Multifactor Authentication for the Mainframe?

Is the password is dead or dying?

Lots of articles talk about the death of passwords. Google aims to kill them off by the end of 2017. According to the company, Android users will soon be able to log in to services using a combination of face, typing, and movement patterns. Apple figured this out long ago (Apple Pay) and continues to move away from passwords. Even the U.S. government is coming to grips with the fact that passwords don’t cut it anymore.

Enter multifactor authentication or MFA. Almost everyone agrees that MFA provides the strongest level of authentication (who you are) possible. It’s great for users, too. My iPhone is a great example. While I like many things about it, Touch ID is my favorite feature. I never have to remember my thumb print (it’s always with me), and no one can steal it (except James Bond). Touch ID makes secure access so easy.

Given the riskiness of passwords and the rise of MFA solutions, I have to ask why it’s still okay to rely on passwords for mainframe access. Here’s my guess: This question has never occurred to many mainframe system admins because there’s never been any other way to authenticate host access—especially for older mainframe applications.

 Are mainframe passwords secure?

When you think about passwords, it’s clear that the longer and more complex the password, the more secure it will be. But mainframe applications—especially those written decades ago, the ones that pretty much run your business—were hardcoded to use only weak eight-character, case-insensitive passwords.  Ask any IT security person if they think these passwords provide adequate protection for mission-critical applications and you will get a resounding “No way!”

As far as anyone knows, though, they’ve been the only option available. Until now. At Micro Focus, we are bridging the old and the new, helping our digitally empowered customers to innovate faster, with less risk. One of our latest solutions provides a safe, manageable, economical way for you to use multifactor authentication to authorize mainframe access for all your users—from employees to business partners.

Multifactor authentication to authorize mainframe access?

It’s a logical solution because it uses any of our modern terminal emulatorsthe tool used for accessing host applications—and a newer product called Host Access Management and Security Server (MSS). Working alongside your emulator, MSS makes it possible for you to say goodbye to mainframe passwords, or reinforce them with other authentication options. In fact, you can use up to 14 different types of authentication methods—from smart cards and mobile text-based verification codes to fingerprint and retina scans. You’re free to choose the best solution for your business.

In addition to strengthening security, there’s another big benefit that can come with multifactor authentication for host systems: No more passwords means no more mainframe password-reset headaches!

Yes, it’s finally possible to give your mainframe applications the same level of protection your other applications enjoy. Using MFA for your mainframes brings them into the modern world of security. You’ll get rid of your password headaches and be better equipped to comply with industry and governmental regulations. All you need is a little “focus”—Micro Focus.

Ist das Know How der Schweiz wirklich noch sicher? Cyberkriminalität kennt keine Grenzen!

Das Gefühl von Sicherheit prägt das Image der Schweiz genauso wie eine attraktive Wirtschaftszone mit einer innovativen und leistungsstarken Wirtschaft. Doch wie sicher ist die Schweiz, wenn es um das Thema Cyber Kriminalität geht? Warum sollten Cyber Mafia und professionellen Hacker gerade die Schweiz verschonen und warum schätzen binnenwirtschaftlich orientierte Unternehmen diese Risiken eher niedrig ein? Lesen in dem Blog, welche Aspekte für eine strategischere Sichtweise auf die Informationssicherheit wichtig sind.

Die Schweiz als „sicherer Hafen” – kaum ein anderes Sinnbild hebt die Vorzüge des Alpenstaates inmitten Europas besser hervor.  Die soziale, politische und wirtschaftliche Kontinuität  gilt noch immer als Garant für die wichtigsten Erfolgsfaktoren des Landes im internationalen Wettbewerb .

Das Gefühl von Sicherheit prägt das Image der Schweiz genauso wie eine attraktive Wirtschaftszone mit einer  innovativen und leistungsstarken Wirtschaft. Doch wie  sicher ist die Schweiz, wenn es um das Thema Cyber Kriminalität geht? Die Schweizer neigen auch aufgrund des allgemeinen Sicherheitsgefühls hier eher zu denken: „Uns passiert das nicht!“ Doch warum sollten die Cyber Mafia und professionellen Hacker gerade die Schweiz verschonen? Besonders die Schweizer Wirtschaft angeführt von einem modernen Finanzdienstleistungssektor über eine innovative Fertigungsindustrie, die vor allem High-Tech und wissensbasierte Erzeugnisse produziert bis hin zu den Qualitätsprodukten mit dem Siegel „swiss made“ rückt mehr und mehr in den Fokus solcher Cyber Kriminellen. Es sind diese Markenzeichen, die in einer stark vernetzten Welt vermehrt unter Druck geraten, wenn die Geheimnisse erfolgreicher Innovation gestohlen werden.

