In den letzten Jahren haben Cyberangriffe erheblich zugenommen. Datenpannen und Phishing-Angriffe sind zu einer allgemeinen Bedrohung für Einzelpersonen und Unternehmen geworden. Laut dem Internet Crime Complaint Center des FBI haben Organisationen allein im Jahr 2023 12,5 Milliarden US-Dollar durch Cyberkriminalität verloren, ein Anstieg von fast 10 Milliarden US-Dollar gegenüber 2019.
Da es derzeit keine Möglichkeit gibt, die Kontowiederherstellung und die Authentifikatorregistrierung vor Phishing-Angriffen zu schützen, haben wir eine anpassbare Lösung entwickelt, um diese Lücken zu schließen und unsere Kunden zu schützen.
Wir erzwingen die Zwei-Faktor-Authentifizierung (2FA) zur Sicherstellung bei der Registrierung und Deregistrierung von Authentifikatoren. Obwohl dies eine solide Sicherheitsebene darstellt, besteht weiterhin die Möglichkeit von Phishing.
Die Kontowiederherstellung und Self-Service-Passwortoperationen werden über Passwortrichtlinienregeln gesteuert. Die aktuelle Implementierung erlaubt nur eine begrenzte Anpassung der Sicherheit und bietet wiederum keine Möglichkeit, Phishing-Resistenz zu gewährleisten.
Was ist die Okta-Richtlinie zur Kontoverwaltung?
Angesichts all der Anpassungsmöglichkeiten und Fähigkeiten von Authentifizierungsrichtlinien dachten wir: „Warum erweitern wir sie nicht auf Wiederherstellungs- und Registrierungsabläufe?“ Okta hat viele Investitionen getätigt, um die Anpassbarkeit und Sicherheit von Authentifizierungsrichtlinien zu erhöhen. Die Wiederverwendung dieser Fähigkeiten schien naheliegend. Hier kommt die Okta Account Management Policy (OAMP) ins Spiel.
Wir erlauben Administratoren jetzt, Regeln zu definieren, die Authentifikatoroperationen ablehnen, wenn Richtlinienbeschränkungen nicht erfüllt werden können. Bisher konnten Administratoren die Authentifikatorregistrierung oder -abmeldung über nicht verwaltete Geräte oder für Benutzer, die keine benutzerdefinierten Sicherheitsanforderungen erfüllten, nicht explizit ablehnen.
Wir haben auch die bestehende Okta Expression Language (EL) genutzt und erweitert, um Administratoren bei der Definition von Regeln granulare Kontrollen zu ermöglichen. Aktuelle Regeln für Passwortrichtlinien unterstützen keine benutzerdefinierten EL-Ausdrücke. Mit OAMP können Sie die Kontowiederherstellung von einem verwalteten Gerät aus über einen phishing-resistenten Authentifikator wie Okta FastPass ermöglichen.
Sicheres Onboarding und Wiederherstellung
Mit den neu hinzugekommenen Funktionen der Okta EL können Administratoren verschiedene Assurance-Bedingungen für unterschiedliche Aktionen anpassen. Dieses EL-Konstrukt – accessRequest.operation == ‘recover’ || accessRequest.operation == ‘unlockAccount’ — gilt beispielsweise nur für Vorgänge, die das Zurücksetzen eines Passworts oder das Entsperren eines Kontos beinhalten.
Jetzt ist es möglich, einen neuen Benutzer sicher zu integrieren, indem Sie die Option ID-Verifizierung in OAMP nutzen, wie bei der neuen Option „Identity verification“ zu sehen ist. Ein Benutzer, der integriert wird, wird aufgefordert, seine Identität mit einem gültigen, von der Regierung ausgestellten Ausweis und einem Liveness-Check-Selfie nachzuweisen. Dies bietet ein zusätzliches Maß an Sicherheit, bevor ein Benutzer sein Konto integriert und Authentifizierungsfaktoren registriert.
Drittanbieter wie Persona können innerhalb einer Okta-Org konfiguriert und in einer OAMP-Regel verwendet werden, um die Benutzerüberprüfung vor allen Konto- oder Authentifikatorverwaltungsoperationen zu erzwingen. Die ID-Prüfung kann auch für Wiederherstellungsfälle erweitert werden, in denen Benutzer eine ID-Prüfung durchführen müssen, bevor sie ihre Authentifikatoren ändern können.
Erhöhte Sicherheit vom ersten Tag an
Da Administratoren nun Benutzer vom ersten Tag an sicher selbst verifizieren können, können wir während ihrer gesamten Laufzeit starke Sicherheitskontrollen durchsetzen. Angesichts der Zunahme von Social-Engineering-Angriffen ist die Absicherung aller Abläufe mit Phishing-Resistenz von entscheidender Bedeutung. Die Okta-Richtlinie zur Kontoverwaltung ermöglicht es Administratoren, dies zu erreichen.
Erfahren Sie mehr über die Okta Account Management Policy.
