SecurAccess nutzt Ihr Mobiltelefon zum Authentifizieren

Passwörter allein sind nicht stark genug, um Unternehmensdaten vor den anderen drei Milliarden Internetnutzern zu schützen. Zwei-Faktor-Authentifizierung bietet den Grad an Sicherheit, der benötigt wird, um Sie zu schützen. Durch den Einsatz von etwas, das der Benutzer bereits besitzt, ist es möglich, eine nahtlose und kostengünstige Lösung für Zwei-Faktor-Authentifizierung zu implementieren.

  • On-Premise- oder von einem Provider gehostete Software
  • Nutzen Sie Ihr Handy oder ein anderes Device als Authentifizierungsgerät
  • Die industrieweit einfachste 2FA-Anmeldung
  • Benutzer automatisch über LDAP- Gruppenmitgliedschaft einbinden
  • Bis zu 100.000 Nutzer können pro Stunde eingebunden werden
  • Fixe jährliche Kosten, Bezahlung pro Nutzer, keine versteckten Extrakosten
  • Gibt dem Nutzer die Kontrolle, sein eigenes Mobiltelefon/Device zur Authentifizierung zu nutzen
  • Halbierung der Kosten gegenüber traditionellen Hardware Token
  • RBestehende AD (LDAP)-Datenbank wiederverwenden
  • Größte Vielfalt aller tokenlosen Verfahren

100% erfolgreiche Passcode-Übermittlung per SMS

Die zentrale Strategie für den erfolgreichen Einsatz von SMS zur Passcode-Übermittlung ist das Auflösen unterbrochener Netzwerk-Verbindungen sowie Sendeverzögerungen von SMS-Nachrichten.

Der User kann nach Belieben die für ihn beste Übertragungsmethode wählen. Die patentierten Methoden von SecurAccess beheben die Probleme durch den Einsatz von:

  • Zuvor geladenen Einmal-Passcodes
  • Drei zuvor geladenen Einmal-Passcodes in jeder Nachricht
  • Wiederverwendbaren Passcodes die sich täglich oder nach mehreren Tagen verändern

Andere Übermittlungsmethoden

  • Zusendung von Passcodes per SMS auf Abruf in Echtzeit. Dabei ist der Passcode an seinen jeweiligen Einsatzzweck gekoppelt und kann ausschließlich dazu verwendet werden ( „session locked“)
  • Passwörter können via abgesicherter E-Mail gesendet werden
  • Soft Token Apps (Nähere Details)
  • Telefonanrufe, die den Passcode übermitteln, der dann wiederum per Telefontastatur eingeben wird, um die Sitzung zu starten. Hierbei greift ebenfalls das „Session Lock“-Prinzip, das in diesem Fall die Passcode-Übermittlung per Telefon an den Log-In-Vorgang im Internet koppelt

Self Help Desk

Ein integriertes Selbsthilfe-Web Interface erlaubt Nutzern, temporäre Passwörter anzufordern, wenn sie ihr Handy verlieren sollten

Endnutzer-orientierte Umsetzungspraxis

Gute Sicherheit sollte nicht mit Komplexität verbunden sein. SecurAccess wurde entwickelt, um Authentifizierung so einfach wie möglich zu halten:

  • Existierende Microsoft-Passwörter (oder andere Verzeichnisse) wiederbenutzen
  • Dynamisches Updaten der vorherigen SMS-Nachricht; alte Text-Nachrichten (zuvor geladene oder Tagescodes) müssen nicht gelöscht werden
  • Die Nachricht blinkt direkt auf dem Hauptbildschirm auf (Echtzeit-Codes)

Soft Token Apps

  • Ideal für Smart Device-Nutzer
  • Ergänzend zu SMS-basierender Authentifizierung
  • Gibt dem Endnutzer die Freiheit, zwischen SMS-basierender Authentifizierung oder einer Soft Token-Applikation zu entscheiden und zu wechseln.

Für mehr Informationen zu Soft Token Apps hier klicken..

Token-Typen

Hardware-Anforderungen

Unterstützte Betriebssysteme

  • Windows 2003
  • Windows 2003R2
  • Windows 2008
  • Windows 2008R2

Integration

Detaillierte Integrations-Anleitungen stehen unter www.securenvoy.de/support/integration bereit.

