För att kunna växa måste varje företag, verksamhet eller organisation ha en systematisk metod för att organisera anställda eller medlemmar. I dag faller den metoden ofta under begreppet identitets- och åtkomsthantering (IAM), ibland även kallat Identity Credential Access Management (ICAM). I båda fallen beskriver det övergripande ramverket hur nya medarbetare introduceras i organisationen samt hur överlämning och avveckling av konton hanteras vid behov.
Delarna inom identitets- och åtkomsthantering är relevanta för alla företag, oavsett storlek. Det är aldrig för tidigt att börja fundera på hur en organisation ska hantera och administrera anställda eller medlemmar.
I den här rapporten utforskar vi de sex huvudelementen inom identitets- och åtkomsthantering och hur du kan tillämpa dem i din organisation.
Sex element inom identitets- och åtkomsthantering
I ett antal bransch- och analytikerrapporter delas de huvudsakliga områdena inom identitets- och åtkomsthantering in i
Lösenordshantering
Avancerad autentisering
Provisionering
Katalogtjänster
Enkel inloggning
Revision, regelefterlevnad, styrning
Börja med lösenordshantering
Varje organisation börjar med en eller flera personer, och det är rimligt att börja med lösenordshantering och ge medarbetarna rätt förutsättningar från start.
Till exempel behöver individer, redan innan de börjar skapa nya konton, kunna generera långa och unika lösenord för varje webbplats eller tjänst de behöver. En lösenordshanterare med inbyggd lösenordsgenerator gör detta enkelt. Redan från första dagen ger medarbetarna sig själva bästa möjliga förutsättningar att lyckas genom att hålla konton åtskilda och säkra med långa och unika lösenord.
Lägg till delning i lösenordshanteringen för teamsamarbete
När individer har en lösenordshanterare för att generera långa och unika lösenord, och spara dem för enkel åtkomst, kan du gå vidare till att dela inloggningsuppgifter säkert inom ett team.
Företagsanpassade lösenordshanterare gör det möjligt att hantera organisationer och att dela säkert och strukturerat mellan användargrupper. Dessa grupper kan tilldelas olika samlingar med känsliga objekt, till exempel företagsinloggningar, delade kreditkort eller wifi-lösenord till kontoret.
Genom att etablera en totalsträckskrypterad plattform för säker delning lägger varje organisation en stabil grund för medarbetarnas och företagets säkerhet.
Inför avancerad autentisering
Med ett långt, komplext, slumpmässigt och unikt lösenord per konto ger användarna sig själva ett starkt skydd. Ett ännu starkare steg är att lägga till tvåstegsinloggning, eller tvåfaktorsautentisering, både för inloggningen till din lösenordshanterare och för andra webbplatser och tjänster.
I din lösenordshanterare kan tvåstegsinloggning konfigureras med autentiseringsappar, säkerhetsnycklar, e-post eller SMS. Observera att SMS numera anses vara en av de mer sårbara metoderna för intrång, på grund av hur vanligt SIM-kapning är som angreppsmetod.
Oavsett vilken väg användarna väljer bör du se till att alla förstår konsekvenserna av tvåstegsinloggning, sparar en kopia av återställningskoderna för tvåstegsinloggning på webbplatser om sådana erbjuds, och har en metod för att säkerhetskopiera de autentiseringsnycklar som tillhandahålls under registreringsprocessen för tvåstegsinloggning.
Använda en lösenordshanterare med inbyggd tvåstegsinloggning
Vissa lösenordshanterare erbjuder inbyggda autentiserare. Det ger användarna mycket stor bekvämlighet, särskilt i delade miljöer. Användarna kan nu dela en inloggning, inklusive sekvensen för tvåstegsinloggning, utan att behöva ringa eller sms:a varandra för att få reda på den hemliga koden.
