Quali sono i compromessi di rischio degli ID "intelligenti" all-in-one rispetto all'uso di un autenticatore hardware separato?

Naviga le tue risposte
5

In molte organizzazioni in questi giorni, gli ID dei dipendenti sono molto mutevoli. Possono servire come:

  • Verifica identità visiva. (Inclusa foto del dipendente, nome, numero ID e altri dettagli sul viso)
  • Controllo dell'accesso agli edifici. (Tramite RFID, scheda prox, codice a barre, striscia magnetica o chip intelligente)
  • Controllo dell'accesso al computer. (Smart chip)
  • Crittografia e amp; archiviazione del certificato di firma digitale. (Smart chip)

Tutte queste funzioni possono essere comodamente imballate in un'unica carta, non più grande o più spessa di una comune carta di credito. Tuttavia, potrebbe essere più pratico per alcuni se le ultime due funzioni fossero separate. Invece di una soluzione completamente all-in-one, forse potrebbero avere un badge utilizzato come ID visivo e controllo dell'accesso dell'edificio e un altro badge (o altro autenticatore hardware) utilizzato per l'archiviazione dei certificati e il controllo dell'accesso al computer.

Quali sarebbero i compromessi di rischio tra questi?

    
posta Iszi 02.05.2012 - 15:03
fonte

2 risposte

4

Da WRT a smart card utilizzato come fattore di autenticazione per l'accesso al computer, la chiave privata sulla smart card può essere protetta da un PIN / password. Quindi l'autenticazione della smart card può anche fornire il fattore aggiuntivo di "ciò che sai" oltre a "ciò che hai".

Per la maggior parte degli utenti, i rischi sono accettabili se confrontati con il costo di gestione del provisioning / distribuzione e gestione di più insiemi di token di autenticazione fisici. Ho visto persone in diverse organizzazioni e consulenti portare in giro una catena di smart card e token USB per le varie organizzazioni per le quali stanno consultando. Certo, offrire un modello di provider di servizi per la gestione delle identità è ancora un po 'lontano, c'è una tendenza a offrire modelli di autenticazione più semplici (cioè l'autenticazione del secondo fattore in outsourcing, openid, hoth, ecc.).

Per utenti o posizioni a rischio più elevato, vedo spesso fattori aggiuntivi per l'autenticazione. Ad esempio, tre fattori è abbastanza comune (biometrico, carta, pin, peso). Inoltre, ho lavorato con organizzazioni in cui ho solo bisogno di presentare una carta + biometrica in un mantrap durante l'orario lavorativo, ma dopo l'orario lavorativo, ho anche bisogno di utilizzare un fattore aggiuntivo. Inoltre, gli utenti ad alto rischio di solito sono soggetti a un'ulteriore separazione delle chiavi di autorizzazione rispetto alle chiavi di firma. Quindi, c'è un secondo dispositivo utilizzato per contenere una chiave di firma non rifiutata per autorizzare determinate transazioni.

Le organizzazioni e gli utenti con informazioni molto sensibili sfruttano controlli aggiuntivi che sacrificano semplicità e velocità per la sicurezza. Persino un semplice mantrap impiega più tempo ad autorizzare un utente rispetto al turnstyle.

Detto questo, le organizzazioni che consolidano tutte le funzioni sono in genere di dimensioni maggiori con più posizioni fisiche. Tali organizzazioni possono realizzare risparmi sui costi consolidando in un unico fornitore, una carta, ecc. Sebbene abbia visto più organizzazioni medio-piccole percorrere la strada del controllo degli accessi consolidato, sono poche e distanti tra loro (le password sono ancora comuni e di gran lunga più economico che implementare l'autenticazione dell'hardware).

Se possibile, la sicurezza 101 include un lungo blurb e discussioni sulla difesa in profondità. Il consolidamento delle funzioni non comporta necessariamente maggiori rischi finché il rischio viene identificato e gestito.

    
risposta data 02.05.2012 - 16:38
fonte
0

Perché vorresti separare i due? Puoi farlo con una scheda doppia interfaccia e lettore PKI Contactless o semplicemente distribuire le schede di contatto per coloro che necessitano di maggiore sicurezza in ambienti sensibili.

L'uso di una scheda contactless con tecnologia a 13,56 MHz e un lettore compatibile è ottimo per l'autenticazione avanzata per gli utenti che devono avere un secondo fattore. Se il dipendente ha accesso a programmi generici sul sistema, allora non ha senso spendere di più su una doppia scheda di interfaccia per questo utente. Sarebbero perfetti con una normale carta senza contatto.

Tuttavia, alcuni utenti hanno accesso a informazioni altamente sensibili e potrebbero aver bisogno di qualcosa di molto più strong. Questo può essere ottenuto con la smart card di contatto che ha il chip d'oro incorporato sulla sua superficie, o una doppia scheda d'interfaccia abilitata per PKI e che assomiglia ad una normale carta contactless senza il gold chip e consente all'utente di avere entrambe le forme di sicurezza . Queste carte sono molto più costose e possono essere proibitive a tutti i livelli.

Una buona soluzione è quella di mappare ciò che gli utenti accedono a quali programmi, e poi decidere chi trarrebbe vantaggio dall'usare le carte più costose e attenersi a quelli più economici per quelli che non lo fanno.

Il costo è il fattore principale per non utilizzare due badge separati, ed è più che l'utente debba tenere il passo.

La società per cui lavoro ha un software che gestirà tutto questo per la maggior parte dei tipi di schede e lettori, e il software contiene altre funzionalità che possono essere utilizzate come l'autenticazione basata sul rischio, l'accesso di emergenza, il ripristino automatico del PIN e certificati PKI, ecc. Hai molte opzioni qui.

    
risposta data 17.08.2012 - 18:43
fonte

Leggi altre domande sui tag

Proteggi l'accesso a una scheda SD Generatore di OpenFlow NetFlow