Landschap voor Identiteits- en Toegangsbeheer

Om te kunnen groeien, moet elk bedrijf, elke onderneming of organisatie een systematische methode hebben om werknemers of leden te regelen. Tegenwoordig valt die methode vaak onder de noemer Identity and Access Management (IAM), of ook wel Identity Credential Access Management (ICAM). In beide gevallen schetst het algemene kader hoe nieuwe medewerkers in de organisatie worden opgenomen en hoe de opvolging en het verwijderen van accounts wordt beheerd wanneer dat nodig is.

Elementen van Identity and Access Management zijn van toepassing op alle bedrijven, ongeacht hun grootte. Het is nooit te vroeg om na te denken over hoe een organisatie medewerkers of leden moet managen en behouden.

In deze paper verkennen we de zes primaire elementen van Identity and Access Management en hoe je ze kunt toepassen in jouw organisatie.

Met een lang, complex, willekeurig en uniek wachtwoord per account, plaatsen gebruikers zichzelf in een sterke positie om beschermd te blijven. Een nog sterkere stap is om tweestaps-login, of twee-factor authenticatie, toe te voegen aan zowel de login voor je wachtwoordmanager als aan andere websites en diensten.

Met uw wachtwoordmanager kan tweestapslogin worden geconfigureerd met authenticatietoepassingen, beveiligingssleutels, e-mail of sms. Merk op dat sms'en tegenwoordig wordt beschouwd als een van de meer vatbare methodes om te hacken, omdat SIM jacking steeds vaker wordt gebruikt als inbraakstrategie.

Welke weg gebruikers ook kiezen, zorg ervoor dat iedereen de vertakkingen van tweestaps inloggen begrijpt, een kopie van de herstelcodes voor tweestaps inloggen op de website bewaart als die worden aangeboden, en een methode heeft om een back-up te maken van de verificatiesleutels die worden aangeboden tijdens het registratieproces voor tweestaps inloggen.

Sommige wachtwoordmanagers bieden ingebouwde verificatiemiddelen. Dit levert enorm gemak op voor gebruikers, vooral in gedeelde omgevingen. Gebruikers kunnen nu een login delen, inclusief de twee-staps login-sequentie, en hoeven zich geen zorgen te maken dat ze elkaar moeten bellen of sms'en om de geheime code te achterhalen.

Natuurlijk kunnen sommigen zich afvragen wat het nut is van een ingebouwde authenticatiestap in je wachtwoordmanager, en of dat de waarde van authenticatie teniet doet. Uiteindelijk hebben gebruikers keuzes en kunnen werkgevers voorlichting geven over voorkeursmethoden. Dit zijn de redenen voor een geïntegreerde aanpak

1. Uw wachtwoordmanager Vault moet zelf tweestapsaanmelding hebben via een andere methode. (Belangrijk: u moet de ingebouwde authenticator van uw wachtwoordbeheerder niet gebruiken om uw wachtwoordbeheeraccount te beveiligen). Daarom zijn uw kluis en accounts momenteel beschermd met een hoog beveiligingsniveau en in feite met tweestapslogin.

2. Als tweestapslogin is ingeschakeld voor websites en applicaties, is dat veiliger dan wanneer het niet is ingeschakeld. Een strakkere bundeling van tweestapslogin maakt het gemakkelijker om het vaker te gebruiken, wat betere beveiligingspraktijken bevordert.

3. Als je een item moet delen, kun je dat doen met tweestapsaanmelding ingeschakeld, wat weer voor betere beveiliging zorgt. Dit is een samenwerking en een twee-staps login-beweging.

4. Je hoeft niet te onthouden welke authenticatie-app je hebt gebruikt, want die blijft ingebouwd.

5. U kunt altijd kiezen, op individuele basis, welke login u intern wilt verifiëren binnen de authenticator van uw wachtwoordmanager, of extern met behulp van een aparte authenticator-app.

Als de wereld overgaat op wachtwoordloos, zorg er dan voor dat uw wachtwoordmanager en algemene Identity and Access Management-strategie wachtwoordloze opties bevat. Bijvoorbeeld

• Ervoor zorgen dat je kunt inloggen op apparaten met biometrie en autofill-functies kunt inschakelen voor referenties met biometrie.

• Voor Single Sign On, ook later besproken, onderzoekt u opties die wachtwoordloze ervaringen bieden

• Overweeg het gebruik van beveiligingssleutels in uw hele organisatie

• Denk bij het inzetten van beveiligingssleutels aan redundante opties, back-up- en herstelprocedures als sleutels zoekraken of als sleutels zijn gekoppeld aan bedrijfskritische gebruikersaccounts.

• Het kan bijvoorbeeld zinvol zijn voor een medewerker om de locatie van een back-up beveiligingssleutel(s) in zijn wachtwoordbeheerkluis te vermelden, die alleen kan worden bekeken bij accountovername en toegang in noodgevallen.

Met de hausse in software-as-a-service (SaaS) toepassingen, maakten veel bedrijven gebruik van Single Sign On om uniforme toegang tot website accounts mogelijk te maken. Single Sign On vereist natuurlijk dat de website of dienst die functie beschikbaar heeft. Hoewel veel websites voor bedrijven Single Sign On bieden, is er nog een wereld aan websites en diensten die dat niet doen. Een wachtwoordmanager vult dat gat en meer.

Sommige wachtwoordmanagers kunnen ook integreren met Single Sign On, waardoor bedrijven gebruikers automatisch kunnen aanmelden bij een organisatie.

Natuurlijk is een end-to-end versleutelde applicatie zoals een wachtwoordmanager een beetje anders dan de typische SaaS-service. Aangezien een wachtwoordmanager beveiligingsmodel met zero-knowledge encryptie garandeert dat de provider niets kan zien in je kluis, krijgt de context van Single Sign On een andere smaak.

Het uitgangspunt van een wachtwoordmanager is dat de eindgebruiker de sleutel bezit voor het versleutelen en ontsleutelen van zijn gegevens. De wachtwoordmanager kent de sleutel niet en kan deze niet aan de gebruiker geven als hij deze kwijtraakt. Op dezelfde manier kan een wachtwoordbeheerder niet zomaar blindelings een ontcijferingssleutel aan een andere externe dienst (zoals een identiteitsaanbieder) geven en erop vertrouwen dat die andere dienst de sleutel veilig bewaart.

Dit erkennende, maakt een veilig model om te integreren met bestaande Identity Providers de authenticatie mogelijk via de Identity Provider, maar behoudt de versleuteling en ontsleuteling met een hoofdwachtwoord dat door de gebruiker wordt bewaard, specifiek voor de wachtwoordmanager. Dit zorgt ervoor dat derden geen toegang hebben om de kluis van de eindgebruiker te ontsleutelen. Het betekent ook dat het hoofdwachtwoord voor encryptie en decryptie uniek moet zijn voor de wachtwoordmanager.

Deze aanpak zorgt er ook voor dat gebruikers kunnen profiteren van elke clienttoepassing die wordt aangeboden door de wachtwoordmanager in browsers, mobiele besturingssystemen, desktopbesturingssystemen, webtoegang en opdrachtregelinterfaces.