Scambi di sicurezza in connessioni Hard Token e Soft Token VPN

Naviga le tue risposte
0

Una società con cui ho lavorato ha quella che a me sembra essere una strana politica di sicurezza, per lavorare in remoto tutte le persone hanno bisogno di connettersi attraverso una VPN aziendale per raggiungere le reti interne. Il processo è leggermente diverso per gli appaltatori e gli impiegati regolari. Gli appaltatori devono utilizzare un numero generato da un dispositivo fisico RSA SecurID a loro assegnato quando si uniscono. I dipendenti a tempo pieno non hanno hard token e utilizzano invece un software interno aziendale che viene eseguito localmente sui loro laptop per ottenere il numero. Mi stavo chiedendo se qualcuno potesse fornire una sintesi del motivo per cui un'azienda avrebbe scelto di utilizzare un dispositivo fisico o un software per l'autenticazione a due fattori.

    
posta mercurial 20.01.2017 - 16:11
fonte

2 risposte

1

Questo è un uso comune. La parte interessante di un dispositivo fisico è che quando non lavori più con un appaltatore, gli chiedi di restituirti il dispositivo e sei sicuro che non sarà più in grado di connettersi al tuo sistema.

Si presume che i dipendenti siano più affidabili, quindi è sufficiente un modo software. La sicurezza non è più sul piano fisico (è più facile copiare un software che un dispositivo fisico), ma in modo legale. Intendo dire che l'azienda può licenziare e / o perseguire un dipendente che non rispetta le politiche di sicurezza. Questo è solo un compromesso tra il rischio e il modo di mitigare il rischio

    
risposta data 20.01.2017 - 17:49
fonte
0

Sembra che i dipendenti a tempo pieno, meglio controllati (dal momento che gran parte del controllo è di solito al fornitore per i contraenti) hanno un modo "più conveniente" per accedere al VPN, dal momento che i token sono generati su il laptop. Gli appaltatori avrebbero bisogno di un altro fattore "qualcosa che hai" (di 2 fattori di fama) per accedere alla VPN. Se i token soft fisici vs (correttamente implementati) avevano implicazioni di sicurezza, il meno sicuro non avrebbe mai lasciato il terreno IMO.

    
risposta data 20.01.2017 - 17:30
fonte

Leggi altre domande sui tag

Protezione della password in Java (file di configurazione e memoria) [duplicato] Scambio di punti sicuri