Kiedyś życie administratora IT było łatwiejsze – wystarczyło skonfigurować firewall, zablokować dostęp użytkowników do bezużytecznego internetu, na którym przeglądano tylko strony z kotami, zamknąć wszystkie serwery w ciemnej piwnicy i voilà – można było uznać środowisko IT za bezpieczne.

Kiedyś źli hakerzy, którzy próbowali się dostać do naszych danych i zasobów środowiska, mieli ciężkie życie. Na ich szczęście ludzie zaczęli coraz częściej korzystać z internetu, usługi cloud computing rozwinęły się do niesamowitej wręcz skali, a użytkownicy przekonali się, że skrót BYOD to nie tajemnicze przywitanie informatyków, lecz możliwość korzystania ze swojego prywatnego urządzenia do wykonywania zadań służbowych oraz dostępu do poczty e-mail, danych i aplikacji firmowych. Dotychczas znany świat administratora IT stanął na głowie. Co gorsza, okazało się, że zmienił się również główny klucz dostępu do firmy – nie jest to już fizyczna karta pozwalająca na wejście do biura. Kluczem do świata infrastruktury firmowej jest nazwa użytkownika i jego hasło. Hasło, które tak często jest nie tylko zapominane, i którym osoby zatrudnione często dzielą się ze współpracownikami, zapisują na karteczkach przyklejonych do monitora, albo, co gorsza, używają go jednocześnie do konta bankowego, kont na portalach społecznościowych i stronach, z których pobierają nie do końca oficjalne wydania filmów lub muzyki. Hasło, które hakerzy łatwo mogą przejąć, a następnie opublikować lub sprzedać w internecie. Najprostszym sposobem, aby nazwa użytkownika i hasło nie były jedynym zabezpieczeniem do istotnych zasobów, jest 2FA – two-factor authentication.

> WERYFIKACJA DWUSKŁADNIKOWA

2FA to nic innego jak dwuetapowa (dwuskładnikowa) weryfikacja dostępu użytkownika do określonego zasobu. Odbywa się ona za pomocą autoryzacji użytkownika poprzez wykorzystanie:

• ƒƒnazwy konta użytkownika i jego hasła;
• drugiego składnika uwierzytelnienia, którym może być kod lub fraza przekazana za pośrednictwem dodatkowego kanału dostępu.

Teoretycznie można zwiększać liczbę składników wymaganych do uwierzytelnienia użytkownika do kilku, ale z pewnością odbiłoby się to na komforcie pracy użytkowników końcowych. Z tego powodu przyjęto, że wykorzystanie jednego dodatkowego składnika w procesie weryfikacji tożsamości jest wystarczające. W większości przypadków haker będzie miał utrudnione zadanie, aby zdobyć zarówno hasło użytkownika, jak i ciąg znaków przekazanych za pomocą drugiego składnika. W procesie weryfikacji dwustopniowej najczęściej wykorzystywane są:

• ƒƒinformacja znana tylko użytkownikowi („what you know?”) – może to być dodatkowa fraza lub ciąg cyfr (PIN). Przykładem tego drugiego są kody CVV wykorzystywane przy płatnościach kartami debetowymi i kredytowymi. Złym przykładem wykorzystania informacji znanej tylko użytkownikowi są pytania pojawiające się w procesie odzyskiwania hasła, np. „Podaj miejsce urodzenia” albo „Podaj nazwę szkoły, do której chodziłeś”. W tym przypadku są to informacje, które mogą być znane szerszej grupie osób i często są dostępne publicznie w portalach społecznościowych;
• informacje biometryczne („who you are?”) – unikatowe dane osoby, jak np. linie papilarne palców, brzmienie głosu, siatkówka oka itp.;
• ƒƒinformacje o posiadanym urządzeniu („what you have?/what you own/ possess?”) – czyli urządzenia będące w posiadaniu użytkownika, pozwalające na jego identyfikację, np. smartfon, klucz szyfrujący czy token.

> POPULARNE ZABEZPIECZENIA

Hasło to podstawowy składnik każdego procesu uwierzytelnienia. Większość systemów pozwala na zdefiniowanie wymagań odnośnie do używanego hasła, w tym liczby znaków, wykorzystania znaków specjalnych i cyfr. Niektóre systemy dodatkowo pozwalają blokować popularne frazy oraz ciągi znaków (np. admin123, aqqaqq123) i nie pozwalają użyć imienia, nazwiska czy nazwy firmy, w której pracujemy. Edukacja użytkowników często nie przynosi niestety zakładanych efektów i wiele osób nadal korzysta z prostych haseł.

Kolejnym składnikiem, który możemy wykorzystać w procesie identyfikacji osoby, są dane biometryczne. Linie papilarne palca oraz skan siatkówki są najczęściej wykorzystywane przy uwierzytelnieniu użytkownika na urządzeniach mobilnych, natomiast głos i zdjęcie użytkownika mogą być wykorzystywane do logowania się na komputerze lub laptopie. Dane biometryczne są przechowywane w postaci zbioru danych informacji na pojedynczym urządzeniu. Oczywiście warto zadać pytanie, czy stosowane w standardowo dostępnych urządzeniach mechanizmy wykorzystania biometrii są wystarczająco bezpieczne? Znane są przypadki oszukania systemu zabezpieczeń, wykorzystując zdjęcie twarzy lub oka użytkownika. Więc jest z tym różnie.

W przypadku zastosowania danych biometrycznych z pewnością warto być świadomym kilku zagrożeń i niebezpieczeństw, o których trzeba pamiętać, decydując się na implementację danej technologii:

• ƒodcisk linii papilarnych – możliwość odtworzenia układu linii na podstawie odcisku pozostawionego na dowolnym obiekcie, np. kubku czy szklance;

[…]

Projektant, inżynier i pasjonat technologii wirtualizacji oraz cloud computing. Na co dzień pracuje jako architekt IT i zajmuje się rozwiązaniami End User Computing. Od kilku lat prowadzi blog, w którym opisuje głównie rozwiązania RDS, SBC i VDI. Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG). W 2017 roku odznaczony tytułem Citrix Technology Advocate. Posiada tytuły: MCP, MCSA, MCITP, CCP-V.