Los inventores de la autenticación de dos factores sin tokens de hardware

SecurAccess

Autenticación de dos factores sin token físico para acceso remoto mediante el teléfono móvil

Autenticación de dos factores sin token físico para acceso remoto mediante el teléfono móvil

El uso de contraseñas como único control de acceso no es suficiente para proteger los datos de empresa. La autenticación de dos factores aporta una capa adicional de seguridad, ya que combina la contraseña del usuario (algo que el usuario sabe) con un factor adicional de autenticación (algo que el usuario tiene), proporcionando así una solución de autenticación de dos factores.

  • El software se puede implantar en la red del cliente, o con alojamiento a través de un proveedor de servicios gestionados.
  • Utilice su teléfono o dispositivo como autenticador
  • La experiencia de autenticación multifactor más sencilla del mercado
  • Integra usuarios automáticamente, mediante la pertenencia a un grupo LDAP
  • Se puede incorporar hasta 100.000 usuarios por hora durante el despliegue
  • Coste anual fijo, pago por usuario, sin gastos extra ocultos
  • Proporcionando el control al usuario, migre sus propios teléfonos o dispositivos.
  • A menos de la mitad del coste de las alternativas tradicionales basadas en tokens de hardware
  • Reutilice la base de datos AD (LDAP) existente.
  • La más amplia variedad de tipos de autenticación sin token físico

100% de éxito en el envío de contraseñas mediante SMS

La clave para el éxito en el uso de SMS para proporcionar contraseñas es resolver la cobertura intermitente de la red y los retrasos en el envío de los SMS.

La elección es clave. Los métodos patentados de SecurAccess resuelven estos problemas utilizando:

  • Contraseñas precargadas de un solo uso
  • Tres contraseñas de un solo uso, precargadas dentro de cada mensaje SMS
  • Contraseñas reutilizables que cambian cada día o con una frecuencia de múltiples días

Otras opciones de envío

  • Contraseñas mediante SMS en tiempo real, enviadas bajo demanda
  • Las contraseñas se pueden enviar a través del correo electrónico seguro
  • Aplicaciones de token de software (Más detalles)
  • Llamada de voz, con introducción de las contraseñas a través del teclado del teléfono

Portal de autoservicio

Se incluye un portal web que permite a los usuarios solicitar contraseñas provisionales, en caso de pérdida del teléfono

Experiencia del usuario final

Una buena seguridad no debería añadir complejidad; SecurAccess está diseñado para que la autenticación siga siendo lo más fácil posible, mediante las siguientes prestaciones:

  • La reutilización de la contraseña existente de Microsoft (u otro directorio)
  • La actualización dinámica del mensaje SMS anterior; no es preciso eliminar los mensajes de texto antiguos (códigos diarios y cargados previamente)
  • Visualización del mensaje directamente en la pantalla principal (códigos en tiempo real)

Tokens de software

  • Ideales para los usuarios de smartphones, tablets y otros dispositivos similares.
  • Complementarias a la autenticación basada en SMS
  • Proporcionan al usuario final la libertad de elegir entre la autenticación por SMS, o de un token de software, y cambiar entre una y otra.

Para obtener más información acerca de los tokens de software, haga clic aquí.

Tipos de tokens

Requisitos de hardware

Sistemas operativos admitidos

  • Windows 2003
  • Windows 2003R2
  • Windows 2008
  • Windows 2008R2
  • Windows 2012

Integración

Para acceder a las guías de integración detalladas, visite www.securenvoy.es/support/integration

Base de datos

  • SecurEnvoy utiliza el servidor LDAP actual de su empresa como base de datos, no siendo necesario realizar cambios en los esquemas
  • Tipos de LDAP admitidos:-
  • Microsoft Active Directory
  • Novel eDirectory
  • Sun Directory Server
  • OpenLDAP
  • SecurEnvoy Managed Users a través del Microsoft Lightweight Directory Service (LDS o ADAM)
  • Otros servidores compatibles con LDAP

Seguridad

  • La generación de contraseñas utiliza un algoritmo conforme con la norma FIPS 140-2
  • Protección contra los ataques mediante la fuerza bruta
  • Todos los datos del usuario se almacenan cifrados utilizando el algoritmo AES de 256 bits
  • Prevención contra ataques de phishing
  • Prevención contra intrusos
  • Defensa contra el acceso al sistema mediante la pulsación de teclas
  • Los teléfonos móviles perdidos o robados se inhabilitan en el servidor.
  • Defensa contra el secuestro de cookies
  • Defensa contra las secuencias de comandos en sitios cruzados (cross-site scripting)

Gestión de PIN

PIN (del inglés Personal Identification Number – Código de Identificación Personal) SecurEnvoy admite los métodos de PIN siguientes