Datenbank

  • SecurEnvoy nutzt das existierende LDAP des Unternehmensservers als Datenbank, es sind keine schematischen Veränderungen notwendig
  • Unterstützte LDAP-Typen:-
  • Microsoft Active Directory
  • Novel eDirectory
  • Sun Directory Server
  • OpenLDAP
  • Nutzer werden von SecurEnvoy via Microsoft Lightweight Directory Service (LDS or ADAM) gemanagt.
  • Andere LDAP-komforme Server

Sicherheit

  • Passcode-Generierung verwendet Fips 140-2-konforme Algorithmen
  • Schutz vor Brute Force-Attacken
  • Alle Nutzerdaten sind mit AES 256 Bit-Verschlüsselung gespeichert
  • Shutz vor Phishing-Attacken
  • Intrusion Prevention
  • Abwehr von Keystroke Logging
  • Verlorene oder gestohlene Mobiltelefone sind auf dem Server gesperrt
  • Abwehr von Cookie-Highjacking
  • Abwehr von Cross-Site-Scripting

PIN Management

PIN (persönliche Identifikations-Nummer) SecurEnvoy unterstützt folgende PIN-Methoden

  • Existierendes LDAP-Passwort als PIN (verringert den Aufwand für den Nutzer)
  • Konventionelle 4-bis 8-stellige nummerische oder alphanummerische PIN

Passwort-Übermittlung

  • SMS-Nachrichten werden von einem handelsüblichen GSM-Modem übermittelt, unterstützte Modems: Multitech, Wavecom, Siemens
  • SMS-Nachrichten via Hardware-Modem-Rack
  • SMS-Nachrichten via Web-Gateway Dritter
  • E-Mail-Passwörter
  • Voice-over-IP Telefonanrufe

Passcode-Typen

  • Vorgeladener Passcode, gesendet nach jedem Authentifizierungsversuch, wird samt der neuen SMS-Nachricht automatisch vor dem Speichern aktualisiert. Dieser Modus eliminiert SMS-Übertragungsverzögerungen und vorübergehenden Ausfall des Signals
  • Echtzeit-Passcodes, die SMS-Flash-Nachrichten und Session-Locks (d.h., die Passwörter sind an die jeweilige Sitzung, für die sie angefordert werden, gekoppelt) unterstützen
  • Tages-Codes
  • Mehrere Tages-Codes
  • Temporäre, zeitlich begrenzte Codes, die nach Ablauf automatisch wieder zu einmaligen Codes wechseln

Migration

  • Nahtlose Unterstützung für User, die von einem Passwort auf die SecurEnvoy Tokenless-Lösung wechseln
  • Nahtlose Unterstützung für User, die von einer vorhandenen Lösung eines anderen Herstellers auf die SecurEnvoy Tokenless-Lösung wechseln

Einbindung

  • „Zero Footprint“ auf dem Handy
  • „Zero Footprint“ am Punkt der Authentifizierung
  • Automatische Masseneinbindung von bis zu 100.000 Nutzern pro Stunde, abhängig vom LDAP oder der Gruppen-Zugehörigkeit

Vorteile

Vorteile für Nutzer:

  • Endnutzer brauchen sich keine zusätzliche geheime Information zu merken, sondern können das Microsoft- oder LDAP-Passwort wiederverwenden.
  • Endnutzer geben nur einmal etwas ein anstatt, wie bei allen anderen Zwei-Faktor-Authentifizierungs-Systemen üblich, zusätzlich noch einen separaten PIN zu benötigen.
  • Ein sechsstelliger, dem Industriestandard entsprechender, Passcode ist alles, was der Nutzer auf seinem Handy liest. Diesen Passcode muss er auch nicht mathematisch ableiten.
  • Endnutzer benötigen keine zusätzlichen Authentifizierungsgeräte.
  • Da vorherige SMS-Nachrichten dynamisch aktualisiert werden, muss der Endnutzer alte Text-Nachrichten nicht löschen.
  • Soft Token-Applikationen sind für alle Smartphones und Desktop-/Laptop-Umgebungen verfügbar.

