Okta FastPass: Autorizado no FedRAMP High e oferece suporte ao Nível de Garantia de Autenticação 3 (AAL3)

Atualizado: 7 de fevereiro de 2025

“Nada acontece até que alguém tente fazer login em algo”

- Provérbio Antigo sobre Autenticação

Desde que nos lembramos, os usuários tiveram que escolher entre autenticação forte e segura e uma ótima experiência de usuário sem atritos. Agora, você não precisa mais. O Okta FastPass é um mecanismo de autenticação inédito, robusto e seguro por design, que possui a “facilidade de uso” com que nossos antepassados ​​só podiam sonhar. Embora as agências governamentais dos EUA há muito confiem em smartcards (CAC e PIV) para fazer login em seus aplicativos, essa infraestrutura se tornou cada vez mais difícil de suportar no mundo moderno da computação em nuvem e acesso a dispositivos móveis.

No entanto, não se trata apenas de “autenticação forte” ou “experiências de usuário de primeira linha”. Manter-se à frente dos invasores exige um modelo de segurança dinâmico integrado diretamente ao fluxo de autenticação. Coisas como o Identity Threat Protection da Okta mudarão, com o tempo, o jogo na autenticação moderna.

Por que o FastPass?

Ao proteger no primeiro ponto de autenticação e continuar ao longo da vida útil de uma sessão ativa de Single Sign-On (SSO), o FastPass pode mitigar o impacto de ataques de phishing, roubo de sessão e atividade local não autorizada. Ao habilitar o acesso sem senha e criptograficamente seguro apenas a aplicativos confiáveis, o FastPass oferece uma experiência de usuário intuitiva e consistente em todas as principais plataformas e dispositivos, gerenciados ou não gerenciados. O FastPass fortalece a segurança Zero Trust da sua organização com avaliações de contexto silenciosas opcionais de navegadores e dispositivos em cada login de aplicativo e sinais de seu ecossistema de soluções de segurança mais amplo. 

Projetado para defesa em profundidade, o FastPass permite a autenticação resistente a phishing que continua a proteção muito depois da solicitação de acesso inicial. Ao aproveitar fluxos sem senha e resistentes a phishing e verificações de postura do dispositivo, o FastPass pode ajudar a obter acesso seguro aos recursos do governo dos EUA, minimizando o atrito do usuário final.

Com o Okta FastPass, as agências governamentais dos EUA podem:

• Habilitar a autenticação resistente a phishing: Mitigar os ataques de phishing mais comuns para dispositivos gerenciados e não gerenciados em todas as plataformas suportadas.
• Avalie o contexto do dispositivo: verifique o dispositivo e o navegador usados durante a autenticação, pois os sinais de fontes primárias e de terceiros são coletados para tomar decisões de autenticação e autorização mais bem embasadas.
• Permitir logins sem senha: Ofereça autenticação sem senha para todos os recursos protegidos pelo FastPass, melhorando a experiência do funcionário e reduzindo o atrito devido a várias senhas (e redefinições de senha) e fatores fora de banda, como push, senhas únicas baseadas em tempo e SMS.

Com seus recursos abrangentes e foco em segurança, o Okta FastPass é a solução ideal para agências que buscam equilibrar segurança com uma experiência de usuário aprimorada, atendendo às necessidades da força de trabalho moderna de hoje.

Avaliação de terceiros da resistência a phishing do Okta FastPass

As agências governamentais dos EUA recorrem ao NIST para obter orientação sobre quais autenticadores atendem aos requisitos de segurança e conformidade para uso na força de trabalho do governo. A próxima versão do NIST 800-63B (v4), atualmente em rascunho, estende a definição de resistência a phishing para incluir mais do que smartcards ou chaves de segurança de hardware (por exemplo, YubiKeys). Com a aprovação do OMB M-22-09 e a orientação preliminar em torno do NIST 800-63 v4, o governo dos EUA tem um caminho claro a seguir.

