Egy többfaktoros hitelesítési (MFA) megoldás kiválasztása a beszerzési listán csupán kipipálandó tételnek tűnik. Valójában tíz évre szóló döntés. Ez az útmutató azokat a kérdéseket veszi sorra, amelyek elválasztják a csendben védő megoldásokat azoktól, amelyek csendben az Ön következő migrációs projektjévé válnak.
Bizalom
Olyan biztonsági modellt válasszon, amelyben megbízhat. A nyilvános kulcsú kriptográfiára épülő megoldások erősebb garanciákat nyújtanak, mint a megosztott titkokra épülő sémák: nincs feltörhető központi titoktár, és nincs semmi, amit mindkét fél ismerne. A zárt, saját fejlesztésű kriptográfiával szemben legyen óvatos: részesítse előnyben a nyílt, auditált alapokat.
Ismerje meg a technológiai alapokat. Hol jönnek létre a kulcsok? Hol tárolódnak? A telefon hardveres biztonsági elemében létrehozott és ott őrzött kulcs nem exportálható és nem klónozható; a regisztráció során QR-kóddal átadott kiinduló titok (seed) viszont csak annyira biztonságos, mint maga az átadás.
Mérlegelje, kinél van az irányítás
On-premise vagy SaaS. Hol fut a megoldás, és mi történik a hitelesítéssel, ha a szállítónál leállás (vagy adatszivárgás) következik be? Ha a felügyeleti szervek megkérdezik, hol találhatók a hitelesítési adatok, van-e olyan válasza, amely az Ön ellenőrzése alatt áll?
Auditálható kommunikáció. Látja és ellenőrizni tudja, mit küld a megoldás a hálózaton? Itt válik fontossá a tranzakció-ellenőrzés: a felhasználónak látnia kell, mit hagy jóvá, a jóváhagyásnak pedig kriptográfiailag pontosan ehhez kell kötődnie.
Ne feledkezzen meg a szabályozásról
Hol tárolódnak majd az adatok, és egyáltalán át kell-e adnia személyes adatokat a szállítónak? Az uniós szervezetek számára ezt a GDPR (általános adatvédelmi rendelet) teszi kézzelfoghatóvá. A fintech szektorban a PSD2 erős ügyfél-hitelesítési és dinamikus összekapcsolási követelményei döntik el, mely megoldások jöhetnek egyáltalán szóba. Ellenállósági és rendelkezésre állási követelmények is felmerülhetnek: futtatható-e a megoldás redundánsan, az Ön irányítása alatt?
Teljes birtoklási költség
A licencdíj csak a költségek látható része. Számoljon az alábbiakkal is:
- Termékfüggőségek: szükség van-e hozzá más termékekre, címtárakra vagy olyan hardverre, amellyel még nem rendelkezik?
- Karbantartási díjak és verziófrissítések.
- Emberierőforrás-költségek: napi adminisztráció, felhasználói támogatás és oktatás.
- Bevezetési idő: a beüzemelés minden hete bérköltséget jelent úgy, hogy a rendszer közben még semmit sem véd.
- Alternatívaköltségek: megfelel-e majd a megoldás akkor is, amikor dokumentum-aláírás, új alkalmazások vagy egy cégegyesülésnyi új felhasználó kerül a képbe?
Óvatosan az SMS-sel
Az SMS-kódok lehallgathatók, SIM-cserés támadással eltéríthetők és adathalászattal megszerezhetők, ráadásul semmilyen nyomot nem őriznek arról, mit látott valójában a felhasználó a jóváhagyáskor. Ezt a szabályozó hatóságok is észrevették. Ha jelenleg az SMS a második faktora, tekintse hídnak, ne végállomásnak.
A felhasználói élmény mindent eldönt
A felhasználókat bosszantó biztonsági megoldásokat megkerülik. A megkerült kontroll pedig rosszabb a semmilyennél, mert a megfelelőségi jelentésben zölden világít. Hasonlítsa össze a hardveres élményt (mit kell a felhasználóknak maguknál hordaniuk?), a szoftveres élményt (hány koppintás? hányféle hibalehetőség?) és az adminisztrátori élményt (valójában mennyi ideig tart egyetlen felhasználó felvétele?). Az adatvédelem szintén az élmény része: az a megoldás, amely felhalmozza a felhasználói adatokat, maga is kockázatot teremt.
Hogyan tovább?
Bármilyen biztonság jobb a semmilyennél. A migráció költségei azonban valósak, ezért olyan megoldást válasszon, amelyet nem nő ki. Értékeljen a saját környezetében, pilotprojekt keretében: valódi VPN-nel, valódi alkalmazással, néhány valódi felhasználóval. Ez egy hét alatt többet elárul, mint egy funkciótáblázat egy negyedév alatt.