Dodanie kolejnego składnika do standardowego hasła i loginu jest najprostszym oraz najbardziej efektywnym sposobem zagwarantowania, że z usługi korzysta rzeczywiście uprawniona do tego osoba. W idealnie skonstruowanych systemach uwierzytelniania wieloskładnikowego użytkownik powinien wykorzystywać coś co zna (np. hasło), coś co ma (np. token lub aplikację z kodami) oraz jedną ze swych biometrycznych cech (np. odcisk palca, układ żył w dłoni, siatkówkę oka, kształt twarzy). Jednak zastosowanie już dwóch elementów uwierzytelniania znacząco podnosi poziom bezpieczeństwa. Ponieważ weryfikacja cech biometrycznych wciąż jest związana z niemałymi kosztami, najefektywniejszym sposobem jest połączenie znanego przez użytkownika hasła z kodem generowanym przez rozwiązanie ochronne.

W październiku 2018 r. Cisco Systems sfinalizowało przejęcie firmy Duo Security, która specjalizuje się w chmurowych systemach uwierzytelniania wieloskładnikowego. Umożliwiają one sprawdzanie uprawnień użytkowników na wiele sposobów, które nie wydłużają procesu logowania. Trzonem oferty jest usługa Duo Push umożliwiająca wysyłanie do telefonów z zainstalowaną aplikacją Duo Mobile powiadomień push zawierających kod do wpisania w panelu logowania. Duo Security zapewnia również narzędzia współpracujące z tokenami zabezpieczającymi, zgodnymi z otwartym standardem uwierzytelniającym Universal 2nd Factor (U2F) i innymi tego typu urządzeniami, a także umożliwiające używanie mobilnych haseł, SMS-ów weryfikacyjnych oraz oddzwonienia telefoniczne.

Rozwiązania Duo Security są łatwe we wdrażaniu w przedsiębiorstwach każdej wielkości. Administratorzy mogą skorzystać z funkcji synchronizacji danych nawet tysięcy użytkowników, pochodzących z istniejących katalogów, takich jak Active Directory i Azure AD lub importu listy użytkowników i ich uprawnień za pośrednictwem interfejsu API. Dzięki dostępności usługi w modelu SaaS nie ma konieczności instalowania w firmie rozbudowanej infrastruktury sprzętowej służącej do uwierzytelniania. Z funkcji Duo Push mogą korzystać również administratorzy i pracownicy pomocy technicznej do weryfikacji tożsamości użytkowników końcowych.

Natomiast użytkownicy mogą sami zarządzać własnymi urządzeniami stosowanymi do uwierzytelniania, korzystając z portalu samoobsługowego, co często eliminuje potrzebę zapewniania im obsługi technicznej. Rozwiązanie wymusza również używanie zawsze aktualnej wersji aplikacji, aby uniknąć sytuacji, w której korzystają z oprogramowania bez najnowszych poprawek łatających luki w systemie bezpieczeństwa.

Duo Security ma również w ofercie bardzo ciekawe narzędzie do prowadzenia symulacji kampanii phishingowych. Dzięki niemu łatwo ustalić, którzy użytkownicy są podatni na manipulacje stosowane przez cyberprzestępców, a następnie podjąć odpowiednie działania edukacyjne. Administratorzy zyskują też dostęp do zbiorczych informacji prezentujących stan wiedzy i świadomości użytkowników dotyczących ryzyka ulegania phishingowym przekazom.

 

Omów z klientem przed wdrożeniem

Cisco zaleca integratorom, aby przed podjęciem przez klienta decyzji o wyborze rozwiązania do uwierzytelniania wieloskładnikowego pomogli mu w rozważeniu wszystkich ważnych kwestii związanych z jego wdrożeniem i późniejszym użytkowaniem.

Wpływ na bezpieczeństwo
W jakim stopniu chroni przed zagrożeniami i czy zapewnia informacje o poziomie bezpieczeństwa w przedsiębiorstwie? Na ile skuteczne jest w redukowaniu ryzyka wycieku danych?
Wpływ na biznes
Czy rozwiąznie jest kompatybilne z innymi stosowanymi w firmie i nie wywiera negatywnego wpływu na procesy biznesowe? Czy zapewnia zgodność z regulacjami firmowymi, branżowymi, ogólnokrajowymi i in.?
Całkowity koszt użytkowania
Czy zasady naliczania opłat za jego użytkowanie są jasne? Czy nie generuje ukrytych kosztów dla firmy?
Czas wdrożenia
Jak szybko od momentu podjęcia decyzji o zakupie rozwiązania będzie można zaobserwować korzyści płynące z jego wdrożenia?
• Wymagane zasoby
Jakie rodzaje zasobów są potrzebne do wdrożenia i przygotowania użytkowników do korzystania z określonego rozwiązania? Czy jego architektura nie wymaga podejmowania ciągłych działań administracyjnych?