OTP para autenticación SWIFT
Información
SWIFT ya es utilizado por casi todos los bancos internacionales a nivel mundial, a partir del año 2016, lanzó algunas herramientas de seguridad para proteger el acceso SWIFT de sus clientes, entre ellas la autenticación de 2 factores (2FA) es una de las más importantes.
Desde la versión 7.1.20 de Alliance Access, 2FA es obligatorio para todos los usuarios, lo que significa que para iniciar sesión en Alliance Access, además del nombre de usuario y la contraseña estática, un usuario también debe ingresar un código de contraseña de un solo uso (OTP). Y actualmente, SWIFT 2FA solo es compatible con la aplicación móvil de autenticación, pero es posible que algunos bancos no permitan que sus empleados usen sus propios teléfonos móviles, y es posible que algunos empleados no quieran usar sus propios teléfonos para trabajar.
Solución
Los tokens NFC OTP y las tarjetas OTP se pueden usar para SWIFT 2FA, con los tokens/tarjetas, un usuario puede iniciar sesión en el servicio SIFWT (como Alliance Access) sin traer su propio teléfono, el proceso de inscripción sería el siguiente:
1. Cuando un usuario configura 2FA para Alliance Access, mostrará un código QR
2. El usuario puede usar la aplicación móvil FEITIAN Authenticator para escanear ese código QR
3. Conecte la aplicación móvil FEITIAN Authenticator con un token/tarjeta OTP a través de NFC
4. Programe la información OTP en el token/tarjeta OTP
5. Ingrese el código OTP de 8 dígitos generado por el token/tarjeta OTP para finalizar
Después del proceso de inscripción, no se necesitará un teléfono móvil para iniciar sesión en Alliance Access, el token/tarjeta funcionará como el segundo factor para que los usuarios se autentiquen en SWIFT 2FA.
Productos relacionados
Solución de programación de semillas OTP
Información
Los tokens OTP (y las tarjetas OTP) ya son ampliamente utilizados para 2FA por bancos, agencias gubernamentales e incluso usuarios finales en su vida diaria para proteger sus cuentas bancarias, entornos de trabajo y servicios en línea como Facebook, Dropbox, etc. El código de 6 u 8 dígitos que cambia constantemente (generalmente cada 30 o 60 segundos) puede probar de manera eficiente la identidad del usuario y, lo que es más importante, dado que cada código se puede usar una sola vez, las OTP no son vulnerables a los ataques de repetición.
Cada token/tarjeta OTP suele tener una clave secreta precargada/programada (también llamada semilla), en función de la cual se generará/calculará ese código de 6 u 8 dígitos. Pero para algunos clientes (como agencias gubernamentales o bancos), es posible que tengan preocupaciones de seguridad al permitir que los proveedores de tokens se pongan en contacto con la información inicial (especialmente después del incidente de RSA SecureID).
Solución
Se resuelven sus problemas de seguridad ofreciendo no solo una, sino tres soluciones de programación de semillas in situ para diferentes requisitos de los clientes, para darles el control total sobre sus datos de semillas:
1) Programación de semillas a tokens/tarjetas OTP con un programador de semillas sin contenido dedicado.
Con el programador de semillas, puede (re)programar los tokens/tarjetas OTP usted mismo, sin necesidad de desmontar los tokens. El programador de semillas puede utilizar el protocolo sin contacto pre-operatorio para comunicarse con los tokens/tarjetas, para programar las semillas y validar los tokens/tarjetas. Junto con el sistema de gestión de semillas, puede gestionar todo el ciclo de vida de la semilla, desde la generación de la semilla, hasta el almacenamiento de la semilla, la distribución de la semilla, el transporte de la semilla y la programación de la semilla, puede controlar completamente todo el proceso de producción de la semilla, y así lograr la máxima seguridad.
Esta solución se adapta a bancos, agencias gubernamentales o grandes corporaciones con administradores u operadores dedicados para manejar todo el proceso de generación de semillas, programación de semillas y distribución de tokens/tarjetas.
