Authentification et chiffrement

Positively déterminer avec juste que vous faites des affaires, écrit Tim Pickard de RSA Security. Rapports des pirates d'accéder populaires sites de e-business et affichant les numéros de carte de crédit du client sont bien connus et de plus en plus commun, au point qu'ils sont devenus tout e-business pire cauchemar de relations publiques et juridiques. Avec un business-to-consumer (B2C) e-commerce devrait atteindre 108 milliards USD d'ici 2003, et Business-to-business (B2B) e-commerce devrait atteindre 1 billion $ US durant la même période, le besoin de sécurité électronique n'a jamais été plus évident. La clé de cette sécurité est l'authentification: c'est à dire la détermination positive avec qui vous faites affaires.

Pression E-business '

Les clés de la sécurisation de votre e-businessSecure e-business peut être décomposée en quatre domaines:

1. Authentification - Veiller à ce que l'expéditeur et le destinataire sont bien qui ils prétendent être;

2. La confidentialité des données - Garantir la confidentialité de l'information telle qu'elle se déplace autour de l'Internet public;

3. L'intégrité des données - Veiller à ce que les utilisateurs authentifiés dans une transaction ne sont pas en mesure de refuser les mesures qu'ils auront prises;

4. Autorisation - Refuser l'accès des utilisateurs non autorisés à l'information qu'ils ne sont pas censés voir.

AuthentificationCeci est la pierre angulaire de la sécurité des e-Business, et est défini comme l'identification positive et de prouver l'authenticité de ceux avec qui vous faites affaires. Sans authentification autres mesures de sécurité que vous avez mis en place peut être inefficace. Mots de passe ne sont pas assez aujourd'hui, ce qui nécessite un nom d'utilisateur et mot de passe est la technique la plus courante pour authentifier un utilisateur. Sur la surface de ce seul facteur (quelque chose d'un utilisateur sait) mai semblent être une solution adéquate. Après tout, il ya environ 2,8 trillions de possibilités pour un mot de passe de huit caractères composé de caractères alphanumériques. Mais parce que nous avons tous tendance à choisir des mots de passe qui sont courts et faciles à retenir - telles que les dates importantes ou des noms des membres de la famille - Nos mots de passe ont tendance à être relativement facile à deviner pour autrui, de voler ou le crack. L'ingénierie sociale contribue également au manque de fiabilité des mots de passe. Un autre problème est que votre nom d'utilisateur et mot de passe mai ne pas être protégés car ils Voyage à travers l'Internet. Par exemple, un serveur web typique du système d'authentification HTTP de base, utilisée sur de nombreux sites Web, ne chiffre pas le nom d'utilisateur ou mot de passe. Et mots de passe non cryptés sont extrêmement susceptibles d'être interceptées par des pirates informatiques qui sont «sniffing» pour eux. L'essentiel, c'est que vous avez besoin d'une authentification accrue pour créer et maintenir un environnement de confiance pour l'e-business.

Niveaux d'authentificationDifférents niveaux de force de l'authentification existent, et votre choix sera basé sur la valeur ou la sensibilité de l'information que vous protégez, équilibrée avec d'autres considérations comme l'ergonomie, le déploiement et le budget.Les mots de passe sont les plus faibles, mais plus largement utilisé, forme d'authentification. Ils aident à identifier les utilisateurs en imposant un seul facteur d'identité: leur code secret. Cette méthode d'authentification est perçu comme étant facile à déployer et peu coûteuse. Cependant, l'histoire a prouvé que ces codes sont faciles à deviner, volés ou autrement compromis et ne sont pas aussi facile ou peu coûteux à entretenir comme on pourrait le penser. Étonnamment, les mots de passe constituent l'une des formes les plus inefficaces d'authentification. L'utilisation de Certificats numériques comme une forme d'authentification est de plus en plus répandue avec la croissance des transactions par Internet. Seul ou protégé par un mot de passe, la certification permet d'identifier les utilisateurs en exigeant l'accès aux informations d'identification numérique qui doit être utilisé uniquement par le propriétaire légitime. Toutefois, la force relative des certificats numériques comme une solution d'authentification dépend de la façon dont ils sont protégés en toute sécurité. Par exemple, les certificats numériques stockés de manière non sécurisée sur un disque dur peut être comparé à votre portefeuille laissés ouverts sur votre bureau. Les certificats numériques gagné en force quand ils sont accompagnés d'un contrôlée de passepolitique.

