FIDO baserede godkendendelsesprocesser

Grund til at overveje FIDO-baserede godkendelsesenheder

Adgangskoder sendt via SMS- eller autentificeringsapps kan omgås ved smart phishing. Hardwarebaserede tokens gør det sværere at gøre.

Enhver virksomhed har brug for en sikker måde at indsamle, administrere og godkende adgangskoder på. Desværre er ingen metode idiotsikker. Lagring af adgangskoder i browseren og afsendelse af engangsadgangskoder via SMS- eller autentificeringsapps kan omgås ved phishing. Adgangskodeadministrationsprodukter er mere sikre, men de har sårbarheder, som det fremgår af det nylige LastPass-brud, der afslørede en krypteret sikkerhedskopi af en database med gemte adgangskoder. For organisationer med høje sikkerhedskrav efterlader det hardwarebaserede loginmuligheder såsom FIDO-enheder.

Hvorfor bruge FIDO-enheder til godkendelse?

FIDO-standarden (Fast Identity Online) vedligeholdes af FIDO Alliance og har til formål at reducere afhængigheden af adgangskoder for sikkerhed. Det gør det ved at supplere eller erstatte dem med stærk godkendelse baseret på kryptografi med offentlig nøgle. FIDO indeholder specifikationer, der drager fordel af biometriske og andre hardwarebaserede sikkerhedsforanstaltninger, enten fra specialiserede hardwaresikkerhedsgadgets eller de biometriske funktioner, der er indbygget i de fleste nye smartphones og nogle pc’er.

Det gør FIDO og andre fysiske nøgle- eller tokenmetoder mere phishing-resistente og sværere for angribere at omgå. Dette er den mest komplekse implementering, og mange websteder understøtter det ikke. Mange adgangskodestyringsprogrammer understøtter dog FIDO. Dette gør det nemmere at overveje at tilføje en fysisk tokennøgle som den anden godkendelsesproces for bedre at beskytte dine konti. NIST giver et overblik over tilgængelige godkendelsestokens.

Valg af den rigtige type FIDO-enhed

Start dit projekt med at undersøge, hvilke godkendelsesenheder der kan godkende med de leverandører, du har i øjeblikket, samt potentielle fremtidige leverandører. En leverandør af FIDO-enheder, Yubico, giver dig mulighed for at gennemgå de leverandører, de understøtter.

Din næste beslutning er at bestemme, hvilken type stik din organisations computere og bærbare computere kræver. Vi lever i en verden med flere USB-forbindelser, så du skal vide, om du har brug for USB-A-, USB-C- eller Lightning-stik. Som nævnt i instruktionerne vedrørende leverandøropsætning skal du planlægge at implementere ikke en, men to FIDO-nøgler for at sikre, at du har en sikkerhedskopi. Hvis dit eneste hardwaretoken mislykkes, bliver du låst ude af dit adgangskodestyringsprogram og ethvert andet element, der afhænger af det.

Poletter kan også bruges, hvor behovet for phishing-resistent multifaktorautentificering er nødvendig.  Ved at oprette et unikt nøglepar for hver enhed og brugerkombination kan websteder sikkert identificere og godkende enheder, der er registreret hos dem. Processen med at logge ind strømlines derefter, da brugerne kun behøver at bevise deres identitet med en biometrisk scanning i stedet for at indtaste en adgangskode eller anden sikkerhedskode. Alt, hvad brugerne skal gøre for at fuldføre login, er enten at placere token-nøglen i nærheden af computeren eller indsætte den i USB-porten. Når du har trykket fingeren på enheden, giver den godkendelse til applikationen i overensstemmelse hermed.

Mens FIDO og WebAuthn, en webgodkendelsesstandard, der er en del af FIDO2, kan gøre onlinegodkendelse mere sikker, eliminerer de ikke alle risici. Som med enhver sikkerhedsforanstaltning skal du være opmærksom på potentielle trusler og tage skridt til at beskytte dig selv online. Dette inkluderer brug af stærke adgangskoder og forsigtighed med at dele personlige oplysninger eller klikke på links fra ukendte kilder.

Kilde: CSO

Foto: Pexels

Scroll to Top