Es ist Zeit für einen Wechsel zur Windows-Anmeldung mit Push-Benachrichtigungen

Dirk Denayer, 5. März 2018

Angesichts der sich ständig weiterentwickelnden Cybersicherheitsrisiken müssen Unternehmen strenge Maßnahmen ergreifen, um den internen und Remote-Netzwerkzugriff der Mitarbeiter sicherzustellen.

Die heutige Belegschaft benötigt jederzeit und überall bequemen Zugriff auf Web-, Mobil- und Cloud-Netzwerke, Anwendungen und Ressourcen. Der rechtzeitige Zugriff auf Informationen treibt das Geschäft eindeutig voran.

Gleichzeitig müssen Organisationen Sicherheitsverletzungen verhindern und die Sicherheits- und Datenschutzgesetze, -vorschriften und -standards wie GDPR und PCI DSS 3.2 kontinuierlich einhalten. Um sowohl eine hohe Sicherheit als auch eine optimale Mitarbeitererfahrung zu erzielen, müssen Sicherheitsteams in Betracht ziehen, die Windows-Anmeldung mit Push-Benachrichtigung zu übernehmen oder auf diese zu migrieren.

Verwenden von Zwei-Faktor-Authentifizierung Die Windows-Anmeldung der Mitarbeiter (und die damit verbundene Netzwerkanmeldung) ist eine enorme Verbesserung gegenüber statischen Kennwörtern. Laut Verizons neuesten Untersuchungen zu Datenverletzungen Berichten zufolge betreffen 81 Prozent der Datenverletzungen im Zusammenhang mit Hacking schwache oder gestohlene Passwörter. Verizon empfiehlt die Zwei-Faktor-Authentifizierung als einen der Eckpfeiler zum Schutz vor Cyberangriffen und zur Begrenzung des Schadens, der durch verlorene oder gestohlene Anmeldeinformationen entsteht.

Windows-Anmeldung mit Push-Benachrichtigungen für ein höheres Maß an Mitarbeitersicherheit
WEISSES PAPIER

Windows-Anmeldung mit Push-Benachrichtigungen für ein höheres Maß an Mitarbeitersicherheit

Aufgrund der sich entwickelnden Landschaft von Cybersicherheitsrisiken benötigen Ihre Kunden geeignete Maßnahmen, um den internen und Remote-Netzwerkzugriff für ihr Unternehmen zu sichern.

Jetzt herunterladen

Gesetzgebung und Industriestandards

Die Zunahme von Cyberangriffen auf Unternehmen hat neue Gesetze und Industriestandards ausgelöst. Die Global Data Protection Regulation (GDPR) und die Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS) 3.2 sind zwei Beispiele, die beide Maßnahmen zur Risikominderung definieren.

Zum Beispiel schreibt Artikel 32 der DSGVO vor, dass Unternehmen personenbezogene Daten sichern, indem sie „geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten“.

Obwohl dies nicht eindeutig erscheint, hat die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) die Aufgabe, zu beraten, wie die DSGVO umgesetzt und eingehalten werden soll, die am 25. Mai 2018 in Kraft tritt.

In dem Richtlinien für KMU zur Sicherheit der Verarbeitung personenbezogener Daten ENISA befasst sich mit der Einhaltung der Zugangskontroll- und Authentifizierungsanforderungen der DSGVO. Die Agentur empfiehlt die Implementierung einer Zwei-Faktor-Authentifizierung in Fällen mit hohem Risiko und in bestimmten Fällen mit mittlerer Auswirkung:

„Die Zwei-Faktor-Authentifizierung sollte vorzugsweise für den Zugriff auf Systeme verwendet werden, die personenbezogene Daten verarbeiten. Die Authentifizierungsfaktoren können Passwörter, Sicherheitstoken, USB-Sticks mit einem geheimen Token, Biometrie usw. sein. “

ENISA erwähnt auch, dass die Verwendung mobiler Geräte die Gefahr von Diebstahl und versehentlichem Verlust des Geräts erhöht. Da mobile Geräte wahrscheinlich auch für persönliche Zwecke verwendet werden, muss besonders darauf geachtet werden, dass geschäftsbezogene Daten nicht beeinträchtigt werden. Infolgedessen empfehlen die ENISA-Richtlinien Folgendes:

Für den Zugriff auf mobile Geräte sollte eine Zwei-Faktor-Authentifizierung in Betracht gezogen werden, und auf dem mobilen Gerät gespeicherte persönliche Daten sollten verschlüsselt werden. “

PCI DSS 3.2

Am 1. Februar 2018 trat die Anforderung 8.3 des PCI-DSS 3.2 in Kraft, die die Multi-Faktor-Authentifizierung für den nicht konsolenbezogenen Zugriff auf Computer und Systeme, die Karteninhaberdaten verarbeiten, und den Fernzugriff auf die Karteninhaberdatenumgebung (CDE) obligatorisch macht.

