Разработчики бестокенной аутентификации (Tokenless)

SecurePassword

2-х факторная аутентификация позволяет самостоятельно сбрасывать пароль

При нашем растущем доверии к IT количество и сложность паролей, приходящихся на каждого пользователя, превышает разумные пределы. Как правило, при необходимости смены пароля ваша IT-служба оказывается перегруженной запутавшимися пользователями, заблокировавшими самим себе доступ в локальную сеть. А здесь предлагается новый революционный подход к защите паролем.

  • На исходном программном обеспечении или размещенном уполномоченным провайдером
  • Сброс пароля посредством 2-х факторной аутентификации tokenless
  • Воспользуйтесь своим мобильным телефоном для подтверждения собственной идентификации перед сбросом
  • Смс-уведомление об истечении срока действия пароля
  • Хранит 90% входящих запросов на сброс пароля через консультационный интерфейс
  • Автоматически применяется пользователями за счет членства в группе LDAP
  • Дистанционный сброс пароля через браузер
  • Местный сброс пароля в точке входе
  • Фиксированная годовая стоимость для пользователя без скрытых комиссий

2-х факторная аутентификация позволяет самостоятельно сбрасывать пароль

Пользователи представляют себе регулярную смену паролей достаточно сложной процедурой, приводящей к постоянной занятости консультационной службы.

Если пользователь забыл свой пароль, консультационная служба должна не только помочь ему в смене пароля, н и удостовериться в том, что пользователь именно тот, за кого себя выдает!

Отдавая управление в руки пользователя, конечному пользователю предоставляется возможность самостоятельного сброса собственного пароля процедурой 2-х факторной аутентификации, благодаря чему проблема легко разрешается и быстро преодолевается.

За счет внедрения программы организациями получена прибыль на капиталовложения за 16 недель при одновременном 100% сокращении запросов в консультационную службу на сброс паролей.

  • Конечный пользователь входит на автоматизированную веб-страницу самостоятельной консультации или выбирает вариант «сбросить пароль»
  • Пользователь производит операцию 2-х факторной аутентификации шифрованным паролем со своего мобильного телефона
  • Дополнительно пользователь может оповещаться о секретной информации или имеющейся информации, такой, как его табельный номер вместо PIN
  • После завершения аутентификации пользователю предлагается ввести новый пароль Microsoft Windows, соответствующий набору правил для пароля.
  • SecurPassword производит сброс пароля в Active Directory в реальном времени

Серверное программное обеспечение можно установить на любой имеющийся сервер Microsoft Windows, поддерживающий виртуальную среду.

Приложения программных токенов (Soft Token)

  • Идеального соответствия пользователям «интеллектуальных» устройств.
  • В дополнение к аутентификации на основе смс
  • Конечному пользователю предоставляется свобода выбора между аутентификацией на основе смс и приложения Soft Token, а также свобода переключения между ними.

Щелкните здесь, чтобы подробнее узнать о приложениях soft token.

Типы токенов

Требования к аппаратной части

Поддерживаемые ОС

  • Windows 2003
  • Windows 2003R2
  • Windows 2008
  • Windows 2008R2

Интеграция

Подробные  инструкции  по интеграции  здесь www.securenvoy.ru/support/integration

База данных

  • Программное обеспечение SecurEnvoy использует имеющийся сервер LDAP вашей компании для хранения своей базы данных, изменения функциональной схемы не требуется
  • Поддерживаемые типы LDAP:-
  • Microsoft Active Directory
  • Novel eDirectory
  • Sun Directory Server
  • OpenLDAP
  • SecurEnvoy Managed Users посредством Microsoft Lightweight Directory Service (LDS или ADAM)
  • Другие LDAP-совместимые серверы

Безопасность

  • Генерирование шифрованного пароля производится с помощью алгоритма, совместимого с Fips140-2
  • Защита от Brute force attack (переборного криптоанализа)
  • Все данные пользователя хранятся с зашифрованным битом AES 256
  • Предотвращение фишинговых атак
  • Предотвращение проникновения
  • Защита от съема ввода с клавиатуры
  • Потерянный или украденный мобильный телефон блокируется на сервере.
  • Защита от высокой активности сookie
  • Защита от межсайтового скриптинга

Изменение PIN

PIN (персональный идентификационный номер) SecurEnvoy поддерживает следующие способы PIN

  • Существующий пароль LDAP в качестве PIN (снимает перегрузку с пользователя)
  • Стандартный 4-8 знаковый цифровой или буквенный PIN

