Eine starke Zugriffsmanagement-Lösung muss auf einer starken MFA-Grundlage aufbauen, die mehrere Sicherheitsfaktoren umfasst, die sich gegenseitig verstärken, um ein hohes Sicherheitsniveau zu gewährleisten. Von Cyberversicherungsanbietern bis hin zu Standardisierungsorganisationen wie NIST empfehlen Sicherheitsexperten die Implementierung von MFA, wo immer dies möglich ist. Und bei der Überlegung, welche Faktoren implementiert werden sollen, erweist sich Biometrie als eine äußerst effektive Methode zur Überprüfung der Identity eines Benutzers, die im Vergleich zu Wissensfaktoren eine erheblich höhere Hürde für Diebstahl und Spoofing darstellt.
Kombinieren Sie Biometrie mit Okta FastPass, einem Phishing-resistenten Zero-Trust-Authentifizierungsfaktor, der auch lange nach der ersten Zugriffsanfrage schützt, und Sie haben das Rezept für die sicherste Art der Authentifizierung und zur Abwehr Identity-basierter Angriffe.
Obwohl die biometrische Authentifizierung die beste Form der Benutzerverifizierung darstellt, da sie von Natur aus einzigartige menschliche Eigenschaften nutzt, gibt es einige Bedenken, die ein Unternehmen an der Einführung hindern könnten. Eine effektive Implementierung von Biometrie erfordert die richtige Software und Hardware, was eine Kostenschwelle darstellt, insbesondere für kleinere Unternehmen. Abhängig vom Endbenutzer kann es Bedenken hinsichtlich des Datenschutzes des Einzelnen geben (mehr dazu später) und Befürchtungen, welche Daten ein Unternehmen erfasst und wie es sie verwenden wird. Regionale Vorschriften können auch ein Mitspracherecht bei der Weitergabe und Speicherung personenbezogener Daten haben. Nicht zuletzt gibt es auch Bedenken hinsichtlich der Barrierefreiheit. Die Computertechnologie hat sich für Benutzer mit Behinderungen enorm verbessert, aber das Problem bleibt bestehen, dass das Design der biometrischen Authentifizierung Benutzer, die keine Fingerabdruck- oder Gesichtserkennung bereitstellen können, nicht vollständig berücksichtigt.
Bei Okta sind wir bestrebt, die sichersten Anmeldemethoden für alle Benutzer bereitzustellen. Aus diesem Grund haben wir Unternehmen in die Lage versetzt, FastPass mit Biometrie oder einem gerätegebundenen Passcode zu nutzen, um die sichere Authentifizierung in risikoreicheren Szenarien durch Step-up zu erhöhen.
Benutzerverifizierung mit Biometrie oder gerätegebundenen Passcodes erzwingen
FastPass ist ein Phishing-resistenter, passwortloser Authentifizierungsfaktor unter der Anwendung Okta Verify, der dazu beiträgt, die Auswirkungen von Phishing-Angriffen, Session-Diebstahl und unbefugten lokalen Aktivitäten zu mindern. FastPass wurde für eine tiefgreifende Verteidigung entwickelt und bewertet den Gerätekontext jedes Mal, wenn der Benutzer eine geschützte Ressourcen öffnet, und bietet eine benutzerfreundliche Experience, die auf allen wichtigen Plattformen und Geräten einheitlich ist, egal ob verwaltet oder nicht. FastPass bietet die sicherste Art der Authentifizierung, auch durch die Integration mit Geräte-Biometrie für ein höheres Sicherheitsniveau mit Nachweis von Besitz und Inhärenz. Aber jetzt können Benutzer mit Geräten, die keine Biometrie unterstützen oder die keine Biometrie verwenden können oder wollen, neben FastPass einen Passcode angeben, um die Phishing-resistente MFA abzuschließen.
