Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.06.2022

Red Hat Enterprise Linux 9

Red Hat zaprezentował system operacyjny Red Hat Enterprise Linux 9 (RHEL 9)...
07.06.2022

Technologiczna piaskownica

Koalicja partnerów KIR, IBM, Chmura Krajowa, PKO Bank Polski, Urząd Komisji Nadzoru...
07.06.2022

Sztuczna inteligencja w...

OVHcloud wprowadziło na rynek AI Notebooks – najnowszy element w ofercie usług...
07.06.2022

Spójna ochrona brzegu sieci

Fortinet zaprezentował FortiOS 7.2 – najnowszą wersję swojego flagowego systemu...
07.06.2022

Zarządzanie transferem

Firma Progress wypuściła nową wersję oprogramowania do zarządzania transferem plików...
07.06.2022

Notebook ekstremalny

Panasonic przedstawił 14-calowy Toughbook 40, notebook do pracy w ekstremalnych...
07.06.2022

Zestaw startowy dla robotyki

Firma AMD przedstawiła najnowszy produkt w portfolio adaptacyjnych modułów SOM...
07.06.2022

Precyzja kadrowania

Najnowsze rozwiązania klasy pro firmy Poly mają sprostać zmieniającym się potrzebom...
07.06.2022

Serwer klasy korporacyjnej

QNAP zaprezentował nowy model serwera NAS, TS-h1886XU-RP R2, który działa na systemie...

Wdrożenie sprzętowych kluczy U2F w firmie

Data publikacji: 26-08-2021 Autor: Maciej Olanicki

W obliczu coraz bardziej złożonych słowników – do których w przyszłości zaprzęgnięte zostaną zapewne także komputery kwantowe – gigantycznych wycieków danych i złożonych form phishingu dostawcy usług poszukują mechanizmów, które raz na zawsze wyeliminują tradycyjne metody uwierzytelniania. Przyglądanie się tym próbom skłania jednak do wniosku, że każda firma powinna dziś rozważyć wdrożenie sprzętowych kluczy uwierzytelniających.

 

Dla wielu wykorzystywanie do uwierzytelniania fizycznego sprzętu może się wydawać rozwiązaniem staroświeckim. Wszak zewsząd słyszymy o logowaniu bezhasłowym, uwierzytelnianiu z użyciem aplikacji mobilnych czy SMS-ów, a w końcu biometrii. W pierwszej części cyklu na temat teorii i praktyki wdrażania kluczy U2F w firmie skupimy się na tym, jaką przewagę mają one nad wspomnianymi nowoczesnymi i intensywnie promowanymi mechanizmami, które jednak nie są pozbawione wad i podatności. O ile bowiem koncepcyjnie i technicznie trudno zarzucić im wiele, o tyle już sposoby, w jaki są one implementowane w usługach, nierzadko przyczyniają się do obniżania poziomu bezpieczeństwa. Na kolejnych etapach zostanie omówiona praktyka wdrożenia konkretnych urządzeń oraz ich zaawansowana konfiguracja, integracja z usługami oraz chmurą.

> Usterki biometrii

Jedną z najbardziej rozpowszechnionych nowych metod uwierzytelniania jest biometria, dotyczy to już nie tylko urządzeń mobilnych, ale także pecetów, między innymi za sprawą promowanej przez Microsoft usługi Windows Hello. Nietrudno odpowiedzieć sobie na pytanie, dlaczego to właśnie biometria – posługiwanie się wizerunkiem twarzy czy wzorem linii papilarnych – zyskała zarówno wśród konsumentów, jak i klientów biznesowych tak dużą popularność w tak szybkim czasie. Jest to po prostu wygodne i szybkie – pełny dostęp do urządzenia, konta użytkownika czy bankowości internetowej można uzyskać w ułamek sekundy.

Szkopuł w tym, że bezpieczeństwo rzadko łączy się z wygodą, czego zdają się nie dostrzegać na przykład projektanci aplikacji mobilnej bankowości. Aby zobrazować ten problem, konieczne jest zwrócenie uwagi na składniki, jakie w tradycyjnym procesie uwierzytelniania musiał podać użytkownik. Był to login, czyli składnik jawny, oraz hasło, czyli sekret. Dziś – po spopularyzowaniu się biometrii – oba te składniki często zastępowane są jednym, w dodatku jawnym. Wielokrotnie przecież dowodzono, że algorytmy rozpoznawania obrazu można oszukać za pomocą zwykłego zdjęcia, zaś czytniki linii papilarnych zezwalały na dostęp po przyłożeniu do nich przygotowanego w drukarce 3D modelu palca.

W 2017 roku przekonała się o tym Ursula von der Leyen, ówczesna minister obrony Niemiec, a dziś przewodnicząca Komisji Europejskiej. Podczas organizowanej w Niemczech imprezy Chaos
Communication Congress hakerzy zdołali na podstawie ogólnodostępnych zdjęć dostępnych na stronie polityk stworzyć na tyle wyraźny wzór linii papilarnych, że był w stanie oszukiwać czytniki. Podobnych przypadków było znacznie więcej, co powinno skłaniać do refleksji – biometria może być dobrym (choć jak pokazują osiągnięcia uczestników Chaos Communication Congress – niestety często jawnym) składnikiem logowania, ale nie może stanowić jedynego składnika. Gdybyśmy odnieśli współczesne implementacje biometrii do tradycyjnego logowania dwuskładnikowego, to jasne staje się, że biometria mogłaby po prostu, obok loginu i hasła, stanowić trzeci składnik. W innym wariancie – jako element jawny uwierzytelniania – mogłaby zastępować login, ale tylko wtedy, gdyby zachowane zostało tradycyjne, niejawne hasło.

 

[...]

 

Dziennikarz, redaktor, bloger. Entuzjasta i popularyzator wolnego oprogramowania. Redaktor prowadzący „IT Professional”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"