Identitäts- und Zugriffsmanagement-Landschaft

Um zu wachsen, muss jedes Unternehmen, jedes Unternehmen oder jede Organisation über eine systematische Methode verfügen, um Mitarbeiter oder Mitglieder zu organisieren. Heute fällt diese Methode häufig unter das Banner des Identity and Access Management (IAM) oder manchmal auch als Identity Credential Access Management (ICAM) bekannt. In beiden Fällen beschreibt der allgemeine Rahmen, wie neue Mitarbeiter in das Unternehmen aufgenommen und bei Bedarf die Nachfolge und Deaktivierung von Konten verwaltet werden können.

Elemente des Identitäts- und Zugriffsmanagements betreffen alle Unternehmen jeder Größe. Es ist nie zu früh, darüber nachzudenken, wie eine Organisation Mitarbeiter oder Mitglieder verwalten und pflegen sollte.

In diesem Papier untersuchen wir die sechs Hauptelemente des Identitäts- und Zugriffsmanagements und wie Sie sie auf Ihr Unternehmen anwenden können.

Mit einem langen, komplexen, zufälligen und eindeutigen Passwort pro Konto versetzen sich die Benutzer in eine starke Position, um geschützt zu bleiben. Ein noch stärkerer Schritt besteht darin, sowohl die Anmeldung für Ihren Passwort-Manager als auch andere Websites und Dienste mit einer zweistufigen Anmeldung oder einer Zwei-Faktor-Authentifizierung zu versehen.

Mit Ihrem Passwort-Manager können Sie die zweistufige Anmeldung mit Authentifizierungsanwendungen, Sicherheitsschlüsseln, E-Mail oder SMS konfigurieren. Beachten Sie, dass SMS heutzutage aufgrund der Verbreitung von SIM-Buchsen als Einbruchsstrategie als eine der anfälligeren Methoden für Hacking angesehen wird.

Unabhängig davon, welchen Pfad Benutzer wählen, stellen Sie sicher, dass jeder die Auswirkungen der zweistufigen Anmeldung versteht, eine Kopie der zweistufigen Anmelde-Wiederherstellungscodes der Website aufbewahrt, falls angeboten, und über eine Methode verfügt, um die während des zweistufigen Anmelde-Registrierungsprozesses angebotenen Authentifizierungsschlüssel zu sichern.

Einige Passwort-Manager bieten integrierte Authentifikatoren. Dies bietet den Benutzern einen enormen Komfort, insbesondere in gemeinsam genutzten Umgebungen. Benutzer können jetzt ein Login teilen, einschließlich der zweistufigen Login-Sequenz, und müssen sich nicht darum kümmern, sich gegenseitig anzurufen oder zu texten, um den geheimen Code herauszufinden.

Natürlich könnten einige nach dem Zweck fragen, einen integrierten Authentifizierungsschritt mit Ihrem Passwort-Manager einzubauen, und macht das den Wert der Authentifizierung zunichte. Letztendlich haben die Benutzer die Wahl, und die Arbeitgeber können über bevorzugte Praktiken aufklären. Dies sind die Gründe für einen integrierten Ansatz

1. Ihr Passwort-Manager-Tresor sollte sich in zwei Schritten mit einer anderen Methode anmelden. (Wichtig: Sie sollten den integrierten Authentifikator Ihres Passwort-Managers nicht verwenden, um Ihr Passwort-Manager-Konto zu schützen.) Daher sind Ihr Tresor und Ihre Konten derzeit mit einem hohen Maß an Sicherheit und in der Tat mit einer zweistufigen Anmeldung geschützt.

2. Die Aktivierung der zweistufigen Anmeldung für Websites und Anwendungen bietet mehr Sicherheit als die Nichtaktivierung. Eine engere Bündelung der zweistufigen Anmeldung erleichtert die häufigere Nutzung, was bessere Sicherheitspraktiken fördert.

3. Wenn Sie ein Element freigeben müssen, können Sie es mit aktivierter zweistufiger Anmeldung freigeben, was wiederum für mehr Sicherheit sorgt. Dies ist eine Zusammenarbeit und ein zweistufiger Login-Power-Move.

