurezza per i dipendenti che creano e accedono a dati con il massimo livello di sicurezza. Dovresti imporre la verifica in due passaggi anche a tutti gli altri dipendenti e incoraggiarli a utilizzare token di sicurezza.

I token di sicurezza sono la forma di 2SV più sicura. Sono basati sullo standard aperto sviluppato da Google come parte della Fast Identity Online (FIDO) Alliance. I token di sicurezza richiedono un browser compatibile sui dispositivi degli utenti.

Altre opzioni

Se costo e distribuzione sono fattori che influiscono sulla tua decisione, un messaggio di Google o l'app Google Authenticator sono valide alternative. Il messaggio di Google offre una migliore esperienza utente, perché gli utenti non devono far altro che toccare il dispositivo quando richiesto invece di inserire un codice di verifica.

Se gli utenti non possono tenere con sé i propri dispositivi mobili, possono generare codici di backup stampabili da portare in aree ad alta sicurezza.

Sconsigliamo di utilizzare i messaggi di testo. Il National Institute of Standards and Technology (NIST) non consiglia più una 2SV basata su SMS a causa del rischio di intercettazione da parte di entità sponsorizzate dallo Stato.

Esempio

L'Azienda A è una società grande e consolidata che utilizza app e autenticazione in loco. Per implementare un maggior livello di sicurezza, ridurre i costi di assistenza e incrementare la scalabilità, desidera passare a Cloud Identity come suo IdP principale.

L'azienda ha adottato l'incarico di implementare un'offerta IDaaS che gestisca la sua presenza sulla cloud, che richiede l'applicazione di 2SV e il raggiungimento della conformità entro una data precisa. Il team Infosec richiede la verifica in due passaggi a tutti gli utenti.

L'Azienda A decide di utilizzare Cloud Identity per implementare la verifica in due passaggi. Ha intenzione di rendere obbligatori i token di sicurezza per gli utenti che lavorano alle iniziative più sensibili e importanti per il business e per coloro che hanno accesso alle informazioni dei dipendenti. Questo include i dirigenti di tutte le organizzazioni e il personale dei dipartimenti di ingegneria, finanza e risorse umane. Tutti gli altri dipendenti sono tenuti a utilizzare la verifica in due passaggi. Possono scegliere il metodo 2SV più adatto a loro e sono incoraggiati a utilizzare i token di sicurezza.

L'implementazione di token di sicurezza varia a seconda dell'organizzazione.

Per richiedere token di sicurezza solo per alcuni gruppi, il dipartimento IT crea sottoinsiemi di utenti all'interno di organizzazioni più ampie chiamate "gruppi di eccezioni". Ad esempio, l'intera organizzazione di marketing è tenuta a usare la verifica in due passaggi, ma solo i dirigenti devono utilizzare i token di sicurezza. L'IT crea un gruppo esecutivo all'interno di ogni organizzazione, ad esempio marketing, vendite, assistenza, e applica i token di sicurezza a tali gruppi esecutivi.

Hai trovato utile questa pagina? Facci sapere cosa ne pensi: