W czasach, gdy w domowych biurach przetwarzanych jest wiele poufnych firmowych informacji, konieczne jest zadbanie o ich należyte zabezpieczenie. Jednym z najczęściej spotykanych zagrożeń jest próba przejęcia danych uwierzytelniających (loginu i hasła) zapewniających dostęp do oprogramowania i usług. Do tego typu ataku może dojść np. w wyniku utraty sprzętu, na którym wielu pracowników, nieprzestrzegających procedur bezpieczeństwa, korzysta z funkcji zapamiętania haseł do wybranych usług. Istnieje też ryzyko uzyskania dostępu do firmowych zasobów przez osoby niepowołane, które korzystają z tego samego urządzenia, np. domowników.

Duże zagrożenie stanowi także fakt, że użytkownicy często mają to samo hasło na różnych stronach internetowych i w wielu aplikacjach. Równie często, gdy firmowi administratorzy próbują wdrożyć konkretne zasady dotyczące haseł, pracownicy wymyślają nowe warianty dotychczasowych haseł lub zapisują je na samoprzylepnych karteczkach.

Rozwiązanie tego problemu jest bardzo proste – to wieloskładnikowe uwierzytelnianie, bazujące na koncepcji weryfikacji tożsamości, zgodnie z którą użytkownik coś wie (zna hasło) i coś ma (otrzymany w momencie logowania jednorazowy kod). Dodatkowe hasło może zostać mu przesłane na specjalny sprzętowy token, ale też na zwykły smartfon.

Uwierzytelnianie wieloskładnikowe gwarantuje firmom należyty poziom ochrony, zgodny z obowiązującymi przepisami prawa. Stosowanie takiego systemu logowania jest obecnie wymagane przez kilka norm, m.in. PCI-DSS i GLBA, a w większości przepisów, takich jak RODO i HIPAA, zwraca się uwagę na potrzebę stosowania rozwiązań z silniejszym mechanizmem uwierzytelniania użytkownika.
Dla większości przedsiębiorstw akceptujących karty kredytowe i transakcje finansowe uwierzytelnianie wieloskładnikowe to już nie kwestia wyboru, lecz konieczność. Każda firma powinna sprawdzić, czy aktualne przepisy nie wymagają od niej stosowania konkretnych zabezpieczeń.

 

Dla dużych i małych

ESET Secure Authentication umożliwia dodanie wieloskładnikowego uwierzytelniania m.in. do logowania do wirtualnych sieci prywatnych VPN, pulpitów zdalnych (RDP), usług Google Apps, Office 365, Outlook Web Access, Dropbox, VMware Horizon View, Citrix XenApp i wielu innych, także wykorzystujących do uwierzytelniania protokół RADIUS. Zapewniona jest integracja tego narzędzia z aplikacjami i usługami za pośrednictwem protokołu SAML-2, stosowanego przez wielu dostawców usług zarządzania tożsamością.

Oprogramowanie ESET Secure Authentication zostało zaprojektowane jako samodzielne rozwiązanie zarządzane za pomocą konsoli dostępnej przez przeglądarkę. Zapewnia integrację z usługą Active Directory, co ułatwia i przyspiesza instalację oraz konfigurację tego narzędzia w firmie, a także pozwala uniknąć dodatkowego szkolenia pracowników w zakresie korzystania z uwierzytelniania dwuskładnikowego. Rozwiązanie to może również pracować samodzielnie w firmach, które nie korzystają z domeny systemu Windows.

Narzędzie ESET Secure Authentication dostarcza jednorazowe hasła za pośrednictwem aplikacji mobilnej, powiadomień push, tokenów sprzętowych lub wiadomości SMS, a także kluczy FIDO i innych, niestandardowych rozwiązań. Chociaż korzystanie z fizycznych tokenów nie jest wymagane, oprogramowanie współpracuje ze wszystkimi tokenami HMAC One-Time Password, zgodnymi ze standardem z OATH, a także kluczami sprzętowymi FIDO2 i FIDO U2F.

Ponieważ ESET Secure Authentication nie wymaga użycia dodatkowego sprzętu, jego wdrożenie nie generuje kosztów – wystarczy zainstalować na serwerze małą aplikację. Konfiguracja rozwiązania jest bardzo prosta i możliwa nawet w małej firmie, bez działu IT. Narzędzie to jest kompatybilne z niemal wszystkimi dostępnymi na rynku smartfonami z systemem Android oraz iOS. Aby ułatwić bardzo dużym firmom korzystanie z tego systemu, producent wyposażył go w zestaw narzędzi programistycznych oraz interfejs API.
Wyłącznym dystrybutorem rozwiązań ESET w Polsce jest firma Dagma.

Dodatkowe informacje:

Grzegorz Klocek, Product Manager ESET w Polsce, Dagma, klocek.g@dagma.pl