Planowanie i wdrażanie systemów silnego uwierzytelniania
|
Uwierzytelnianie (określane czasem jako "autentykacja") to sposób, w jaki użytkownik, usługa lub urządzenie przedstawia się innemu elementowi. "Ja jestem Jan Kowalski a to jest mój dowód, że nie kłamię." O ile każdy może powiedzieć, że jest Janem Kowalskim, o tyle dobre rozwiązanie kwestii przedstawionego dowodu ma kluczowe znaczenie dla bezpieczeństwa tak instytucji jak i samego Jana Kowalskiego. Tradycyjne, znane i powszechnie stosowane od kilkudziesięciu lat rozwiązanie opiera się na hasłach. Hasło jest ciągiem znaków, które Jan Kowalski podaje razem z informacją o tym, kim jest. Choć podejście takie nadal jest najpowszechniejsze, to trudno nie zauważyć jego wad:
- Hasło zbyt krótkie daje się łatwo odgadnąć, choćby metodą prób i błędów
- Hasło zbyt długie jest trudne do zapamiętania i może sprawić, że użytkownik zapisze je sobie na kartce
- Ktoś może podsłuchać hasło, którym Jan Kowalski udowadnia, że naprawdę jest sobą
- Hasło powinno być okresowo zmieniane, co dodatkowo utrudnia Janowi Kowalskiemu pracę
- Obie strony (Jan Kowalski oraz usługa, która go weryfikuje) muszą znać hasło zanim uwierzytelnienie będzie możliwe
- Jeżeli Jan Kowalski próbuje się uwierzytelnić z niezaufanego komputera – istnieje duże prawdopodobieństwo, że ktoś spróbuje przejąć jego hasło
- Raz przejęte hasło daje hackerowi możliwość przedstawiania się jako Jan Kowalski i nikt nie zorientuje się, że coś jest nie w porządku
- Użycie różnych haseł do różnych usług jest kłopotliwe, a użycie wszędzie tego samego – mocno ryzykowne
Wady te sprawiają, że mimo ogromnej popularności haseł, takie metody uwierzytelniania powoli odchodzą w przeszłość. Użytkownicy i właściciele systemów widzą wady tradycyjnego rozwiązania i poszukują metod pozbawionych opisanych powyżej niedogodności.
Wśród rozwiązań, którymi można zastąpić przestarzałe w obecnych czasach hasło, wymienić należy:
- Token OTP. Urządzenie wielkości breloczka do kluczy wyposażone jest w wyświetlacz i generuje stosunkowo krótkie, często ograniczone do cyfr hasło co zadany okres czasu. Przykładowo, hasło takie może się zmieniać co minutę a Jan Kowalski, uwierzytelniając się musi przepisać wyświetlany w danej chwili kod. Nawet ktoś, kto przechwyci ten kod, nie będzie w stanie z niego skorzystać, ponieważ drugi raz ten sam ciąg cyfr nie zadziała.
- Karta inteligentna. Uchodzące za najbezpieczniejsze, rozwiązanie opierające się na mikroprocesorze wbudowanym w kartę wielkości karty kredytowej. Mikroprocesor ten jest w stanie wykonywać specjalne obliczenia matematyczne, dzięki którym może potwierdzić, że to właśnie obliczył on a nie żaden inny mikroprocesor. Choć brzmi to dość dziwnie, wystarcza to do naprawdę bezpiecznego uwierzytelnienia użytkownika. Mimo wielu zalet, poważną wadą jest konieczność posiadania specjalnego czytnika.
- Token USB. Urządzenie o funkcjonalności karty inteligentnej jednak podłączany do zwykłego portu USB zamiast do czytnika. Mimo pozornego braku wad, w praktyce nie zawsze jest optymalnym rozwiązaniem.
- Metody biometryczne. W największym skrócie, metody takie można opisać jako metody opierające się na pomiarach ciała użytkownika. Od prostego badania odcisku palca po zahaczające o fantastykę pomiary tęczówki oka, analizę głosu czy funkcje wykrywające prędkość pisania na klawiaturze.
Zastąpienie haseł nie zawsze jest proste. Dlatego, w portfolio rozwiązań ISCG, poza wdrożeniami metod uwierzytelniania, znajdują się również usługi polegające na analizie potrzeb i doborze optymalnego rozwiązania.
Klient zamawiający w ISCG rozwiązanie oparte o silne uwierzytelnianie, otrzymuje w efekcie modyfikację swojego systemu w taki sposób, że użycie tradycyjnych haseł przestaje być obowiązkowe. Oczywiście należy zdać sobie sprawę, że systemy silnego uwierzytelniania nie są nawet w nowoczesnych systemach niezbędne, jednak wielu klientów decyduje się na nie, w oczywisty sposób dochodząc do wniosku, że korzyści przeważają nad kosztami. |
|
© 2009 ISCG Sp. z o.o.
|