Autenticazione e crittografia

Positivamente determinare con appena cui si fanno affari, scrive Tim Pickard da RSA Security. Relazioni di hacker l'accesso popolari siti di e-business e sfoggiando il numero di clienti della carta di credito sono ben noti e sempre più comune, al punto che sono diventati ogni e-business PR peggior incubo e giuridico. Con la business-to-consumer (B2C) e-commerce dovrebbe raggiungere US $ 108 miliardi entro il 2003, e business-to-business (B2B) e-commerce prevede un aumento di 1 mille miliardi dollari US nello stesso periodo, il bisogno di sicurezza elettronica non è mai stato più evidente. La chiave di questa sicurezza è l'autenticazione: che è, positivamente la determinazione con la quale si sta facendo affari.

Pressione E-business ''

Le chiavi per garantire la vostra e-businessBusiness Secure E-possono essere suddivisi in quattro aree:

1. Autenticazione - Garantire che il mittente e il destinatario sono chi dicono di essere;

2. Privacy dei dati - Garantire la riservatezza delle informazioni che si muove intorno alla rete Internet pubblica;

3. L'integrità dei dati - Garantire che gli utenti autenticati in una transazione non sono in grado di negare le azioni da essi adottate;

4. Autorizzazione - Negare agli utenti l'accesso non autorizzato alle informazioni che non dovresti vedere.

AutenticazioneQuesta è la pietra angolare della sicurezza delle e-business, ed è definita come positivamente l'individuazione e provare l'autenticità di coloro con i quali si sta facendo affari. Senza autenticazione altre misure di sicurezza che hai messo in atto può essere inefficace. Password non sono abbastanza oggi, che richiedono un nome utente e la password è la tecnica più comune per autenticare un utente. Sulla superficie di questo singolo fattore (cosa che un utente sa) potrebbe sembrare una soluzione adeguata. Dopo tutto, ci sono circa il 2,8 mila miliardi di possibilità per una password di otto caratteri composta da caratteri alfanumerici casuali. Ma perché tutti tendono a scegliere password che sono brevi e facili da ricordare - come ad esempio le date importanti o nomi dei membri della famiglia - la nostra password tendono ad essere relativamente facile indovinare per gli altri, rubare o crack. L'ingegneria sociale contribuisce anche alla natura inaffidabile delle password. Un altro problema è che il tuo nome utente e la password non possono essere protetti mentre viaggiano attraverso la rete Internet. Ad esempio, un sistema tipico server Web HTTP di autenticazione di base, utilizzato su molti siti web, non crittografare il nome utente o password. E le password in chiaro sono estremamente sensibili alla intercettazione da parte di hacker che si 'sniffing' per loro. La linea di fondo è che avete bisogno di autenticazione forte di creare e mantenere un ambiente sicuro per l'e-business.

Livelli di autenticazioneDiversi livelli di forza di autenticazione esistenti, e la vostra scelta sarà basata sul valore o la sensibilità delle informazioni che si sta proteggendo, equilibrato nei confronti di altre considerazioni, come l'usabilità, l'implementazione e di bilancio.Password sono i più deboli, sebbene la maggior parte ampiamente utilizzato, sotto forma di autenticazione. Essi contribuiscono a identificare gli utenti che richiedono un unico fattore di identificazione: il codice segreto. Questo metodo di autenticazione è percepito per essere facile da implementare e poco costoso. Tuttavia, la storia ha dimostrato che questi codici sono facilmente intuito, rubato o altrimenti compromessa e non sono così facili e poco costose da mantenere, come si potrebbe pensare. Sorprendentemente, le password sono una delle forme più inefficaci di autenticazione. L'uso di certificati digitali come una forma di autenticazione è sempre più diffusa, con la crescita delle transazioni su Internet. Da solo o protetto con una password, i certificati di identificare gli utenti che devono accedere alle credenziali digitali che deve essere utilizzato solo dal legittimo proprietario. Tuttavia, la forza relativa dei certificati digitali, come una soluzione di autenticazione dipende da come sono protetti in modo sicuro. Ad esempio, i certificati digitali memorizzati insicuro su un disco rigido può essere paragonato al vostro portafogli lasciato aperto sulla scrivania. Certificati digitali acquistano forza quando sono accompagnati da un controllata la passwordPolitica.

