rsa authentication decision tree: come scegliere la ... · all'intervento per una singola...
TRANSCRIPT
RSA Authentication Decision Tree:come scegliere la soluzione di autenticazione più appropriata
White paper
2 White paper RSA
Perché scegliere l'autenticazione forte
La protezione dell'accesso alle informazioni e la verifica delle
identità degli utenti che richiedono tale accesso sono
elementi chiave di qualsiasi iniziativa di sicurezza. Se, in
precedenza, era soprattutto l'esigenza di garantire accesso
remoto sicuro alle informazioni a favorire l'adozione di
tecnologie di autenticazione degli utenti, una serie di ulteriori
motivi alimenta oggi una crescente domanda di
autenticazione forte aziendale.
Passaggio di nuove applicazioni aziendali al sistemaonline. Avendo ravvisato nuove opportunità di business e di
riduzione dei costi con l’accesso online alle informazioni
aziendali, molte organizzazioni hanno cominciato a offrire
applicazioni di business Web-based.
Incremento della richiesta di accesso aziendale da remoto.La natura globale del business e la mobilità della forza lavoro
hanno spinto molte organizzazioni a fornire accesso
ininterrotto da qualsiasi luogo per stimolare la produttività
dei dipendenti.
Privilegi di accesso a nuove comunità di utenti. I rapporti
con collaboratori esterni, partner e fornitori esigono oggi
accesso on-demand a informazioni proprietarie quali
previsioni di vendita, dati sulla concorrenza, tabelle dei
prezzi, inventario e dati sui clienti.
Diffusione dei portali per l’acenso clienti. Aumenta la
domanda di accesso in tempo reale con possibilità da parte
dei clienti di gestire online i propri account.
Conformità normativa. Nel corso degli ultimi anni, si sono
susseguiti interventi normativi che impongono alle
organizzazioni di adottare misure idonee a impedire l'accesso
non autorizzato alle informazioni.
Minacce sofisticate. A seconda dell'utente e della natura
delle informazioni, esistono varie minacce e rischi la cui
prevenzione richiede l'adozione di sistemi di autenticazione
forte. Per gli utenti aziendali, le organizzazioni devono fornire
l'autenticazione forte per proteggersi dal rischio di accesso
non autorizzato alle informazioni critiche e contrastare quello
di minacce interne. Per i clienti, le organizzazioni devono
fornire misure di protezione proattiva contro minacce quali
phishing, Trojan horse e altre forme di malware.
Lo stato attuale dell'autenticazione utente
Nonostante l'autenticazione basata solo su password sia
ampiamente riconosciuta come insufficiente a garantire la
sicurezza, l'utilizzo di una semplice password come mezzo
per verificare le identità degli utenti rimane dominante.
Tuttavia questo metodo di autenticazione, un tempo
considerato sostanzialmente a costo zero, è diventato
progressivamente più dispendioso in termini di costi
continuativi di gestione e di supporto. Stando ai dati raccolti
da Forrester Research, il costo dell’help desk relativo
all'intervento per una singola reimpostazione di password è
di circa 55 euro.
La domanda circola con frequenza fra le
organizzazioni di tutto il mondo. Di fronte alla
grande quantità di prodotti per la sicurezza, nuovi o
emergenti, salutati di volta in volta dagli analisti
come la soluzione realmente risolutiva, è
fondamentale fare chiarezza sulla varietà di opzioni
di autenticazione disponibili sul mercato. Per
arrivare a individuare la soluzione che garantirà
risultati ottimali, le organizzazioni devono
innanzitutto considerare le loro esigenze in fatto di
autenticazione degli utenti, le minacce a cui è
potenzialmente esposto il loro business, gli obiettivi
aziendali e le normative che regolano il loro settore.
RSA ha sviluppato Authentication Decision Tree, uno
strumento completo che aiuta le aziende a
comprendere, valutare e selezionare la soluzione di
autenticazione più appropriata alle esigenze degli
utenti e del business. RSA Authentication Decision
Tree fornisce un framework che permette di
restringere il panorama delle soluzioni di
autenticazione in base a cinque fattori chiave.
Questo white paper offre una panoramica dei cinque
fattori chiave che dovrebbero essere considerati per
l’individuazione della soluzione di autenticazione
più appropriata ed equilibrata considerando il
rischio, il costo e la praticità d'utilizzo.
“Qual è la soluzione di autenticazione migliore per la tua azienda?”
3White paper RSA
A complicare la scelta della migliore strategia di
autenticazione forte, continuano ad affacciarsi sul mercato
sempre nuovi metodi di autenticazione. Se, nell'ambiente
aziendale, gli autenticatori hardware continuano a
rappresentare il metodo dominante per la protezione delle
risorse societarie, la mobilità dei dipendenti e la diffusione
dei cellulari e dei PDA hanno generato un aumento della
domanda di autenticatori software. Nei portali orientati ai
consumatori, l'autenticazione risk-based e quella knowledge-
based sono diventati meccanismi di sicurezza comuni, grazie
alla facilità d'uso e alla scalabilità a basi utenti molto estese.