Передача пароля

  • Смс передаются через модем GSM коммерческого класса,  поддерживаемые модемы: Multitech, Wavecom, Siemens
  • Смс через аппаратную модемную стойку
  • Смс через интернет-шлюз третьей стороны
  • Шифрованные пароли электронной почты
  • Телефонные звонки Voip

Типы шифрованных паролей

  • Предварительно загруженные шифрованные пароли, высылаемые после каждой попытки аутентификации с новыми смс, автоматически обновляющими уже хранимое сообщение. Это режим исключает задержки доставки смс и промежуточные потери сигнала
  • Шифрованные пароли реального времени будут поддерживать флэш смс и блокировку сеанса
  • Дневные коды
  • Многодневные коды
  • Временные коды с ограниченным сроком действия, автоматически переключающиеся после истечения срока назад на однократные коды

Миграция

  • Невидимый для пользователя переход  на решение SecurEnvoy Tokenless
  • Невидимый для пользователя переход с имеющегося решения Token третьей стороны на решение SecurEnvoy Tokenless

Развертывание

  • Никаких следов в телефоне
  • Никаких следов в точке аутентификации
  • Автоматическое развертывание , до 100 тысяч пользователей в час, в зависимости от LDAP или членства в группе

Преимущества

Преимущества для пользователей:

  • Конечному пользователю не требуется помнить дополнительную секретную часть информации, поскольку можно воспользоваться паролем Microsoft или LDAP.
  • Конечному пользователю необходимо только ввести одну позицию, которую проще запомнить, чем две информационные части, поскольку все прочие 2-компонентные системы аутентификации требуют отдельный PIN.
  • Стандартный отраслевой 6-разрядный шифрованный пароль – вот все, что требуется от пользователей для считывания с телефона, следовательно, отпадает необходимость математических вычислений для получения своего шифрованного кода.
  • Конечным пользователям не требуется иметь дополнительных аутентификационных устройств.
  • Динамического обновления предыдущей смс; отсутствия необходимости удаления старых текстовых сообщений
  • Приложение Soft Token существует для всех смартфонов и настольных/мобильных устройств

Преимущества для бизнеса:

  • Поддержка любого мобильного телефона, способного принимать смс, без каких-либо проблем с задержками, влияющими на производительность. Такой подход расширяет диапазон пользователей, включая не только внутренний персонал, но и третьи стороны, и даже покупателей.
  • бесплатное использование или замена token.
  • Не требуется повторная синхронизация или сброс PIN, что сокращает затраты на администрирование консультационной службы
  • Использование тысячами пользователей в течение считанных минут через Мастера применения SecurEnvoy существенно снижает стоимость использования и поддержки 2-х факторной аутентификации.
  • Личная безопасность, обеспечиваемая мобильным телефоном пользователя, многократно превосходит стоимость аппаратного обеспечения token с теми же функциями. Конечные пользователи скорее обратят внимание на кражу своего мобильного телефона, и что гораздо важнее,  сообщат о его краже. Поэтому важно обеспечить повышенную безопасность деловой информации, передаваемой с помощью решений на основе token.

Решение для  предприятий

Полная мульти-доменная поддержка с резервированием и встроенным допуском по отказам.

«Особенно хорошо походит для бизнеса с большим количеством  удаленных сотрудников» - ComputingSecurity

НАРАЩИВАЕМОСТЬ

Программа SecurEnvoy использует масштабируемость Active Directory или других серверов на основе LDAP, а также их основные базы данных.  Вся репликация выполняется операционной системой (доменными контроллерами)

Сервер RADIUS  ПО SecurEnvoy способен исполнять более 50 операций аутентификации в секунду при условии использования платформы .NET Framework следующего поколения компании Microsoft и сервисов LDAP.

Поскольку следующий требуемый шифрованный пароль пользователя не требуется до следующей аутентификации, любая задержка буферизации при пиковой нагрузке в процессе передачи смс со следующим шифрованным паролем не скажется на производительности аутентификации.

Единственным ограничением масштабируемости системы является количество пользователей, которое может обрабатываться Active Directory (или другими сервисами LDAP) в любом конкретном домене.

Допуск на отказы

На каждом сайте предусматривается наличие двух аутентификационных серверов, то есть при отказе одного из серверов или невозможности передачи смс его шлюзом SMS, такой сервер пропустит входящий запрос аутентификации. Эта операция приведет к переключению клиента VPN RADIUS или агента IIS на следующий сконфигурированный сервер SecurEnvoy. Просим обратить внимание, что данное решение оплачивается пользователем, дополнительные серверы могут вводиться по мере необходимости бесплатно.