Ici, une confiance «autorité de certificat" délivre des certificats qui vérifient l'identité numérique des clés privées des utilisateurs. Ajout d'une infrastructure à clé publique par une déclaration politique de certification géré de manière centralisée, qui établit les exigences de passe (soit tous les mot de passe doit être neuf caractères alphanumériques de longueur) peuvent améliorer la force de certificats en tant que forme d'authentification des utilisateurs. Authentification à deux facteurs est beaucoup plus forte que la sécurité du mot de passe ou des certificats non protégés, car il exige des utilisateurs de présenter deux pièces d'identité avant d'accéder à des ressources protégées. Comparable à l'aide d'un guichet automatique bancaire, les utilisateurs doivent tous les deux savent que leur code PIN et possèdent leur dispositif d'authentification (token ou carte à puce). L'association se révèle que les utilisateurs sont bien qui ils prétendent être. Combinant authentification à deux facteurs et Certificats numériques améliore la force de vos services d'authentification de façon spectaculaire. Souvent, les certificats numériques sont stockés de manière non sécurisée donc n'importe qui peut assumer l'identité de vos utilisateurs. En exigeant des deux formes d'identification aux autorisations d'accès, vous êtes en mesure d'identités numériques des utilisateurs se lient à leur identité physique, qui vous permet d'être plus confiants que les utilisateurs sont bien qui ils prétendent être. Introducing Smartcards pour protéger Certificats numériques est l'un des plus hauts niveaux de service d'authentification. Non seulement l'accès à la carte à puce protégée par une authentification à deux facteurs, mais les certificats / paires de clés peuvent également être générées et stockées sur la carte à puce. En fait, la clé privée ne quitte jamais la carte, de sorte qu'il ne peut jamais être consulté par des utilisateurs non autorisés ou copiés sur un serveur. En ajoutant un troisième facteur - comme biométrie - De ce qui précède, vous pouvez obtenir le plus fort niveau d'authentification disponibles. La biométrie se réfère à une caractéristique qui est unique à un utilisateur. Cette mesure peut être réalisée grâce aux empreintes digitales, la numérisation et la voix de la rétine l'impression. Ce facteur d'authentification tiers lorsque combinée avec les certificats stockés sur une carte à puce est impénétrable.

La confidentialité des donnéesLes informations sensibles doivent être protégées alors qu'il se déplace d'un point à travers l'Internet. Par exemple, vous ne voulez pas des concurrents pour être en mesure de récupérer une copie d'une proposition lorsque vous l'e-mail à un client éventuel. Et vous voulez probablement pour protéger les noms d'utilisateurs et mots de passe - et des cours numéros de carte de crédit - qui accompagnent les transmissions. La plupart des navigateurs web ont intégré «Secure Sockets Layer (SSL) afin de pouvoir assurer la confidentialité des informations qui sont transférées entre un serveur Web et un utilisateur du navigateur Web. Ceci est fait par cryptage, le brouillage ou, de l'information avant de l'envoyer et puis le décryptage à la fin de réception, ce qui rend quasiment impossible pour la transaction devant être traduits si interceptés. Cela signifie que la transaction est privé, ce qui est crucial dans les affaires électroniques.

L'intégrité des donnéesIl est également important que ni le parti est en mesure de déclarer qu'une transaction n'a jamais eu lieu ou que les données reçues ont été quelque peu différente de celle transmise. Par exemple, si vous recevez une commande en ligne importantes d'un de vos revendeurs peuvent vous être vraiment sûr que c'est légitime? Que faire si vous livrer la commande et ils prétendent que l'ordre où ils placés a été significativement plus petits? Ou ils nient avoir placé du tout? Pour les non-répudiation, vous devez être en mesure de prouver que l'expéditeur et le récepteur sont bien qui ils prétendent être et que la transaction n'a pas été modifié. Ceci peut être accompli en utilisant des certificats côté client numérique qui authentifier une transaction - ce qui prouve que la transaction n'a pas été modifié pendant la transmission. Il convient de noter, cependant, que vous avez encore besoin de prouver que les utilisateurs sont bien qui ils prétendent être - c'est à dire employés de ne pas mécontent ou recherche de sensations fortes adolescents - pour les rendre responsables de l'opération. Seule l'authentification à deux facteurs peut se lier définitivement l'identité physique d'un utilisateur à leur identité numérique.

AutorisationDifférents utilisateurs ont besoin d'accéder à différents types d'informations, et il est important d'empêcher les utilisateurs non autorisés de voir cette information. Par exemple, votre personnel des RH doit être en mesure de consulter et d'actualiser la base de données des employés, mais les autres employés et les entrepreneurs ne devraient pas être regardant votre salaire. Votre canal de vente doit pouvoir accéder aux dernières informations produit, les calendriers de développement et de prix, mais que l'information interne n'est habituellement pas quelque chose que vous voulez concurrents à voir. L'autorisation implique de restreindre l'accès des utilisateurs à des machines, des répertoires, fichiers et programmes d'application. Il ya plusieurs niveaux d'autorisation. La première consiste à limiter l'accès au niveau de l'URL pour protéger les machines et leur contenu. Le second fournit un accès conditionnel à des répertoires et des fichiers basés sur des listes de contrôle d'accès, et la troisième règle consiste à élaborer un contrôle d'accès. Dans aucune de ses formes, l'autorisation vous aide à faire appliquer les règles d'accès aux données une fois qu'un utilisateur atteint ressources protégées.