Di fronte alla profusione di soluzioni di autenticazione
disponibili sul mercato, le organizzazioni hanno difficoltà a
definire una strategia di autenticazione adeguata. Per molte
di esse è peraltro possibile selezionare più opzioni di
autenticazione, in base a fattori quali la base utenti, il valore
delle informazioni da proteggere, la portabilità e l'esperienza
utente. RSA ha sviluppato Authentication Decision Tree
proprio allo scopo di aiutare le organizzazioni a compiere la
scelta migliore, valutando obiettivamente le alternative e
allineando le esigenze degli utenti con quelle di business.
Fattori chiave da considerare per la definizione diuna strategia di autenticazione
Cinque sono i fattori chiave da considerare per definire una
strategia di autenticazione adeguata:
– Il valore delle informazioni da proteggere
– La forza dell'autenticazione utente da implementare
– L’utilizzo pianificato
– Le esigenze degli utenti
– L’ambiente tecnico
Il valore delle informazioni da proteggere
Il primo fattore da considerare è il valore delle informazioni
da proteggere e il “costo” dell'accesso non autorizzato ad
esse. Le informazioni aziendali proprietarie, i dati relativi ai
conti bancari e alle carte di credito, le cartelle sanitarie o le
Informazioni personali identificabili (PII) sono tutti tipi di
informazioni che possono essere considerate di valore
elevato. L'accesso non autorizzato a tali informazioni
potrebbe essere costoso (si pensi a una banca che debba
farsi carico dei costi di trasferimento di fondi dei clienti non
autorizzati) e dannoso per il brand e la reputazione
dell'azienda. Più alto è il valore delle informazioni, maggiore
è il rischio corso dall'organizzazione in caso di accesso ai
dati da parte di un utente non autorizzato e più forte è il tipo
di autenticazione richiesto per proteggerle.
La forza dell'autenticazione utente da implementare
L'esame della base utenti e delle informazioni cui questa può
accedere può aiutare le organizzazioni a determinare il livello
di autenticazione da applicare. Ad esempio, le organizzazioni
non possono imporre l'autenticazione ai propri clienti, la
scelta della soluzione dovrebbe essere improntata alla
praticità e alla disponibilità all'adozione da parte dei clienti
stessi. Nel caso dei dipendenti e dei partner, invece, le
organizzazioni hanno più controllo sui tipi di autenticazione
da implementare e saranno più propense pertanto a
considerare caratteristiche quali la portabilità, il Total Cost of
Ownership (TCO) e la gestibilità complessiva.
Utilizzo pianificato
Quando le organizzazioni implementano una soluzione di
autenticazione, gli obiettivi da rispettare sono in genere
molteplici. In altri termini, a seconda dell'utente e del tipo di
attività eseguite, un'organizzazione potrebbe ravvisare la
necessità di aggiungere ulteriori livelli di autenticazione alla
semplice verifica delle identità. Ad esempio, un istituto
finanziario che intenda diminuire le perdite per frodi
potrebbe implementare una soluzione di monitoraggio delle
transazioni per controllare i trasferimenti di denaro a rischio
elevato. Un altro caso da considerare è rappresentato dagli
utenti aziendali. Un'organizzazione con gruppi di utenti che
utilizzano e scambiano informazioni altamente riservate
quali dati sul personale, di retribuzione o finanziari potrebbe
richiedere una soluzione di autenticazione che supporti la
crittografia dei file e della posta elettronica.
Le esigenze degli utenti
Quando si distribuisce una soluzione di autenticazione ad
una base utenti, vi sono numerosi fattori da considerare a
seconda della tipologia stessa di tale bacino di utenza. Dal
punto di vista dell'utente, le organizzazioni devono tenere
conto di elementi quali la facilità di utilizzo, la disponibilità
all'adozione e le informazioni a cui l'utente dovrà accedere.
Dal punto di vista dell'organizzazione stessa, si devono
tenere conto di altri fattori, quali il Total Cost of Ownership
(TCO), le esigenze di formazione, la scalabilità e la mobilità
delle soluzioni.
Ambiente tecnico
Altro elemento importante è, infine, l'ambiente tecnico in cui
la soluzione verrà distribuita, essenziale per stabilire, ad
esempio, il livello di forza dell'autenticazione da applicare. In
un ambiente in cui i desktop sono maggiormente controllati e
il software antivirus è costantemente aggiornato, i requisiti di
sicurezza possono essere meno rigorosi di quelli di scenari in
cui l'ambiente non è soggetto allo stesso livello di controllo e
una larga fetta della base utenti accede alla rete da varie
parti del mondo.