4. Sie müssen sich nicht merken, welche Authentifizierungs-App Sie verwendet haben, da sie weiterhin integriert ist.

5. Sie können jederzeit individuell auswählen, welche Anmeldung intern in Ihrem Passwort-Manager-Authentifikator oder extern über eine separate Authentifikator-App authentifiziert werden soll.

Stellen Sie sicher, dass Ihr Passwort-Manager und die allgemeine Identitäts- und Zugriffsverwaltungsstrategie passwortlose Optionen beinhalten, wenn sich die Welt in Richtung Passwortlosigkeit bewegt. Zum Beispiel

• Stellen Sie sicher, dass Sie sich bei Geräten mit biometrischen Daten anmelden können, und aktivieren Sie die Funktion zum automatischen Ausfüllen von Anmeldeinformationen mit biometrischen Daten

• Erkunden Sie für Single Sign On, das später ebenfalls besprochen wird, Optionen, die passwortlose Erlebnisse bieten

• Berücksichtigen Sie die Verwendung von Sicherheitsschlüsseln in Ihrem Unternehmen

• Beim Einsatz von Sicherheitsschlüsseln haben Sie redundante Optionen im Auge, sowie Sicherungs- und Wiederherstellungsverfahren, wenn Schlüssel fehlen, oder wenn Schlüssel mit unternehmenskritischen Benutzerkonten verbunden sind

• Zum Beispiel könnte es für einen Mitarbeiter sinnvoll sein, den Speicherort von Backup-Sicherheitsschlüsseln in seinem Passwortverwaltungs-Tresor aufzulisten, die nur bei der Kontoübernahme und dem Notfallzugriff angezeigt werden können

Mit dem Boom der Software-as-a-Service (SaaS) -Anwendungen nutzten viele Unternehmen Single Sign On, um einen einheitlichen Zugriff auf Website-Konten zu ermöglichen. Natürlich erfordert Single Sign On, dass die Website oder der Dienst über diese Funktion verfügt. Während viele Websites, die sich an Unternehmen richten, Single Sign On anbieten, gibt es immer noch eine Welt von Websites und Diensten, die dies nicht tun. Ein Passwort-Manager füllt diese Lücke und mehr.

Einige Passwort-Manager können auch mit Single Sign On integriert werden, sodass Unternehmen Benutzer automatisch in einer Organisation bereitstellen können.

Natürlich unterscheidet sich eine Ende-zu-Ende-verschlüsselte Anwendung wie ein Passwort-Manager ein wenig von Ihrem typischen SaaS-Dienst. Da ein Passwort-Manager-Sicherheitsmodell mit Zero-Knowledge-Verschlüsselung garantiert, dass der Anbieter nichts in Ihrem Tresor sehen kann, nimmt der Kontext von Single Sign On einen anderen Charakter an.

Die Grundvoraussetzung für einen Passwort-Manager ist, dass der Endbenutzer den Schlüssel zum Verschlüsseln und Entschlüsseln seiner Daten besitzt. Der Passwort-Manager kennt den Schlüssel nicht und kann ihn dem Benutzer nicht zur Verfügung stellen, falls er verloren geht. In ähnlicher Weise kann ein Passwort-Manager einem anderen Drittanbieter (z. B. einem Identitätsanbieter) nicht einfach blind einen Endbenutzer-Entschlüsselungsschlüssel geben und sich darauf verlassen, dass dieser andere Anbieter den Schlüssel sicher verwahrt.

Aus diesem Grund ermöglicht ein sicheres Modell zur Integration mit bestehenden Identitätsanbietern die Authentifizierung über den Identitätsanbieter, behält jedoch die Verschlüsselung und Entschlüsselung mit einem vom Benutzer aufbewahrten Master-Passwort bei, das für den Passwort-Manager spezifisch ist. Dadurch wird sichergestellt, dass kein Drittanbieter Zugriff auf die Entschlüsselung des Endbenutzer-Tresors hat. Es bedeutet auch, dass das Verschlüsselungs- und Entschlüsselungs-Master-Passwort für den Passwort-Manager eindeutig sein sollte.

Dieser Ansatz stellt auch sicher, dass Benutzer von jeder Client-Anwendung profitieren können, die vom Passwort-Manager über Browser, mobile Betriebssysteme, Desktop-Betriebssysteme, Web-Zugriff und Befehlszeilenschnittstellen hinweg angeboten wird.