  • Contraseña LDAP actual como PIN (elimina una sobrecarga para el usuario)
  • PIN numérico o alfanumérico tradicional de 4-8 caracteres

Envío de contraseñas

  • Envío de mensajes SMS a través de un módem GSM de capacidad comercial, modems admitidos: Multitech, Wavecom, Siemens
  • Mensaje SMS a través de solución de gateway SMS de hardware
  • Mensajes SMS a través de gateway SMS de un tercero
  • Contraseñas a través del correo electrónico
  • Llamadas telefónicas con la tecnología VoIP

Tipos de códigos de acceso

  • Código precargado, enviado después de cada intento de autenticación, actualizando automáticamente el nuevo mensaje SMS el mensaje guardado anteriormente. Este método elimina los retrasos en la recepción de SMS y la pérdida intermitente de señal
  • Códigos de acceso en tiempo real, que admiten mensajes SMS con visualización instantánea en pantalla
  • Códigos diarios
  • Códigos de múltiples días
  • Códigos provisionales con limitación temporal que se transforman automáticamente en códigos de un solo uso tras su vencimiento

Migración

  • Facilidad para migrar del uso exclusivo de contraseña, a la solución de autenticación de dos factores de SecurEnvoy
  • Facilidad para migrar de una solución basada en token de hardware a la solución de SecurEnvoy

Despliegue

  • Sin dejar huella en el teléfono
  • Sin dejar huella en el punto de autenticación
  • Despliegue automático a gran escala de hasta 100.000 usuarios por hora, dependiendo de la pertenencia a un grupo o LDAP

Ventajas

Ventajas para los usuarios:

  • No es preciso que el usuario final recuerde un código o contraseña adicional, ya que puede usar su contraseña LDAP o de Microsoft.
  • El usuario final solo debe introducir un código o contraseña. Otros sistemas de autenticación de dos factores requieren un PIN separado.
  • Todo cuanto debe hacer es leer desde su teléfono un código de 6 cifras, sin aplicar ninguna manipulación matemática o algoritmo para derivar su contraseña.
  • El usuario final no necesita llevar dispositivos de autenticación adicionales.
  • Actualización dinámica del SMS anterior, sin tener que borrar los mensajes de texto antiguos
  • Token de software disponible como aplicación para todos los smartphones y entornos de ordenador de sobremesa/portátil.

Ventajas para la empresa:

  • Se admite cualquier teléfono móvil que pueda recibir mensajes SMS, sin problemas de retraso en la recepción de SMS que afecten al rendimiento. Este enfoque amplía la gama de usuarios, incluyendo no solo el personal interno sino también terceros e incluso consumidores.
  • Sin costes de adquisición, implantación y sustitución de tokens de hardware.
  • Poder prescindir de la resincronización de los tokens o del restablecimiento del PIN, por lo que se reduce el coste de administración del servicio de asistencia al usuario
  • El despliegue de la solución a miles de usuarios en cuestión de minutos a través de las herramientas de despliegue de SecurEnvoy reduce enormemente el coste de implantación y soporte.
  • La seguridad personal que proporciona al teléfono móvil del usuario supera con creces la prestada a un token de hardware que se vea obligado a llevar. Es más probable que el usuario final se dé cuenta del robo de su móvil y, lo que es más importante, es mucho más probable que denuncie su pérdida. Esto ofrece una mayor seguridad a la empresa en comparación con las soluciones basadas en tokens de hardware.

Solución diseñada para empresas de cualquier tamaño

Soporte multidominio total con redundancia y resistencia a los fallos.

“especialmente idóneo para las empresas con una plantilla numerosa y lejana” – ComputingSecurity

Escalabilidad

SecurEnvoy aprovecha la eficacia y capacidad de ampliación de Active Directory u otros servidores basados en LDAP como su base de datos principal. Todo calco es llevado a cabo por el software del sistema operativo (controladores de dominio)

El servidor Radius de SecurEnvoy puede llegar a realizar más de 50 autenticaciones por segundo ya que utiliza la estructura dotnet de última generación de Microsoft y servicios LDAP.

Dado que la siguiente contraseña de usuario necesaria no se requiere hasta la próxima autenticación, el retraso en el envío del siguiente mensaje de contraseña por SMS causado por el uso de la memoria intermedia con cargas pico no afectará al rendimiento de la autenticación.

La única limitación a la ampliación del sistema es el número de usuarios que puede gestionar Active Directory (u otros servidores LDAP) en un dominio individual.