4
Un altro aspetto tecnico da considerare è la varietà dei
dispositivi utilizzati dagli utenti per l'accesso. Tanto per le
applicazioni aziendali quanto per quelle destinate ai clienti,
la base utenti accederà probabilmente alle informazioni da
dispositivi che vanno dai laptop e dai desktop ai PDA, ai
cellulari e agli Internet point. I tipi di dispositivi utilizzati per
accedere costituiscono un elemento importante per
determinare i fattori di autenticazione offerti agli utenti.
RSA Authentication Decision Tree
Alla luce della grande quantità di nuovi metodi e tecnologie
di autenticazione oggi disponibili, del valore crescente delle
informazioni, delle nuove comunità di utenti che richiedono
accesso alle reti e alle applicazioni, della proliferazione delle
minacce avanzate e di un ambiente normativo complesso, le
organizzazioni sono sollecitate a rivalutare la strategia di
autenticazione esistente.
La molteplicità delle soluzioni di autenticazione da valutare
e i favori accordati dal mercato ora ad una, ora all'altra
tecnologia di autenticazione, complicano la valutazione da
parte delle organizzazioni. Le soluzioni biometriche, ad
esempio, godono di un'attenzione mediatica eccessiva
rispetto alla loro reale diffusione sul mercato. Queste
soluzioni richiedono lettori costosi e complessi e risultano
pertanto poco pratiche per l'accesso mobile o remoto o per
l'adozione di massa.
RSA Authentication Decision Tree è stato studiato per aiutare
le organizzazioni a confrontare la rispondenza delle
tecnologie di autenticazione disponibili sul mercato con le
esigenze dei propri utenti e del business favorendo un
processo decisionale semplificato. Mancando ancora una
soluzione universalmente valida, in grado di rispondere alle
esigenze di qualsiasi azienda e alla domanda di sicurezza di
qualsiasi utente e scenario, RSA Authentication Decision Tree
può essere un utile ausilio per selezionare la soluzione o la
combinazione di soluzioni più appropriata ed equilibrata per
rischio, costo e praticità d'utilizzo.
Come utilizzare RSA Authentication Decision Tree
Per determinare la o le soluzioni più adatte a
un'organizzazione, questo strumento considera i seguenti
criteri:
– Controllo sull'ambiente utente
– Metodi di accesso da utilizzare
– Esigenza di accesso da qualsiasi luogo e in qualsiasimomento
– Esigenza di crittografia dei dischi, dei file o della postaelettronica
– Prevenzione dalle frodi
Controllo sull'ambiente utente
Il controllo sull'ambiente utente è essenziale per determinare
il metodo di autenticazione appropriato. Tra i fattori da
considerare vi sono la possibilità o meno per l'organizzazione
di installare il software nel sistema in uso dall’utente e di
decidere il sistema operativo che l'utente dovrà utilizzare.
Perché è così importante? Perché non tutte le soluzioni di
autenticazione garantiscono la compatibilità con qualsiasi
sistema operativo. In un azienda, l'organizzazione ha il
controllo diretto sui sistemi operativi installati nei dispositivi
degli utenti, mentre non ne ha alcuno in quelli degli utenti
esterni come i clienti e i partner. Pertanto, i metodi di
autenticazioni da offrire a queste due comunità di utenti
potrebbero essere differenti.
Metodi di accesso da utilizzare
I metodi di accesso sono un elemento estremamente
importante per la determinazione della strategia di
autenticazione. Alcuni metodi di autenticazione sono
applicabili solo all'accesso alle applicazioni Web, mentre altri
possono essere impiegati per autenticare l'accesso a varie
applicazioni non basate su Web. Pertanto, la scelta dipenderà
da una valutazione del tipo utente, dei diritti di accesso di
cui dispone e dell'utilizzo previsto.
Il controllo dell'ambiente utente èessenziale per determinare il metododi autenticazione appropriato.
White paper RSA
5
Esigenza di accesso da qualsiasi luogo e in qualsiasi
momento
La natura globale del business e la crescente mobilità dei
dipendenti hanno generato la domanda di accesso
ininterrotto da qualsiasi luogo. Consentire agli utenti di
accedere in modo sicuro alle informazioni è cruciale per
garantire la continuità del business. Offrire questa opzione ai
dipendenti e ai partner è fondamentale per supportarne la
produttività; garantirla ai clienti è importante se si vuole
alimentarne la fiducia. Questi i fattori da prendere in
considerazione:
– È necessario consentire agli utenti di accedere dapostazioni remote variabili?
– È necessario consentire agli utenti di accedere da sistemisconosciuti quali Internet point, reti di hotel o postazionicondivise?
– È necessario consentire agli utenti di accedere dadispositivi eterogenei quali PDA e cellulari?
