Es hora de migrar al inicio de sesión en Windows con notificación push

Dirk Denayer, 5 de Marzo de 2018

A la luz de los riesgos de ciberseguridad en constante evolución, las empresas deben tomar medidas firmes para garantizar el acceso de los empleados a la red interna y remota.

La fuerza laboral actual requiere un acceso conveniente en cualquier momento y en cualquier lugar a las redes, aplicaciones y recursos web, móviles y en la nube. Claramente, el acceso oportuno a la información impulsa el negocio hacia adelante.

Al mismo tiempo, las organizaciones deben evitar infracciones de seguridad y mantener un cumplimiento continuo de las leyes, reglamentos y estándares de seguridad y privacidad, como el GDPR y PCI DSS 3.2. Para lograr una seguridad sólida y una experiencia óptima de los empleados, los equipos de seguridad deben considerar adoptar o migrar al inicio de sesión de Windows con notificación automática.

Utilizando Autenticación de dos factores para el inicio de sesión de Windows de los empleados (y el inicio de sesión de red relacionado) es una gran mejora con respecto a las contraseñas estáticas. De acuerdo con lo último de Verizon Investigaciones de violación de datos informe, el 81 por ciento de las infracciones de datos relacionadas con la piratería involucran contraseñas débiles o robadas. Verizon recomienda la autenticación de dos factores como una de las piedras angulares para proteger contra ataques cibernéticos y limitar el daño resultante de credenciales perdidas o robadas.

Inicio de sesión en Windows con notificación push para mayor seguridad de los empleados
PAPEL BLANCO

Inicio de sesión en Windows con notificación push para mayor seguridad de los empleados

Debido al panorama en evolución de los riesgos de ciberseguridad, sus clientes necesitan medidas apropiadas para asegurar el acceso a la red interna y remota para sus negocios.

Descargar ahora

Legislación y estándares de la industria

El aumento de los ataques cibernéticos en las empresas ha desencadenado nuevas leyes y estándares de la industria. El Reglamento Global de Protección de Datos (GDPR) y los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 3.2 son dos ejemplos, que definen medidas para mitigar el riesgo.

Por ejemplo, el artículo 32 del RGPD exige que las empresas protejan los datos personales mediante la implementación de "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo".

Si bien esto puede parecer ambiguo, la Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) tiene la función de asesorar sobre cómo implementar y cumplir con el GDPR, que entrará en vigencia el 25 de mayo de 2018.

En el Directrices para las PYME sobre la seguridad del procesamiento de datos personales. , ENISA aborda el cumplimiento de los requisitos de control de acceso y autenticación de GDPR. La agencia recomienda implementar la autenticación de dos factores en casos de alto riesgo y en ciertos casos de impacto medio:

“La autenticación de dos factores se debe usar preferiblemente para acceder a sistemas que procesan datos personales. Los factores de autenticación pueden ser contraseñas, tokens de seguridad, memorias USB con un token secreto, datos biométricos, etc. "

ENISA también menciona que el uso de dispositivos móviles aumenta la exposición al robo y la pérdida accidental del dispositivo. Dado que es probable que los dispositivos móviles también se usen para fines personales, se debe tener especial cuidado para no comprometer los datos relacionados con el negocio. Como resultado, las directrices de ENISA aconsejan que:

" Se debe considerar la autenticación de dos factores para acceder a los dispositivos móviles, y los datos personales almacenados en el dispositivo móvil se deben cifrar ".

PCI DSS 3.2

El 1 de febrero de 2018, entró en vigencia el Requisito 8.3 de PCI-DSS 3.2, haciendo obligatoria la autenticación multifactor para el acceso sin consola a computadoras y sistemas que manejan datos de titulares de tarjetas y acceso remoto al entorno de datos de titulares de tarjetas (CDE).