Хранение и репликация всех аутентификационных данных пользователя производится в реальном масштабе времени посредством Active Directory с каждым сервером SecurEnvoy, сконфигурированным на два доменных контроллера Microsoft таким образом, что при отказе имеющегося доменного контроллера сервер SecurEnvoy переключится на следующий сконфигурированный доменный контроллер.

При необходимости SecurEnvoy поддерживается на кластеризированных серверах

Переключение между сайтами при отказе поддерживается извне без дополнительных мер следующим образом:

Если пользователь с одного сайта производит аутентификацию на втором сайте, находясь в том же домене, то синхронизация Active Directory (или другого сервера LDAP) обеспечит доступность аутентификационной информации на обоих сайтах, и, таким образом -  доступность для аутентификационного сервера SecurEnvoy.

Несколько смс-шлюзов можно сконфигурировать с переключением при отказе.

Правильность работы каждого смс-шлюза непрерывно контролируется. Например, при отказе одного из шлюзов, вызванного пропаданием напряжения питания подключенного смс-модема, на такой шлюз каждые 60 секунд подаются команды сброса и инициализации.

Мульти-доменная поддержка

Каждый сервер безопасности SecurEnvoy можно сконфигурировать с двумя доменными контроллерами, ваша компания может пользоваться неограниченным количеством доменов.  Доменный компонент пользовательского ID используется затем для динамической коммутации сервера безопасности на соответствующий домен. При отсутствии доменного компонента в пользовательском ID используется домен по умолчанию. Домены по умолчанию задаются в конфигурации каждого клиента RADIUS таким образом, чтобы каждый подключенный сервер VPN можно было сконфигурировать с отдельным доменом по умолчанию.

Администрирование

Ниже перечислены только неотложные текущие задачи администрирования:

Снять запрет с заблокированной учетной записи, где имеется слишком много неудачных аутентификаций после удачной

Обновить номера мобильных телефонов пользователей (при необходимости можно проделать это самостоятельно через консультационный интерфейс)

Временно разрешить экстренный доступ при утрате мобильного телефона (при необходимости можно проделать это самостоятельно через консультационный интерфейс)

В  ПО SecurEnvoy предусмотрено двухуровневое администрирование:

Full Admin (полноправный администратор): Доступ ко всем администраторским функциям GUI (ГИП, графический интерфейс пользователя), включая конфигурирование сервера, настройку входа, протокола RADIUS и пользователя.

Консультационный интерфейс: Возможен доступ только к настройке пользователя и к сведениям лога

Консультационные группы: Возможно администрирование только пользователей, состоящих в группе Active Directory (или другой LDAP) или в подгруппе.

Config: Только настройки системной конфигурации без доступа к аутентификации пользователя

Главные функции администратора сокращены до минимума, поскольку информация конечного пользователя уже доступна в Active Directory, не требуется регулирование token или повторная синхронизация, а также настройка PIN.

Централизованное управление поддерживается следующим образом. Каждый сервер безопасности имеет возможность обрабатывать любого пользователя в любом домене посредством дистанционного администрирования через браузер (ie6, ie7,  ie8 или Firefox).

2-х факторная аутентификация для соблюдения установленных норм

Компании не могут больше игнорировать 2-х  факторную аутентификацию. Она стала для всех пользователей главной частью повседневной работы и частной жизни. Необходимо обеспечивать соответствие и соблюдать требования нормативных документов и стандартов.

Программа  SecurEnvoy является наиболее гибким и экономически выгодным решением на рынке двухфакторных приложений. ПО SecurEnvoy обеспечивает 2-х факторные  решенияTokenless, соответствующие требованиям таких нормативных документов, как «Стандарты защиты данных PCI», CoCo GCS, HIPAA, SOX, ISO 27001 и других промышленных нормативных документов.

  • PCI Data Security Standards,
  • GCSx
  • CoCo,
  • HIPAA,
  • SOX,
  • ISO 27001,

SecurEnvoy представляет собой пакет  двухфакторных  бестокенных решений (Tokenless), реализующий управление устройствами и доступом к ним пользователей в повседневной работе. Устройствами могут быть мобильный телефон, физическая линия связи или непосредственный отвод, планшетили настольный компьютер. Программа  SecurEnvoy не ограничивается только мобильным телефоном, а предоставляет пользователю решения для наилучшей организации его работы с устройствами по его выбору.