Los inventores de la autenticación de dos factores sin tokens de hardware

SecurIce

Autenticación de dos factores tokenless para la recuperación de desastres y la continuidad del negocio

Cuando se sufren fenómenos meteorológicos inusitados, las huelgas de transporte trastornan los desplazamientos a y desde el lugar de trabajo o se produce una amenaza terrorista, la necesidad de acceso inmediato y seguro es máxima. Permitir que los usuarios profesionales obtengan acceso remoto inmediato simplemente por medio de una contraseña no es suficientemente seguro.

  • Utilizando software instalado en las oficinas del cliente o con alojamiento a través de un proveedor gestionado
  • Comunique a los empleados en caso de emergencia cómo utilizarlo de forma remota, cuál es la interrupción y qué medidas tomar.
  • Emplee su teléfono móvil en lugar de un token de hardware tradicional en caso de emergencia
  • El sistema de autenticación de dos factores más fácil del sector
  • Integre usuarios ICE automáticamente mediante la pertenencia a un grupo LDAP
  • El despliegue se puede ampliar a hasta 100.000 usuarios por hora
  • Coste anual fijo, pago por usuario, sin gastos extra ocultos

Autenticación de dos factores sin token físico para la recuperación de desastres y la continuidad del negocio

Mantenga un acceso seguro para los usuarios durante las emergencias

En caso de emergencia, muchas organizaciones permiten que los usuarios existentes en localizaciones remotas se autentiquen con un nombre de usuario y contraseña estándar. Pero es entonces cuando la necesidad de un acceso seguro es máxima: durante las situaciones de emergencia las defensas de la empresa son más débiles y la amenaza de ataque es mayor.

SecurIce de SecurEnvoy es un enfoque revolucionario del antiguo problema de ofrecer acceso seguro a los sistemas de la sociedad en caso de emergencia, sin necesidad de autenticadores, tokens o tarjetas inteligentes.

ICE proporciona a los clientes la capacidad de activar una autenticación multifactor sólida y segura para los usuarios en caso de emergencia. La contraseña actual de Microsoft del usuario es el primer factor, y una contraseña enviada al teléfono móvil del usuario es el segundo. No es necesario que el usuario dé de alta y recuerde un PIN adicional, ni hacen falta tokens ni tarjetas inteligentes adicionales; es el sistema de autenticación de dos factores perfecto en caso de emergencia.

Elimine los retrasos causados por las áreas de recepción deficiente para los teléfonos móviles

Con un solo clic del Asistente de Despliegue de SecurEnvoy, se envían por SMS mensajes configurables de advertencia por catástrofe y contraseñas a toda una organización o a un grupo de usuarios identificado previamente. El usuario final simplemente se conecta al recurso protegido de su empresa.

Es posible enviar el SMS en tiempo real o se puede cargar previamente. Si se introduce un número de autenticaciones fallidas, se inhabilita al usuario final y no se enviarán contraseñas nuevas. Esta medida de seguridad impide que los hackers lleven a cabo ataques mediante la fuerza bruta.

Tokens de software

  • Ideales para los usuarios de smartphones, tablets y otros dispositivos similares.
  • Complementarias a la autenticación basada en SMS
  • Proporcionan al usuario final la libertad de elegir entre la autenticación por SMS, o de un token de software, y cambiar entre una y otra.

Para obtener más información acerca de los tokens de software, haga clic aquí.

Tipos de tokens

Requisitos de hardware

Sistemas operativos admitidos

  • Windows 2003
  • Windows 2003R2
  • Windows 2008
  • Windows 2008R2
  • Windows 2012

Integración

Para acceder a las guías de integración detalladas, visite www.securenvoy.es/support/integration

Base de datos

  • SecurEnvoy utiliza el servidor LDAP actual de su empresa como base de datos, no siendo necesario realizar cambios en los esquemas
  • Tipos de LDAP admitidos:-
  • Microsoft Active Directory
  • Novel eDirectory
  • Sun Directory Server
  • OpenLDAP
  • SecurEnvoy Managed Users a través del Microsoft Lightweight Directory Service (LDS o ADAM)
  • Otros servidores compatibles con LDAP

Seguridad

  • La generación de contraseñas utiliza un algoritmo conforme con la norma FIPS 140-2
  • Protección contra los ataques mediante la fuerza bruta
  • Todos los datos del usuario se almacenan cifrados utilizando el algoritmo AES de 256 bits
  • Prevención contra ataques de phishing
  • Prevención contra intrusos
  • Defensa contra el acceso al sistema mediante la pulsación de teclas
  • Los teléfonos móviles perdidos o robados se inhabilitan en el servidor.
  • Defensa contra el secuestro de cookies
  • Defensa contra las secuencias de comandos en sitios cruzados (cross-site scripting)