Crittografia dei dischi, dei file o della posta elettronica
Nel valutare la strategia di autenticazione, le organizzazioni
dovrebbero prendere in considerazione le altre finalità
aziendali che il metodo dovrebbe aiutare a conseguire. Ad
esempio, un'organizzazione sanitaria potrebbe essere tenuta,
in virtù delle normative che regolano il settore, a tutelare le
informazioni sanitarie protette (PHI) o altre informazioni
personali identificabili (PII) di un paziente trasmesse da un
reparto o da una struttura all'altra. In questo caso, potrebbe
essere opportuno imporre agli utenti il possesso dei diritti di
accesso appropriati per accedere alle informazioni PHI e PII
da dispositivi affidabili.
Prevenzione dalle frodi
Per prevenire le frodi è necessario implementare alcuni
metodi di autenticazione che permettano di monitorare le
transazioni e le attività eseguite da un utente in fase di
accesso. Anche se si tratta di uno scenario prevalentemente
legato alle applicazioni dei servizi finanziari, altri settori
stanno cominciando a subire attacchi mirati, come il phishing
e il malware, da parte di soggetti il cui unico fine è la raccolta
di informazioni personali volto al furto di identità.
La gamma delle possibilità di autenticazione
Password
Le password offrono autenticazione a un solo fattore
fornendo prova dell'identità degli utenti. Per quanto
implementabili gratuitamente, comportano costi di gestione
e di supporto continuativi (ad esempio, in occasione dei
ripristini di password) che nel lungo periodo possono
diventare proibitivi. Il livello di sicurezza fornito è molto
basso e le password sono esposte agli attacchi degli hacker
e ai rischi della promiscuità tra più utenti.
Autenticazione knowledge-based
L'autenticazione knowledge-based è un metodo utilizzato per
autenticare un individuo in base alla conoscenza di
informazioni personali, verificata tramite una procedura
interattiva di domande e risposte. Le domande formulate
all'utente sono raccolte da database di record pubblici, sono
casuali e non sono note in precedenza o non sono mai state
chieste all'utente.
Autenticazione risk-based
L'autenticazione risk-based è un sistema che consente di
misurare in background una serie di indicatori di rischio, in
modo da verificare le identità degli utenti e/o autenticare le
attività online. Tra gli indicatori sono inclusi alcuni attributi
dei dispositivi, i profili comportamentali degli utenti e la
localizzazione geografica dell'IP. Più alto è il livello di rischio
presentato, più alta è la probabilità che l'identità o l'attività
sia fraudolenta. Se il Risk Engine stabilisce che la richiesta di
autenticazione eccede i criteri di rischio accettabile,
l'autenticazione risk-based offre l'opzione di fornire una
prova più rigorosa dell'identità. In uno scenario di questo
genere, all'utente potrà essere richiesto di rispondere a
domande segrete o di inviare un codice di autorizzazione
tramite un testo SMS o un messaggio di posta elettronica.
White paper RSA
6
Autenticazione mediante password monouso
L'autenticazione mediante password monouso (OTP, One-Time
Password) è una soluzione di autenticazione a due fattori
molto diffusa: si basa su informazioni note all'utente (un PIN o
una password) e su un dispositivo posseduto dall'utente (un
autenticatore). L'autenticatore genera un nuovo codice OTP
ogni 60 secondi, rendendo estremamente difficile per
chiunque non sia l'utente legittimo fornire il codice corretto al
momento opportuno.
Per accedere alle informazioni o alle risorse protette dalla
tecnologia delle password monouso, gli utenti devono
semplicemente combinare il PIN segreto con il codice
visualizzato volta per volta sul display dell'autenticatore
(token). Il risultato è una password univoca monouso,
utilizzata per verificare l'identità di un utente.
La tecnologia delle password monouso è disponibile in varie
forme:
– Autenticatori hardware. Gli autenticatori hardwaretradizionali (anche noti come "key fob") sono piccolidispositivi portatili che è possibile tenere in unportachiavi, adatti agli utenti che preferiscono avere unasoluzione tangibile o accedere a Internet da piùpostazioni.
– Autenticatori software. Per i PC, le unità USB o idispositivi mobili: gli autenticatori software vengono ingenere offerti sotto forma di applicazione o di barra deglistrumenti installata affidabilmente nel desktop, nellaptop o nel dispositivo mobile dell'utente.
– On-demand. L'autenticazione on-demand comportal'invio di una password monouso univoca, su richiesta,tramite SMS (messaggio di testo) a un dispositivo mobileo all'indirizzo di posta elettronica registrato di un utente.Una volta ricevuta la password monouso, l'utente laimmette – se richiesto, insieme al PIN – per ottenerel'accesso alla rete aziendale o a un'applicazione online.
Certificati digitali
Un certificato digitale è un documento elettronico univoco
contenente informazioni che identificano la persona o il
dispositivo cui è associato. Può essere archiviato su un
desktop, una smart card o un'unità USB. Per ottenere un
metodo di autenticazione a due fattori più forte è possibile
bloccare il certificato digitale su una smart card o un'unità
USB, richiedendo all'utente di immettere un PIN per
sbloccarlo e utilizzare le credenziali. Il certificato digitale può
quindi essere utilizzato per autenticare un'utente per
l'accesso a una rete o a un'applicazione. I certificati digitali
possono anche essere impiegati per rafforzare l'immagine e
la reputazione dell'azienda tramite l'uso di firme digitali o
della posta elettronica crittografata.
