Autenticazione avanzata nei servizi finanziari con Yubico

Autenticazione avanzata nei servizi finanziari con Yubico

Written by Domenico Panetta

15/10/2020

Il settore dei servizi finanziari è uno degli obiettivi di maggior valore per i criminali informatici a causa della sua enorme riserva di informazioni finanziarie e di identificazione personale (PII) e del potenziale per rapidi guadagni attraverso trasferimenti di denaro fraudolenti.

Poiché le password vengono facilmente violate, le organizzazioni di servizi finanziari non possono più fare affidamento su nome utente e password per l’autenticazione dei dipendenti su sistemi e applicazioni. È necessaria un’autenticazione più forte sotto forma di autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA) per bloccare le acquisizioni di account e per aiutare a eliminare le frodi guidate da attacchi informatici.

I nomi utente e le password creano rischi per la sicurezza: Le password erano la forma di autenticazione più comunemente usata oggi, ma erano anche l’anello più debole nella sicurezza aziendale in quanto suscettibili a una serie di vettori di attacco: phishing e social engineering, password spray, brute force, credential stuffing, key logging, ecc. Le organizzazioni di servizi finanziari che si affidano alle password espongono una superficie di minaccia ampia e facile da sfruttare.

L’affaticamento delle password porta a violazioni dei dati: Gli utenti si stancano di creare nuove password per diversi servizi e cambiarle ogni pochi mesi. Molti utenti finiscono per fare affidamento su password semplici che sono facili da decifrare o riutilizzare le password su account personali e professionali, dove la violazione di un account si traduce in violazione di un altro. Lo State of Password and Authentication Security Behaviors Report 2020 ha rilevato che le persone riutilizzano le password su una media di 16 account sul posto di lavoro e gli intervistati sulla sicurezza IT riutilizzano le password su una media di 12 account sul posto di lavoro.

Gli attacchi di phishing mirano al furto di credenziali: Il phishing continua a rappresentare un enorme problema di sicurezza poiché le tecniche di attacco continuano a evolversi. Il Verizon Data Breach Investigations Report del 2019 afferma che il 32% delle violazioni riguardava il phishing e l’e-mail era il metodo di phishing di consegna principale, 96,8%, nel settore finanziario. I criminali informatici inviano messaggi di posta elettronica falsi che invitano gli utenti a reinserire le credenziali che vengono poi raccolte per l’acquisizione di account. Molti attacchi di phishing portano anche all’installazione di malware, per aiutare a perpetrare una violazione. Anche se gli utenti impostano password complesse, gli hacker possono facilmente accedervi tramite attacchi di phishing.

Non tutti gli MFA sono uguali: Esistono molti strumenti e tecniche di autenticazione avanzata per aumentare o sostituire le password. Sebbene la sostituzione delle password (passwordless) dovrebbe essere l’obiettivo finale di tutte le organizzazioni, quelle di servizi finanziari possono iniziare rafforzando la sicurezza dell’autenticazione con 2FA o MFA. Sebbene MFA sotto forma di domande di sicurezza, codici SMS e OTP siano prevalenti, questi metodi offrono poca o nessuna protezione contro furti di account, phishing, malware e attacchi man-in-the-middle. La richiesta di autenticazione basata su dispositivo mobile può anche rendere le aziende responsabili dei costi relativi alla mobilità dei dipendenti. Le chiavi di sicurezza hardware come YubiKey offrono un’alternativa moderna, sicura ed economica per proteggere gli account digitali da phishing e furti di account. È stato dimostrato che YubiKeys offre i massimi livelli di sicurezza contro le acquisizioni di account nella ricerca indipendente, prevenendo attacchi mirati, e molti dei più grandi istituti finanziari del mondo utilizzano YubiKeys per proteggere le loro informazioni, account e applicazioni più importanti.

Tassi di prevenzione delle acquisizioni di account

Vantaggi di YubiKey per MFA

Le YubiKeys possono essere utilizzate per l’autenticazione a fattore singolo, 2FA o MFA a seconda dei requisiti dell’organizzazione. Come unico fattore (passwordless), le YubiKeys possono essere utilizzate come un primo fattore di autenticazione forte, richiedendo solo il possesso della chiave e consentendo un’esperienza TAP&GO senza password. Per l’autenticazione del secondo fattore (2FA), le YubiKey vengono utilizzate come secondo fattore oltre a una combinazione di nome utente e password, le organizzazioni possono utilizzare YubiKeys per MFA che richiedono il possesso della chiave e un PIN o biometrico.

 

YubiKeys offre diversi vantaggi come soluzione MFA

Forte sicurezza: L’architettura aperta di YubiKey e l’ampio set di protocolli (OTP, FIDO U2F, FIDO2, PIV) consentono una rapida integrazione con i sistemi nuovi ed esistenti, supportando oltre 1.000 app out-of-the-box. Sfruttando questi moderni protocolli di autenticazione, YubiKey fornisce un’autenticazione a più fattori molto forte. Inoltre, YubiKey memorizza le credenziali di un utente in modo sicuro sull’hardware, assicurando che non possa essere esfiltrato.

