Nous dévoilons nos dernières innovations en matière de sécurité de l’IA à l’occasion d’Okta Showcase. S’inscrire
Essai gratuit Nous contacter

Okta FastPass : autorisé au niveau FedRAMP High et prend en charge le niveau d’assurance d’authentification 3 (AAL3)

À propos de l’auteur

Sean Frazier

Federal Chief Security Officer

Sean Frazier is Federal CSO at Okta. In his role, Sean acts as the voice of the CSO for Okta's federal business. Prior to joining Okta, Sean spent more than 25 years working in technology and public sector security for companies such as Duo Security, Netscape, LoudCloud/Opsware, Proofpoint, Cisco & MobileIron. Sean has helped lead numerous projects used by the Department of Defense and Intelligence Community, including the Fortezza Crypto Card, Defense Messaging System (DMS) and many others. He also has extensive experience in identity and public key infrastructure (PKI), network, applications, mobile and IoT. Sean has testified in front of the U.S. Senate Homeland Security and Government Affairs Committee on the importance of public/private partnership in protecting the nation’s digital infrastructure. Sean also advises public/private partnership working groups including ACT-IAC, ATARC and many others.

Brandon Iske

Principal Solutions Architect

Brandon Iske is a Principal Solutions Architect focused on enabling Federal Government and strategic accounts at Okta. He is passionate about strengthening our nation’s cybersecurity and user experience through Identity-focused IT modernization and cyber best practices. Before joining Okta, Brandon worked for over a decade in government public service to deliver and secure joint Department of Defense enterprise capabilities in endpoint security, mobile management, identity and access management, and Zero Trust architecture at the Defense Information Systems Agency. He earned a Bachelor’s Degree in Computer Science from the University of Nebraska at Omaha. He is also a National Science Foundation CyberCorps Scholarship for Service Alumnus and an Okta Certified Professional.

 

29 juillet 2024 Temps de lecture: ~

Sujette

Cybersecurity, Phishing

Sommaire

Mise à jour : 7 février 2025

« Rien ne se passe tant que personne n’essaie de se connecter à quelque chose »

- Proverbe ancien sur l'authentification

Depuis aussi longtemps que nous nous en souvenions, les utilisateurs devaient choisir entre une authentification forte et sécurisée et une expérience utilisateur excellente et sans friction. Désormais, ce n’est plus nécessaire. FastPass d’Okta est un mécanisme d’authentification robuste, sécurisé par conception et inédit, qui offre la « facilité d’utilisation » dont nos ancêtres ne pouvaient que rêver. Alors que les agences gouvernementales américaines s’appuient depuis longtemps sur des cartes à puce (CAC et PIV) pour se connecter à leurs applications, cette infrastructure est devenue de plus en plus difficile à prendre en charge dans le monde moderne du cloud computing et de l’accès aux appareils mobiles.

Cependant, il ne s'agit pas seulement d'une "authentification forte" ou d'une "expérience utilisateur de premier ordre". Pour garder une longueur d'avance sur les attaquants, il faut un modèle de sécurité dynamique intégré directement dans le flux d'authentification. Des éléments tels que l'Identity Threat Protection d' Okta vont, avec le temps, changer la donne en matière d'authentification moderne.

Pourquoi FastPass ?

En sécurisant dès le premier point d'authentification et en continuant tout au long de la durée de vie d'une session Single Sign-On (SSO) active, FastPass peut atténuer l'impact des attaques de phishing, du vol de session et de l'activité locale non autorisée. En permettant un accès sans mot de passe et cryptographiquement sécurisé aux applications de confiance uniquement, FastPass offre une expérience utilisateur intuitive et cohérente sur les principales plateformes et appareils, gérés ou non. FastPass renforce la sécurité Zero Trust de votre organisation grâce à des évaluations contextuelles silencieuses et optionnelles des navigateurs et des appareils à chaque connexion à l'application, ainsi qu'à des signaux provenant de l'écosystème de solutions de sécurité au sens large. 

Conçu pour une défense en profondeur, FastPass permet une authentification résistante au phishing qui continue à assurer la protection longtemps après la demande d'accès initiale. En tirant parti des flux sans mot de passe et résistants au phishing et des contrôles de posture des appareils, FastPass peut aider à sécuriser l'accès aux ressources du gouvernement américain tout en minimisant les frictions pour l'utilisateur final.

Avec Okta FastPass, les agences gouvernementales américaines peuvent :

  • Activez l'authentification résistante au phishing : Atténuez les attaques de phishing les plus courantes pour les appareils gérés et non gérés sur toutes les plateformes prises en charge.
  • Évaluez le contexte de l'appareil : Vérifiez l'appareil et le navigateur utilisés lors de l'authentification, car les signaux provenant de sources tierces et de première partie sont collectés pour prendre des décisions d'authentification et d'autorisation plus éclairées.
  • Autorisez les connexions sans mot de passe : Offrez une authentification sans mot de passe pour toutes les ressources protégées par FastPass, améliorant ainsi l'expérience des employés et réduisant les frictions dues aux mots de passe multiples (et aux réinitialisations de mots de passe) et aux facteurs hors bande tels que le push, les mots de passe à usage unique basés sur le temps et les SMS.

Grâce à ses fonctionnalités complètes et à l'accent mis sur la sécurité, Okta FastPass est la solution idéale pour les agences qui souhaitent équilibrer la sécurité avec une expérience utilisateur améliorée, répondant ainsi aux besoins de la main-d'œuvre moderne d'aujourd'hui.

