Identita a její prokazování

Elektronická identita bývá často zjednodušována prostě se fyzické osobě přiřadí nějaký její elektronický ekviv...


Elektronická identita bývá často zjednodušována prostě se fyzické osobě přiřadí
nějaký její elektronický ekvivalent. To je sice správný pohled podle zásad
selského rozumu, avšak v praxi v mnoha ohledech pokulhává.

Jak řešit identitu nefyzických osob (tady nemáme na mysli pouze osoby
právnické, ale třeba i servery)? Jak se vypořádat s tím, že jedna osoba může
mít několik identit, které se přitom navzájem nepopírají? Jak zajistit to, aby
si osoba mohla v případě potřeby změnit identitu (nikoliv po spáchání nějaké
nekalosti, ale třeba při změně zaměstnání)? To jsou jen některé problémy, se
kterými model "jedna fyzická osoba = jedna identita" nepočítá.
Význam prokazování identity a jejího řízení začal závratně narůstat v poslední
době s problematikou tzv. identity theft, odcizení identity. To přitom může mít
různou podobu a různé následky, které jsou ale vždy nepříjemné nebo extrémně
nepříjemné. Stejně tak mohou být různé i příčiny odcizení identity. Faktem
nicméně je, že třeba v USA (kde je tato problematika na rozdíl od jiných zemí
velmi pečlivě sledovaná) se jedná o neuvěřitelně rychle rostoucí oblast
kriminality s meziročním počtem nárůstu případů o 15 %. Vzhledem k tomu, že
procenta nemusejí nic vyjadřovat o skutečné velikosti dotyčného problému, pak
je třeba dodat, že právě v USA bylo loni zaznamenáno 9,3 milionu případů
odcizené identity. Obětí se tak stal skoro každý dvacátý Američan.

Správa identity
Identity management je politika, která umožňuje identifikaci jednotlivců v
různém systému (síť, podnikové aplikace, země) a jež kontroluje jejich přístup
ke zdrojům odpovídajícím přiřazováním uživatelských práv, eventuálně jejich
omezení. V reálném světě by mohl být velmi jednoduchým příkladem třeba systém
řidičských průkazů, kdy je uživatelským právem dokument s určitým
identifikačním číslem a omezením možnost používat jej až od (respektive do)
určitého věku.
V informačních technologiích je software používaný pro vytváření a řízení
identit určený především k automatizaci přednastavených administrativních úkonů
vytvořených na základě bezpečnostní politiky. Jedná se například o tlak na
uživatele, aby si z bezpečnostních důvodů změnil po určité době heslo. Dále jde
o kontrolu prokazovaných atributů (heslo platné či neplatné aj.). Jen pro
úplnost běžně se lze setkat s pojmem p-synch (password synchronization), což je
technika umožňující uživateli využívat více aplikací s jednou sadou
identifikačních prvků. Ne vždy je to však žádoucí (a především bezpečné), proto
je mnohem rozšířenější technologie single sign-on (jedno přihlášení), která
umožňuje synchronizaci více aplikací i systémů tak, že se přihlásíme do jedné
nosné aplikace, která následně řídí přihlašování do dalších aplikací s tím, že
jsou používány rozličné autentizační prvky (hesla a podobně). Výrazně je tak
zvýšena bezpečnost při zachování vysokého komfortu pro uživatele.
Ostatně, výhody spojené s single sign-on jsou přínosem také v případě
implementace identity managementu, kdy dochází ke zvýšení kvality služeb pro
jednotlivé zaměstnance a rovněž ke zvýšení jejich produktivity práce. Současně
by mělo být spojené i se snižováním nákladů. Identity management je totiž o
hledání rovnováhy mezi pohodlím, soukromím, osobní bezpečností a ochranou před
podvodníky, nutností zajištění bezpečnosti dat či potřebě dostupnosti
odpovídajících informací.