Facilità di utilizzo: Le YubiKeys offrono un’esperienza utente senza intoppi. Gli utenti accedono con un solo tocco, che è 4 volte più veloce della ricezione e della digitazione di un codice consegnato tramite SMS, quindi viene sprecato meno tempo per l’accesso ai sistemi. Google ha condotto uno studio approfondito e ha scoperto che l’utilizzo di YubiKeys ha ridotto il tempo di accesso di quasi il 50% rispetto a un autenticatore mobile. A più applicazioni un utente deve accedere, più questo diventa importante.

Durevole e affidabile: Le YubiKey sono estremamente resistenti. Le chiavi non richiedono batterie e funzionano senza connessione cellulare o Internet, quindi possono essere utilizzate in qualsiasi ambiente, inclusi gli ambienti con limitazioni di Internet e dispositivi mobili. Inoltre, a differenza dei telefoni o delle app di autenticazione, non è necessario aggiornarli o effettuare l’autenticazione.

ROI forte: La configurazione MFA può essere eseguita tramite self-service e non richiede un amministratore IT. L’implementazione delle chiavi per i dipendenti è molto rapida ed economica: le chiavi possono essere inviate a una filiale o sede centrale, o anche direttamente a ciascun dipendente, inclusi i dipendenti remoti. È stato inoltre dimostrato che le YubiKeys riducono del 92% le chiamate di supporto IT relative alla reimpostazione della password, risparmiando migliaia di ore all’anno in help desk e costi di supporto.

 

YubiKeys per casi d’uso MFA

Rispetta le normative di conformità e i controlli di sicurezza: Il settore dei servizi finanziari è altamente regolamentato e diverse normative impongono un’autenticazione forte tra cui SOX, FIPS, GDPR, PCI e PSD2. Le organizzazioni di servizi finanziari possono soddisfare le normative di conformità e gli audit di sicurezza implementando YubiKeys per una MFA forte. YubiKey consente una forte verifica degli utenti prima di fornire l’accesso a dati sensibili e PII, mantenendo le organizzazioni di servizi finanziari conformi alle normative esistenti ed emergenti. Sono inoltre certificati FIPS 140-2 (Certificato n. 3517) Livello complessivo 2, Livello di sicurezza fisica 3.

Proteggi gli account privilegiati: Un utente privilegiato è un dipendente che dispone di livelli di autorizzazione più elevati per accedere a informazioni sensibili su clienti, società o finanziarie. La stragrande maggioranza delle violazioni della sicurezza di grandi dimensioni comporta l’uso improprio o l’escalation di credenziali privilegiate e l’accesso immediato a informazioni preziose come dati dei clienti, numeri di conto, informazioni sulla carta di credito e altro, con conseguenze paralizzanti per l’azienda. Le organizzazioni di servizi finanziari possono rafforzare la gestione degli accessi privilegiati e garantire la MFA utilizzando YubiKeys per tutti gli utenti privilegiati, inclusi amministratori di rete e database, amministratori di sicurezza e di sistema, sviluppatori di applicazioni, dipendenti di C-suite e impiegati in finanza, contabilità e risorse umane. Richiedere agli utenti con privilegi di autenticarsi con chiavi di sicurezza hardware resistenti al phishing per accedere in modo sicuro ai servizi e alle applicazioni aiuterà a fermare gli attacchi mirati e prevenire il furto di account.

Proteggi i lavoratori remoti: Gli hacker stanno approfittando dell’aumento del lavoro remoto con attacchi di phishing mirati. I progressi della tecnologia consentono ai dipendenti di lavorare ovunque, ma introducono anche una nuova serie di sfide per l’IT. Reti Wi-Fi non protette, dispositivi mobili personali non gestiti e frodi di phishing rendono facile per i criminali informatici rubare le credenziali degli utenti e difficile per i team IT gestire in modo sicuro i team dislocati geograficamente.

Le organizzazioni di servizi finanziari possono sviluppare piani di emergenza aziendale che includono la protezione della forza lavoro remota, in modo che i dipendenti possano accedere in modo sicuro ai sistemi senza introdurre nuovi rischi e vulnerabilità. L’abilitazione dell’MFA dovrebbe essere uno dei requisiti principali per una politica di lavoro da casa. Per MFA con la massima garanzia, le chiavi di sicurezza hardware come YubiKey possono essere utilizzate con i sistemi di gestione dell’accesso alle identità e i provider di identità per accedere ai computer, proteggere l’accesso VPN, aumentare l’autenticazione per i gestori di password e persino generare in modo sicuro una volta codici di accesso.