Inoltre, i certificati possono essere combinati con le password
monouso tramite un autenticatore ibrido. In questi casi,
l'autenticatore ibrido consente di memorizzare più
credenziali semplificando l'esperienza utente. Uno scenario
di utilizzo frequente della combinazione dei certificati e delle
password monouso è rappresentato dall'impiego di un
certificato digitale per sbloccare la crittografia del disco
rigido, seguito dall'immissione di una password monouso per
autenticare l'accesso a una VPN.
Analisi degli attributi dell'autenticazione
Quando un'organizzazione valuta le esigenze di business
e quelle dei propri utenti, la scelta della strategia di
autenticazione appropriata in base alle opzioni disponibili
comporta in genere un compromesso tra una serie di
variabili:
– La "forza" della sicurezza
– Il caso di utilizzo specifico
– I requisiti lato client
– La portabilità
– La molteplicità di utilizzo
– Le problematiche degli utenti
– I requisiti di distribuzione
– I requisiti di sistema
– Il costo
L'autenticazione mediante password
monouso è basata su informazioni note
all'utente (un PIN o una password) e su
un dispositivo posseduto dall'utente
(un autenticatore).
White paper RSA
7
costo di acquisizione; eppure, basterebbe l'esempio
dell'autenticazione basata solo su password per comprendere
come tale fattore non sia di per sé sufficiente. Per quanto
sostanzialmente "gratuite" in termini di costo di acquisizione,
le password sono sorprendentemente dispendiose in termini
di costi continuativi di gestione e di supporto.
Il grafico alle pagine 8 e 9 offre un raffronto e una valutazione
di ciascuna opzione di autenticazione in base ai nove attributi
identificati.
RSA Authentication Decision Tree può aiutare le organizzazioni
a raffrontare i metodi di autenticazione individuati come
consoni a soddisfare le proprie esigenze. Con l'ausilio di un
semplice framework le organizzazioni possono ottenere una
valutazione obiettiva delle soluzioni di autenticazione più
diffuse sul mercato.
A questo scopo, oltre a un fattore innegabilmente importante
come il costo, dovranno essere presi in considerazione altri
elementi. Troppo spesso si tende a privilegiare l'elemento
Scenari di utilizzo di RSA Authentication
Decision Tree
Profilo della società
Grande organizzazione del settore sanitario, con vari
ospedali locali e presidi specialistici, per un bacino di
oltre 1,5 milioni di pazienti.
Gruppi di utenti
Medici, compagnie assicuratrici ed enti previdenziali,
pazienti, amministratori sanitari
Esigenze di business e degli utenti
I medici si spostano di continuo tra una struttura e
l'altra e si connettono ai file e alle cartelle sanitarie
tramite Blackberry o altro dispositivo mobile. In
questo modo possono accedere rapidamente alle
informazioni mediche rilevanti e garantire livelli di
assistenza ottimali ai pazienti.
Compagnie assicuratrici ed enti previdenziali devono
poter accedere alle cartelle cliniche, ai dati storici e ai
servizi erogati per definire premi o indennizzi.
Gli amministratori sanitari hanno costante esigenza di
accedere alle informazioni mediche protette (PHI) e
alle informazioni personali identificabili (PII) dei
pazienti. Tale accesso è essenziale per la produttività
di intere categorie di professionisti, dagli assistenti
sociali al personale addetto alla contabilità.
Ai pazienti è consentito accedere alle informazioni
personali e alle proprie cartelle cliniche tramite un
portale Web. Oltre a poter aggiornare le proprie
informazioni si possono utilizzare una serie di altri
servizi online quali la prenotazione degli
appuntamenti, la richiesta di rinnovo delle ricette e il
pagamento del ticket.
Scelte di autenticazione
In considerazione della base utenti diversificata, il cui
comune denominatore è l'esigenza di accedere a vari
sistemi per scopi differenti, questa organizzazione
sanitaria dovrebbe prendere in esame una moltitudine
di soluzioni di autenticazione:
Medici: password monouso basata su software per
dispositivi mobili
Compagnie assicuratrici ed enti previdenziali: token
hardware
Amministratori sanitari: token hardware
Pazienti: autenticazione risk-based
Troppo spesso si tende a privilegiare l'elemento“costo di acquisizione”; eppure, basterebbel'esempio dell'autenticazione basata solo supassword per comprendere come tale fattore non sia di per sé sufficiente.