Vissa kan förstås undra vad poängen är med att inkludera ett inbyggt autentiseringssteg i lösenordshanteraren, och om det urholkar värdet av autentisering. I slutändan har användarna valmöjligheter, och arbetsgivare kan utbilda om rekommenderade arbetssätt. Det här är skälen till att välja en integrerad metod
Ditt lösenordsvalv bör själv ha tvåstegsinloggning med en annan metod. (Viktigt: du bör inte använda lösenordshanterarens inbyggda autentiserare för att skydda ditt lösenordshanterarkonto.) Därför är ditt valv och dina konton för närvarande skyddade med en hög säkerhetsnivå och, i praktiken, tvåstegsinloggning.
Att ha tvåstegsinloggning aktiverat för webbplatser och applikationer ger högre säkerhet än att inte ha det aktiverat. En tätare integrering av tvåstegsinloggning gör det lättare att använda funktionen oftare, vilket främjar bättre säkerhetsrutiner.
Om du behöver dela ett objekt kan du dela det med tvåstegsinloggning aktiverat, vilket återigen främjar bättre säkerhet. Det är ett smart sätt att stärka både samarbete och tvåstegsinloggning.
Du behöver inte komma ihåg vilken autentiseringsapp du använde, eftersom den förblir inbyggd.
Du kan alltid välja, från fall till fall, vilken inloggning som ska autentiseras internt i lösenordshanterarens autentiserare eller externt med en separat autentiseringsapp.
Vägen mot lösenordslöst
När världen går mot lösenordslöst bör du se till att din lösenordshanterare och övergripande strategi för identitets- och åtkomsthantering omfattar lösenordslösa alternativ. Till exempel:
Se till att du kan logga in på enheter med biometri och aktivera automatisk ifyllning av inloggningsuppgifter med biometri
För Single Sign-On, som diskuteras mer längre fram, bör du utforska alternativ som erbjuder lösenordslösa upplevelser
Överväg att använda säkerhetsnycklar i hela organisationen
När du inför säkerhetsnycklar bör du ha redundanta alternativ i åtanke, liksom rutiner för säkerhetskopiering och återställning om nycklar försvinner eller om nycklar är kopplade till företagskritiska användarkonton
Det kan till exempel vara rimligt att en anställd anger platsen för eventuella säkerhetsnycklar som används som backup i sitt lösenordshanteringsvalv, endast tillgängligt för visning vid kontoövertagande och nödåtkomst
Provisionering för framgång
Ju snabbare anställda kommer igång på ett nytt företag, desto snabbare kan de bli produktiva och bidra till framgång. Inte helt oväntat upptar provisionering en stor del av budgeten för identitets- och åtkomsthantering, men är fortfarande utspridd över flera system och verktyg.
Företag anpassar ofta sina introduktionsprocesser utifrån de primära system som finns på plats, såsom e-post, meddelandetjänster, katalogtjänster och Single Sign-On, vilket diskuteras mer ingående inom kort.
För att ge medarbetarna bästa möjliga introduktionsupplevelse och säkerställa att lösenordshanteraren passar in i ett övergripande ramverk bör du leta efter lösenordshanterare som erbjuder
Ett robust API (application programming interface) för integration med befintliga system
Ett fullständigt kommandoradsgränssnitt som möjliggör skriptning för anpassade processer
Möjlighet att integrera med befintliga system för identitets- och åtkomsthantering, såsom
Katalogtjänster
Single Sign-On
Granskning och inloggningar
Katalogtjänster för grupporganisering
Större företag använder ofta katalogtjänster för att organisera medarbetare efter avdelning. Det kan till exempel finnas grupper baserade på försäljning, marknadsföring, teknik, IT och ekonomi. Dessa befintliga katalogtjänster gör det möjligt att ordna medarbetare efter funktion, snabbt lägga till nya medarbetare i rätt grupper och avprovisionera konton vid behov.
Lösenordshanterare på företagsnivå integreras med katalogtjänster för att ordna användargrupper i organisationens lösenordshanteringsvalv. Om en grupp ekonomimedarbetare har åtkomst till en viss uppsättning inloggningsuppgifter för skattetjänster får en ny medlem i gruppen automatiskt åtkomst till dessa uppgifter.