Benutzerverifizierung während des FastPass-Onboarding einrichten
Der Registrierungsprozess von Okta Verify unterstützt jetzt die Benutzerverifizierung mit einem Passcode zusätzlich zu Biometrie. Wenn Endbenutzer diese Funktion aktivieren, werden sie aufgefordert, ihren Passcode zu bestätigen (d. h. in der Regel ihr Geräte-Anmelde-Passwort oder ihre Windows Hello-PIN, falls zutreffend). Diese Verbesserung erweitert die Zugänglichkeit und ermöglicht es allen Benutzern, sich mit Okta Verify und FastPass zu authentifizieren, unabhängig von Gerätefunktionen, persönlichen Einschränkungen oder Compliance-Anforderungen. Diese Verbesserung ist derzeit als Early Access (EA) verfügbar. Lesen Sie die Produkt-Dokumentiation, um Mehr erfahren.
Benutzerverifizierung für die Authentifizierung bei einer Anwendung mit FastPass erforderlich
Wenn Sie jetzt eine neue Authentifizierungsrichtlinienregel bearbeiten oder erstellen, können Sie von Endbenutzern verlangen, dass sie physisch anwesend sind, um sich mit FastPass zu authentifizieren. Der Endbenutzer kann diese Anforderung über seinen System-Passcode oder seine Biometrie erfüllen, um seine Identität zu bestätigen. Diese Verbesserung ist derzeit allgemein verfügbar (Generally Available). Lesen Sie die Produkt-Dokumentiation, um Mehr erfahren.
Wie ist ein gerätegebundener Passcode sicherer als ein Passwort?
Das Verständnis des Unterschieds zwischen einem Gerätepasscode und einem Okta-Passwort ist entscheidend, um ihre unterschiedlichen Sicherheitsimplikationen zu verstehen. Wenn FastPass auf einem Gerät registriert ist, verwendet es einen eindeutigen gerätegebundenen Schlüssel, der typischerweise in einer Komponente wie einem TPM oder einer Secure Enclave gespeichert wird, wenn diese verfügbar ist. Der Zugriff auf diesen Schlüssel und damit die Authentifizierung bei Online-Anwendungen oder -Diensten wird entweder durch Biometrie oder eine lokale Authentifizierungsmethode wie einen gerätegebundenen Passcode gesperrt. Dieses Setup stellt sicher, dass der Authentifizierungsprozess mit einem Schlüssel signiert wird, der exklusiv für dieses spezifische Gerät ist, was die Sicherheit erhöht. Im Gegensatz dazu ist Ihr Okta-Passwort, eine Phrase oder ein Passcode, der auf den Servern von Okta gespeichert ist, so konzipiert, dass er von jedem mit dem Internet verbundenen Gerät aus Zugriff gewährt. Der entscheidende Unterschied liegt im Sicherheitsmodell: Während ein Okta-Passwort potenziell von jedem Gerät aus verwendet werden könnte, wenn es kompromittiert wurde, bleibt der gerätegebundene Schlüssel sicher und exklusiv für das registrierte Gerät. Dies bedeutet, dass selbst wenn ein Angreifer den gerätegebundenen Passcode erfährt, der Schlüssel, den er freischaltet, weiterhin nur auf diesem Gerät verwendet werden kann. Dies mildert potenzielle Phishing-Angriffe, die einen kompromittierten Passcode verwenden könnten.
Keine Sorge, Okta kann Ihre biometrischen Daten nicht sehen
Datenschutz- und Sicherheitsbestimmungen reifen seit Jahren, um Einzelpersonen vor dem Übergreifen der Technologie zu schützen, und sie wirken sich in großem Umfang auf die Datenpraktiken von Unternehmen aus. Zum Beispiel hat der Illinois Biometric Information Privacy Act (BIPA), der 2008 in Kraft trat, klare Richtlinien für den Umgang mit biometrischen Daten, was zu zahlreichen Fällen geführt hat, die sich auf die Finanzen und den Ruf verschiedener Unternehmen auswirken.
