Les Inventeurs de l’authentification sans jeton

SecurePassword

L’Authentification forte rencontre la réinitialisation de mot de passe en auto-assistance

Vu notre dépendance croissante sur l’informatique, le nombre et la complexité des mots de passe par utilisateur devient un coût indirect important. En général, lorsqu’il est nécessaire de changer le mot de passe, votre service d’assistance informatique ne peut pas prendre en charge le grand nombre d’utilisateurs dépassés, qui ont pu se bloquer du réseau.  Voici une approche complètement révolutionnaire à la sécurité du mot de passe.

  • Logiciel sur site ou hébergé par le biais d’un prestataire géré
  • Réinitialisation de mot de passe par le biais de l’authentification forte sans jeton
  • Utilisez votre téléphone portable pour prouver votre identité avant de réinitialiser
  • Notification d’expiration de mot de passe via SMS
  • Diminue de 90 % les réinitialisations continues de mot de passe auprès du service d’assistance
  • Déployez automatiquement les utilisateurs via l’adhésion de groupe LDAP
  • Réinitialisation à distance du mot de passe par le biais du navigateur
  • Réinitialisation locale du mot de passe au point de connexion
  • Coût annuel fixe, paiement par utilisateur, sans frais cachés

L’Authentification forte rencontre la réinitialisation de mot de passe en auto-assistance

Demander à l’utilisateur de changer régulièrement son mot de passe en élément complexe entraîne des charges de travail encore plus importantes pour les services d’assistance déjà très occupés.

Lorsqu’un utilisateur oublie un mot de passe, le service d’assistance doit non seulement l’aider à le changer, mais également identifier que l’utilisateur est bien qui il prétend être  !

Permettre à l’utilisateur final de prendre le contrôle lui permet de réinitialiser son propre mot de passe grâce à l’authentification forte, ce qui résout facilement et rapidement le problème.

Les organisations ont constaté un RCI de 16 semaines pour cette mise en œuvre et certaines signalent une réduction de 100 % des demandes de réinitialisation des mots de passe auprès du service d’assistance.

  • L’utilisateur final se connecte à une page Web d’auto-assistance automatisée ou sélectionnent « Réinitialiser mot de passe »
  • L’utilisateur effectue une authentification forte en se servant du numéro d’identification depuis son téléphone portable
  • De manière facultative, l’utilisateur peut être invité à donner une information secrète ou une information existante, telle que son numéro d’employé, plutôt qu’un numéro d’identification personnelle
  • Une fois l’authentification réalisée, l’utilisateur est invité à saisir un nouveau mot de passe Microsoft Windows qui doit être conforme aux réglementations de mot de passe définies.
  • SecurPassword reinitialise le mot de passe dans Active Directory en temps réel

Le logiciel du serveur peut être installé sur un serveur Microsoft Windows existant et prend en charge les environnements virtuels.

Applications à jeton virtuel

  • Idéal pour les utilisateurs de dispositifs intelligents.
  • Complémentaire à l’authentification basée sur SMS
  • Donne à l’utilisateur final la liberté de choisir entre une authentification basée sur SMS ou une application à jeton virtuel et de passer de l’une à l’autre.

Pour de plus amples informations sur les applications à jeton virtuel, cliquez ici.

Types de jeton

Exigences matérielles

Système d’exploitation pris en charge

  • Windows 2003
  • Windows 2003R2
  • Windows 2008
  • Windows 2008R2

Intégration

Pour consulter des guides d’intégration, voir www.securenvoy.fr/support/integration-guides

Base de données

  • SecurEnvoy utilise le serveur LDAP existant de votre société en tant que base de données, aucun changement de schéma requis
  • Types de LDAP pris en charge : -
  • Microsoft Active Directory
  • Novel eDirectory
  • Sun Directory Server
  • OpenLDAP
  • Utilisateurs gérés de SecurEnvoy par le biais de Microsoft Lightweight Directory Service (LDS ou ADAM)
  • Autres serveurs LDAP conformes

Sécurité

  • La génération de numéro d’identification utilise un algorithme conforme à Fips140-2
  • Protection contre les attaques par force brutale
  • Toutes les données d’utilisateur sont mémorisées avec AES 256 bits cryptés
  • Prévention des attaques de phishing
  • Prévention contre les intrusions
  • Défense contre les enregistreurs de frappe
  • Le téléphone mobile perdu ou volé est désactivé au niveau du serveur.
  • Défense contre les détournements de session
  • Défense contre les cross-site scripting

Gestion de numéro d’identification personnel

Les numéros d’identification (PIN) SecurEnvoy prennent en charge les méthodes PIN suivantes

  • Mot de passe LDAP existant en tant que numéro d’identification personnel (élimine les coûts indirects liés à l’utilisateur)
  • Numéro d’identification personnel 4-8 numérique ou alphanumérique traditionnel