Wirtschaftsspionage und Datendiebstahl sind gemäß einer Studie der Uni Fribourg die größten Sicherheitsrisiken und die Spionage ist ein besonders lukratives Geschäft: Vertrauliche Informationen können an Konkurrenten verkauft werden oder die gehackte Firma wird erpresst. Die KPMG Schweiz schätzt in ihrer Studie «Clarity on Cyber Security» vom 6. Mai 2015,  allein in der Schweiz den jährlichen  Schaden auf mindestens 200 Millionen Franken. Doch die hier genannte Zahl ist wohl nur die „Spitze des Matterhorn“, denn zum einen melden viele geschädigte Schweizer Firmen Angriffe überhaupt nicht und gerade kleinere und mittlere Firmen bemerken oftmals gar nicht, dass sie Opfer geworden sind. Wenn man jetzt bedenkt, dass etwa 99 % aller Firmen in der Schweiz, die die wertvollen Produkte oder Erfindungen hervorbringen, dem Bereich der kleinen und mittleren Unternehmen zuzuordnen ist, dann wird schnell klar, dass gerade die KMU’s in Bezug auf eine Verbesserung des IT-Sicherheitsniveaus besonders gefordert sind. Im Zuge der globalen Vernetzung kann das Versenden einer einfachen Email schon ausreichen, um wertvolles Wissen in falsche Hände geraten zu lassen. Auch der zunehmende Einsatz mobiler Endgeräte sowohl im privaten als auch professionellen Umfeld stellt aufgrund der vielfältigen Schwachstellen eine Herausforderung für die IT-Sicherheitsverantwortlichen der Unternehmen dar.

Bewertung von Gefahrenbereichen ist essenziell für die Gewährleistung von IT-Sicherheit

Um Geschäfts- und Kundendaten vor dem Zugriff durch professionelle Cyberkriminelle abzusichern, reicht eine, alleine auf Compliance fokussierte Perspektive nicht mehr aus. Vielmehr ist ein risikobasierter Ansatz notwendig, der die Sicht auf die Beziehung zwischen Werten, Bedrohungen, Schwachstellen und Maßnahmen schärft.  Darüber hinaus wird es bei der Risikobewertung immer wichtiger zu wissen, wo erzeugte Daten gelagert und wie sie aggregiert werden.

Bedenkt man nun noch, dass aktuell die meisten aller Netzwerkangriffe auf gestohlenen oder schwachen Passwörtern basieren, sollte ein Multi-Faktor-Authentifizierungsverfahren ein zentraler Bestandteil einer umfassenden Sicherheitsstrategie sein. Derartige Verfahren sind in der Lage Angriffe wie Identitätsdiebstähle zu begrenzen. Bei der Auswahl des für Sie passendenden  Multi-Faktor-Authentifizierungsverfahren empfiehlt es sich, vielfältige Fragen zu berücksichtigen :

  • Kann ich neue Anforderungen an mein Geschäft adressieren, wie Cloud und mobile Devices?
  • Wie kann ich Authentifizierungsmethoden an meinen Geschäftsrisiken und den Anforderungen meiner Benutzer ausrichten?
  • Kann ich all meine Benutzer und Endpunkte zentral verwalten und steuern?
  • Wer kontrolliert meine Authentifizierungsdaten?
  • Wie kann ich zusätzliche Sicherheitsstufen integrieren, um mich noch stärker vor Bedrohungen zu schützen?
  • Und wie halte ich all das praktisch und kostengünstig?

Mehr denn je sind Lösungen für das Authentifizierungsmanagement gefragt,  die einfache Umsetzung, Automatisierung, reduzierte TCO und große Auswahlmöglichkeiten bieten.

TomHofmann

 

 

 

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

Beyond QWERTY: What is the best authentication method?