Évaluation par un tiers de la résistance au phishing de FastPass d’Okta

Les agences gouvernementales américaines se tournent vers le NIST pour obtenir des conseils sur les authentificateurs qui répondent aux exigences de sécurité et de conformité pour une utilisation au sein de l'administration publique. La prochaine version de NIST 800-63B (v4), actuellement en version préliminaire, étend la définition de résistance au phishing pour inclure plus que les cartes à puce ou les clés de sécurité matérielles (par exemple, les YubiKeys). Avec l'adoption de OMB M-22-09 et le projet de directive concernant NIST 800-63 v4, le gouvernement américain a une voie claire à suivre.

Nous sommes ravis d'annoncer qu'Okta FastPass fait désormais partie de nos limites d'autorisation pour FedRAMP High et FedRAMP Moderate. FastPass répond également aux exigences NIST 800-63B Authentication Assurance Level 2 (AAL2) et AAL3. Par conséquent, les agences peuvent désormais offrir aux utilisateurs un choix d'authentificateurs résistants au phishing qui répondent le mieux à leurs besoins, y compris FastPass, ce qui se traduit par une plus grande accessibilité et une plus grande facilité d'utilisation pour leur personnel.

FastPass est conforme aux directives du NIST, notamment :

  • Authentification multifacteur (MFA): Atteste de la possession et de l’inhérence ou de la connaissance comme deuxième facteur
    • Authentification résistante au phishing: S'appuie sur les mécanismes de liaison du nom de vérificateur (origine) pour répondre aux exigences de résistance au phishing. Il s'agit d'une exigence FedRAMP Moderate et supérieure pour les agences américaines en vertu de la publication spéciale 800-53rev5 du NIST.
  • Authentificateur cryptographique: Un authentificateur lié à l’appareil utilisé uniquement pour authentifier les utilisateurs sur le même appareil via des magasins TPM soutenus par le matériel pour toutes les fonctions cryptographiques

Le parcours FastPass commence par une procédure d'inscription (ou d'ajout d'un compte) sur l'application Okta Verify de votre appareil. FastPass facilite également les contrôles de posture et la réévaluation du contexte des appareils, garantissant ainsi la sécurité des appareils utilisés, qu'ils soient gérés ou non.

Responsabilités du client en matière de configuration et d’utilisation de FastPass

Nos efforts comprennent l'autorisation FedRAMP High de FastPass et une attestation de notre organisation tierce d'évaluation FedRAMP (3PAO) que FastPass est conforme AAL2/AAL3 lorsqu'il est correctement configuré sur les appareils pris en charge. Il existe toujours un risque d'acceptation de l'utilisation de solutions logicielles résistantes au phishing comme FastPass dont nos clients doivent être conscients. Les clients sont responsables de:

  1. chiffrement FIPS du disque)
  2. Utilisation de TPM validés FIPS sur leurs appareils
  3. Utilisation de modules validés FIPS sur leurs appareils
  4. Implémentation de FastPass conformément à leurs exigences de mission et à leurs cas d’utilisation
    1. Par exemple, pour le contrôle de sécurité NIST 800-53 rev5 IA-2(6), les clients PEUVENT exiger un authentificateur physique distinct au-delà de FastPass pour répondre à l’exigence

L'utilisation de modules cryptographiques validés FIPS 140 lorsque le chiffrement est requis est un mandat fédéral. Cela s'applique également aux outils MFA (authentification multifacteur). Vous pouvez en apprendre davantage sur les informations de conformité Okta FIPS et les exigences des clients pour la cryptographie de la plateforme de périphériques et la configuration Okta Verify FIPS.

Glossaire des ressources

Bien que les facteurs d'authentification MFA innovants contribuent à des expériences client positives, leur compréhension et leur attestation peuvent être compliquées. Par exemple, une agence peut exiger qu'une preuve de possession soit générée sur un appareil distinct. Vous trouverez ci-dessous plusieurs ressources fédérales américaines pour vous aider à démarrer :

Vous pouvez également en savoir plus sur notre Engagement d'Okta en matière de sécurité de l'identité en vous inscrivant à notre prochain sommet Okta Gov Identity. Lors de la séance en petits groupes D, « Okta et ATO, ils vont ensemble », vous entendrez directement notre lutte contre les attaques d'identité, de FastPass AAL3, nos autorisations existantes aux guides d'implémentation technique de sécurité (STIG). 

À propos de l’auteur

Sean Frazier

Federal Chief Security Officer

Sean Frazier is Federal CSO at Okta. In his role, Sean acts as the voice of the CSO for Okta's federal business. Prior to joining Okta, Sean spent more than 25 years working in technology and public sector security for companies such as Duo Security, Netscape, LoudCloud/Opsware, Proofpoint, Cisco & MobileIron. Sean has helped lead numerous projects used by the Department of Defense and Intelligence Community, including the Fortezza Crypto Card, Defense Messaging System (DMS) and many others. He also has extensive experience in identity and public key infrastructure (PKI), network, applications, mobile and IoT. Sean has testified in front of the U.S. Senate Homeland Security and Government Affairs Committee on the importance of public/private partnership in protecting the nation’s digital infrastructure. Sean also advises public/private partnership working groups including ACT-IAC, ATARC and many others.

Brandon Iske

Principal Solutions Architect

Brandon Iske is a Principal Solutions Architect focused on enabling Federal Government and strategic accounts at Okta. He is passionate about strengthening our nation’s cybersecurity and user experience through Identity-focused IT modernization and cyber best practices. Before joining Okta, Brandon worked for over a decade in government public service to deliver and secure joint Department of Defense enterprise capabilities in endpoint security, mobile management, identity and access management, and Zero Trust architecture at the Defense Information Systems Agency. He earned a Bachelor’s Degree in Computer Science from the University of Nebraska at Omaha. He is also a National Science Foundation CyberCorps Scholarship for Service Alumnus and an Okta Certified Professional.

 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter