Bei Okta Showcase präsentieren wir unsere neuesten Innovationen für KI-Sicherheit. Registrieren
Jetzt testen Kontakt

Okta FastPass: Autorisierung gemäß FedRAMP High und unterstützt Authentication Assurance Level 3 (AAL3)

Über den Autor/die Autorin

Sean Frazier

Federal Chief Security Officer

Sean Frazier is Federal CSO at Okta. In his role, Sean acts as the voice of the CSO for Okta's federal business. Prior to joining Okta, Sean spent more than 25 years working in technology and public sector security for companies such as Duo Security, Netscape, LoudCloud/Opsware, Proofpoint, Cisco & MobileIron. Sean has helped lead numerous projects used by the Department of Defense and Intelligence Community, including the Fortezza Crypto Card, Defense Messaging System (DMS) and many others. He also has extensive experience in identity and public key infrastructure (PKI), network, applications, mobile and IoT. Sean has testified in front of the U.S. Senate Homeland Security and Government Affairs Committee on the importance of public/private partnership in protecting the nation’s digital infrastructure. Sean also advises public/private partnership working groups including ACT-IAC, ATARC and many others.

Brandon Iske

Principal Solutions Architect

Brandon Iske is a Principal Solutions Architect focused on enabling Federal Government and strategic accounts at Okta. He is passionate about strengthening our nation’s cybersecurity and user experience through Identity-focused IT modernization and cyber best practices. Before joining Okta, Brandon worked for over a decade in government public service to deliver and secure joint Department of Defense enterprise capabilities in endpoint security, mobile management, identity and access management, and Zero Trust architecture at the Defense Information Systems Agency. He earned a Bachelor’s Degree in Computer Science from the University of Nebraska at Omaha. He is also a National Science Foundation CyberCorps Scholarship for Service Alumnus and an Okta Certified Professional.

 

29 Juli 2024 Lesezeit: ~

Topics

Okta FastPass, Cybersecurity, Phishing

Inhalt

Aktualisiert: 7. Februar 2025

“Nichts passiert, bis sich jemand versucht, sich irgendwo anzumelden”

- Altes Authentifizierungs-Sprichwort

Solange wir uns erinnern können, mussten Benutzer zwischen starker, sicherer Authentifizierung und einer großartigen, reibungslosen Benutzererfahrung wählen. Jetzt müssen Sie das nicht mehr. Okta FastPass ist ein neuartiger, robuster und von Grund auf sicherer Authentifizierungsmechanismus mit der Benutzerfreundlichkeit, von der unsere Vorfahren nur träumen konnten. Während US-amerikanische Regierungsbehörden seit langem auf Smartcards (CAC und PIV) angewiesen sind, um sich bei ihren Anwendungen anzumelden, wird diese Infrastruktur in der modernen Welt des Cloud Computing und des Zugriffs über mobile Geräte zunehmend schwieriger zu unterstützen.

Es geht jedoch nicht nur um „starke Authentifizierung“ oder „erstklassige Benutzererlebnisse“. Um Angreifern einen Schritt voraus zu sein, ist ein dynamisches Sicherheitsmodell erforderlich, das direkt in den Authentifizierungsfluss integriert ist. Dinge wie Okta’s Identity Threat Protection werden im Laufe der Zeit das Spiel in der modernen Authentifizierung verändern.

Warum FastPass?

Durch die Absicherung am ersten Authentifizierungspunkt und die Fortsetzung während der Lebensdauer einer aktiven Single Sign-On (SSO)-Sitzung kann FastPass die Auswirkungen von Phishing-Angriffen, Sitzungsdiebstahl und unautorisierten lokalen Aktivitäten mindern. FastPass ermöglicht passwortlosen, kryptografisch sicheren Zugriff nur auf vertrauenswürdige Anwendungen und bietet eine intuitive Benutzererfahrung über alle wichtigen Plattformen und Geräten hinweg, ob verwaltet oder nicht. FastPass stärkt die Zero Trust-Sicherheit Ihres Unternehmens mit optionalen, stillen Kontextbewertungen von Browsern und Geräten bei jeder App-Anmeldung und Signalen aus Ihrem breiteren Sicherheitslösungs-Ökosystem. 

