Vícefaktorová autentizace a vzdálený přístup do systému
V případě vzdáleného přístupu do systému, který zpracovává citlivá data, by měla být použita vícefaktorová autentizace.
Autentizační autorita (verifier) může požadovat poskytnutí více faktorů anebo může být některý z faktorů použit pouze jako ochrana tajemství, jehož znalost je pro úspěšnou autentizaci nutná. Může se jednat např. o HW nebo SW token uchovávající kryptografický klíč (cryptographic key) nebo generující jednorázové heslo (One Time Password, zkr. OTP), které uvolní pouze v případě, že uživatel (claimant) zadá správné heslo nebo bude odpovídat jeho biometrická charakteristika. Nenechte se zmást, byť pro úspěšnou autentizaci ve výsledku stačí pouze daný klíč, jedná se též o dvoufaktorovou autentizaci.
Pokud jde o samotný token, rozlišujeme, jak už bylo naznačeno, SW token a HW token, které se liší pouze v tom, jakou úroveň bezpečnosti jsou schopny podle FIPS 140-2 poskytnout. SW i HW token může být ukraden, ale v obou případech by musel útočník ještě uhádnout heslo nebo se prokázat stejnými biometrickými charakteristikami. A platí to i naopak, pokud by znal heslo nebo by byl schopen se prokázat stejnými biometrickými charakteristikami, musel by se zase zmocnit tokenu. Opatření je v tomto případě celkem prosté – chránit token před zcizením a používat silné heslo.
Bylo by však chybou se domnívat, že když bude použito silné heslo a HW token splňující požadavky FIPS 140-2 Level 4, tak nemůže dojít k neautorizovanému přihlášení do systému. Může, záleží jen na tom, jak bude klíč, který je na tokenu uložen, použit, jakým způsobem bude heslo ve vzdáleném systému chráněno a jakým způsobem bude samotná autentizace probíhat. Aby nebylo možné heslo zachytit, vést replay attack, vydávat se za autentizační autoritu, nebo heslo v reálném čase prolomit, je vhodné použít bezpečný autentizační protokol.
Dále nesmíme zapomenout, že samotné autentizaci předchází vytvoření účtu v systému. Nejprve by proto mělo být odpovídajícím způsobem ověřeno, že osoba, která o zřízení účtu v systému žádá, je opravdu osobou, kterou prohlašuje, že je a zároveň zajistit, že daná osoba nebude moci později prohlásit, že o zřízení účtu v systému nežádala. Podvodník (imposter) mohl by požádat o zřízení účtu pro neexistující osobu na základě předložení falešných údajů nebo si přisvojit identitu jiné osoby (impersonation), a oprávněný uživatel by zase mohl tvrdit, že o zřízení účtu v systému nikdy nežádal (repudiation).
Registrační autorita (Registration Authority) proto může v některých případech trvat na tom, aby žadatel (applicant) předložil např. doklad s portrétní fotografií, a ověřovat pravost a skutečnosti na dokladu uvedené (identity proofing). Pokud je ověření úspěšné, je v systému vytvořen účet a uživateli je přiděleno uživatelské jméno (credential) a klíč. Způsob jakým je ověřována identita žadatele si může každá organizace nebo registrační autorita stanovit sama. V zásadě jsou dvě možnosti, buď je vyžadována fyzická přítomnost dané osoby (in-person) nebo je umožněno registraci provést i na dálku (remote).
Je zřejmé, že fyzická přítomnost žadatele skýtá větší záruky, pokud jde o bezpečnost, ale na druhou stranu představuje určité nepohodlí pro žadatele a generuje vyšší náklady pro registrační autoritu. Opět zde narážíme na známý problém bezpečnost x náklady x použitelnost. Každá organizace by proto měla předtím, než se rozhodne pro volbu vhodné autentizační metody, provést analýzu rizik, aby měla jasno v tom, jakou hodnotu mají data, ke kterým bude vzdáleně přistupováno, a jakým hrozbám budou její uživatelé a systémy vystaveny.
Bez ohledu na výsledky analýzy rizik je vhodné implementovat základní sadu bezpečnostních opatření a použit bezpečný autentizační protokol a hesla v systému bezpečně ukládat. Další opatření, která by měla být v případě žádosti o zřízení přístupu do systému zavedena, by již měla vycházet z provedené analýzy rizik. Použijeme-li pro hodnocení datových aktiv 4bodovou stupnici, kdy je hodnota dopadu vyjádřena slovním hodnocením jako kritická (4), vysoká (3), střední (2) nebo nízká (1), můžeme přistoupit k volbě vhodné autentizace např. takto:
Nízká | Střední | Vysoká | Kritická | |
HW token | X | X | X | X |
SW token | X | X | X | |
Password | X | X |
Přičemž tam, kde je hodnota dopadu kritická (4), může být vyžadována fyzická přítomnost žadatele v rámci procesu registrace, může být požadováno předložení více dokladů, pořízena fotografie a uložena jeho biometrická charakteristika. V ostatních případech, kde je umožněna registrace přes síť, je možné požadovat sdělení skutečného jména, čísla občanského průkazu nebo rodného čísla a adresy trvalého pobytu.
V případě vysoké hodnoty dopadu (3) pak můžeme na uvedenou adresu zaslat autentizační předmět nebo přihlašovací údaje. Nikdy bychom však neměli posílat autentizační předmět s PINem nebo uživatelské jméno s heslem v jedné obálce.
V případě střední hodnoty dopadu (2) pak můžeme pro ověření identity žadatele požadovat sdělení informace, která není veřejně známá, ale kterou si můžeme snadno ověřit.
Pouze v případě, že hodnota dopadu vyšla jako nízká (1), se můžeme spokojit se zasláním přihlašovacích údajů např. na e-mail, který nám uživatel při registraci poskytnul.
A jak byste přistoupili k volbě vhodné autentizace v případě vzdáleného přístupu do systému vy?
Štítky: autentizace
K článku “Vícefaktorová autentizace a vzdálený přístup do systému” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.