2) Programación de semillas en tarjetas OTP con teléfono móvil o lector de tarjetas habilitado para NFC
Cada vez más software profesional y servicios en línea utilizan 2FA con OTP para proteger a sus usuarios / clientes, por lo general, pueden generar un código QR que contiene la información inicial, un usuario puede usar un teléfono Android habilitado para NFC para escanear ese código QR y luego programar los datos iniciales en tarjetas NFC OTP, a partir de entonces, las tarjetas OTP podrían usarse como el segundo factor para identificar a los usuarios.
Para las personas que no tienen teléfonos Android habilitados para NFC, también ofrecemos la opción de hacer la auto programación de semillas mediante el uso de un lector de tarjetas NFC, el proceso operativo es similar al de los teléfonos NFC, la única diferencia sería: en lugar de usar el teléfono inteligente para escanear el código QR, puede usar un software de PC proporcionado por FEITIAN para obtener los datos iniciales.
Hay una larga lista de servicios compatibles con esta solución, como SWIFT Alliance Access, Citrix Netscaler, IBM Verify, Docusign, TeamViewer, Facebook, Dropbox, Gmail, etc.
3) Programación de semillas a tokens OTP sin dispositivos adicionales
El token óptico OTP de es un dispositivo revolucionario, integrado con ocho sensores ópticos, con el que el token puede leer la información de la semilla de una imagen parpadeante que se muestra en una PC o incluso en un teléfono inteligente, y luego hacer la programación de la semilla por sí mismo.
Esa imagen parpadeante se puede integrar fácilmente en las páginas de banca en línea o en el portal web de la empresa, y un token óptico puede admitir hasta cinco aplicaciones/cuentas, lo que significa que el usuario puede usar un solo token para proteger su cuenta bancaria, su entorno de trabajo y también algunos servicios diarios en línea.
Dado que el token óptico no necesita un dispositivo adicional para la programación de semillas, podría ser la solución perfecta para los clientes que no quieren (o no se les permite) usar sus pers.
Productos relacionados
Solución de inicio de sesión del sistema
Información
Los tokens PKI ya se utilizan amplia mente para 2FA en múltiples campos, bancos, empresas, agencias gubernamentales e incluso usuarios finales en su vida diaria para proteger sus transacciones en línea, firma de documentos, impuestos en línea y otros servicios. Otra característica importante es que protege el inicio de sesión del sistema del usuario.
El inicio de sesión en el sistema puede ser lo más común que se hace todos los días, los usuarios deben ingresar la contraseña cada vez y también pueden preocuparse por perder la o no ser segura si la contraseña es demasiado simple, por lo que la contraseña tradicional es de baja eficiencia y bajo nivel de seguridad, obviamente un método más seguro y fácil podría ayudar a los usuarios a mejorar la eficiencia y seguridad de su trabajo. La solución de inicio de sesión del sistema brinda dicho método a los usuarios.
Solución
Se resuelven las preocupaciones de los usuarios al ofrecer una solución de inicio de sesión del sistema para productos PKI en Windows y Mac OS, la solución funcionará con software de terceros juntos:
Sistema Windows
Trabaje con EIDAuthenticate (desde https://www.mysmartlogon.com/), ya que la mayoría de los programas de inicio de sesión requieren un controlador de tarjeta inteligente específico, una instalación de almacenamiento en la propia tarjeta inteligente o autenticación de procesos de usuario, este programa es el único que realiza la autenticación dentro del kernel de seguridad de Windows (lsass.exe): incluso con tarjeta de solo firma, sus datos están seguros. Por ejemplo, EIDAuthenticate es la única solución que admite de forma nativa la directiva de «forzar inicio de sesión con tarjeta inteligente» de Windows, que se utiliza para proteger las cuentas de administrador local en centros de datos o para cumplir con HSPD-12.
Los tokens PKI ePass proporcionan un medio seguro para almacenar el certificado digital de inicio de sesión del sistema generado por EIDAuthenticate e implementar el inicio de sesión del sistema de Windows con el PIN del token después de finalizar la configuración de EIDAuthenticate. Se mostrará una cuenta de tarjeta inteligente en la interfaz de inicio de sesión de Windows cuando reinicie el sistema y conecte el token PKI de ePass, simplemente haga clic en la cuenta e ingrese el PIN del token para iniciar sesión.