Gestión de PIN

PIN (del inglés Personal Identification Number – Código de Identificación Personal) SecurEnvoy admite los métodos de PIN siguientes

  • Contraseña LDAP actual como PIN (elimina una sobrecarga para el usuario)
  • PIN numérico o alfanumérico tradicional de 4-8 caracteres

Envío de contraseñas

  • Envío de mensajes SMS a través de un módem GSM de capacidad comercial, modems admitidos: Multitech, Wavecom, Siemens
  • Mensaje SMS a través de solución de gateway SMS de hardware
  • Mensajes SMS a través de gateway SMS de un tercero
  • Contraseñas a través del correo electrónico
  • Llamadas telefónicas con la tecnología VoIP

Tipos de códigos de acceso

  • Código precargado, enviado después de cada intento de autenticación, actualizando automáticamente el nuevo mensaje SMS el mensaje guardado anteriormente. Este método elimina los retrasos en la recepción de SMS y la pérdida intermitente de señal
  • Códigos de acceso en tiempo real, que admiten mensajes SMS con visualización instantánea en pantalla
  • Códigos diarios
  • Códigos de múltiples días
  • Códigos provisionales con limitación temporal que se transforman automáticamente en códigos de un solo uso tras su vencimiento

Migración

  • Facilidad para migrar del uso exclusivo de contraseña, a la solución de autenticación de dos factores de SecurEnvoy
  • Facilidad para migrar de una solución basada en token de hardware a la solución de SecurEnvoy

Despliegue

  • Sin dejar huella en el teléfono
  • Sin dejar huella en el punto de autenticación
  • Despliegue automático a gran escala de hasta 100.000 usuarios por hora, dependiendo de la pertenencia a un grupo o LDAP

Ventajas

Ventajas para los usuarios:

  • No es preciso que el usuario final recuerde un código o contraseña adicional, ya que puede usar su contraseña LDAP o de Microsoft.
  • El usuario final solo debe introducir un código o contraseña. Otros sistemas de autenticación de dos factores requieren un PIN separado.
  • Todo cuanto debe hacer es leer desde su teléfono un código de 6 cifras, sin aplicar ninguna manipulación matemática o algoritmo para derivar su contraseña.
  • El usuario final no necesita llevar dispositivos de autenticación adicionales.
  • Actualización dinámica del SMS anterior, sin tener que borrar los mensajes de texto antiguos
  • Token de software disponible como aplicación para todos los smartphones y entornos de ordenador de sobremesa/portátil.

Ventajas para la empresa:

  • Se admite cualquier teléfono móvil que pueda recibir mensajes SMS, sin problemas de retraso en la recepción de SMS que afecten al rendimiento. Este enfoque amplía la gama de usuarios, incluyendo no solo el personal interno sino también terceros e incluso consumidores.
  • Sin costes de adquisición, implantación y sustitución de tokens de hardware.
  • Poder prescindir de la resincronización de los tokens o del restablecimiento del PIN, por lo que se reduce el coste de administración del servicio de asistencia al usuario
  • El despliegue de la solución a miles de usuarios en cuestión de minutos a través de las herramientas de despliegue de SecurEnvoy reduce enormemente el coste de implantación y soporte.
  • La seguridad personal que proporciona al teléfono móvil del usuario supera con creces la prestada a un token de hardware que se vea obligado a llevar. Es más probable que el usuario final se dé cuenta del robo de su móvil y, lo que es más importante, es mucho más probable que denuncie su pérdida. Esto ofrece una mayor seguridad a la empresa en comparación con las soluciones basadas en tokens de hardware.

Solución diseñada para empresas de cualquier tamaño

Soporte multidominio total con redundancia y resistencia a los fallos.

“especialmente idóneo para las empresas con una plantilla numerosa y lejana” – ComputingSecurity

Escalabilidad

SecurEnvoy aprovecha la eficacia y capacidad de ampliación de Active Directory u otros servidores basados en LDAP como su base de datos principal. Todo calco es llevado a cabo por el software del sistema operativo (controladores de dominio)

El servidor Radius de SecurEnvoy puede llegar a realizar más de 50 autenticaciones por segundo ya que utiliza la estructura dotnet de última generación de Microsoft y servicios LDAP.

Dado que la siguiente contraseña de usuario necesaria no se requiere hasta la próxima autenticación, el retraso en el envío del siguiente mensaje de contraseña por SMS causado por el uso de la memoria intermedia con cargas pico no afectará al rendimiento de la autenticación.

La única limitación a la ampliación del sistema es el número de usuarios que puede gestionar Active Directory (u otros servidores LDAP) en un dominio individual.