Bei Okta verarbeiten oder speichern unsere Produkte keine biometrischen Informationen. Während Okta Verify und FastPass Biometrie – wie sie von eingebauten biometrischen Authentifizierungsfaktoren auf Laptops und Smartphones bereitgestellt wird – für die Zwei-Faktor-Authentifizierung (2FA) nutzen, ist Okta nur der Austausch von kryptografischen Schlüsseln zur Benutzerverifizierung bekannt, der eine erfolgreiche biometrische Authentifizierung anzeigt, und kann nicht auf die Biometrie zugreifen. Mit anderen Worten: Wenn eine Person biometrische Informationen verwendet, um sich in der Okta Verify-Anwendung zu authentifizieren, erhält Okta die biometrischen Daten nicht. Stattdessen erhalten wir eine Benachrichtigung über den Ausfall oder den Erfolg der Authentifizierung vom lokalen Gerätebetriebssystem. Die biometrischen Daten werden auf dem Gerät kontrolliert, und ob das Gerät die tatsächlichen biometrischen Informationen speichert oder nicht, hängt vom Geräteanbieter ab. Ob Sie ein Apple -Gerät, ein Telefon von Google oder einen anderen Computer haben, können Sie mehr über deren Datenschutzrichtlinien lesen, um zu erfahren, wie sie mit biometrischen Daten umgehen.
Wie immer ist die Verwendung von Biometrie eine Wahl. Ein Administrator oder ein Benutzer kann die Biometrie-Technologie jederzeit über die Geräteeinstellungen aktivieren oder deaktivieren. Und jetzt, mit der Option zur Benutzerverifizierung mit einem Passcode, können Sie weiterhin MFA zusammen mit FastPass ohne Biometrie erzwingen.
Was ist sonst noch neu bei FastPass?
Wir bei Okta möchten sicherstellen, dass Ihre gesamte Belegschaft mit FastPass als dem sichersten Authentifizierungsfaktor auf dem Markt problemlos auf ihre Anwendungen zugreifen kann. Das bedeutet, über die Phishing-resistente Authentifizierung hinauszugehen, um Phishing-resistente FastPass-Wiederherstellungs- und Onboarding-Prozesse für ein sicheres End-to-End-Authentifizierungsfaktor-Management bereitzustellen. Zu diesem Zweck hat Okta kürzlich zusätzliche Flexibilität für Administratoren geschaffen, um die Verwendung höherer Sicherheitsmethoden durch Endbenutzer für die Okta Verify-Registrierung zu erzwingen, die heute allgemein unter Authentifizierungsfaktor-Einstellungen verfügbar ist.
Darüber hinaus ist der Support für Windows Okta Verify und FastPass in Virtual Desktop Infrastructure (VDI)-Umgebungen jetzt allgemein in Windows Okta Verify 4.9 verfügbar. Zu den unterstützten Umgebungen gehören Windows 365, Citrix und AWS WorkSpaces. Administratoren können Windows Okta Verify so konfigurieren, dass es in virtuellen Umgebungen ausgeführt wird, indem sie das Flag AuthenticatorOperationMode setzen (Anweisungen zur Konfiguration von Windows Okta Verify finden Sie hier). Für 2FA können Administratoren Okta Verify auch so konfigurieren, dass Benutzer aufgefordert werden, einen Passcode zu erstellen, der einen gerätegebundenen Benutzerverifizierungsschlüssel schützt und den Zugriff darauf ermöglicht. Diese Funktion ermöglicht es Unternehmen, FastPass und Geräteprüfungen zu verwenden, um Authentifizierungsabläufe in virtuellen Windows-Umgebungen zu sichern. Für Endbenutzer bedeutet dies einen sicheren und intuitiven Phishing-resistenten Zugriff auf Ressourcen von ihren virtuellen Desktops.
Wir freuen uns, die Produktflexibilität und -transparenz weiter zu verbessern und zu verbessern, um Unternehmen dabei zu helfen, sich zuversichtlich in Richtung höherer Sicherheitsoptionen zu bewegen. Bleiben Sie dran für weitere FastPass-Updates!
Haben Sie Fragen zu FastPass oder zur Gerätesicherheit? Treten Sie dem Community-Diskussionsforum bei.