FastPass wurde für eine umfassende Verteidigung entwickelt und ermöglicht eine Phishing-resistente Authentifizierung, die den Schutz auch lange nach der ersten Zugriffsanfrage aufrechterhält. Durch die Nutzung von passwortlosen, Phishing-resistenten Flows und Geräte-Posture-Prüfungen kann FastPass dazu beitragen, einen sicheren Zugriff auf Ressourcen der US-Regierung zu erreichen und gleichzeitig die Reibungsverluste für Endbenutzer zu minimieren.

Mit Okta FastPass können US-Bundesbehörden:

  • Phishing-resistente Authentifizierung aktivieren: Die häufigsten Phishing-Angriffe auf verwaltete und nicht verwaltete Geräte auf allen unterstützten Plattformen abwehren.
  • Gerätekontext bewerten: Überprüfen Sie das Gerät und den Browser, die während der Authentifizierung verwendet werden, da Signale von Erstanbieter- und Drittanbieterquellen erfasst werden, um fundiertere Authentifizierungs- und Autorisierungsentscheidungen zu treffen.
  • Passwortlose Anmeldungen ermöglichen: Bieten Sie passwortlose Authentifizierung für alle FastPass-geschützten Ressourcen an, wodurch die Mitarbeitererfahrung verbessert und Reibungsverluste aufgrund mehrerer Passwörter (und Passwortzurücksetzungen) sowie Out-of-Band-Faktoren wie Push, zeitbasierte Einmalpasswörter und SMS reduziert werden.

Mit seinen umfassenden Funktionen und dem Fokus auf Sicherheit ist Okta FastPass die ideale Lösung für Behörden, die Sicherheit mit einem verbesserten Benutzererlebnis in Einklang bringen und so den Bedürfnissen der modernen Belegschaft von heute gerecht werden wollen.

Phishing-Resistance-Bewertung von Drittanbietern für Okta FastPass

US-amerikanische Regierungsbehörden wenden sich an das NIST, um sich beraten zu lassen, welche Authentifizierungsfaktoren die Sicherheits- und Compliance-Anforderungen für den Einsatz innerhalb der Regierungsbelegschaft erfüllen. Die nächste Version von NIST 800-63B (v4), derzeit im Entwurf, erweitert die Definition von Phishing-Resistenz auf mehr als Smartcards oder Hardware-Sicherheitsschlüssel (z. B. YubiKeys). Mit dem Erlass von OMB M-22-09 und der Entwurf der Richtlinie zu NIST 800-63 v4 hat die US-Regierung einen klaren Weg nach vorn.

Wir freuen uns, Ihnen mitteilen zu können, dass Okta FastPass jetzt Teil unserer Autorisierungsgrenzen für FedRAMP High und FedRAMP Moderate ist. FastPass erfüllt auch die NIST 800-63B Authentication Assurance Level 2 (AAL2) und AAL3. Daher können Behörden ihren Benutzern nun eine Auswahl an Phishing-resistenten Authentifikatoren anbieten, die ihren Bedürfnissen am besten entsprechen – einschließlich FastPass – was zu einer größeren Zugänglichkeit und Benutzerfreundlichkeit für ihre Mitarbeiter führt.

FastPass entspricht den NIST-Richtlinien, einschließlich:

  • Multi-Faktor-Authentifizierung (MFA): Bestätigt Besitz und Inhärenz oder Wissen als zweiten Faktor
    • Phishing-resistente Authentifizierung: Nutzt die Mechanismen zur Bindung des Verifizierernamens (Ursprungs) zur Erfüllung der Anforderungen an die Phishing-Resistenz. Dies ist eine FedRAMP Moderate- und Above-Anforderung für US-Behörden gemäß NIST SP 800-53rev5.
  • Kryptografischer Authentifikator: Ein gerätegebundener Authentifikator, der nur zur Authentifizierung von Benutzern auf demselben Gerät über hardwaregestützte TPM-Speicher für alle kryptografischen Funktionen verwendet wird

Die FastPass-Reise beginnt mit einem Registrierungsprozess (oder dem Hinzufügen eines Kontos) in der Okta Verify App Ihres Geräts. FastPass ermöglicht auch Geräte-Posture-Checks und die Neubewertung des Gerätekontexts, um die Sicherheit der verwendeten Geräte zu gewährleisten, unabhängig davon, ob sie verwaltet oder nicht verwaltet werden.