  • Anforderung 8.3.1 behandelt die Multi-Faktor-Authentifizierung für alle Mitarbeiter mit nicht konsolenadministrativem Administratorzugriff auf die Karteninhaberdatenumgebung (CDE). Zugriff ohne Konsole bedeutet, dass der Zugriff über ein Netzwerk und nicht über eine direkte physische Verbindung erfolgt. Dies kann sowohl innerhalb interner als auch externer oder entfernter Netzwerke geschehen.
  • Anforderung 8.3.2 enthält die frühere Anforderung 8.3 und befasst sich mit der Multi-Faktor-Authentifizierung für den Remotezugriff auf das CDE. Diese Anforderung gilt für alle Mitarbeiter - einschließlich allgemeiner Benutzer, Administratoren und Anbieter (für Support und Wartung).

 

 

Windows-Anmeldung mit Zwei-Faktor-Authentifizierung

Die Verwendung der Zwei-Faktor-Authentifizierung für die Windows-Anmeldung Ihrer Mitarbeiter (und die zugehörige Netzwerkanmeldung) sichert den Zugriff auf alle kritischen Anwendungen und vertraulichen Daten, die auf dem Laptop eines Mitarbeiters und im Unternehmensnetzwerk gespeichert sind. Die Kombination aus Windows-Anmeldung und Zwei-Faktor-Authentifizierung sichert auch den Remotezugriff über ein virtuelles privates Netzwerk oder eine virtuelle Desktop-Infrastruktur.

Mit der Zwei-Faktor-Authentifizierung für die Windows-Anmeldung können sich Mitarbeiter mit einem Einmalkennwort (OTP) bei ihrem Windows-Desktop im Netzwerk anmelden. Die zwei erforderlichen Authentifizierungsfaktoren bestehen aus:

  • Ein Einmalkennwort (etwas, über das der Benutzer verfügt, z. B. ein Hardware-Token oder ein Smartphone mit einer OTP-App, das mit einem sicheren Schlüssel zum Generieren des OTP versehen ist)
  • Ein statisches Passwort (etwas, das der Benutzer kennt)

Beide Authentifizierungsfaktoren sind unabhängig und das Einmalkennwort kann nicht wiederverwendet werden. Dies entspricht den Anforderungen für die Zwei-Faktor-Authentifizierung.

Die Zwei-Faktor-Authentifizierung für die Windows-Anmeldung wird als kleines Softwaremodul in der Windows-Umgebung des Mitarbeiters installiert. Es kann auf Desktop-PCs, Laptops und Servern installiert werden. Sobald dies eingerichtet ist, wird das ursprüngliche Anmeldefenster durch eine Version ersetzt, die das von einem Software- oder Hardware-Client generierte OTP überprüft.

Push-Benachrichtigung

Anstatt das OTP in das Windows-Kennwortfeld einzugeben, haben Mitarbeiter eine andere Option.

Es ist Zeit für einen Wechsel zur Windows-Anmeldung mit Push-Benachrichtigungen

Sie können eine OTP-App auf ihrem Smartphone verwenden, um den Anmeldevorgang zu vereinfachen. Während des Authentifizierungsprozesses bei der Anmeldung bei Windows erhält der Mitarbeiter eine Benachrichtigungsaufforderung auf seinem Mobilgerät und authentifiziert sich durch einfaches Tippen auf das Gerät.

Diese Push-Benachrichtigung ist eine OOB-Authentifizierungsmethode (Out-of-Band), bei der mithilfe eines Push-Modus die OTP-App auf dem Mobilgerät des Mitarbeiters automatisch authentifiziert wird.

Push-Benachrichtigungen werden einen starken Einfluss auf den Authentifizierungsmarkt haben, da sie höhere Sicherheit mit einer verbesserten Benutzererfahrung bei niedrigeren Gesamtbetriebskosten kombinieren. Dies stellt den heiligen Gral für die Authentifizierung dar. Analysten empfehlen Unternehmen nun, die mobile Push-Benachrichtigung zu übernehmen oder auf diese zu migrieren.

Hauptgründe für die Implementierung einer Push-Benachrichtigung:

  • Stärkere Sicherheit . Das OTP muss nicht eingegeben werden, was bedeutet, dass das Kennwort beispielsweise nicht von Keyloggern abgefangen werden kann. Darüber hinaus kann die OTP-App mit einer PIN oder Biometrie sowie Mobile Device Management oder gesichert werden Anwendungsabschirmung .
  • Verbesserte Benutzererfahrung. Zusätzlich zum Speichern des Eingabeschritts im OTP wird der Mitarbeiter proaktiv über den Kontext informiert, da Anmelde- oder Transaktionsdetails direkt in der Benachrichtigung angezeigt werden. Ein einziger Klick, um zu bestätigen, dass der Mitarbeiter die Push-Benachrichtigung erhalten hat, kann zur Authentifizierung ausreichen. Wenn eine höhere Sicherheit erforderlich ist, kann die Organisation lokale Authentifizierungsfaktoren wie die Telefon-PIN oder einbinden biometrische Authentifizierung wie Fingerabdruck oder Gesichtserkennung.

zusätzliche Information

Weitere Informationen zu den Lösungskomponenten von VASCO zur Implementierung der Windows-Anmeldung mit Push-Benachrichtigung:

Dirk Denayer ist Business Solutions Manager bei OneSpan. Er kam 2016 zu OneSpan und verfügt über 20 Jahre Erfahrung in Business-Softwarelösungen auf den Ebenen Vertrieb, Marketing und Lieferung. Bevor er zu OneSpan kam, arbeitete er bei Exact Software, CODA und Unit4.