White paper RSA
8
Password Autenticazione
knowledge-based
Autenticazione
risk-based
Password monouso:
token hardware
Ibrido: password
monouso + certificato
digitale
Forza della
sicurezza
Un solo fattore
esposto ad attacco
hacker e promiscuità
Un solo fattore, più
forte; informazioni
non comuni
Due o più fattori a
seconda del rischio
valutato
Due fattori, forte:
PIN + token
Due fattori, forte:
PIN + token o
certificato
Caso di utilizzo
specifico
Applicazioni non
strategiche e non
soggette a
regolamentazione
Interazione di nuovi
utenti, accesso di
emergenza,
reimpostazione PIN
Distribuzione o
accesso a VPN SSL
per basi utenti estese
Accesso per i
dipendenti mobili
Utenti interni e
dipendenti in
movimento
Requisiti lato
client
Nessuno Nessuno Nessuno Nessuno Middleware per le
funzionalità connesse
Portabilità Ovunque Ovunque Applicazioni basate
su browser
Ovunque Ovunque (password
monouso)
Molteplicità di
utilizzo
No No Piattaforma per
monitoraggio delle
transazioni e
rilevamento delle
frodi
No Crittografia file/postaelettronica
Firma digitale
Accesso remoto
Problematiche
degli utenti
Facile da dimenticare
e spesso annotata su
documenti accessibili
Minime Da minime a serie Minime Minime
Requisiti di
distribuzione
Nessuno Nessuno Nessuno Assegnazione e
recapito dei token
Software client
Certificato
Token
Requisiti di
sistema
Directory utenti Servizio di
sottoscrizione
Server di
autenticazione
Agenti personalizzati
Applicazioni Web
Opzioni di
sottoscrizione
Server di
autenticazione
Agenti
dell'applicazione
Autorità di
certificazione
Server di
autenticazione
Costo Basso costo di
acquisizione ma
costo di supporto
elevato
Modesto Basso costo con
alcuni requisiti di
integrazione tra le
applicazioni
Costo di
acquisizione elevato
ma basso costo di
gestione
Costi di infrastruttura e
di gestione più elevati
White paper RSA
9
Password monouso:
token software su PC
Password monouso:
token software su unità
USB
Password monouso:
token software su
dispositivi mobili
Codice monouso inviato on-
demand
Certificati digitali
Due fattori, forte: PIN
+ token
Due fattori, forte (con
opzione di protezione
biometrica)
Due fattori, forte: PIN +
token software
Due fattori, forte: PIN +
codice inviato al cellulare
Opzione a due fattori con
blocco PIN
Accesso per i
dipendenti mobili
Accesso per i
dipendenti mobili
Accesso per i
dipendenti mobili
Due fattori su IDA, accesso di
emergenza occasionale o
temporaneo dei dipendenti
Autenticazione utenti
nell'azienda o
autenticazione dispositivi
PC compatibile Dispositivo USB
compatibile
Piattaforma
compatibile
Qualsiasi dispositivo con
funzionalità di posta
elettronica o SMS
Contenitore o dispositivo
(USB, smart card o
desktop)
Solo sul sistema
associato
Ovunque ma richiede
una porta USB
Ovunque Ovunque vi sia copertura del
servizio
Dipende dal contenitore;
richiede lettore o porta
USB in caso di smart card
No Storage dei file No No Sì: autenticazione, firma
digitale e crittografia
Minima Minima Minima Procedura a due passaggi Minima
Assegnazione e
distribuzione
software e seed
Assegnazione e
distribuzione software
e seed
Assegnazione e
distribuzione software
e seed
Nessuno Nessuno
Server di
autenticazione
Agenti
dell'applicazione
Server di
autenticazione
Agenti
dell'applicazione
Server di
autenticazione
Agenti
dell'applicazione
Server di autenticazione
Agenti dell'applicazione
Invio SMS
Interazione utenti o invio
automatico dei certificati
ai client
Minore dei token
hardware
Elevato: dispositivo +
token
Minore dei token
hardware
Minore dei token hardware o
software
Considerare il ciclo di vita
White paper RSA
10
Soluzioni RSA
Da oltre vent'anni RSA è tra i principali produttori di soluzioni
di autenticazione forte a due fattori per le aziende di
qualsiasi dimensione. RSA offre un'ampia gamma di soluzioni
che consentono alle organizzazioni di ottenere
l'autenticazione forte, soddisfacendo in modo ottimale il
rischio, il costo e la praticità d'utilizzo.
RSA® Identity Verification
RSA Identity Verification consente di verificare le identità
degli utenti in tempo reale mediante l'autenticazione
knowledge-based. RSA Identity Verification formula all'utente
una serie di domande sensibili, sulla base di informazioni
personali ottenute analizzando decine di database pubblici.
Nel giro di pochi secondi RSA Identity Verification conferma
l'identità, senza che sia richiesta una relazione precedente
con l'utente.
RSA Identity Verification fornisce inoltre l'autenticazione
accurata degli utenti tramite Identity Event Module. Identity
Event Module rafforza la sicurezza misurando il livello di
rischio associato a un'identità e consentendo di configurare il
sistema in modo da adattare la difficoltà delle domande alla
specifica natura del rischio durante il processo di
autenticazione. Tra gli eventi misurati, relativi all'identità, vi
sono i seguenti:
– Ricerche nei database pubblici. Segnalazionedell'accesso sospetto ai record pubblici dell'utente.
