Uw digitale bedrijfsinformatie beschermen is niet zo eenvoudig. Wachtwoorden kunnen immers gekraakt of onderschept worden, en gebruikers kiezen niet altijd sterke wachtwoorden. U hebt dus een sterkere vorm van authenticatie nodig om onbevoegde personen buiten te houden.
Tweefactorauthenticatie biedt daarvoor een oplossing door naast uw gebruikersnaam en wachtwoord een extra factor te vereisen: niet iets wat u weet (zoals een wachtwoord), maar iets wat u hebt (zoals een hardwaretoken). Maar u wilt die tokens natuurlijk met niet al te veel moeite kunnen uitrollen en beheren, het liefst met gebruik van self-provisioning. Met de software AuthLite van Collective Software integreert u naadloos tweefactorauthenticatie in uw Windows-netwerk met Active Directory.
Ga gegevensdiefstal tegen met tweefactorauthenticatie
Als u de toegang tot informatie of systemen in uw bedrijf met een statisch wachtwoord afschermt, bent u kwetsbaar voor heel wat bedreigingen. Alle statische informatie is immers te kopiëren en te misbruiken:
- Een keylogger die aanwezig is op de computer van een werknemer kan zijn toetsaanslagen en dus ook zijn wachtwoord onderscheppen. Met de gebruikersnaam en het bijbehorende wachtwoord in handen, kan de eigenaar van de keylogger zich voor die werknemer uitgeven en krijgt hij dus toegang tot gevoelige bedrijfsinformatie.
- Alle wachtwoorden van gebruikers van een server worden in een wachtwoorddatabase opgeslagen, zij het dan in gehashte vorm. Als iemand in de server inbreekt en al die hashes van wachtwoorden te pakken krijgt, kan hij die proberen te kraken met een dictionary attack: hij hasht alle mogelijke (combinaties van) woorden uit een woordenboek en controleert of die in de wachtwoorddatabase voorkomen.
- Uw werknemers hergebruiken wellicht wachtwoorden van persoonlijke accounts ook voor hun accounts op uw bedrijfssystemen. Als dan het wachtwoord van hun persoonlijke e-mail gekraakt wordt met een dictionary attack, gaat de aanvaller datzelfde wachtwoord uitproberen op andere accounts van uw werknemers. Zo krijgt hij misschien toegang tot uw bedrijfssystemen.
Met tweefactorauthenticatie pakt u bovenstaande bedreigingen aan: naast de gebruikersnaam en het wachtwoord moet de gebruiker ook een token bezitten om te kunnen inloggen. Dat token is uniek voor de gebruiker en genereert eenmalige wachtwoorden. Zo’n wachtwoord is slechts eenmaal geldig. Krijgt een buitenstaander dit wachtwoord te zien, dan is hij daar niets mee. Zodra uw werknemer het wachtwoord heeft ingegeven, is het immers niet meer geldig. De volgende keer dat hij zich aanmeldt, genereert het token opnieuw een eenmalig wachtwoord.
Met AuthLite rolt u op een kostenefficiënte manier tokens uit in uw bedrijf en beheert u het gebruik van tweefactorauthenticatie voor uw Windows-netwerk. Daardoor bent u zeker dat uw werknemers op een veilige manier aanmelden op uw bedrijfscomputers en dat er geen gevoelige informatie door onbevoegden gestolen wordt.
Voordelen van AuthLite
Integratie met Active Directory
Met AuthLite krijgt uw Active Directory-omgeving native toegang tot tweefactorauthenticatie. Dat betekent in de praktijk dat u al uw bestaande software kunt blijven gebruiken, zolang die op Active Directory vertrouwt voor de authenticatie. U schakelt dus zonder extra kosten over op tweefactorauthenticatie.- Eenvoudige installatie en beheer
Omdat AuthLite nauw is geïntegreerd met Active Directory, hoeft u geen extra servers te installeren, maar enkel een AuthLite-softwarecomponent op de domain controllers en een client-side component op de werkstations en servers die tot het domein behoren. Het msi-bestand met het AuthLite-installatieprogramma is via een Group Policy in Active Directory naar de computers te pushen voor een geautomatiseerde en gecontroleerde uitrol.AuthLite biedt een gebruiksvriendelijke interface aan om alle functies te configureren en te beheren. Zowel installatie als beheer zijn probleemloos uit te voeren voor wie ervaring met Active Directory heeft. - Gebruiksvriendelijk
Het aanmelden van gebruikers met AuthLite verschilt niet zoveel van wat ze gewoon zijn zonder tweefactorauthenticatie. Ze krijgen hetzelfde aanmeldvenster te zien, maar geven naast hun wachtwoord ook de code van hun hardwaretoken in. - Kostenefficiënt
Voor gebruik van AuthLite betaalt u enkel eenmalige aanschafkosten in de vorm van een bedrag per gebruiker voor de licentie. In die prijs zijn updates voor de huidige major versie van de software inbegrepen. Daarnaast is eventueel nog een eenmalig bedrag voor een hardwaretoken nodig.
