É hora de migrar para o logon no Windows com notificação por push

Dirk Denayer, 5 de Março de 2018

À luz dos riscos em constante evolução da cibersegurança, as empresas devem tomar medidas fortes para garantir o acesso interno e remoto à rede pelos funcionários.

A força de trabalho de hoje exige acesso conveniente, a qualquer momento e em qualquer lugar, a redes, aplicativos e recursos da Web, móveis e em nuvem. Claramente, o acesso oportuno às informações impulsiona os negócios.

Ao mesmo tempo, as organizações devem evitar violações de segurança e manter a conformidade contínua com as leis, regulamentos e normas de segurança e privacidade, como o GDPR e o PCI DSS 3.2. Para obter segurança forte e ótima experiência dos funcionários, as equipes de segurança precisam adotar ou migrar para o logon do Windows com notificação por push.

Usando autenticação de dois fatores para o logon do Windows dos funcionários (e o logon de rede relacionado) é uma grande melhoria em relação às senhas estáticas. De acordo com a mais recente Verizon Investigações de violação de dados relatório, 81% das violações de dados relacionadas a hackers envolvem senhas fracas ou roubadas. A Verizon recomenda a autenticação de dois fatores como uma das pedras angulares para proteger contra ataques cibernéticos e limitar os danos resultantes de credenciais perdidas ou roubadas.

Logon do Windows com notificação push para aumentar a segurança dos funcionários
WHITE PAPER

Logon do Windows com notificação push para aumentar a segurança dos funcionários

Devido ao cenário em evolução dos riscos de segurança cibernética, seus clientes precisam de medidas apropriadas para proteger o acesso à rede interna e remota de seus negócios.

Baixar Agora

Legislação e padrões da indústria

O aumento dos ataques cibernéticos às empresas desencadeou nova legislação e padrões do setor. O Regulamento Global de Proteção de Dados (GDPR) e os Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) 3.2 são dois exemplos, ambos definindo medidas para mitigar os riscos.

Por exemplo, o artigo 32 do GDPR exige que as empresas protejam dados pessoais implementando "medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco".

Embora isso possa parecer ambíguo, a Agência da União Européia para Segurança de Redes e Informações (ENISA) tem o papel de aconselhar como implementar e cumprir o RGPD, que entra em vigor em 25 de maio de 2018.

No Diretrizes para as PME sobre segurança do processamento de dados pessoais , A ENISA trata da conformidade com os requisitos de controle de acesso e autenticação do GDPR. A agência recomenda implementar a autenticação de dois fatores em casos de alto risco e em certos casos de médio impacto:

“A autenticação de dois fatores deve ser preferencialmente usada para acessar sistemas que processam dados pessoais. Os fatores de autenticação podem ser senhas, tokens de segurança, pen drives com token secreto, biometria, etc. ”

A ENISA também menciona que o uso de dispositivos móveis aumenta a exposição ao roubo e perda acidental do dispositivo. Como é provável que os dispositivos móveis também sejam usados para fins pessoais, é preciso ter cuidado especial para não comprometer os dados relacionados aos negócios. Como resultado, as diretrizes da ENISA recomendam que:

" A autenticação de dois fatores deve ser considerada para acessar dispositivos móveis, e os dados pessoais armazenados no dispositivo móvel devem ser criptografados. ”

PCI DSS 3.2

Em 1 de fevereiro de 2018, o Requisito 8.3 do PCI-DSS 3.2 entrou em vigor, tornando a autenticação multifatorial obrigatória para o acesso sem console a computadores e sistemas que lidam com dados do titular do cartão e acesso remoto ao CDE (ambiente de dados do titular do cartão).