– Velocità dell'identità. Un volume elevato di attivitàassociate all'individuo in servizi o aziende diverse.
– Velocità dell'IP. Più richieste di autenticazione generatedal medesimo IP.
RSA® Authentication Manager Express
RSA® Authentication Manager Express è una piattaforma di
autenticazione forte a più fattori che fornisce, a condizioni
accessibili, protezione alle imprese di piccole e medie
dimensioni. Authentication Manager Express supporta le VPN
SSL e le applicazioni Web di maggiore diffusione, garantendo
l'autenticazione forte e l'accesso sicuro alle applicazioni e ai
dati protetti.
È basato sulla tecnologia di autenticazione risk-based di RSA,
un sofisticato sistema che misura in background una serie di
indicatori di rischio in modo da verificare le identità degli
utenti. Vari sono i fattori esaminati da RSA Authentication
Manager Express per determinare il rischio associato a una
richiesta di accesso:
– Informazioni note all'utente, quali il nome utente e lapassword esistenti
– Dispositivi dell'utente, quale un laptop o un PC desktop
– Azioni dell'utente, quale una recente attività associataall'account
RSA Authentication Manager Express può inoltre attivare
metodi di autenticazione ulteriori nel caso in cui la richiesta
di accesso non offra i livelli di garanzia previsti. Uno scenario
tipico è il tentativo di accesso da parte di un utente remoto
con un dispositivo non riconosciuto e non ancora utilizzato
per accedere alla rete. RSA Authentication Manager Express
fornisce due metodi di autenticazione aggiuntivi: SMS fuori
banda e domande segrete.
RSA Authentication Manager Express viene fornito come
soluzione plug-and-play e supporta fino a 2.500 utenti.
RSA® Adaptive Authentication
RSA® Adaptive Authentication è una piattaforma di
autenticazione multicanale e rilevamento delle frodi che
offre, a condizioni vantaggiose, protezione efficace per intere
basi utenti. Adaptive Authentication introduce una serie di
identificatori aggiuntivi con la semplice installazione di un
cookie e/o di un oggetto flash condiviso (anche denominato
"cookie flash") che funge da identificatore univoco del
dispositivo di un utente. La soluzione offre un sistema di
protezione forte e pratico, monitorando e autenticando le
attività degli utenti sulla base dei livelli di rischio, dei criteri
dell'organizzazione e della segmentazione degli utenti.
Basato sulla tecnologia di autenticazione risk-based di RSA,
Adaptive Authentication tiene traccia di più di un centinaio di
indicatori per identificare le potenziali frodi, dalla
identificazione del dispositivo alla localizzazione geografica
dell'IP e ai profili comportamentali. A ogni attività viene
assegnato un valore di rischio univoco: più alto è tale valore,
più elevata è la probabilità che l'attività sia fraudolenta.
Adaptive Authentication esegue il monitoraggio in
background, in modo invisibile all'utente. Solo quando
un'attività viene valutata come ad alto rischio, viene richiesto
all'utente di fornire ulteriori prove per l'autenticazione, in
genere tramite domande segrete o SMS fuori banda. Grazie al
basso grado di complessità e al tasso elevato di successo,
Adaptive Authentication garantisce una protezione forte e
un'esperienza utente superiore, ideali per la distribuzione a
basi utenti estese.
RSA Adaptive Authentication è disponibile sia come servizio
SaaS (software as a service) che come soluzione on premise .
È altamente scalabile e può supportare milioni di utenti.
White paper RSA
Per ulteriori informazioni su come utilizzare lo strumento
interattivo RSA Authentication Decision Tree per valutare le
opzioni disponibili, contattate l'account manager o il partner di
RSA oppure visitate il sito www.rsa.com.
11
Autenticatori software
Gli autenticatori software RSA SecurID utilizzano lo stesso
algoritmo degli autenticatori hardware RSA SecurID
eliminando la necessità di portare con sé dispositivi
hardware dedicati. Anziché essere archiviata nell'hardware
SecurID, la chiave simmetrica viene protetta in modo sicuro
nel PC, nello smart phone o nell'unità USB dell'utente.
Dispositivi mobili
Gli autenticatori software RSA SecurID sono disponibili per
un'ampia gamma di piattaforme smart phone, tra cui
dispositivi BlackBerry®, Microsoft Windows® Mobile, Java™
ME, Palm OS, Symbian OS e UIQ.
Desktop Microsoft Windows®
RSA SecurID Token for Windows Desktops è un fattore di
autenticazione pratico, installato su PC e integrabile
automaticamente con i client di accesso remoto più diffusi.
Token monouso come barra degli strumenti
RSA SecurID Toolbar Token coniuga la praticità delle
funzionalità di compilazione automatica per le applicazioni
Web con la sicurezza dei meccanismi anti-phishing.