Vissa företag använder även kataloggrupper för att underlätta tillfälliga team. Till exempel kan ett tvärfunktionellt tigerteam bildas kring ett nytt affärsinitiativ. Teamet kan begära en egen lösenordshanteringsgrupp. Med katalogintegration kan detta nya tigerteam synkroniseras med lösenordshanteringsappen och snabbt få tillgång till en uppsättning säkra inloggningsuppgifter.
Logga in med SSO för samlad åtkomst
I takt med boomen för SaaS-applikationer (software-as-a-service) började många företag använda Single Sign-On för att möjliggöra samlad åtkomst till webbplatskonton. Single Sign-On kräver förstås att webbplatsen eller tjänsten har den funktionen tillgänglig. Även om många webbplatser som riktar sig till företag erbjuder Single Sign-On finns det fortfarande en mängd webbplatser och tjänster som inte gör det. En lösenordshanterare fyller den luckan – och mer därtill.
Vissa lösenordshanterare kan även integreras med Single Sign-On, vilket gör att företag automatiskt kan provisionera användare i en organisation.
Självklart är en totalsträckskrypterad applikation som en lösenordshanterare lite annorlunda än en typisk SaaS-tjänst. Eftersom en säkerhetsmodell för lösenordshanterare med nollkunskapskryptering garanterar att leverantören inte kan se något i ditt valv får Single Sign-On ett annat sammanhang.
Grundprincipen för en lösenordshanterare är att slutanvändaren har nyckeln för att kryptera och dekryptera sina data. Lösenordshanteraren känner inte till nyckeln och kan inte tillhandahålla den till användaren om den skulle gå förlorad. På samma sätt kan en lösenordshanterare inte bara blint lämna ut en slutanvändares dekrypteringsnyckel till en annan tredjepartstjänst (till exempel en identitetsleverantör) och förlita sig på att den leverantören håller nyckeln säker.
Med detta i åtanke möjliggör en säker modell för integration med befintliga identitetsleverantörer autentisering via identitetsleverantören, men behåller kryptering och dekryptering med ett huvudlösenord som användaren har och som är specifikt för lösenordshanteraren. Detta säkerställer att ingen tredje part har åtkomst för att dekryptera slutanvändarens valv. Det innebär också att huvudlösenordet för kryptering och dekryptering bör vara unikt för lösenordshanteraren.
Denna metod säkerställer också att användare kan dra nytta av alla klientapplikationer som lösenordshanteraren erbjuder för webbläsare, mobila operativsystem, stationära operativsystem, webbåtkomst och kommandoradsgränssnitt.
Granskning för regelefterlevnad och styrning
I större skala behöver företag övervaka sina system, inklusive medarbetares åtkomst och användning. Företag inför ofta lösningar för loggning och granskning som tar emot information från en mängd olika källor. Populära system för företagsloggning och analys inkluderar Splunk samt Kibana från Elastic.
Robusta lösenordshanteringssystem tillhandahåller loggningsinformation via API:er (application programming interfaces) som kan mata de befintliga loggningssystemen. Detta ger
En enda plats där IT- och säkerhetsteam kan samla information
Möjlighet att korrelera händelser mellan en lösenordshanterare och andra delar av en övergripande strategi för identitets- och åtkomsthantering
Möjlighet att mata befintliga aviseringar
Leverera en integrerad lösning för identitets- och åtkomsthantering
Företag har valmöjligheter när de inför rätt kombination av verktyg för identitets- och åtkomsthantering, och kan expandera i takt med att de växer. Oavsett var ni befinner er på resan bör alla företag ge medarbetare möjlighet att hantera inloggningsuppgifter säkert, generera långa och slumpmässiga lösenord vid behov samt underlätta totalsträckskrypterad delning av känslig information.
För att få dessa funktioner till ditt eget företag kan du komma igång med en kostnadsfri provperiod av Bitwarden Business redan idag.