Specificaties
AuthLite 2.0 heeft de volgende specificaties:
- Ondersteunde tokens:
- YubiKey: Een hardwaretoken dat op elk platform met USB host interface werkt, en dat zonder dat er clientsoftware of drivers nodig zijn. Met een druk op de knop wordt de sleutel op de computer ingegeven, zodat u geen code moet overtypen. AuthLite kan de twee slots van de YubiKey gebruiken, bijvoorbeeld het eerste voor online en het tweede voor offline gebruik.
- OATH-tokens: Alle OATH-compliant tijdgebaseerde OTP-tokens worden ondersteund. Dat kunnen hardwaretokens zijn, maar ook een app zoals Google Authenticator op uw smartphone of tablet.
- LAN-beveiliging: Beveilig de gebruikers van de werkstations op uw LAN met software voor Windows XP, Vista, 7 en 8.
- Veilig: De tweefactorauthenticatie is niet te omzeilen. Als u aan een account tweefactorauthenticatie toevoegt met AuthLite, kan de gebruiker niet meer inloggen als AuthLite verwijderd of uitgeschakeld wordt.
Offline: Zelfs als u niet met het netwerk verbonden bent, kunt u uw account (optioneel) beschermen met tweefactorauthenticatie. Daarvoor gebruikt AuthLite dan de challenge/response modus van de YubiKey, die op HMAC-SHA-1 gebaseerd is. Met die challenge/response kan AuthLite offline verifiëren of u de juiste YubiKey hebt, zonder verbinding met de domain controller. Met OATH-tokens is geen offline authenticatie mogelijk.- VPN: Uw bestaande VPN-software vereist geen enkele wijzigingen in de client om naar tweefactorauthenticatie over te schakelen. Gebruikers blijven op dezelfde manier inloggen, maar geven in plaats van hun gebruikersnaam de code van het token in. Integreert met elke RADIUS-server die van Active Directory gebruikmaakt, zoals Microsofts IAS/NPS-service.
- RDP: Uw bestaande remote desktop clients zoals Microsoft Remote Desktop Connection vereisen geen wijzigingen om naar tweefactorauthenticatie over te schakelen. Gebruikers blijven op dezelfde manier inloggen, maar geven in plaats van hun gebruikersnaam de code van het token in.
- 802.1x: AuthLite ondersteunt draadloze 802.1x-authenticatie met behulp van de NPS RADIUS plug-in.
- Selectieve tweefactorauthenticatie: U kunt tweefactorauthenticatie naar keuze enkel voor individuele gebruikers of specifieke groepen instellen of voor iedereen, met behulp van access control lists (ACL’s) in Active Directory. U kunt ook kiezen tussen optioneel en verplicht gebruik. Het gebruik van tweefactorauthenticatie kan ook afhankelijk van het proces (bijvoorbeeld Microsoft Outlook Web Access) of de computer waarop de gebruiker inlogt in- of uitgeschakeld worden.
- Tokenbeheer: U kunt bestaande tokens intrekken en herprogrammeren. Elke gebruiker kan meerdere YubiKey- en OATH-tokens gebruiken. Gebruikers kunnen hun eigen tokens met hun account associëren (self-provisioning) of u kunt in de beheerinterface de YubiKey ID’s of serienummers van OATH-tokens aan gebruikers toekennen.
- Tokens in bulk: YubiKeys zijn in bulk te programmeren en OATH-tokens zijn in bulk te importeren.
- Standalone computers: Tweefactorauthenticatie is ook voor standalone computers zonder een Active Directory omgeving te implementeren. Daarvoor gebruikt u AuthLite 1.2, de oude versie van AuthLite die geen updates met nieuwe functionaliteit meer krijgt en geen OATH-tokens ondersteunt.
Meer informatie
Voor meer informatie kunt u contact met ons opnemen, direct AuthLite en/of YubiKeys bestellen in de YubiKeyShop.nl of een kijkje nemen op de website van AuthLite waar u uitgebreide documentatie en informatie over alle features vindt.