Les Inventeurs de l’authentification sans jeton

SecurAccess

Authentification forte tokenless® sur téléphone portable pour accès à distance

Authentification forte tokenless® sur téléphone portable pour accès à distance

Les mots de passe ne sont pas assez sécurisés pour protéger les données d’entreprise des autres trois milliards d’utilisateurs en ligne. L’authentification forte fournit une sécurité robuste, nécessaire pour vous protéger. Se servir d’un élément dont l’utilisateur dispose déjà permet de fournir une solution sans heurts et économique permettant de mettre en œuvre l’authentification forte.

  • Logiciel sur site ou hébergé par le biais d’un prestataire géré
  • Utilisez votre téléphone ou dispositif en tant qu’authentificateur
  • Expérience de connexion 2FA la plus facile de l’industrie
  • Déployez automatiquement les utilisateurs via l’adhésion de groupe LDAP
  • Le déploiement peut prendre en charge jusqu’à 100 000 utilisateurs par heure
  • Coût annuel fixe, paiement par utilisateur, sans frais cachés
  • Donnez le contrôle à l’utilisateur, migrez vos propres téléphones/dispositifs.
  • Réduisez vos coûts de moitié par rapport aux alternatives traditionnelles de jetons matériels
  • Réutilisez les bases de données AD (LDAP) existantes.
  • Plus grand éventail de types sans jeton

Distribution de numéro d’identification par SMS réussie à 100 %

La stratégie clé pour utiliser avec succès la distribution par SMS des numéros d’identification est de résoudre la couverture de réseau intermittente et les retards de distribution de SMS.

Pouvoir choisir est essentiel.  Les méthodes brevetées de SecurAccess résolvent ces problèmes en utilisant :

  • Numéro d’identification préchargés une fois
  • Trois numéros d’identification pré-chargés une fois dans chaque message
  • Numéros d’identification réutilisables qui changent chaque jour ou pendant plusieurs jours

Autres options de distribution

  • Numéros d’identification par SMS en temps réel envoyés sur demande et bloqués par session
  • Les numéros d’identification peuvent être envoyés par courriel sécurisé
  • Applications de jeton virtuel  (détails supplémentaires)
  • Appel vocal avec numéros d’identification saisis sur le clavier du téléphone pour verrouiller le réseau vocal avec Internet

Auto-assistance

Une interface Web d’auto-assistance incluse permet aux utilisateurs de demander des numéros d’identification temporaires en cas de perte de téléphone

Expérience de l’utilisateur final

Une bonne sécurité ne doit pas être synonyme de complexité ajoutée, SecurAccess est conçu pour conserver une authentification aussi aisée que possible :

  • Réutilisation du mot de passe Microsoft existant (ou autre répertoire)
  • Mise à jour dynamique du message SMS précédent ; il n’est pas nécessaire de supprimer les anciens messages SMS (pré-chargés et codes à la journée)
  • Affichage clignotant du message directement sur l’écran principal (codes en temps réel)

Applications à jeton virtuel

  • Idéal pour les utilisateurs de dispositifs intelligents.
  • Complémentaire à l’authentification basée sur SMS
  • Donne à l’utilisateur final la liberté de choisir entre une authentification basée sur SMS ou une application à jeton virtuel et de passer de l’une à l’autre.

Pour de plus amples informations sur les applications à jeton virtuel, cliquez ici.

Types de jeton

Exigences matérielles

Système d’exploitation pris en charge

  • Windows 2003
  • Windows 2003R2
  • Windows 2008
  • Windows 2008R2

Intégration

Pour consulter des guides d’intégration, voir www.securenvoy.fr/support/integration-guides

Base de données

  • SecurEnvoy utilise le serveur LDAP existant de votre société en tant que base de données, aucun changement de schéma requis
  • Types de LDAP pris en charge : -
  • Microsoft Active Directory
  • Novel eDirectory
  • Sun Directory Server
  • OpenLDAP
  • Utilisateurs gérés de SecurEnvoy par le biais de Microsoft Lightweight Directory Service (LDS ou ADAM)
  • Autres serveurs LDAP conformes

Sécurité

  • La génération de numéro d’identification utilise un algorithme conforme à Fips140-2
  • Protection contre les attaques par force brutale
  • Toutes les données d’utilisateur sont mémorisées avec AES 256 bits cryptés
  • Prévention des attaques de phishing
  • Prévention contre les intrusions
  • Défense contre les enregistreurs de frappe
  • Le téléphone mobile perdu ou volé est désactivé au niveau du serveur.
  • Défense contre les détournements de session
  • Défense contre les cross-site scripting

Gestion de numéro d’identification personnel

Les numéros d’identification (PIN) SecurEnvoy prennent en charge les méthodes PIN suivantes

  • Mot de passe LDAP existant en tant que numéro d’identification personnel (élimine les coûts indirects liés à l’utilisateur)
  • Numéro d’identification personnel 4-8 numérique ou alphanumérique traditionnel

