přejít na obsah přejít na navigaci

Linux E X P R E S, Silná multifaktorová autentizace založená na jméně a hesle

VariCAD

Silná multifaktorová autentizace založená na jméně a hesle

itsw.png

Jak nabízet vysokou úroveň zabezpečení přístupu a současně neobtěžovat uživatele víc, než je zvyklý? Možnosti popsal David Matějů na letošní konferenci IT Security Workshop.


IT Security Workshop

IT Security Workshop (ITSW) je odborná konference, která se pravidelně v březnu koná v Praze. Je zaměřena na praktické aspekty IT bezpečnosti (byť se nejedná o skutečný workshop, jak by název napovídal) a účastníci mají možnost se dozvědět například o aktuálních trendech v útocích a ochraně před nimi, o zabezpečení infrastruktury či softwaru apod.

Hlavním mediálním partnerem letošního ročníku ITSW byl náš časopis IT Systems.

Velký přednáškový sál na konferenci ITSW Velký přednáškový sál na konferenci ITSW

Letos – stejně jako v minulých letech – se konference konala Konferenčním centru City na Pankráci. Byla koncipována jako jednodenní s kratším programem, bez rozdělení obědem – ten následoval až po skončení konference (do programu byly zařazeny jen krátké přestávky na občerstvení podávané v předsálí).

Neformální rozhovory účastníků konference Neformální rozhovory účastníků konference

První dvě přednášky byly pro všechny společné, poté se program rozdělil na dva proudy ve dvou různých sálech (velkém a malém). V předsálí měli účastníci možnost navštívit stánky firem, které se podílely na přednáškovém programu.

Stánky v předsálí Stánky v předsálí

Lesk a bída multifaktorové autentizace

Klasické ověřování uživatelů pomocí jména a hesla je už dávno považováno za bezpečnostně zcela nedostatečné a samo o sobě vhodné jen pro nenáročné případy. Vyššího zabezpečení lze dosáhnout kombinací s dalšími faktory (například generováním nebo posíláním jednorázových hesel, využitím biometrických dat, hardwarovými tokeny…), to ale klade na uživatele vyšší nároky, zdržuje a snižuje pohodlí.

David Matějů při přednášce o autentizaci David Matějů při přednášce o autentizaci

Jak to tedy udělat, aby uživatel nebyl nijak významně zatěžován či obtěžován a současně byla zajištěna vyšší úroveň zabezpečení? Možnosti v této oblasti popsal při své přednášce David Matějů. Hovořil o cestě, která z uživatelského pohledu využívá primárně jméno a heslo, ale „pod kapotou“ se provádějí i další ověření.

Od jednoduchých hesel k více faktorům a zase zpět

Na počátku se především překonávala nedůvěra uživatelů k informačním technologiím. Pro ověřování uživatelů – pokud se vůbec provádělo (což v dávnějších dobách nebylo úplně pravidlem) – se využívalo uživatelské jméno v kombinaci s heslem, často jednoduchým.

Protože jednoduchá hesla nepřinášejí příliš velkou ochranu, přišly různé politiky pro hesla (minimální délka, použité znaky, vyloučení slovníkových hesel, intervaly pro změnu apod.). Uživatelům to působilo komplikace, proto často reagovali „po svém“ a hesla si začali různě zapisovat, často třeba na onen pověstný papírek nalepený na monitoru.

Reálně vyšší zabezpečení přinesla vícefaktorová autentizace – ale opět na úkor pohodlí uživatelů. „Používal jsem hardwarový token docela hodně,“ říká David Matějů, „každou chvíli jsem ho ale zapomínal v autě nebo někde v tašce. A když jsem se pak chtěl přihlásit do informačního systému, tak jsem ten token musel hledat, jinak jsem se přihlásit nemohl – přestože jsem to byl já a ten systém mohl vědět, že jsem to já.“

Vývoj autentizace uživatelů (zdroj: prezentace k přednášce) Vývoj autentizace uživatelů (zdroj: prezentace k přednášce)

Další úrovní jsou behaviorální modely – systém analyzuje a porovnává vzorce chování uživatele. A teprve pokud identifikuje vyšší riziko, zapojí do ověření další faktory. Jinak se použije jen jednoduché ověření, typicky klasickým jménem a heslem.



Bezpečné a přitom snadno použitelné ověřování

Pro volbu řešení ověřování uživatelů jsou důležité jak parametry související s vlastním ověřováním (míra falešných pozitivních i negativních výsledků – tedy jak často není odhalen neoprávněný uživatel, resp. je za podezřelého považován uživatel oprávněný), tak i prostředí, pro které se ověření provádí. Jiná míra zabezpečení bude potřeba pro systémy nedůležité (např. prohlížení jídelníčku podnikové kantýny) a pro systémy s vysokou důležitostí (provádění velkých finančních transakcí).