Temos o prazer de anunciar que o Okta FastPass agora faz parte de nossos limites de autorização para FedRAMP High e FedRAMP Moderate. O FastPass também atende aos níveis 2 (AAL2) e 3 (AAL3) de garantia de autenticação NIST 800-63B. Como tal, as agências agora podem oferecer aos usuários uma escolha de autenticadores resistentes a phishing que melhor atendam às suas necessidades – incluindo o FastPass – resultando em maior acessibilidade e facilidade de uso para sua força de trabalho.

O FastPass está em conformidade com as diretrizes do NIST, incluindo:

• Autenticação multifator (MFA): Atesta a posse e a inerência ou o conhecimento como um segundo fator
  • Autenticação resistente a phishing: Aproveita os mecanismos de vinculação de nome de verificador (origem) para atender aos requisitos de resistência a phishing. Este é um requisito FedRAMP Moderado e acima para agências dos EUA sob NIST SP 800-53rev5.
• Autenticador criptográfico: Um autenticador vinculado ao dispositivo usado apenas para autenticar usuários no mesmo dispositivo por meio de armazenamentos TPM com suporte de hardware para todas as funções criptográficas

A jornada do FastPass começa com um processo de inscrição (ou adição de uma conta) no aplicativo Okta Verify do seu dispositivo. O FastPass também facilita as verificações de postura do dispositivo e a reavaliação do contexto do dispositivo, garantindo a segurança dos dispositivos em uso, sejam eles gerenciados ou não.

Responsabilidades do cliente para configurar e aproveitar o FastPass

Nosso esforço inclui a autorização FedRAMP High do FastPass e uma atestação de nossa Organização de Avaliação de Terceiros FedRAMP (3PAO) de que o FastPass está em conformidade com AAL2/AAL3 quando configurado corretamente em dispositivos compatíveis. Ainda existe um risco de aceitação do uso de soluções de software resistentes a phishing como o FastPass que nossos clientes devem estar cientes. Os clientes são responsáveis por:

1. Criptografia FIPS do disco)
2. Usando TPMs validados por FIPS em seus dispositivos
3. Usando módulos validados pelo FIPS em seus dispositivos
4. Implementando o FastPass em linha com seus requisitos de missão e casos de uso
   1. Por exemplo, para o controle de segurança NIST 800-53 rev5 IA-2(6), os clientes PODEM exigir um autenticador físico separado além do FastPass para atender ao requisito

O uso de módulos criptográficos validados pelo FIPS 140, onde a criptografia é necessária, é um mandato federal. Isso também se aplica às ferramentas de MFA. Você pode saber mais sobre informações de conformidade com o FIPS da Okta e requisitos do cliente para criptografia de plataforma de dispositivo e configuração do Okta Verify FIPS.

Glossário de recursos

Embora os fatores inovadores de MFA contribuam para experiências positivas do cliente, entender e atestar eles pode ser complicado. Por exemplo, uma agência pode exigir que a prova de posse seja gerada em um dispositivo separado. Abaixo estão vários recursos federais dos EUA para ajudá-lo a começar:

• Livro de Jogadas de Autenticador Resistente a Phishing da Administração de Serviços Gerais dos EUA
• Suplemento ao NIST SP 800-63B, Diretrizes de Identidade Digital: Autenticação
• e Lifecycle Management
• NIST SP 800-63 rev 4, Digital Identity Guidelines
• Memorando do Escritório de Administração e Orçamento dos EUA (OMB M-22-09), Levando o Governo dos EUA em Direção aos Princípios de Segurança Cibernética Zero Trust
• Selecting Secure Multi-factor Authentication Solutions da Agência de Segurança Nacional

Você também pode aprender mais sobre o nosso Compromisso de Identidade de Segurança da Okta ao se inscrever em nossa próxima Cúpula de Identidade Governamental da Okta. Na sessão de breakout D, “Okta e ATOs, eles combinam”, você ouvirá em primeira mão nossa luta contra ataques de identidade, desde o FastPass AAL3, nossas autorizações existentes para guias de implementação técnica de segurança (STIGs).