Mac OS con SISTEMA PIV
Mac OS ya era compatible con PIV de forma nativa, simplemente habilite la función de emparejamiento en el sistema y conecte el token/tarjeta PIV al sistema para finalizar el emparejamiento, después de eso, simplemente reinicie o cierre la sesión del sistema y luego la interfaz de inicio de sesión mostrará la opción de inicio de sesión con PIN.
Mac OS con SISTEMA GIDS
Trabaje con OpenSCToken para implementar el inicio de sesión con tarjeta inteligente Macos. OpenSCToken en realidad usa CryptoTokenKit, que es la versión de Apple del acceso programático a tarjetas inteligentes y otros tokens. Proporciona acceso de bajo nivel a los tokens (comparable con PC/SC) y acceso de alto nivel para la integración de un token en todo el sistema (comparable con Windows Smart Card Minidriver).
El token/tarjeta GIDS es capaz de funcionar con la aplicación OpenSCToken, sólo tiene que instalar el OpenSCToken que se reconstruye en Mac OS, y habilitar la función de emparejamiento en el sistema, y conectar el token/tarjeta GIDS al sistema para finalizar el emparejamiento, después de eso, sólo tiene que reiniciar o cerrar la sesión del sistema y luego la interfaz de inicio de sesión mostrará la opción de inicio de sesión con el PIN.
Productos relacionados
Solución de desbloqueo remoto de PIN en línea
Información
Los tokens PKI ya se utilizan amplia mente para 2FA en múltiples campos, bancos, empresas, agencias gubernamentales e incluso usuarios finales en su vida diaria para proteger sus transacciones en línea, firma de documentos, impuestos en línea y otros servicios. El PIN es la parte más básica y comúnmente utilizada para el token PKI, se utiliza para proteger el acceso de certificados y pares de claves dentro del token.
El PIN se puede configurar con diferentes complejidades de acuerdo con el hábito de uso de los propios usuarios, como letras, dígitos y símbolos específicos, pero el PIN más complicado será más difícil de recordar, por lo que hay usuarios que olvidan el PIN y hacen que el token se bloquee, la forma tradicional de desbloquear el PIN puede solicitar al usuario que lleve el token al administrador o al lugar designado, puede llevar mucho tiempo e inconveniente, por lo que la solución de PIN de desbloqueo remoto resolverá el problema y proporcionará una forma rápida y conveniente a los usuarios.
Solución
Se resuelven las preocupaciones de los usuarios al ofrecer una solución de PIN de desbloqueo remoto en línea para los productos de la serie ePass, la solución contiene una herramienta de cliente de desbloqueo remoto y un servidor backend. El proceso de desbloqueo es:
Herramienta cliente de desbloqueo remoto
Cuando el PIN del token está bloqueado, el usuario puede descargar la herramienta e iniciar, la herramienta obtendrá el número de serie y el archivo de certificado (archivo .cer) en el token y generará la clave de sesión, luego enviará todo esto al servidor backend en texto cifrado.
*Nota: La herramienta de cliente de desbloqueo remoto es solo para el sistema Windows.
Servidor backend
Reciba la información de la herramienta del cliente y descifre para obtener el número de serie del token, el archivo de certificado y calcule el PIN de SO de acuerdo con el número de serie del token. Y cifre el SO PIN con la clave de sesión. Mientras tanto, el servidor analizará la dirección de correo electrónico del usuario del archivo de certificado y generará un código de verificación, que se enviará al correo electrónico del usuario.
*Nota: Cada token tiene un PIN de SO diferente que se calcula en función del número de serie único del token.
*Nota: La herramienta de cliente de desbloqueo remoto es solo para el sistema Windows.
Usuario
Verifique el correo electrónico para recibir el código de verificación e ingrese el código en la herramienta del cliente y haga clic en el botón de desbloqueo. Y la herramienta cliente enviará el código de verificación al servidor backend en texto cifrado, después de verificar con éxito en el lado del servidor, el servidor enviará el PIN cifrado a la herramienta del cliente, y aparecerá la ventana de restablecimiento del PIN después de verificar el PIN SO, para que el usuario pueda restablecer el PIN y finalizar el procedimiento de desbloqueo.
*Nota: En todo el procedimiento de desbloqueo, el token debe mantener el estado de conexión y no puede acceder a él por otra aplicación, de lo contrario, el desbloqueo fallará y será necesario rehacerlo.