  • O requisito 8.3.1 trata da autenticação multifatorial para todo o pessoal com acesso administrativo que não seja do console ao CDE (ambiente de dados do titular do cartão). Acesso sem console significa que é realizado através de uma rede e não através de uma conexão física direta. Isso pode acontecer a partir de redes internas, externas e remotas.
  • O requisito 8.3.2 incorpora o antigo requisito 8.3 e trata da autenticação multifator para acesso remoto ao CDE. Este requisito se aplica a todo o pessoal - incluindo usuários gerais, administradores e fornecedores (para suporte e manutenção).

 

 

Logon do Windows com autenticação de dois fatores

O uso da autenticação de dois fatores para o logon do Windows de seus funcionários (e o logon de rede relacionado) garante o acesso a todos os aplicativos críticos e dados confidenciais armazenados no laptop de um funcionário e na rede corporativa. A combinação de logon do Windows e autenticação de dois fatores também protege qualquer acesso remoto por uma rede privada virtual ou infraestrutura de área de trabalho virtual.

A autenticação de dois fatores para logon no Windows permite que os funcionários façam logon na área de trabalho do Windows na rede com uma senha de uso único (OTP). Os dois fatores de autenticação necessários consistem em:

  • Uma senha descartável (algo que o usuário possui, por exemplo, um token de hardware ou um smartphone com um aplicativo OTP, provisionado com uma chave segura para gerar o OTP)
  • Uma senha estática (algo que o usuário conhece)

Ambos os fatores de autenticação são independentes e a senha descartável não é reutilizável. Isso está em conformidade com os requisitos para autenticação de dois fatores.

A autenticação de dois fatores para o logon do Windows é instalada como um pequeno módulo de software no ambiente Windows do funcionário. Pode ser instalado em PCs desktop, laptops e servidores. Assim que configurado, ele substitui a janela de logon original por uma versão que verificará o OTP gerado por um cliente de software ou hardware.

Notificação por Push

Em vez de inserir o OTP no campo de senha do Windows, os funcionários têm outra opção.

É hora de migrar para o logon no Windows com notificação por push

Eles podem usar um aplicativo OTP em seu smartphone para facilitar o processo de logon. Durante o processo de autenticação ao fazer logon no Windows, o funcionário recebe um aviso de notificação no dispositivo móvel e se autentica com um simples toque no dispositivo.

Essa notificação por push é um método de autenticação fora da banda (OOB) que usa um modo de envio para permitir que o aplicativo OTP no dispositivo móvel do funcionário os autentique automaticamente.

A notificação por push terá um forte impacto no mercado de autenticação, pois combina maior segurança com uma experiência aprimorada do usuário, a um custo total de propriedade mais baixo. Isso representa o santo graal da autenticação, com os analistas agora recomendando que as organizações adotem ou migrem para a notificação por push móvel.

Principais razões para considerar a implementação da notificação por push:

  • Maior segurança . Não é necessário digitar o OTP, o que significa que a senha não pode ser interceptada pelos keyloggers, por exemplo. Além disso, o aplicativo OTP pode ser protegido com um PIN ou biometria, além de Gerenciamento de dispositivos móveis ou blindagem de aplicação .
  • Experiência de usuário aprimorada. Além de salvar a etapa de digitação no OTP, o funcionário é informado de maneira proativa sobre o contexto, pois os detalhes de logon ou transação são exibidos diretamente na notificação. Um único clique para confirmar que o funcionário recebeu a notificação por push pode ser suficiente para autenticar. Quando uma segurança mais alta é necessária, a organização pode incluir fatores de autenticação local, como PIN do telefone ou autenticação biométrica , como impressão digital ou reconhecimento de rosto.

informação adicional

Saiba mais sobre os componentes da solução da VASCO para implementar o logon do Windows com notificação por push:

Dirk Denayer é gerente de soluções de negócios da OneSpan. Ele ingressou na OneSpan em 2016, com 20 anos de experiência em soluções de software de negócios no nível de vendas, marketing e entrega. Antes de ingressar na OneSpan, ele trabalhou na Exact Software, CODA e Unit4.