On-demand (via SMS o posta elettronica)
RSA On-demand Authentication comporta l'invio di una
password monouso univoca, su richiesta, tramite SMS
(messaggio di testo) a un dispositivo mobile o all'indirizzo di
posta elettronica registrato di un utente. Una volta ricevuta la
password monouso l'utente la immette – se richiesto
insieme al PIN – per ottenere l'accesso alla rete aziendale o a
un'applicazione online.
Autenticazione RSA SecurID®
La tecnologia a password monouso, RSA SecurID®, fornisce
una soluzione di autenticazione a due fattori avanzata: è
basata su informazioni note all'utente (un PIN o una
password) e su un dispositivo posseduto dall'utente (un
autenticatore). Prevede la generazione di una password
monouso ogni 60 secondi tramite la combinazione di una
chiave simmetrica univoca (anche denominata "seed record")
con un algoritmo collaudato. La tecnologia brevettata RSA
sincronizza ciascun autenticatore con il server di protezione,
assicurando un livello di sicurezza elevato.
Per accedere alle risorse protette dal sistema RSA SecurID
gli utenti devono semplicemente combinare il PIN segreto
con il token visualizzato volta per volta sul display
dell'autenticatore. Il risultato è una password univoca
monouso, utilizzata per verificare l'identità di un utente.
RSA SecurID viene distribuito in diverse forme, per soddisfare
le esigenze specifiche delle organizzazioni e dei loro utenti:
Autenticatori hardware
Dal punto di vista della facilità di utilizzo, gli autenticatori
hardware tradizionali (anche noti come "key fob") possono
essere tenuti in un portachiavi e come tali sono adatti agli
utenti che preferiscono avere una soluzione tangibile o
accedere a Internet da più postazioni.
Autenticatori ibridi con certificati digitali
L'autenticatore RSA SecurID 800 è un dispositivo ibrido che
combina la semplicità e la portabilità dell'autenticazione
SecurID con l'efficacia e la flessibilità di una smart card nel
pratico fattore di forma USB. RSA SecurID 800 offre il
supporto dei certificati digitali standard per varie
applicazioni, come la crittografia dei dischi e dei file,
l'autenticazione e la firma, e rafforza l'autenticazione basata
solo su password archiviando le credenziali del dominio di un
utente in un dispositivo di alta sicurezza. Combinando più
credenziali e applicazioni in un unico dispositivo, SecurID
800 rappresenta una chiave master che garantisce, in modo
semplice e discreto, l'autenticazione forte in un ambiente IT
eterogeneo.
White paper RSA
Profilo RSA
RSA, la divisione EMC per la sicurezza, è fornitore leader di
soluzioni di sicurezza per accelerare il business e
consentire alle più grandi aziende a livello mondiale di
risolvere problemi di sicurezza complessi e delicati. Grazie
alle soluzioni RSA, i clienti possono superare sfide quali la
gestione dei rischi organizzativi, la protezione dell'accesso
e della collaborazione remota, la garanzia della conformità
e la salvaguardia degli ambienti virtuali e cloud.
La tecnologia, le soluzioni aziendali e per specifici settori
offerte da RSA, unitamente ai servizi professionali e alle
soluzioni di gestione del rischio e della conformità
aziendale, offrono alle organizzazioni visibilità e protezione
per milioni di identità utenti, per le transazioni eseguite e
per i dati generati.
EMC2, EMC, RSA, SecurID e il logo RSA sono marchi e/o marchi registrati di EMCCorporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citatisono marchi delle rispettive società.
DECTR WP 1210
RSA® Certificate Manager
The RSA® Certificate Manager è una soluzione Internet di
certificazione che fornisce funzionalità di base per il rilascio,
la gestione e la convalida dei certificati digitali. Include un
Web server sicuro e un efficace modulo di gestione per la
firma digitale dei certificati utente, nonché un repository di
dati integrato per l'archiviazione dei certificati, dei dati di
sistema e delle informazioni sullo stato dei certificati. RSA
Certificate Manager è la prima soluzione di questo tipo ad
avere ottenuto la certificazione Common Criteria ed è inoltre
certificato Identrust.
Basato su standard di settore, Certificate Manager è
immediatamente utilizzabile con centinaia di applicazioni
standard. Può pertanto essere impiegato con browser, client
di posta elettronica e VPN per garantire il massimo ritorno
sull'investimento. Inoltre, permette di archiviare le credenziali
nei browser o su smart card e token USB. Ad esempio, i
certificati digitali RSA possono essere combinati con
l'autenticatore ibrido SecurID 800 per consolidare più
credenziali su un unico dispositivo e semplificare così
l'esperienza utente. Ulteriori componenti della soluzione dei
certificati digitali RSA sono RSA Registration Manager,
RSA Validation Manager, RSA Key Recovery Module e
RSA Root Signing Services.