Distribution de numéro d’identification

  • Messages SMS distribués via un modem GSM de puissance commerciale. Modems pris en charge : Multitech, Wavecom, Siemens
  • Message SMS via bâti de modem matériel
  • Messages SMS via une passerelle Web tierce
  • Numéros d’identification de courriel
  • Appels téléphoniques voix sur IP

Types de numéro d’identification

  • Numéro d’identification pré-chargé, envoyé après chaque tentative d’identification avec les nouveaux messages par SMS mettant à jour automatiquement le message mémorisé précédemment. Ce mode élimine les retards de distribution par SMS et les pertes de signal intermittentes
  • Numéros d’identification en temps réel avec prise en charge pour les messages flash SMS et le blocage de session
  • Indicatifs quotidiens
  • Indicatifs quotidiens multiples
  • Codes temporaires limités dans le temps qui repassent automatiquement aux codes uniques après leur expiration

Migration

  • Prend en charge l’utilisateur de manière continue d’un simple mot de passe à une solution sans jeton SecurEnvoy
  • Prend en charge l’utilisateur de manière continue du passage d’une solution à jeton tierce à une solution sans jeton SecurEnvoy

Déploiement

  • Zéro trace sur le téléphone
  • Zéro trace au point d’authentication
  • Déploiement en masse automatique capable de prendre en charge jusqu’à 100 000 utilisateurs par heure, en fonction du LDAP ou de l’adhésion au groupe

Avantages

Avantages pour les utilisateur :

  • l’utilisateur final n’a pas besoin de se rappeler d’une autre information secrète, car il peut réutiliser le mot de passe Microsoft ou LDAP.
  • Les utilisateurs finaux n’ont besoin de saisir qu’un seul élément connu plutôt que deux informations, alors que tous les autres systèmes d’authentification forte nécessitent un numéro d’identification personnel séparé.
  • Lire un numéro d’identification standard à 6 chiffres depuis son téléphone est tout ce qui est requis de l’utilisateur, qui n’a donc pas besoin d’effectuer une manipulation mathématique pour générer son numéro d’identification.
  • L’utilisateur final n’a pas besoin de transporter de dispositifs d’authentification supplémentaire.
  • Mise à jour dynamique du message SMS précédent, par conséquent, il n’est pas nécessaire de supprimer les anciens messages SMS
  • Application de jeton virtuel disponible à tous les smartphones et environnements de bureau/ordinateur portable

Avantages pour l’entreprise

  • Tout téléphone portable pouvant recevoir un message SMS est pris en charge sans problèmes de retard de distribution de SMS, affectant la performance. Cette approche augmente l’éventail d’utilisateurs incluant non seulement le personnel interne, mais aussi les tierces parties et même les consommateurs.
  • Pas de coûts de déploiement ou remplacement de jetons.
  • Le fait qu’il ne soit pas nécessaire de synchroniser à nouveau ou de réinitialiser les numéros d’identification personnel réduit les coûts d’administration du service d’assistance
  • Le déploiement à des milliers d’utilisateurs en quelques minutes via l’assistant de déploiement de SecurEnvoy diminue les coûts de déploiement et de prise en charge des authentifications fortes.
  • La sécurité personnelle payée pour le téléphone mobile de l’utilisateur dépasse largement celle que coûte un jeton matériel que l’utilisateur est forcé de payer. Il est plus probable que les utilisateurs finaux remarqueront que leur téléphone portable a été volé et ce qui est plus important, il est beaucoup plus probable qu’ils signalent ce vol. Par conséquent, l’entreprise bénéficie d’une plus grande sécurité par rapport aux solutions basées sur jeton.

Solution de classe entreprise

Support complet pour domaine multiple avec redondance et tolérance de faute intégrées.

« particulièrement bien adapté aux enterprises avec une main-d’œuvre à distance importante » ComputingSecurity

EXTENSIBILITÉ

SecurEnvoy exploite la puissance et l’extensibilité d’Active Directory ou d’autres serveurs basés sur LDAP comme base de données principale. Toutes les actions de duplication sont réalisées par le logiciel du système d’exploitation (contrôleurs de domaine).

Le serveur Radius de SecurEnvoy peut augmenter sa capacité jusqu’à plus de 50 authentifications par seconde, car il utilise le cadre dotnet de génération suivante de Microsoft et les services LDAP.

Étant donné que le numéro d’identification suivant nécessaire de l’utilisateur n’est pas requis jusqu’à l’authentification suivante, tout retard temporisé au moment des pointes de distribution du message suivant de numéro d’identification par SMS n’affectera pas la performance d’authentification.

La seule limitation imposée sur l’extensibilité du système est le nombre d’utilisateurs que l’Active Directory (ou autres serveurs LDAP) peut gérer en un seul domaine.

Insensibilité aux défaillances

Chaque site est conçu avec deux serveurs d’authentification. Ainsi si l’un des serveurs est défaillant ou si son portail de distribution SMS n’a pas pu envoyer les messages SMS, alors ce serveur ne prendra pas en charge la demande d’authentification. Cette action entraînera le basculement du client VPN Radius ou de l’Agent IIS vers le serveur SecurEnvoy configuré suivant. Notez que cette solution est facturée par utilisateur, ce qui permet d’ajouter des serveurs supplémentaires le cas échéant sans coûts additionnels.