Vorteile für das Unternehmen:

  • Jedes Mobiltelefon, das fähig ist, eine SMS zu empfangen, wird unterstützt. Beim Übermittlungsprozess gibt es keine Probleme bezüglich Versandverzögerungen. Dieser Ansatz erweitert die mögliche Benutzeranzahl: Neben internen Mitarbeitern können auch Dritte und sogar Kunden eingebunden werden.
  • Keine Kosten für die Anschaffung bzw. das Ersetzen neuer Token.
  • Token müssen nicht neu synchronisiert und PINs nicht zurückgesetzt werden. Dies reduziert die Kosten in der Helpdesk-Verwaltung.
  • Einbindung von Tausenden Nutzern in wenigen Minuten durch den SecurEnvoy Deployment Wizard. Das Feature senkt die Kosten für die Bereitstellung und Unterstützung von Zwei-Faktor-Authentifizierung.
  • Die persönliche Sicherheit, die den Mobiltelefonen der Nutzer gewährt wird, übertrifft die Sicherheit eines mitgeführten Hardware Token um ein Vielfaches. Endnutzer bemerken es in der Regel eher, wenn ihr Handy gestohlen wurde und melden den Verlust meist zeitnah. Ein verlorener Token fällt womöglich später auf. Daher sind Handys für das Unternehmen sicherer als Token-basierte Lösungen.

Enterprise Class-Lösung

Volle Multi-Domain-Unterstützung mit eingebauter Redundanz und Fehlertoleranz.

“Besonders gut für Unternehmen mit einem großen Remote-Betrieb geeignet” – ComputingSecurity

SKALIERBARKEIT

SecurEnvoy nutzt die Leistung und Skalierbarkeit von Active Directory oder anderen LDAP-basierten Servern als Core-Datenbank. Alle Replikationen werden von der Betriebssystem-Software (Domain-Controller) durchgeführt.

SecurEnvoys Radius-Server kann über 50 Authentifizierungen pro Sekunde skalieren, wie es auch bei Microsofts .NET Framework und LDAP-Diensten üblich ist.

Da der nächste Benutzer-Passcode bis zur nächsten Authentifizierung nicht benötigt wird, beeinträchtigt auch jede gepufferte Verzögerung, die bei Spitzenlasten während des Sendens der nächsten SMS-Passcode-Nachricht entsteht, keineswegs die Authentifizierungs-Leistung.

Die einzige Einschränkung bei der Skalierung des Systems ist die Anzahl von Nutzern, die Active Directory (oder andere LDAP-Server) in jeder einzelnen Domain managen können.

Fehlertoleranz

Jede Seite wurde mit Zwei-Authentifizierungsservern konstruiert. Beim Ausfall eines Servers oder sobald der SMS-Übermittlungs-Gateway keine SMS mehr sendet, werden alle eingehenden Authentifizierungsanfragen vom Server zurückgeleitet. Diese Aktion bewirkt, dass der VPN Radius Client oder IIS Agent einen Failover beim nächsten konfigurierten SecurEnvoy-Server auslösen kann. Es sollte beachtet werden, dass der Preis für diese Lösung pro Benutzer festgelegt ist, weitere erforderliche Server aber ohne zusätzliche Kosten hinzugefügt werden können.

Alle Nutzer-Authentifizierungsdaten von Active Directory werden in Echtzeit gespeichert und repliziert. Dies ermöglicht jeder SecurEnvoy-Server, der für bis zu zwei Microsoft Domain-Controller konfiguriert ist. Wenn ein existierender Domain-Controller ausfällt, löst den SecurEnvoy-Server einen Failover beim nächsten konfigurierten Domain-Controller aus.

SecurEnvoy wird, falls erforderlich, von Cluster-Servern unterstützt.

Failover zwischen Seiten werden „Out-of-the-Box“ unterstützt und es sind keine zusätzlichen Entwicklungen wie folgende erforderlich:

Wenn sich ein Nutzer von einer Seite zusätzlich auf einer zweiten Seite in der gleichen Domain authentifiziert, gewährleistet die Synchronisation mit Active Directory (oder anderen LDAP-Servern), dass die erforderliche Authentifizierungs-Information auf beiden Seiten für den Authentifizierungsserver von SecurEnvoy verfügbar ist.

Verschiedene SMS-Gateways können für Failover konfiguriert werden.

Jeder SMS-Gateway wird kontinuierlich für den korrekten Betrieb überprüft. Fällt ein Gateway aus, zum Beispiel, wenn die Leistung eines angeschlossenen SMS-Modems nachlässt, wird dieser alle 60 Sekunden durch Reset- und Initialisierungs-Befehle neu konfiguriert.