Resistente a los fallos

Cada sitio puede incluir dos servidores de autenticación, de modo que si falla uno de estos servidores o si su pasarela de envío de SMS no puede enviar mensajes, este servidor rehusará la solicitud de autenticación entrante. Esto hará que el cliente Radius VPN o Agente IIS pase al siguiente servidor SecurEnvoy configurado. Dado que el precio de esta solución se basa en el número de usuarios, se pueden añadir servidores adicionales en caso necesario sin coste adicional.

Todos los datos de autenticación del usuario son almacenados y calcados en tiempo real por Active Directory, estando configurado cada servidor SecurEnvoy para hasta dos controladores de dominio Microsoft de forma que si falla el controlador de dominio actual entonces el servidor de SecurEnvoy pasará al siguiente controlador de dominio configurado.

SecurEnvoy es compatible con servidores instalados en cluster.

Failover automático en caso de fallo no requiere configuración ni desarrollo adicional, ya que:

Si un usuario de un sitio se autentica en un segundo sitio y está en el mismo dominio, la sincronización de Active Directory (u otro servidor LDAP) garantizará que la información de autenticación requerida esté disponible en ambos sitios y de este modo estará a disposición del servidor de autenticación de SecurEnvoy.

Se pueden configurar múltiples pasarelas de SMS, con failover automático a un sistema redundante en caso de fallo.

El funcionamiento correcto de cada pasarela de SMS se comprueba continuamente. Si falla una de ellas (por ejemplo, si se desconecta la alimentación de un módem SMS), la pasarela se verifica cada 60 segundos con instrucciones de restablecimiento e inicialización.

Capacidad multidominio

Cada servidor de seguridad SecurEnvoy se puede configurar con dos controladores de dominio para cada dominio que utilice su empresa, sin límite en cuanto al número de dominios. El componente de dominio de la identificación del usuario se usa entonces para cambiar dinámicamente el servidor de seguridad al dominio pertinente. Si no se facilita ningún componente de dominio en la identificación del usuario, se utiliza un dominio por defecto. Los dominios por defecto se establecen en la configuración de cada cliente Radius de forma que cada servidor VPN que se conecte se puede configurar con un dominio por defecto distinto.

Administración

Una vez implantado, las únicas tareas de administración necesarias son:

Habilitar cuentas bloqueadas en las que haya habido demasiadas autenticaciones fallidas

Actualizar números de móvil de los usuarios en caso de cambio (esta tarea se puede gestionar también a través del servicio de autoservicio, permitiendo que el propio usuario actualice su número)

Permitir el acceso de emergencia provisional en caso de pérdida del teléfono móvil (se puede también autogestionar a través del portal de autoservicio)

SecurEnvoy admite la administración basada en roles:

Full Admin: Acceso a todas las funciones GUI de administración incluyendo configuración de servidores, registro, configuración de usuarios y Radius.

Help Desk: Solo puede acceder a información del registro y configuración de usuarios

Help Desk Groups: Solo pueden administrar usuarios que sean miembros de un grupo Active Directory (u otro grupo LDAP) o de un grupo subjerarquizado.

Config: Únicamente ajustes de configuración del sistema, sin acceso a la autenticación de usuarios

Las funciones necesarias de administración se han reducido al mínimo. Dado que la información sobre los usuarios finales está ya disponible en Active Directory, no se precisa la gestión ni la resincronización de tokens de hardware, y no hace falta gestionar los PIN.

Gestión centralizada: Cada servidor de seguridad puede gestionar cualquier usuario de cualquier dominio, llevando a cabo la administración remota a través de un navegador (ie6, ie7, ie8 o Firefox).

Autenticación de dos factores para el cumplimiento normativo

Las empresas y organizaciones ya no pueden ignorar la autenticación de dos factores. Constituye ahora una parte importante de la vida diaria en el hogar y el trabajo de todos los usuarios. Las normativas y estándares de seguridad deben cumplirse.

SecurEnvoy es la solución más flexible y rentable en el mercado de la autenticación de dos factores. Ofrece soluciones de dos factores que satisfacen y superan el cumplimiento de preceptos como las normas PCI sobre la seguridad de los datos de las tarjetas de pago, el Código de Conexión (CoCo) de la red GCSx, las leyes estadounidenses HIPAA y SOX, la norma ISO 27001 y otras normativas del sector.

  • PCI Data Security Standards,
  • GCSx
  • CoCo,
  • HIPAA,
  • SOX,
  • ISO 27001,

SecurEnvoy cuenta con un conjunto de soluciones de autenticación de dos factores sin token de hardware (tokenless) que pueden aprovechar los dispositivos a los que tiene acceso el usuario final en su trabajo diario. Puede tratarse de un teléfono móvil, una línea fija física o una extensión de marcación directa, o un dispositivo como una tableta o un PC. SecurEnvoy no se limita a los teléfonos móviles: proporciona soluciones adpatados a los usuarios y sus dispsitivos.