  • El requisito 8.3.1 aborda la autenticación de múltiples factores para todo el personal con acceso administrativo que no sea de consola al entorno de datos del titular de la tarjeta (CDE). El acceso sin consola significa que se realiza a través de una red en lugar de a través de una conexión física directa. Puede ocurrir desde redes internas, así como externas o remotas.
  • El requisito 8.3.2 incorpora el anterior requisito 8.3 y aborda la autenticación multifactor para el acceso remoto al CDE. Este requisito está destinado a aplicarse a todo el personal, incluidos los usuarios generales, administradores y proveedores (para soporte y mantenimiento).

 

 

Inicio de sesión de Windows con autenticación de dos factores

El uso de la autenticación de dos factores para el inicio de sesión de Windows de sus empleados (y el inicio de sesión de red relacionado) asegura el acceso a todas las aplicaciones críticas y datos confidenciales almacenados en la computadora portátil y la red corporativa de un empleado. La combinación del inicio de sesión de Windows y la autenticación de dos factores también asegura cualquier acceso remoto a través de una red privada virtual o una infraestructura de escritorio virtual.

La autenticación de dos factores para el inicio de sesión de Windows permite a los empleados iniciar sesión en su escritorio de Windows en la red con una contraseña de un solo uso (OTP). Los dos factores de autenticación necesarios consisten en:

  • Una contraseña de un solo uso (algo que el usuario tiene, por ejemplo, un token de hardware o un teléfono inteligente con una aplicación OTP, provisto de una clave segura para generar el OTP)
  • Una contraseña estática (algo que el usuario sabe)

Ambos factores de autenticación son independientes y la contraseña de un solo uso no es reutilizable. Esto cumple con los requisitos para la autenticación de dos factores.

La autenticación de dos factores para el inicio de sesión de Windows se instala como un pequeño módulo de software en el entorno de Windows del empleado. Se puede instalar en computadoras de escritorio, computadoras portátiles y servidores. Tan pronto como se configura, reemplaza la ventana de inicio de sesión original con una versión que verificará la OTP generada por un cliente de software o hardware.

Notificación push

En lugar de ingresar la OTP en el campo de contraseña de Windows, los empleados tienen otra opción.

Es hora de migrar al inicio de sesión en Windows con notificación push

Pueden usar una aplicación OTP en su teléfono inteligente para facilitar el proceso de inicio de sesión. Durante el proceso de autenticación al iniciar sesión en Windows, el empleado recibe un aviso de notificación en su dispositivo móvil y se autentica con un simple toque en el dispositivo.

Esta notificación push es un método de autenticación fuera de banda (OOB) que utiliza un modo push para habilitar la aplicación OTP en el dispositivo móvil del empleado para autenticarlos automáticamente.

La notificación push tendrá un fuerte impacto en el mercado de autenticación porque combina una mayor seguridad con una experiencia de usuario mejorada, a un costo total de propiedad más bajo. Esto representa el santo grial para la autenticación, y los analistas ahora recomiendan que las organizaciones adopten o migren a la notificación push móvil.

Razones clave para considerar la implementación de notificaciones push:

  • Mayor seguridad . No es necesario escribir el OTP, lo que significa que la contraseña no puede ser interceptada por keyloggers, por ejemplo. Además, la aplicación OTP se puede asegurar con un PIN o datos biométricos, así como con la Administración de dispositivos móviles o aplicación de blindaje .
  • Experiencia de usuario mejorada. Además de guardar el paso de escribir en la OTP, el empleado recibe información proactiva sobre el contexto, ya que los detalles de inicio de sesión o transacción se muestran directamente en la notificación. Un solo clic para confirmar que el empleado recibió la notificación push podría ser suficiente para autenticarse. Cuando se requiere una mayor seguridad, la organización puede incluir factores de autenticación locales como el PIN del teléfono o autenticación biométrica , como la huella digital o el reconocimiento facial.

Información Adicional

Obtenga más información sobre los componentes de la solución de VASCO para implementar el inicio de sesión de Windows con notificación push:

Dirk Denayer es gerente de soluciones de negocios en OneSpan. Se unió a OneSpan en 2016 con 20 años de experiencia en soluciones de software empresarial en el nivel de ventas, marketing y entrega. Antes de unirse a OneSpan, trabajó en Exact Software, CODA y Unit4.