Verantwortlichkeiten des Kunden zur Konfiguration und Nutzung von FastPass

Unsere Bemühungen umfassen die FedRAMP High-Autorisierung von FastPass und eine Bescheinigung unserer FedRAMP Third Party Assessment Organization (3PAO), dass FastPass bei korrekter Konfiguration auf unterstützten Geräten AAL2/AAL3-konform ist. Es besteht weiterhin eine Risikoakzeptanz bei der Verwendung von Software-Phishing-resistenten Lösungen wie FastPass, über die sich unsere Kunden im Klaren sein sollten. Kunden sind verantwortlich für:

  1. FIPS-Verschlüsselung der Festplatte)
  2. Verwendung von FIPS-validierten TPMs auf ihren Geräten
  3. FIPS-validierte Module auf ihren Geräten verwenden
  4. Implementierung von FastPass im Einklang mit ihren Missionsanforderungen und Anwendungsfällen
    1. Zum Beispiel KÖNNEN Kunden für die Sicherheitskontrolle IA-2(6) von NIST 800-53 Rev. 5 einen separaten physischen Authentifikator zusätzlich zu FastPass benötigen, um die Anforderung zu erfüllen.

Die Verwendung von FIPS 140-validierten kryptografischen Modulen, bei denen eine Verschlüsselung erforderlich ist, ist eine Bundesvorschrift. Dies gilt auch für MFA-Tools. Sie können mehr über Okta FIPS-Compliance-Informationen und Kundenanforderungen für die Geräteplattformkryptografie und Okta Verify FIPS-Konfiguration erfahren.

Glossar der Ressourcen

Während innovative MFA-Faktoren zu positiven Kundenerlebnissen beitragen, kann es kompliziert sein, sie zu verstehen und zu bezeugen. Beispielsweise kann eine Behörde verlangen, dass ein Besitznachweis auf einem separaten Gerät erbracht wird. Nachfolgend finden Sie mehrere Ressourcen der US-Bundesregierung, die Ihnen den Einstieg erleichtern:

Sie können auch mehr über unser Okta Security Identity Commitment erfahren, indem Sie sich für unseren bevorstehenden Okta Gov Identity Summit anmelden. In der Breakout-Session D „Okta and ATOs, they go together“ werden Sie aus erster Hand unseren Kampf gegen Identitätsangriffe hören, von FastPass AAL3 über unsere bestehenden Autorisierungen bis hin zu Security Technical Implementation Guides (STIGs). 

Über den Autor/die Autorin

Sean Frazier

Federal Chief Security Officer

Sean Frazier is Federal CSO at Okta. In his role, Sean acts as the voice of the CSO for Okta's federal business. Prior to joining Okta, Sean spent more than 25 years working in technology and public sector security for companies such as Duo Security, Netscape, LoudCloud/Opsware, Proofpoint, Cisco & MobileIron. Sean has helped lead numerous projects used by the Department of Defense and Intelligence Community, including the Fortezza Crypto Card, Defense Messaging System (DMS) and many others. He also has extensive experience in identity and public key infrastructure (PKI), network, applications, mobile and IoT. Sean has testified in front of the U.S. Senate Homeland Security and Government Affairs Committee on the importance of public/private partnership in protecting the nation’s digital infrastructure. Sean also advises public/private partnership working groups including ACT-IAC, ATARC and many others.

Brandon Iske

Principal Solutions Architect

Brandon Iske is a Principal Solutions Architect focused on enabling Federal Government and strategic accounts at Okta. He is passionate about strengthening our nation’s cybersecurity and user experience through Identity-focused IT modernization and cyber best practices. Before joining Okta, Brandon worked for over a decade in government public service to deliver and secure joint Department of Defense enterprise capabilities in endpoint security, mobile management, identity and access management, and Zero Trust architecture at the Defense Information Systems Agency. He earned a Bachelor’s Degree in Computer Science from the University of Nebraska at Omaha. He is also a National Science Foundation CyberCorps Scholarship for Service Alumnus and an Okta Certified Professional.

 

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Jetzt starten
Kontaktieren Sie uns