Qui, una fiducia 'autorità di certificazione' che rilascia certificati di verificare l'identità digitale delle chiavi private degli utenti '. Aggiunta di una infrastruttura a chiave pubblica con una dichiarazione gestito centralmente politica certificato che stabilisce requisiti di password (vale a dire ogni password deve essere nove caratteri alfanumerici di lunghezza) in grado di migliorare la forza di certificati come una forma di autenticazione dell'utente. Autenticazione a due fattori è molto più forte di sicurezza delle password o certificati non protetti, perché richiede agli utenti di presentare due forme di identificazione, prima di accedere alle risorse protette. Simile ad usare un Bancomat, gli utenti devono conoscere sia il proprio PIN e possiedono il dispositivo di autenticazione (token o smart card). La combinazione dimostra che gli utenti siano chi dicono di essere. Combinando autenticazione a due fattori e certificati digitali aumenta la forza dei vostri servizi di autenticazione in modo drammatico. Spesso, i certificati digitali vengono memorizzati in modo non sicuro chiunque può assumere l'identità degli utenti. Imponendo due forme di identificazione di credenziali di accesso, si è in grado di identità digitali degli utenti bind 'alla loro identità fisica, che ti permette di essere più sicuri che gli utenti siano chi dicono di essere. Introducing smartcard per proteggere certificati digitali è uno dei livelli più elevati di servizio di autenticazione. Non è solo l'accesso alle smart card protetta con autenticazione a due fattori, ma i certificati / coppie di chiavi possono anche essere generata e memorizzata nella smart card. In realtà, non è mai la chiave privata lascia la carta, quindi non può mai essere accessibili da parte di utenti non autorizzati o copiati in un server. Con l'aggiunta di un terzo fattore - come biometria - A quanto sopra, si può raggiungere il livello più forte a disposizione di autenticazione. Biometria fa riferimento a una caratteristica che è unica per un utente. Questa misura può essere raggiunto attraverso le impronte digitali, scansione della retina e la voce di stampa. Questo terzo fattore di autenticazione quando combinato con i certificati memorizzati su una smart card è impenetrabile.

Privacy dei datiLe informazioni sensibili devono essere protetti mentre si è in movimento da un punto all'altro attraverso Internet. Ad esempio, non volete che i concorrenti per essere in grado di prendere una copia di una proposta per la posta elettronica ad un potenziale cliente. E probabilmente si desidera proteggere i nomi utente e password - e naturalmente i numeri della carta di credito - che accompagnano le trasmissioni. Maggior parte dei browser sono dotati di 'Secure Sockets Layer' (SSL) capacità di garantire la riservatezza delle informazioni che vengono trasferiti tra un server Web e il browser Web dell'utente. Ciò avviene mediante la crittografia, o codifica, le informazioni prima di inviarla e poi decifrare alla fine ricezione, rendendo praticamente impossibile per la transazione da tradurre in caso di intercettazione. Ciò significa che la transazione è privato, che è cruciale nel commercio elettronico.

L'integrità dei datiE 'anche importante che nessuna delle due parti è in grado di dichiarare che non è mai l'operazione ha avuto luogo o che i dati pervenuti è stata in qualche modo diverso da quello trasmesso. Ad esempio, se si riceve un grosso ordine on-line da uno dei vostri rivenditori possono davvero essere sicuri che è legittimo? Cosa succede se consegnare l'ordine e che sostengono che l'ordine con cui posto è stata significativamente più piccoli? O si contesta di aver messo per niente? Per non ripudio è necessario essere in grado di provare che il mittente e il destinatario sono chi dicono di si e che la transazione non è stato alterato. Ciò può essere eseguito utilizzando client-side certificati digitali che autenticano una transazione - dimostrando così che la transazione non è stato alterato durante la trasmissione. Va osservato, tuttavia, che hai ancora bisogno di dimostrare che gli utenti siano chi dicono di essere - ossia i dipendenti non scontenti o ricerca di emozioni forti ragazzi - per renderli responsabili per la transazione. Solo autenticazione a due fattori possono legarsi definitivamente identità fisica di un utente alla propria identità digitale.

AutorizzazioneDiversi utenti hanno bisogno di accedere a diversi tipi di informazioni, ed è importante per impedire agli utenti non autorizzati di visualizzare le informazioni. Ad esempio, il personale HR deve essere in grado di visualizzare e aggiornare il database dei dipendenti, ma gli altri dipendenti e imprenditori non dovrebbero guardare il tuo stipendio. Il vostro canale di vendita deve avere accesso alle informazioni più aggiornate sui prodotti, programmi di sviluppo e di fissazione dei prezzi, ma che le informazioni interne, generalmente non è qualcosa che si desidera vedere i concorrenti. Dell'autorizzazione comporta limitare l'accesso degli utenti alle macchine, directory, file e programmi applicativi. Ci sono diversi livelli di autorizzazione. La prima consiste nel limitare l'accesso a livello di URL per proteggere le macchine e il loro contenuto. La seconda consente l'accesso condizionato ai file e directory basate su elenchi di controllo di accesso, e la terza regola consiste elaborati a base di controllo di accesso. In una qualsiasi delle sue forme, l'autorizzazione ti aiuta a far rispettare le regole di accesso dati, una volta che un utente raggiunge risorse protette.