Organizations today are an increasingly complex IT environment. Besides maintaining the supporting IT infrastructure they face new challenges, such as the Cloud and incorporating hybrid solutions. Add in the security issues of home working and contractor access and it is clear why the ‘password problem’ is pretty difficult to solve. Rik Peters investigates in this fascinating blog.

Our last blog discussed why passwords are not enough to preserve data and system integrity.

If you need further proof, check out this list of the most popular passwords of last year. You can probably guess that ‘123456’ and ‘password’ figure pretty high up the list – first and second respectively – but there are plenty of blatantly obvious and equally hackable alternatives.

The list for 2014 and 2013 has exactly the same suggestions in identical positions. Clearly organizations cannot rely on their people to maintain IT security. So – what are the alternatives? This blog attempts to establish the best authentication method.

The key word is ‘attempts’. In an ideal world, I would just give you the definitive answer. Everyone’s data would be safe, the hackers would be foiled and everything would be rosy. But life isn’t like that and there really is no such thing as “the best authentication method”. Certainly not as a catch-all solution that works for everyone.

IAS 3

Case-specific authentication

The right authentication method differs for each use case, organization, user and even geographical location. To illustrate the problem of trying to apply a general rule to a diverse spread of user scenarios, I have created some generic use cases and offer some insight in what kind of authentication method would fit. But before we get to the hypothetical, let’s look at the reality.

Organizations today are an increasingly complex IT environment. Besides maintaining the supporting IT infrastructure they face new challenges, such as the Cloud and incorporating hybrid solutions. Add in the security issues of home working and contractor access and it is clear why the ‘password problem’ is pretty difficult to solve. Many authentication solutions only solve a specific part of the puzzle, as these scenarios illustrate.

  • We use remote access solutions like RSA and Vasco for remote access. We authenticate using hard or soft tokens to access the corporate VPN environment.
  • We are using on-premise solutions, including HID Smartcards or DigitalPersona biometrics to solve the password problem for employees.
  • We use Cloud solutions such as DUO and Symantec to help solve the federated authentication issue for protecting Cloud-based applications, including Salesforce and MS Office 365. These tend to use SMS or phone based authentication methods.

For some users it is perfectly normal to carry different tokens for their Cloud applications and VPN access and a smartcard for their corporate desktops – and to need strong authentication in three different systems.

Multiple passwords, more problems

These organizations can all maintain multiple solutions to solve the same password problem. This means a lot of work, cost and frustration for administrators and users alike; users need multiple authentication devices for the various environments while admins must maintain users in different systems.

So, back to our original question. What authentication fits best in which situation? Let’s try to define some use cases and match them with the three different authentication solutions.

  1. Remote access
  2. Desktop access
  3. Cloud access

So what authentication methods provide the best fit? Let’s start with the first.

Remote access
Users of corporate or home workstations need access to the company VPN. The best authentication method would not require software to be installed on the host workstation or connected to the workstation. So this would be a smartphone, tokens or email model.

Desktop access
Authentication through a controlled environment on a company workstation. The organization controls what software runs on the devices and specifies the use of specific hardware, typically cards, biometrics, smartphones and hardtokens. Organizations with a BYOD policy typically share the same authentication practices as those using remote access.

Cloud access
Users tend to work on any device when accessing Cloud-based applications. These can be desktop, laptop, tablet or smartphone. Authentication methods requiring drivers or pre-installed software are a no-go here. Smartphones, tokens or email are fine.

So, while authentication methods vary between use cases, they are very alike for remote and Cloud-based access. Why are these methods not used in desktop access? Simply ease of use. Users find typing in an extra One-Time-Password every time they unlock their desktop too time-consuming. A fingerprint or smartcard is easier and faster.

IAS blog 2

Multiple challenges, single solution

So we need different software solutions for each use case, right? Not any more. The Micro Focus Advanced Authentication solution supports authentication methods for every use case. Users register their authentication devices through a single enrolment portal and administrators manage all the users and methods in a single admin interface. Certain groups, such as administrative users, should and can use stronger authentication than others.

So a multi-level problem really can have one solution. Clearly, IT environments are only going to become more complex and none of us know what the next innovation will bring. What is clear, though, is that any organization hiding their sensitive business data behind QWERTY may not be around to see it.