Resistente a los fallos

Cada sitio puede incluir dos servidores de autenticación, de modo que si falla uno de estos servidores o si su pasarela de envío de SMS no puede enviar mensajes, este servidor rehusará la solicitud de autenticación entrante. Esto hará que el cliente Radius VPN o Agente IIS pase al siguiente servidor SecurEnvoy configurado. Dado que el precio de esta solución se basa en el número de usuarios, se pueden añadir servidores adicionales en caso necesario sin coste adicional.

Todos los datos de autenticación del usuario son almacenados y calcados en tiempo real por Active Directory, estando configurado cada servidor SecurEnvoy para hasta dos controladores de dominio Microsoft de forma que si falla el controlador de dominio actual entonces el servidor de SecurEnvoy pasará al siguiente controlador de dominio configurado.

SecurEnvoy es compatible con servidores instalados en cluster.

Failover automático en caso de fallo no requiere configuración ni desarrollo adicional, ya que:

Si un usuario de un sitio se autentica en un segundo sitio y está en el mismo dominio, la sincronización de Active Directory (u otro servidor LDAP) garantizará que la información de autenticación requerida esté disponible en ambos sitios y de este modo estará a disposición del servidor de autenticación de SecurEnvoy.

Se pueden configurar múltiples pasarelas de SMS, con failover automático a un sistema redundante en caso de fallo.

El funcionamiento correcto de cada pasarela de SMS se comprueba continuamente. Si falla una de ellas (por ejemplo, si se desconecta la alimentación de un módem SMS), la pasarela se verifica cada 60 segundos con instrucciones de restablecimiento e inicialización.

Capacidad multidominio

Cada servidor de seguridad SecurEnvoy se puede configurar con dos controladores de dominio para cada dominio que utilice su empresa, sin límite en cuanto al número de dominios. El componente de dominio de la identificación del usuario se usa entonces para cambiar dinámicamente el servidor de seguridad al dominio pertinente. Si no se facilita ningún componente de dominio en la identificación del usuario, se utiliza un dominio por defecto. Los dominios por defecto se establecen en la configuración de cada cliente Radius de forma que cada servidor VPN que se conecte se puede configurar con un dominio por defecto distinto.

Administración

Una vez implantado, las únicas tareas de administración necesarias son:

Habilitar cuentas bloqueadas en las que haya habido demasiadas autenticaciones fallidas

Actualizar números de móvil de los usuarios en caso de cambio (esta tarea se puede gestionar también a través del servicio de autoservicio, permitiendo que el propio usuario actualice su número)

Permitir el acceso de emergencia provisional en caso de pérdida del teléfono móvil (se puede también autogestionar a través del portal de autoservicio)

SecurEnvoy admite la administración basada en roles:

Full Admin: Acceso a todas las funciones GUI de administración incluyendo configuración de servidores, registro, configuración de usuarios y Radius.

Help Desk: Solo puede acceder a información del registro y configuración de usuarios

Help Desk Groups: Solo pueden administrar usuarios que sean miembros de un grupo Active Directory (u otro grupo LDAP) o de un grupo subjerarquizado.

Config: Únicamente ajustes de configuración del sistema, sin acceso a la autenticación de usuarios

Las funciones necesarias de administración se han reducido al mínimo. Dado que la información sobre los usuarios finales está ya disponible en Active Directory, no se precisa la gestión ni la resincronización de tokens de hardware, y no hace falta gestionar los PIN.

Gestión centralizada: Cada servidor de seguridad puede gestionar cualquier usuario de cualquier dominio, llevando a cabo la administración remota a través de un navegador (ie6, ie7, ie8 o Firefox).

Autenticación de dos factores para el cumplimiento normativo

Las empresas y organizaciones ya no pueden ignorar la autenticación de dos factores. Constituye ahora una parte importante de la vida diaria en el hogar y el trabajo de todos los usuarios. Las normativas y estándares de seguridad deben cumplirse.

SecurEnvoy es la solución más flexible y rentable en el mercado de la autenticación de dos factores. Ofrece soluciones de dos factores que satisfacen y superan el cumplimiento de preceptos como las normas PCI sobre la seguridad de los datos de las tarjetas de pago, el Código de Conexión (CoCo) de la red GCSx, las leyes estadounidenses HIPAA y SOX, la norma ISO 27001 y otras normativas del sector.

  • PCI Data Security Standards,
  • GCSx
  • CoCo,
  • HIPAA,
  • SOX,
  • ISO 27001,

SecurEnvoy cuenta con un conjunto de soluciones de autenticación de dos factores sin token de hardware (tokenless) que pueden aprovechar los dispositivos a los que tiene acceso el usuario final en su trabajo diario. Puede tratarse de un teléfono móvil, una línea fija física o una extensión de marcación directa, o un dispositivo como una tableta o un PC. SecurEnvoy no se limita a los teléfonos móviles: proporciona soluciones adpatados a los usuarios y sus dispsitivos.