Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Uwierzytelnianie wielopoziomowe

Data publikacji: 26-09-2018 Autor: Paweł Serwan

Kiedyś życie administratora IT było łatwiejsze – wystarczyło skonfigurować firewall, zablokować dostęp użytkowników do bezużytecznego internetu, na którym przeglądano tylko strony z kotami, zamknąć wszystkie serwery w ciemnej piwnicy i voilà – można było uznać środowisko IT za bezpieczne.

 

Kiedyś źli hakerzy, którzy próbowali się dostać do naszych danych i zasobów środowiska, mieli ciężkie życie. Na ich szczęście ludzie zaczęli coraz częściej korzystać z internetu, usługi cloud computing rozwinęły się do niesamowitej wręcz skali, a użytkownicy przekonali się, że skrót BYOD to nie tajemnicze przywitanie informatyków, lecz możliwość korzystania ze swojego prywatnego urządzenia do wykonywania zadań służbowych oraz dostępu do poczty e-mail, danych i aplikacji firmowych. Dotychczas znany świat administratora IT stanął na głowie. Co gorsza, okazało się, że zmienił się również główny klucz dostępu do firmy – nie jest to już fizyczna karta pozwalająca na wejście do biura. Kluczem do świata infrastruktury firmowej jest nazwa użytkownika i jego hasło. Hasło, które tak często jest nie tylko zapominane, i którym osoby zatrudnione często dzielą się ze współpracownikami, zapisują na karteczkach przyklejonych do monitora, albo, co gorsza, używają go jednocześnie do konta bankowego, kont na portalach społecznościowych i stronach, z których pobierają nie do końca oficjalne wydania filmów lub muzyki. Hasło, które hakerzy łatwo mogą przejąć, a następnie opublikować lub sprzedać w internecie. Najprostszym sposobem, aby nazwa użytkownika i hasło nie były jedynym zabezpieczeniem do istotnych zasobów, jest 2FA – two-factor authentication.

> WERYFIKACJA DWUSKŁADNIKOWA

2FA to nic innego jak dwuetapowa (dwuskładnikowa) weryfikacja dostępu użytkownika do określonego zasobu. Odbywa się ona za pomocą autoryzacji użytkownika poprzez wykorzystanie:

 

  • ƒƒnazwy konta użytkownika i jego hasła;
  • drugiego składnika uwierzytelnienia, którym może być kod lub fraza przekazana za pośrednictwem dodatkowego kanału dostępu.


Teoretycznie można zwiększać liczbę składników wymaganych do uwierzytelnienia użytkownika do kilku, ale z pewnością odbiłoby się to na komforcie pracy użytkowników końcowych. Z tego powodu przyjęto, że wykorzystanie jednego dodatkowego składnika w procesie weryfikacji tożsamości jest wystarczające. W większości przypadków haker będzie miał utrudnione zadanie, aby zdobyć zarówno hasło użytkownika, jak i ciąg znaków przekazanych za pomocą drugiego składnika. W procesie weryfikacji dwustopniowej najczęściej wykorzystywane są:

 

  • ƒƒinformacja znana tylko użytkownikowi („what you know?”) – może to być dodatkowa fraza lub ciąg cyfr (PIN). Przykładem tego drugiego są kody CVV wykorzystywane przy płatnościach kartami debetowymi i kredytowymi. Złym przykładem wykorzystania informacji znanej tylko użytkownikowi są pytania pojawiające się w procesie odzyskiwania hasła, np. „Podaj miejsce urodzenia” albo „Podaj nazwę szkoły, do której chodziłeś”. W tym przypadku są to informacje, które mogą być znane szerszej grupie osób i często są dostępne publicznie w portalach społecznościowych;
  • informacje biometryczne („who you are?”) – unikatowe dane osoby, jak np. linie papilarne palców, brzmienie głosu, siatkówka oka itp.;
  • ƒƒinformacje o posiadanym urządzeniu („what you have?/what you own/ possess?”) – czyli urządzenia będące w posiadaniu użytkownika, pozwalające na jego identyfikację, np. smartfon, klucz szyfrujący czy token.


> POPULARNE ZABEZPIECZENIA

Hasło to podstawowy składnik każdego procesu uwierzytelnienia. Większość systemów pozwala na zdefiniowanie wymagań odnośnie do używanego hasła, w tym liczby znaków, wykorzystania znaków specjalnych i cyfr. Niektóre systemy dodatkowo pozwalają blokować popularne frazy oraz ciągi znaków (np. admin123, aqqaqq123) i nie pozwalają użyć imienia, nazwiska czy nazwy firmy, w której pracujemy. Edukacja użytkowników często nie przynosi niestety zakładanych efektów i wiele osób nadal korzysta z prostych haseł.

Kolejnym składnikiem, który możemy wykorzystać w procesie identyfikacji osoby, są dane biometryczne. Linie papilarne palca oraz skan siatkówki są najczęściej wykorzystywane przy uwierzytelnieniu użytkownika na urządzeniach mobilnych, natomiast głos i zdjęcie użytkownika mogą być wykorzystywane do logowania się na komputerze lub laptopie. Dane biometryczne są przechowywane w postaci zbioru danych informacji na pojedynczym urządzeniu. Oczywiście warto zadać pytanie, czy stosowane w standardowo dostępnych urządzeniach mechanizmy wykorzystania biometrii są wystarczająco bezpieczne? Znane są przypadki oszukania systemu zabezpieczeń, wykorzystując zdjęcie twarzy lub oka użytkownika. Więc jest z tym różnie.

W przypadku zastosowania danych biometrycznych z pewnością warto być świadomym kilku zagrożeń i niebezpieczeństw, o których trzeba pamiętać, decydując się na implementację danej technologii:

 

  • ƒodcisk linii papilarnych – możliwość odtworzenia układu linii na podstawie odcisku pozostawionego na dowolnym obiekcie, np. kubku czy szklance;


[…]

Projektant, inżynier i pasjonat technologii wirtualizacji oraz cloud computing. Na co dzień pracuje jako architekt IT i zajmuje się rozwiązaniami End User Computing. Od kilku lat prowadzi blog, w którym opisuje głównie rozwiązania RDS, SBC i VDI. Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG). W 2017 roku odznaczony tytułem Citrix Technology Advocate. Posiada tytuły: MCP, MCSA, MCITP, CCP-V.
 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"