De gestion d'identitéL'authentification est donc - parmi ces autres mesures de sécurité - essentielle à la réussite de votre initiative de commerce électronique. Une autre menace considérable, cependant, réside dans la prolifération étalement des identités sur Internet. Des centaines de millions de personnes à travers le monde utilisent maintenant quotidiennement l'Internet à la maison et au travail, rencontrant une myriade applications d'entreprise, e-business et des interfaces de services web. Plusieurs de ces applications nécessitent un nom d'utilisateur unique et, par conséquent, une personne est généralement posséder non pas une mais plusieurs identités numériques. De plus, les identités numériques ne sont pas perpétuel: ils sont créés pour les nouveaux employés, et quand les employés quittent leur identité numérique expire - ou devrait expirer - à compter de leur date de résiliation. Un employé se déplaçant d'un partie d'une organisation à l'autre, ou d'être promu à un niveau supérieur de gestion, mai besoin d'avoir mis à jour des droits d'accès et autres informations attachés à son identité numérique. C'est pourquoi les entreprises doivent être en mesure de faire confiance à l'identité des les utilisateurs qui cherchent à accéder à leurs ressources basées sur Internet. En outre, ils ont besoin pour gérer et contrôler les identités autorisées afin de s'assurer qu'ils sont à jour et être utilisés conformément aux politiques établies. Pour cette raison, les organisations doivent évaluer leurs propres besoins en matière de gestion des identités, de s'engager dans des discussions approfondies avec des partenaires commerciaux au sujet de leurs besoins et plans, et d'étudier en liaison avec un fournisseur fiable la manière d'appliquer et d'intégrer une telle solution dans leurs environnements informatiques.

Un standard ouvert pour la gestion des identités - y compris l'authentification, le single sign-on et les capacités de gestion des accès web - aidera les entreprises à réduire les coûts, d'accélérer les opportunités commerciales et augmenter la productivité des utilisateurs et la satisfaction client. Des initiatives comme la Liberty Alliance démontrent comment les entreprises travaillent déjà ensemble de rendre l'e-business plus facile sans compromettre les détails d'identification. Par exemple, il sera bientôt possible d'organiser votre logistique complète de vacances - location d'une villa, les vols article et louer une voiture - dans une transaction en ligne unique, en authentifiant une fois puis en déplaçant librement entre les sites affiliés à plusieurs reprises sans avoir à re-saisir vos coordonnées. Une approche fédérée apportera des avantages substantiels pour les utilisateurs et les entreprises. transactions en ligne sont souvent abandonnées, et les utilisateurs ont identifié la nécessité de remplir et de forme souvent re-complet comme étant la principale raison pour cela: c'est manifestement un obstacle majeur au commerce électronique. Dans un système de gestion des identités, les utilisateurs pourront apprécier: la commodité d'une seule identité et d'authentification pour un large éventail de ressources, les applications et sites web et la possibilité de spécifier dans quelles conditions certaines pièces de l'information peuvent et ne peuvent pas être partagés, et les politiques et les normes sur le stockage des données, l'utilisation et le partage visant à protéger leur vie privée et empêcher la fraude et l'usurpation d'identité. En retour, les entreprises bénéficieront en étant en mesure de: la confiance de l'identité des employés, partenaires et clients; obtenir la préparation à des utilisateurs authentifiés à partir de sites partenaires d'affaires et d'introduire de nouveaux services et d'identifier les nouvelles opportunités commerciales.

ConclusionRien de cela n'est possible sans une base de base de l'e-sécurité: authentification forte des utilisateurs. Une fois ceci en place, le reste - risque atténué de sécurité réseau, réduire les coûts, les revenus ont augmenté, à l'abri des investissements et une plus grande conformité - va suivre, et les entreprises être en mesure de faire face de manière sécurisée, pratique et rentable sur l'Internet. Tim Pickard est EMEA Directeur du marketing stratégique chez RSA Security. RSA Security est le nom de confiance dans la sécurité électronique, des organisations aidant à construire sécuritaires et fiables des fondations pour l'e-business par ses deux facteurs d'authentification, gestion des accès Web, le cryptage et les systèmes publics de gestion des clés. Une société véritablement mondiale, avec plus de 8000 clients, RSA Security est réputée pour fournir des technologies qui aident les organisations affaires électroniques en toute confiance. For further information contact: RSA Royaume-Uni, l'Irlande et des Ventes EMEA, RSA House, Western Road, Bracknell, Berks RG12 1RT. Tel: +44 (0) 1344 781000, Fax: + 44 (0) 1344 781010.

un article présenté par Frank C.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article "L'authentification et le chiffrement" a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.