Řešení identit
Pokud máme řešit problematiku řízení identity, musíme mít na paměti několik
následujících bodů a doporučení. V prvé řadě je nutné vypracovat metodiku,
která bude směřovat k vlastnímu definování politiky, na jejímž základě bude
řízení identity vynucováno v praxi. Zde přitom nesmíme zapomínat na fakt, že
bezpečnostní politika bývá více méně samoúčelným kusem papíru vytvořeným jen
proto, aby existovala, ale že je v praxi nepoužitelná. Teoreticky vypadá dobře,
avšak v praxi fungovat nemůže a nebude. Druhým problémem, se kterým je
zapotřebí dopředu počítat, je, že navržené procedury musejí být vymahatelné.
Na paměti je nutné mít také to, aby se v oblasti řízení identity nestalo slabým
článkem vytváření, přidělování či distribuce nových PINů, tokenů a dalších
uživatelských prvků. Jaká je jistota, že správná osoba obdrží správné atributy?
Tedy že nebude zmatek v přidělování oprávnění mezi regulérními uživateli,
stejně jako nebude mít útočník možnost získat regulérní identitu.
Mezi další oblasti, na které je třeba dbát, patří:
lOddělení správy hardwaru od managementu uživatelů. Je třeba pamatovat na to,
aby při odchodu zaměstnance bylo i nadále možné používat jeho hardwarové
prostředky, a to bez nutnosti ústupků z hlediska bezpečnosti.
lMetodiku řízení identity by měly zvládnout i technicky méně zdatné osoby bez
dlouhých školení.
lZměny v systému nebo v identitě jednotlivých uživatelů by mělo být možné
provádět jednoduše a rychle, aby se minimalizovaly vzniklé prostoje.
lAdministrátor by neměl být všemocným elementem, ale z hlediska bezpečnosti či
ochrany soukromí jednotlivých uživatelů by měl mít přístup pouze k těm datům,
která pro svoji práci nezbytně potřebuje.
lCelý systém by měl být snadno auditovatelný a transparentním, aby bylo možné
zpětně dohledat jednotlivé zásahy.
Situace v kybernetickém světě je v případě identit výrazně horší než ve světě
reálném. Důvodů je několik. Jednak díky internetu neexistují hranice a
prakticky každý může komunikovat s každým. Právě absence geografických hranic a
právní vakuum nahrává mnohým nekalým činnostem. Dalším důvodem je nesmírně
jednoduché kopírování elektronických dat je rychlé a především není možné
rozpoznat kopii od originálu. A uživatelé si také často neuvědomují, co všechno
jim může způsobit potíže, takže se chrání nedostatečně, i když prostředky a
znalosti mají.


Jednotlivé způsoby, jak prokázat svou identitun Heslo samotné heslo se
nejčastěji používá pro jednorázový přístup k nějakému systému, kde není
požadována extrémně vysoká míra zabezpečení. Je to v podstatě z hlediska
bezpečnosti nejslabší způsob prokazování identity, nicméně pro svoji
jednoduchost značně rozšířený a oblíbený.
n Přihlašovací jméno/heslo nejrozšířenější způsob prokazování identity. V praxi
se s ním lze setkat u e-mailových účtů, elektronického bankovnictví, v
podnikových sítích apod. Nicméně v poslední době díky různému odcizování
identit, rozmachu sociálního inženýrství nebo phishingu dochází k odklonu od
něj. Proto jsou novější systémy budované tak, aby útočník neměl šance na
prolomení sníženy (například potvrzování peněžní transakce kódem zaslaným
pomocí SMS na mobilní telefon).
n Hardwarový klíč metoda, při níž k prokazování identity slouží nějaký předmět.
Metoda stejně bezpečná jako třeba použití klíčů při zamykání budovy, nicméně
jejím omezením je nutnost vlastnictví příslušné čtečky, což tuto metodu
prodražuje.
n Biometrika v podstatě se jedná o použití jakési obdoby hardwarového klíče,
kterým je v daném případě nějaká část či atribut lidského těla. Problémem je
nedostatečná citlivost čtecích zařízení.
n Certifikát levnější varianta hardwarového klíče, kdy k přihlašování slouží
softwarový certifikát. Oč ale ušetříte na ceně hardwaru, o to více je nutné
investovat do systému vydávání, ověřování a odvolávání certifikátů.
n Kombinovaný způsob v praxi se lze setkat se systémy, které kombinují výhody
nejméně dvou výše uvedených prvků. Takovýto způsob je samozřejmě náročnější na
správu i na uživatele, ale na druhé straně poskytuje nesrovnatelně vyšší
bezpečí.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.