Distribution de numéro d’identification

  • Messages SMS distribués via un modem GSM de puissance commerciale. Modems pris en charge : Multitech, Wavecom, Siemens
  • Message SMS via bâti de modem matériel
  • Messages SMS via une passerelle Web tierce
  • Numéros d’identification de courriel
  • Appels téléphoniques voix sur IP

Types de numéro d’identification

  • Numéro d’identification pré-chargé, envoyé après chaque tentative d’identification avec les nouveaux messages par SMS mettant à jour automatiquement le message mémorisé précédemment. Ce mode élimine les retards de distribution par SMS et les pertes de signal intermittentes
  • Numéros d’identification en temps réel avec prise en charge pour les messages flash SMS et le blocage de session
  • Indicatifs quotidiens
  • Indicatifs quotidiens multiples
  • Codes temporaires limités dans le temps qui repassent automatiquement aux codes uniques après leur expiration

Migration

  • Prend en charge l’utilisateur de manière continue d’un simple mot de passe à une solution sans jeton SecurEnvoy
  • Prend en charge l’utilisateur de manière continue du passage d’une solution à jeton tierce à une solution sans jeton SecurEnvoy

Déploiement

  • Zéro trace sur le téléphone
  • Zéro trace au point d’authentication
  • Déploiement en masse automatique capable de prendre en charge jusqu’à 100 000 utilisateurs par heure, en fonction du LDAP ou de l’adhésion au groupe

Avantages

Avantages pour les utilisateur :

  • l’utilisateur final n’a pas besoin de se rappeler d’une autre information secrète, car il peut réutiliser le mot de passe Microsoft ou LDAP.
  • Les utilisateurs finaux n’ont besoin de saisir qu’un seul élément connu plutôt que deux informations, alors que tous les autres systèmes d’authentification forte nécessitent un numéro d’identification personnel séparé.
  • Lire un numéro d’identification standard à 6 chiffres depuis son téléphone est tout ce qui est requis de l’utilisateur, qui n’a donc pas besoin d’effectuer une manipulation mathématique pour générer son numéro d’identification.
  • L’utilisateur final n’a pas besoin de transporter de dispositifs d’authentification supplémentaire.
  • Mise à jour dynamique du message SMS précédent, par conséquent, il n’est pas nécessaire de supprimer les anciens messages SMS
  • Application de jeton virtuel disponible à tous les smartphones et environnements de bureau/ordinateur portable

Avantages pour l’entreprise

  • Tout téléphone portable pouvant recevoir un message SMS est pris en charge sans problèmes de retard de distribution de SMS, affectant la performance. Cette approche augmente l’éventail d’utilisateurs incluant non seulement le personnel interne, mais aussi les tierces parties et même les consommateurs.
  • Pas de coûts de déploiement ou remplacement de jetons.
  • Le fait qu’il ne soit pas nécessaire de synchroniser à nouveau ou de réinitialiser les numéros d’identification personnel réduit les coûts d’administration du service d’assistance
  • Le déploiement à des milliers d’utilisateurs en quelques minutes via l’assistant de déploiement de SecurEnvoy diminue les coûts de déploiement et de prise en charge des authentifications fortes.
  • La sécurité personnelle payée pour le téléphone mobile de l’utilisateur dépasse largement celle que coûte un jeton matériel que l’utilisateur est forcé de payer. Il est plus probable que les utilisateurs finaux remarqueront que leur téléphone portable a été volé et ce qui est plus important, il est beaucoup plus probable qu’ils signalent ce vol. Par conséquent, l’entreprise bénéficie d’une plus grande sécurité par rapport aux solutions basées sur jeton.

Solution de classe entreprise

Support complet pour domaine multiple avec redondance et tolérance de faute intégrées.

« particulièrement bien adapté aux enterprises avec une main-d’œuvre à distance importante » ComputingSecurity

EXTENSIBILITÉ

SecurEnvoy exploite la puissance et l’extensibilité d’Active Directory ou d’autres serveurs basés sur LDAP comme base de données principale. Toutes les actions de duplication sont réalisées par le logiciel du système d’exploitation (contrôleurs de domaine).

Le serveur Radius de SecurEnvoy peut augmenter sa capacité jusqu’à plus de 50 authentifications par seconde, car il utilise le cadre dotnet de génération suivante de Microsoft et les services LDAP.

Étant donné que le numéro d’identification suivant nécessaire de l’utilisateur n’est pas requis jusqu’à l’authentification suivante, tout retard temporisé au moment des pointes de distribution du message suivant de numéro d’identification par SMS n’affectera pas la performance d’authentification.

La seule limitation imposée sur l’extensibilité du système est le nombre d’utilisateurs que l’Active Directory (ou autres serveurs LDAP) peut gérer en un seul domaine.

Insensibilité aux défaillances

Chaque site est conçu avec deux serveurs d’authentification. Ainsi si l’un des serveurs est défaillant ou si son portail de distribution SMS n’a pas pu envoyer les messages SMS, alors ce serveur ne prendra pas en charge la demande d’authentification. Cette action entraînera le basculement du client VPN Radius ou de l’Agent IIS vers le serveur SecurEnvoy configuré suivant. Notez que cette solution est facturée par utilisateur, ce qui permet d’ajouter des serveurs supplémentaires le cas échéant sans coûts additionnels.