Z praktického hlediska by mělo být ověřování pro uživatele jednoduché. To zahrnuje jak vlastní přihlašování (a to, co probíhá v pozadí), tak například i možnost snadné změny hesla a řešení jeho zapomenutí (bez nutnosti podstupovat nějaké složité procesy). Důležitá je také snadná migrace na nové, bezpečnější řešení a v neposlední řadě také proporcionalita nákladů k požadované bezpečnosti.

Je také vhodné v reálném čase přizpůsobovat úroveň zabezpečení tomu, v jak citlivé části systému uživatel pracuje. Příkladem může být, že třeba pro provádění platebních příkazů v bankovním systému jsou nároky na ověření uživatele vyšší než pro pouhé prohlížení seznamu transakcí.

Malý přednáškový sál na konferenci ITSW Malý přednáškový sál na konferenci ITSW

Nelze zapomenout také na různost zařízení, z nichž se k systému přistupuje: „Všichni tady jedeme z mobilů, tabletů a podobných zařízení. Takže byste měli možnost se i z nich silně ověřit do určité části informačního systému.“ Optimální též je, aby se heslo nikde neukládalo a nikam neposílalo.

Co a jak se ověřuje

Při správné realizaci ověřování záleží na tom, odkud uživatel přistupuje a co se snaží dělat (a v jakém kontextu – viz dále). Na základě toho se vypočítá riziko dané činnosti a buď se vyžádá silná  autentizace, nebo potřeba nebude (což je většina případů) a při ověření si bude možné vystačit se jménem a heslem.

„V hlavní roli je kontext“ (zdroj: prezentace k přednášce) „V hlavní roli je kontext“ (zdroj: prezentace k přednášce)

Pro vyhodnocení rizikovosti lze využívat více než 60 různých indicií. Patří mezi například čas přístupu, lokalita, způsob připojení, identifikátor zařízení, používání anonymizérů, historie chování uživatele v systému (co dělal dříve a co se snaží dělat teď, jaká zařízení používal, odkud se připojoval…) atd.

Výsledky v praxi

Ukazuje se, že stačí používat silné ověření jen u malé části přihlašování uživatelů a přitom se podchytí podstatná část nekalých aktivit. Pokud se například sekundární (silné) ověření použije jen u 5 % případů, zachytí se 85 % pokusů o neoprávněný přístup. Při použití u 30 % případů je míra zachycení 95–98 %.

gGraf účinnosti pro různou četnost sekundární autentizace (zdroj: prezentace k přednášce) Graf účinnosti pro různou četnost sekundární autentizace (zdroj: prezentace k přednášce)

Zhruba polovinu nekalé činnosti lze odhalit při silném ověřování 0,5 % případů a dokonce při snížení na 0,1 % případů se stále odhalí okolo 25 % podvodů. I velmi šetrné (k uživatelům) používání sekundárního ověřování je tedy velmi účinné z bezpečnostního hlediska.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

5 důvodů, proč si pořídit řešení Juniper s Mist AI

JuniperI když jsou kabelové a bezdrátové sítě pro podnikání důležitější než kdykoli dříve a stávají se kritickou infrastrukturou i pro malé podniky, je udržování provozu sítě vzhledem k velkému počtu mobilních zařízení, internetu věcí (IoT) a škále hardwaru, operačních systémů a aktuálně používaných aplikací stále těžší a těžší.

Pokračování ...


Arrow

Public Relations

Úsměv namísto podpisu a robot na místě prodavače

IT Systems 11/2020V novém vydání IT Systems se věnujeme trendům v digitalizaci bankovnictví a finančního sektoru, který je sice vnímán jako velmi konzervativní odvětví, ale ve vztahu k informačním technologiím patří naopak mezi ty nejprogresivnější. Tlak konkurence i nebankovních institucí a požadavky zákazníků totiž nutí celé odvětví, aby přijímalo nejnovější technologie.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 21. August

Sayonara Player 1.5.1

Přehrávač, jak má být. Poslední dobou vývoj šlape


Pavel Fric

Pavel Fric, 26. January

MuseScore 3

První aktualizace třetí řady notačního editoru MuseScore


Redakce

Redakce, 21. December

Pište pro LinuxEXPRES

Baví vás Linux? Pište o něm, není to nic těžkého. LinuxEXPRES hledá nové autory.


Všechny blogy »

ZWsoft