Sicurezza di autenticazione step-up per transazioni ad alto rischio e di alto valore: I dipendenti che eseguono quotidianamente transazioni ad alto rischio e valore elevato sono spesso l’obiettivo dei criminali informatici. Il phishing resistente all’MFA, lo spear phishing e la compromissione della posta elettronica aziendale (BEC) utilizzano esche di ingegneria sociale per indurre i dipendenti a cedere le credenziali del loro account, installare malware o ransomware sul proprio dispositivo o pagare una fattura falsificata ma realistica sul conto bancario del criminale. Le password sono troppo facili da indovinare, forzate, violate, compromesse o persino copiate da una nota adesiva collegata al laptop / desktop di un utente. L’accesso ai sistemi ad alto rischio può essere rafforzato richiedendo MFA forte e moderno utilizzando YubiKeys, per garantire solo l’accesso autorizzato all’account e transazioni autorizzate di alto valore.

Fornire la massima sicurezza ai dipendenti delle filiali utilizzando terminali di accesso condiviso: I dipendenti che lavorano su postazioni di lavoro condivise sono comuni nelle banche e nei call center. I cassieri si spostano da una stazione all’altra e i supervisori si spostano per autorizzare le transazioni. Gli utenti in questi ambienti sono spesso dipendenti part-time associati a un elevato turnover e un impegno minimo per l’organizzazione, aumentando la minaccia interna. I terminali e le workstation ad accesso condiviso aprono i vettori di attacco agli account amministratore tramite la registrazione delle sequenze di tasti e il pass-the-hash.

Le organizzazioni di servizi finanziari possono raddoppiare la sicurezza tra i terminali di accesso condiviso e le workstation condivise, per impedire l’accesso non autorizzato a sistemi e risorse di alto valore. L’autenticazione tramite nomi utente e password non offre un’elevata sicurezza: le password possono essere violate utilizzando la registrazione dei tasti. YubiKey offre la massima sicurezza MFA per terminali e workstation condivisi e offre un’esperienza utente semplice e senza attriti.

Proteggi le informazioni personali e finanziarie riservate nei call center: Nel 2019, Aite Group ha intervistato 25 dirigenti di 18 dei 40 principali istituti finanziari statunitensi e ha scoperto che il 61% delle frodi può essere ricondotto al contact center. Con un elevato tasso di abbandono dei dipendenti, picchi stagionali e altre dinamiche aziendali impegnative, gli ambienti dei call center necessitano di un approccio sicuro ma semplice per verificare le identità degli agenti prima di fornire l’accesso a sistemi e dati critici. I call center dei servizi finanziari possono implementare YubiKeys per fornire una maggiore sicurezza in grado di verificare in modo sicuro l’identità degli agenti del call center prima che venga loro concesso l’accesso alle PII e ad altri dati sensibili o apportare modifiche all’account di un cliente, come l’aumento di un limite di credito. Poiché i telefoni cellulari possono acquisire immagini dei clienti e dati finanziari come numeri di conto, date di scadenza delle carte e numerosi altri dettagli che potrebbero violare la privacy dei clienti, YubiKeys offre una soluzione di autenticazione molto più sicura.

Prevenire frodi, furti di account e ottenere risultati migliori: Sicurezza dell’autenticazione con YubiKey YubiKey offre un approccio moderno, altamente sicuro, facile da usare ed economico all’MFA per aiutare le organizzazioni di servizi finanziari a prevenire frodi e perdite di entrate. Fornendo solo ai dipendenti MFA autorizzati l’accesso ai dati sensibili e PII con YubiKey, le organizzazioni di servizi finanziari possono rimanere conformi alle normative esistenti ed emergenti, tra cui SOX, PSD2, PCI, FIPS e GDPR e mitigare il rischio di sicurezza informatica e le frodi legate all’acquisizione di account.

Scopri di più su come YubiKeys protegge le organizzazioni di servizi finanziari dalle minacce alla sicurezza informatica.

 

A proposito di Yubico

Yubico stabilisce nuovi standard globali per un accesso semplice e sicuro a computer, dispositivi mobili, server e account Internet. L’invenzione principale dell’azienda, la YubiKey, offre una forte protezione hardware, con un semplice tocco, su qualsiasi tipo di sistemi IT e servizi online. YubiHSM, il modulo di sicurezza hardware ultraportatile di Yubico, protegge i dati sensibili archiviati nei server.

Yubico è uno dei principali contributori agli standard di autenticazione aperta FIDO2, WebAuthn e FIDO Universal 2nd Factor e la tecnologia dell’azienda è implementata e amata da 9 dei 10 principali marchi Internet e da milioni di utenti in 160 paesi.

Fondata nel 2007, Yubico è una società privata, con uffici in Svezia, Regno Unito, Germania, Stati Uniti, Australia e Singapore. Per maggiori informazioni: www.yubico.com

Potrebbero piacerti anche questi articoli…