Toutes les données d’authentification d’utilisateur sont stockées et dupliquées en temps réel par l’Active Directory et chaque serveur SecurEnvoy est configuré pour jusqu’à deux contrôleurs de domaine Microsoft, qui font que si un contrôleur de domaine existant est défaillant, alors le serveur de SecurEnvoy basculera au contrôleur de domaine configuré suivant.

SecurEnvoy est pris en charge sur des serveurs groups si nécessaire.

Le basculement entre les sites est pris en charge out the box sans développement supplémentaire requis, comme suit :

Si un utilisateur d’un site s’authentifie à un deuxième site et se trouve dans le meme domaine, alors la synchronization de l’Active Directory (ou autre serveur LDAP) assurera que les informations d’authentification requises sont disponibles sur les deux sites et seront par consequent disponibles au serveur d’authentification de SecurEnvoy.

Des portails SMS multiples peuvent être configurés avec basculement.

Chaque portail SMS subit un contrôle continu pour assurer le bon fonctionnement. Si l’un d’entre eux subit une défaillance, par exemple en cas de coupure de courant sur un modem SMS, alors ce portail est polarisé toutes les 60 secondes avec des commandes de réinitialisation et d’initialisation.

Support sur domaine multiple

Chaque serveur de sécurité SecurEnvoy peut être configuré avec deux contrôleurs de domaine pour chaque domaine utilisé par votre société, sans limite de nombre de domaines. Le composant de domaine de l’ID d’utilisateur est ensuite utilisé pour basculer le serveur de sécurité vers le domaine pertinent. Si aucun composant de domaine est donné dans l’ID d’utilisateur, alors un domaine par défaut est utilisé. Les domaines par défaut sont disposés à chaque configuration client Radius, afin que chaque serveur RVP de connexion puisse être configuré avec un domaine par défaut séparé.

Administration

Les seules tâches d’administration continues requises sont les suivantes :

Réactiver un compte bloqué pour lequel il y a eu trop d’échecs d’authentification depuis la dernière authentification réussie

Mettre à jour les numéros de mobile d’utilisateurs (peut être auto-géré via l’assistance technique si nécessaire)

Permettre un accès d’urgence temporaire si un téléphone mobile est perdu (peut également être auto-géré via l’assistance technique si nécessaire)

SecurEnvoy prend en charge l’administration à base de profils avec les deux rôles suivants :

Admin. totale : accès à toutes les fonctions d’administration GUI y compris configuration de serveur, journalisation, Radius et paramètres d’utilisateur.

Service d’assistance : peut uniquement accéder aux paramètres d’utilisateur et aux informations de journalisation.

Groupes de service d’assistance : peut uniquement gérer les utilisateurs qui sont membres d’un groupe Active Directory (ou autre LDAP) ou groupe de sous-liste.

Config. : paramètres de configuration du système uniquement, pas d’accès à l’authentification d’utilisateur

Les coûts indirects d’administration sont maintenus le plus bas possible, car les informations d’utilisateur final sont déjà disponibles dans l’Active Directory, aucune gestion de jeton, ni resynchronisation n’est requise et il n’est pas nécessaire de réaliser la gestion des numéros d’identification personnels.

La gestion centralisée prend est prise en charge de la manière suivante.  Chaque serveur de sécurité peut gérer n’importe quel utilisateur dans n’importe quel domaine avec l’administration à distance accédée via un navigateur (ie6,ie7, ie8 ou Firefox).

Authentification forte pour conformité réglementaire

Les entreprises et les organisations ne peuvent plus ignorer l’authentification forte. Il s’agit désormais d’un élément important du quotidien dans le cadre professionnel et privé de tous les utilisateurs.  Les normes de conformité et réglementaires doivent être satisfaites et observées.

SecurEnvoy est la solution la plus flexible et la plus rentable du marché de l’authentification forte. SecurEnvoy fournit des solutions d’authentification forte sans jeton qui répondent et vont au delà de la conformité réglementaire, telle que les normes de sécurité des données PCI, GCSx CoCo, HIPAA, SOX, ISO 27001 et autres règlementations de l’industrie.

  • PCI Data Security Standards,
  • GCSx
  • CoCo,
  • HIPAA,
  • SOX,
  • ISO 27001,

SecurEnvoy dispose d’un ensemble de solutions d’authentification forte sans jeton qui exploitent les dispositifs auxquels l’utilisateur final a accès dans le cadre de leur travail quotidien. Il peut s’agir d’un téléphone portable, d’une ligne fixe, d’un poste direct ou d’un dispositif tel qu’une tablette ou un PC. SecurEnvoy n’est pas simplement limité à un téléphone portable, mais procure des solutions correspondant à la manière dont les utilisateurs aiment travailler et avec les dispositifs dont ils souhaitent se servir.