MMulti-Domain-Unterstützung

Jeder SecurEnvoy-Sicherheits-Server kann mit zwei Domain-Controllern für jede Domain im Unternehmen konfiguriert werden. Für die Anzahl der Domains gibt es keine Begrenzung. Der Domain-Bestandteil der Benutzer-ID wird verwendet, um den Sicherheits-Server der jeweiligen Domain dynamisch zu wechseln. Wenn der Benutzer-ID kein Domain-Bestandteil zugeordnet wurde, nutzen die Server eine Standard-Domain. Standard-Domains werden bei jeder Radius Client-Konfiguration eingestellt, ebenso wie der verbundene VPN-Server mit einer separaten Standard-Domain konfiguriert werden kann.

Administration

Die einzigen erforderlichen, fortlaufenden, Administrationsaufgaben sind folgende:

Gesperrte Accounts, die zu viele gescheiterte Authentifizierungen seit dem letzten Log-in aufweisen, müssen wieder freigeschaltet werden

UHandynummern der Nutzer aktualisieren (dies können die Anwender bei Bedarf selbstständig über den Helpdesk erledigen)

Temporären Notfall-Zugang aktivieren, wenn ein Mobiltelefon verloren geht (kann ebenfalls eigenständig mittels Helpdesk geschehen)

SecurEnvoy unterstützt Rollen-basierte Administration mit den zwei folgenden Rollen:

Volle Administration: Zugriff auf alle Administrations GUI-Funktionen einschließlich Server-Konfiguration, Log-Daten, Radius Server und Benutzereinstellungen.

Helpdesk: Kann nur auf Benutzereinstellungen und Log-Informationen zugreifen

Helpdesk-Gruppen: Können nur Nutzer administrieren, die zu Active Directory (oder anderen LDAP)-Gruppen oder teilweise verschalteten Gruppen (Sub Nested Groups) gehören.

Konfiguration: Nur Systemkonfigurations-Einstellungen, kein Zugriff auf Benutzer-Authentifizierung

Administrationsaufwand wird auf ein Minimum reduziert sobald Endnutzer-Informationen bereits in Active Directory verfügbar sind. Kein Token-Management oder Token-Resynchronisierung sowie kein PIN-Management sind erforderlich.

Darüber hinaus werden temporäre Notfallzugangscodes automatisch zu einmaligen Codes verändert, nachdem der Administrator eine Anzahl an Tagen definiert hat. Sobald Anwender Informationen in Active Directory speichern, wird jeder Nutzer von Active Directory von SecurEnvoy entfernt.

Zentrales Management wird in der folgender Art und Weise unterstützt: Jeder Sicherheitsserver kann jeden Nutzer in jeder Domain via Remote-Administration über einen Browser (Internet Explorer 6,7 und 8 oder Firefox) verwalten.

Zwei-Faktor-Authentifizierung für die Einhaltung gesetzlicher Vorschriften.

Unternehmen und Organisationen können die Zwei-Faktor-Authentifizierung nicht länger ignorieren. Sie ist mittlerweile zu einem großen Bestandteil vieler Nutzer avanciert, sowohl im täglichen Arbeitsleben als auch privat. Daher müssen Compliance und gesetzliche Vorschriften erfüllt und eingehalten werden.

SecurEnvoy ist die flexibelste und kostengünstigste Lösung auf dem Zwei-Faktor-Markt. Das Unternehmen bietet tokenlose Zwei-Faktor-Lösungen, die festgelegte gesetzliche Compliance-Vorschriften einhalten und sogar übertreffen, so wie z.B. PCI Data Security-Standards, GCS, CoCo, HIPAA, SOX und andere Industrienormen.

  • PCI Data Security Standards,
  • GCSx
  • CoCo,
  • HIPAA,
  • SOX,
  • ISO 27001,

SecurEnvoy stellt verschiedener tokenloser Zwei-Faktor-Authentifizierungslösungen bereit, die Geräte nutzen, auf der End User in seinem täglichen Arbeitsleben zugreifen kann. Dies kann ein sowohl ein Mobil- als auch ein Festnetztelefon oder eine direkte Durchwahl sein, aber auch ein Tablet oder ein PC. Der Einsatz der SecurEnvoy-Lösungen ist nicht auf Mobiltelefone begrenzt, sondern passt sich daran an, wie und mit welchen Endgeräten Nutzer arbeiten möchten.

Eine Welt ohne Token

Blog

Kontakt

info@SecurEnvoy.com | +49 8970 0745 22