Toutes les données d’authentification d’utilisateur sont stockées et dupliquées en temps réel par l’Active Directory et chaque serveur SecurEnvoy est configuré pour jusqu’à deux contrôleurs de domaine Microsoft, qui font que si un contrôleur de domaine existant est défaillant, alors le serveur de SecurEnvoy basculera au contrôleur de domaine configuré suivant.

SecurEnvoy est pris en charge sur des serveurs groups si nécessaire.

Le basculement entre les sites est pris en charge out the box sans développement supplémentaire requis, comme suit :

Si un utilisateur d’un site s’authentifie à un deuxième site et se trouve dans le meme domaine, alors la synchronization de l’Active Directory (ou autre serveur LDAP) assurera que les informations d’authentification requises sont disponibles sur les deux sites et seront par consequent disponibles au serveur d’authentification de SecurEnvoy.

Des portails SMS multiples peuvent être configurés avec basculement.

Chaque portail SMS subit un contrôle continu pour assurer le bon fonctionnement. Si l’un d’entre eux subit une défaillance, par exemple en cas de coupure de courant sur un modem SMS, alors ce portail est polarisé toutes les 60 secondes avec des commandes de réinitialisation et d’initialisation.

Support sur domaine multiple

Chaque serveur de sécurité SecurEnvoy peut être configuré avec deux contrôleurs de domaine pour chaque domaine utilisé par votre société, sans limite de nombre de domaines. Le composant de domaine de l’ID d’utilisateur est ensuite utilisé pour basculer le serveur de sécurité vers le domaine pertinent. Si aucun composant de domaine est donné dans l’ID d’utilisateur, alors un domaine par défaut est utilisé. Les domaines par défaut sont disposés à chaque configuration client Radius, afin que chaque serveur RVP de connexion puisse être configuré avec un domaine par défaut séparé.

Administration

Les seules tâches d’administration continues requises sont les suivantes :

Réactiver un compte bloqué pour lequel il y a eu trop d’échecs d’authentification depuis la dernière authentification réussie

Mettre à jour les numéros de mobile d’utilisateurs (peut être auto-géré via l’assistance technique si nécessaire)

Permettre un accès d’urgence temporaire si un téléphone mobile est perdu (peut également être auto-géré via l’assistance technique si nécessaire)

SecurEnvoy prend en charge l’administration à base de profils avec les deux rôles suivants :

Admin. totale : accès à toutes les fonctions d’administration GUI y compris configuration de serveur, journalisation, Radius et paramètres d’utilisateur.

Service d’assistance : peut uniquement accéder aux paramètres d’utilisateur et aux informations de journalisation.

Groupes de service d’assistance : peut uniquement gérer les utilisateurs qui sont membres d’un groupe Active Directory (ou autre LDAP) ou groupe de sous-liste.

Config. : paramètres de configuration du système uniquement, pas d’accès à l’authentification d’utilisateur

Les coûts indirects d’administration sont maintenus le plus bas possible, car les informations d’utilisateur final sont déjà disponibles dans l’Active Directory, aucune gestion de jeton, ni resynchronisation n’est requise et il n’est pas nécessaire de réaliser la gestion des numéros d’identification personnels.

La gestion centralisée prend est prise en charge de la manière suivante.  Chaque serveur de sécurité peut gérer n’importe quel utilisateur dans n’importe quel domaine avec l’administration à distance accédée via un navigateur (ie6,ie7, ie8 ou Firefox).

Authentification forte pour conformité réglementaire

Les entreprises et les organisations ne peuvent plus ignorer l’authentification forte. Il s’agit désormais d’un élément important du quotidien dans le cadre professionnel et privé de tous les utilisateurs.  Les normes de conformité et réglementaires doivent être satisfaites et observées.

SecurEnvoy est la solution la plus flexible et la plus rentable du marché de l’authentification forte. SecurEnvoy fournit des solutions d’authentification forte sans jeton qui répondent et vont au delà de la conformité réglementaire, telle que les normes de sécurité des données PCI, GCSx CoCo, HIPAA, SOX, ISO 27001 et autres règlementations de l’industrie.

  • PCI Data Security Standards,
  • GCSx
  • CoCo,
  • HIPAA,
  • SOX,
  • ISO 27001,

SecurEnvoy dispose d’un ensemble de solutions d’authentification forte sans jeton qui exploitent les dispositifs auxquels l’utilisateur final a accès dans le cadre de leur travail quotidien. Il peut s’agir d’un téléphone portable, d’une ligne fixe, d’un poste direct ou d’un dispositif tel qu’une tablette ou un PC. SecurEnvoy n’est pas simplement limité à un téléphone portable, mais procure des solutions correspondant à la manière dont les utilisateurs aiment travailler et avec les dispositifs dont ils souhaitent se servir.