”Qual è il modo più sicuro per gestire la distribuzione di token one-time password (OTP) in un’impresa?” La distribuzione di token one-time password (OTP) ai dipendenti della vostra azienda conferisce un ulteriore livello di protezione contro accessi i …
”Qual è il modo più sicuro per gestire la distribuzione di token one-time password (OTP) in un’impresa?”
La distribuzione di token one-time password (OTP) ai dipendenti della vostra azienda conferisce un ulteriore livello di protezione contro accessi indesiderati ai vostri sistemi. Tuttavia, se tali token non sono distribuiti in modo corretto, possono aprire i vostri sistemi e renderli vulnerabili a un attacco.
Il pericoli più grandi sono rappresentati da un accesso non autorizzato di un dipendente o, peggio, da una frode interna. Un token lasciato incustodito può permettere un acceso improprio con l’account di un’altra persona. E mentre un ladro avrebbe bisogno di reperire user ID e password, nel caso del token sono disponibili senza alcuno sforzo.
Il modo migliore per impedire l’uso improprio di un token è di istruire il personale su come usare questi dispositivi correttamente. I dipendenti dovrebbero essere addestrati sul modo in cui gestire le password e gli dovrebbe essere insegnato che non vanno mai annotate su dei foglietti lasciati poi in bella vista sulla scrivania. I dipendenti devono bloccare i token o portarli con sé quando non li usano. Dovrebbero inoltre bloccare i loro monitor quando si allontanano dalla loro scrivania, persino quando si tratta di prendere una tazza di caffè o di usare il bagno.
Distribuite i token da una locazione centrale o da un magazzino, quando possono essere inventariati. Prendete nota di tutti i token ricevuti, dei loro numeri di serie e datene uno solo a ogni persona. Per verificare che ogni dipendente abbia ottenuto il giusto token, attivate una policy che preveda che ciascun utente per attivare il proprio token lo invii all’help desk o a un sistema di registrazione online. In questo modo l’help desk o il sistema online possono verificare l’identità dell’utente, chiedere il numero di serie e confrontarlo con il numero di serie del token ricevuto. Ricordate che la scelta del sistema da usare dovrebbe dipendere dalle dimensioni della vostra organizzazione. Per esempio, se lavorate per una grande azienda, non è una buona idea quella di inondare l’help desk di chiamate per l’attivazione dei token.
Un sistema alternativo potrebbe coinvolgere la trasmissione
di un codice di attivazione a un nuovo utente via e-mail. Se decidete di
avvalervi di quest’ultimo sistema, tenete presente che dovrebbe essere trasmesso
all’utente soltanto il codice di attivazione. Questo preverrà il furto del token
e delle relative credenziali. Per attivare il token, il codice può essere
inserito on line in un sito di registrazione predeterminato.
- Per la Pa c’è un problema sicurezza
- La sicurezza dell’Ict preoccupa la Commissione europea
- Allarme sicurezza nella Pubblica Amministrazione
- Virus e hard disk formattato
- Tempi più lunghi per le segnature dei malware
- Creare un cocktail antispam: le migliori tecniche di rilevazione e di filtering
- Training formativo sulla sicurezza: istruire i dipendenti sugli spyware
- Crittografia e wiping
- Spyware, come funzionano e come eliminarli
