Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX
18.04.2019

Technologie wideo

Avaya IX Collaboration Unit
18.04.2019

Krótki rzut

Optoma W318STe i X318STe
18.04.2019

Do mobilnej pracy

Jabra Evolve 65e

Uwierzytelnianie wielopoziomowe

Data publikacji: 26-09-2018 Autor: Paweł Serwan

Kiedyś życie administratora IT było łatwiejsze – wystarczyło skonfigurować firewall, zablokować dostęp użytkowników do bezużytecznego internetu, na którym przeglądano tylko strony z kotami, zamknąć wszystkie serwery w ciemnej piwnicy i voilà – można było uznać środowisko IT za bezpieczne.

 

Kiedyś źli hakerzy, którzy próbowali się dostać do naszych danych i zasobów środowiska, mieli ciężkie życie. Na ich szczęście ludzie zaczęli coraz częściej korzystać z internetu, usługi cloud computing rozwinęły się do niesamowitej wręcz skali, a użytkownicy przekonali się, że skrót BYOD to nie tajemnicze przywitanie informatyków, lecz możliwość korzystania ze swojego prywatnego urządzenia do wykonywania zadań służbowych oraz dostępu do poczty e-mail, danych i aplikacji firmowych. Dotychczas znany świat administratora IT stanął na głowie. Co gorsza, okazało się, że zmienił się również główny klucz dostępu do firmy – nie jest to już fizyczna karta pozwalająca na wejście do biura. Kluczem do świata infrastruktury firmowej jest nazwa użytkownika i jego hasło. Hasło, które tak często jest nie tylko zapominane, i którym osoby zatrudnione często dzielą się ze współpracownikami, zapisują na karteczkach przyklejonych do monitora, albo, co gorsza, używają go jednocześnie do konta bankowego, kont na portalach społecznościowych i stronach, z których pobierają nie do końca oficjalne wydania filmów lub muzyki. Hasło, które hakerzy łatwo mogą przejąć, a następnie opublikować lub sprzedać w internecie. Najprostszym sposobem, aby nazwa użytkownika i hasło nie były jedynym zabezpieczeniem do istotnych zasobów, jest 2FA – two-factor authentication.

> WERYFIKACJA DWUSKŁADNIKOWA

2FA to nic innego jak dwuetapowa (dwuskładnikowa) weryfikacja dostępu użytkownika do określonego zasobu. Odbywa się ona za pomocą autoryzacji użytkownika poprzez wykorzystanie:

 

  • ƒƒnazwy konta użytkownika i jego hasła;
  • drugiego składnika uwierzytelnienia, którym może być kod lub fraza przekazana za pośrednictwem dodatkowego kanału dostępu.


Teoretycznie można zwiększać liczbę składników wymaganych do uwierzytelnienia użytkownika do kilku, ale z pewnością odbiłoby się to na komforcie pracy użytkowników końcowych. Z tego powodu przyjęto, że wykorzystanie jednego dodatkowego składnika w procesie weryfikacji tożsamości jest wystarczające. W większości przypadków haker będzie miał utrudnione zadanie, aby zdobyć zarówno hasło użytkownika, jak i ciąg znaków przekazanych za pomocą drugiego składnika. W procesie weryfikacji dwustopniowej najczęściej wykorzystywane są:

 

  • ƒƒinformacja znana tylko użytkownikowi („what you know?”) – może to być dodatkowa fraza lub ciąg cyfr (PIN). Przykładem tego drugiego są kody CVV wykorzystywane przy płatnościach kartami debetowymi i kredytowymi. Złym przykładem wykorzystania informacji znanej tylko użytkownikowi są pytania pojawiające się w procesie odzyskiwania hasła, np. „Podaj miejsce urodzenia” albo „Podaj nazwę szkoły, do której chodziłeś”. W tym przypadku są to informacje, które mogą być znane szerszej grupie osób i często są dostępne publicznie w portalach społecznościowych;
  • informacje biometryczne („who you are?”) – unikatowe dane osoby, jak np. linie papilarne palców, brzmienie głosu, siatkówka oka itp.;
  • ƒƒinformacje o posiadanym urządzeniu („what you have?/what you own/ possess?”) – czyli urządzenia będące w posiadaniu użytkownika, pozwalające na jego identyfikację, np. smartfon, klucz szyfrujący czy token.


> POPULARNE ZABEZPIECZENIA

Hasło to podstawowy składnik każdego procesu uwierzytelnienia. Większość systemów pozwala na zdefiniowanie wymagań odnośnie do używanego hasła, w tym liczby znaków, wykorzystania znaków specjalnych i cyfr. Niektóre systemy dodatkowo pozwalają blokować popularne frazy oraz ciągi znaków (np. admin123, aqqaqq123) i nie pozwalają użyć imienia, nazwiska czy nazwy firmy, w której pracujemy. Edukacja użytkowników często nie przynosi niestety zakładanych efektów i wiele osób nadal korzysta z prostych haseł.

Kolejnym składnikiem, który możemy wykorzystać w procesie identyfikacji osoby, są dane biometryczne. Linie papilarne palca oraz skan siatkówki są najczęściej wykorzystywane przy uwierzytelnieniu użytkownika na urządzeniach mobilnych, natomiast głos i zdjęcie użytkownika mogą być wykorzystywane do logowania się na komputerze lub laptopie. Dane biometryczne są przechowywane w postaci zbioru danych informacji na pojedynczym urządzeniu. Oczywiście warto zadać pytanie, czy stosowane w standardowo dostępnych urządzeniach mechanizmy wykorzystania biometrii są wystarczająco bezpieczne? Znane są przypadki oszukania systemu zabezpieczeń, wykorzystując zdjęcie twarzy lub oka użytkownika. Więc jest z tym różnie.

W przypadku zastosowania danych biometrycznych z pewnością warto być świadomym kilku zagrożeń i niebezpieczeństw, o których trzeba pamiętać, decydując się na implementację danej technologii:

 

  • ƒodcisk linii papilarnych – możliwość odtworzenia układu linii na podstawie odcisku pozostawionego na dowolnym obiekcie, np. kubku czy szklance;


[…]

Projektant, inżynier i pasjonat technologii wirtualizacji oraz cloud computing. Na co dzień pracuje jako architekt IT i zajmuje się rozwiązaniami End User Computing. Od kilku lat prowadzi blog, w którym opisuje głównie rozwiązania RDS, SBC i VDI. Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG). W 2017 roku odznaczony tytułem Citrix Technology Advocate. Posiada tytuły: MCP, MCSA, MCITP, CCP-V.
 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"