Identity ManagementL'autenticazione è quindi - tra queste altre misure di sicurezza - fondamentale per il successo della vostra iniziativa e-business. Un'altra minaccia considerevole, tuttavia, risiede nella proliferazione scaglionamento delle identità su Internet. Centinaia di milioni di persone in tutto il mondo oggi utilizzano Internet ogni giorno a casa e al lavoro, incontrando una miriade di applicazioni aziendali, e-business e servizi di interfacce web. Molte di queste applicazioni richiedono un nome utente univoco e, di conseguenza, un individuo in genere non possiedono una, ma diverse identità digitali. Inoltre, non sono perpetui identità digitali: sono stati creati per i nuovi dipendenti, e quando i lavoratori di lasciare la propria identità digitale scadenza - o dovrebbe scadere - come la data di cessazione. Un dipendente che si spostano da una parte di un organismo a un altro, o di essere promosso a un livello più alto di gestione, potrebbe essere necessario avere aggiornato i diritti di accesso e le altre informazioni allegate alla sua identità digitale. Pertanto le aziende devono essere in grado di fiducia l'identità delle gli utenti che cercano di accedere ai propri basati su Internet risorse. Inoltre, hanno bisogno di gestire e controllare identità autorizzato per assicurare che siano in corso e di essere utilizzati in conformità con le politiche stabilite. Per questo motivo, le organizzazioni devono valutare la loro gestione delle identità proprie esigenze, impegnarsi in un dibattito approfondito con i partner commerciali sulle loro esigenze e dei piani, ed esplorare in collaborazione con un fornitore affidabile come implementare e integrare una soluzione del genere nei loro ambienti IT.

Uno standard aperto per la gestione delle identità - tra cui l'autenticazione, single sign-on e accesso a funzionalità di rete di gestione - aiuterà le aziende a ridurre i costi, accelerare le opportunità commerciali e di aumentare la produttività degli utenti e la soddisfazione del cliente. Iniziative come il Liberty Alliance dimostrano come le aziende stanno già lavorando insieme per fare e-business più facile, senza compromettere i dettagli delle credenziali. Per esempio, sarà presto possibile per organizzare la tua vacanza completa logistica - affittare una villa, i voli articolo e noleggiare una macchina - in un'unica transazione online, autenticando una volta e quindi circolare liberamente tra i siti affiliati senza dover ripetutamente re-inserire i tuoi dati. Un approccio federato porterà notevoli benefici agli utenti e imprese. transazioni online sono spesso abbandonati, e gli utenti hanno individuato la necessità di completare e forme, spesso ri-completo come la sola ragione principale per questo, chiaramente questo è uno dei principali ostacoli al commercio elettronico. All'interno di un sistema di gestione delle identità, gli utenti potranno apprezzare: la comodità di una singola identità e autenticazione per una vasta gamma di risorse, applicazioni e siti web, la possibilità di specificare a quali condizioni alcuni dati possono e non possono essere condivise, e le politiche e le norme sulla memorizzazione dei dati, l'utilizzo e la condivisione progettato per proteggere la loro privacy e la prevenzione delle frodi e furti di identità. A loro volta, le imprese trarranno beneficio da essere in grado di: fiducia le identità di dipendenti, partner e clienti; ricevere pre-utenti autenticati dai siti partner commerciali ' e introdurre nuovi servizi e identificare nuove opportunità di business.

ConclusioneNiente di tutto ciò è possibile senza il fondamento principale di e-sicurezza: autenticazione utente forti. Una volta che questo è a posto, il resto - mitigata rischio la sicurezza della rete, riduzione dei costi, l'incremento, protetto investimenti e di maggiore rispetto - seguirà, e le aziende essere posizionata per affrontare in modo sicuro, conveniente e proficuamente su Internet. Tim Pickard è Strategic Marketing Director EMEA di RSA Security. RSA Security è il nome più affidabile in materia di e-security, aiutando le organizzazioni a costruire sicuro, affidabile basi per l'e-business attraverso la sua autenticazione a due fattori, la gestione degli accessi web, la crittografia e sistemi pubblici di gestione delle chiavi. Una società veramente globale, con oltre 8.000 clienti, RSA Security è rinomato per la fornitura di tecnologie che aiutano le organizzazioni condotta e-business con fiducia. Per ulteriori informazioni contattare: RSA Regno Unito, Irlanda e Sales EMEA, RSA House, Western Road, Bracknell, Berks RG12 1RT. Tel: +44 (0) 1344 781000, Fax: + 44 (0) 1344 781010.

un articolo presentato da Frank C.

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo è "l'autenticazione e la crittografia" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.