Nové typy autentizace

Problém zapomenutých hesel je zřejmě tak starý jako hesla sama. S nástupem výpočetní techniky však výrazně nabyl n...


Problém zapomenutých hesel je zřejmě tak starý jako hesla sama. S nástupem
výpočetní techniky však výrazně nabyl na významu hesla zde totiž často chrání
takřka vše: přístup k počítači, k síti, k datovým souborům, ke službám na
internetu... A protože si většina uživatelů jen těžko takové množství hesel
zapamatuje, snaží se je různě obcházet. Nebylo by tedy lepší zvolit nějaký jiný
způsob autentizace?
Obvyklými způsoby obcházení problémů se zapomenutými hesly je jejich zapisování
na nějaké dostupné místo, případně
používání jednoho univerzálního hesla při všech příležitostech. Bezpečnostní
rizika obou těchto postupů jsou zjevná a byly o nich popsány již stohy papíru.
Podívejme se tedy společně na několik příkladů správců sítí, kteří se hesel
nadobro zbavili.

Školy na severu
Ve Stockholmu se 85 000 žáků základních škol připojuje do metropolitní sítě,
aby mohli komunikovat se svými školními servery a získávat z nich informace o
výuce. I oni, stejně jako uživatelé ve většině firem a úřadů, často zapomínají
svá přístupová hesla. Jejich učitelé jsou zatěžováni tím, že jim musejí
obstarávat nová hesla a každých 100 dní přidělovat všem hesla zbrusu nová tak,
jak to vyplývá ze zavedené přísné bezpečnostní politiky. Na konci loňského roku
proto zdejší školský úřad dospěl k závěru, že je třeba zvolit jinou
autentizační metodu. Aby se zabránilo ztrátám hesel, bylo rozhodnuto o využití
biometrické autentizace, konkrétně otisků prstů.
Počátkem tohoto roku se rozběhl pilotní projekt pro prvních 450 uživatelů. V
březnu by podle Samira Hamouniho, manažera projektu ve stockholmském městském
oddělení IT, měly být nainstalovány na 25 000 počítačích ve všech
stockholmských školách čtečky otisků prstů (jedna přijde na cca 100 dolarů, tj.
asi 3 600 Kč, za dodavatele byla zvolena americká společnost Saflink). Během
příštího roku by pak mělo i všech 120 000 počítačů, které využívají zaměstnanci
města, používat některou z pokročilých metod autentizace chytré karty, tokeny
nebo biometrii.

Rostoucí trh
Trh chytrých karet a tokenů stále roste. Jestliže v roce 2000 činil jeho objem
314,5 milionu dolarů, o 5 let později již má podle odhadů IDC dosáhnout hodnoty
2,2 miliardy dolarů. Podobně dynamicky se má vyvíjet i trh biometrických
autentizačních zařízení, kde zatím dominují čtečky otisků prstů. Z předloňských
119 milionů dolarů by měl do roku 2005 vzrůst až na 887 milionů dolarů.
Do budoucna ovšem nelze očekávat, že zvítězí pouze jedna technologie. Mnohé
společnosti budou zřejmě pro autentizaci používat kombinaci několika metod.
"Domnívám se, že zde dojde k vysokému stupni synergie mezi biometrií, chytrými
kartami a tokeny v okamžiku, kdy velké společnosti rozšíří instalaci
multifaktorové autentizace mezi větší množství uživatelů," říká Chris
Christiansen, šéf výzkumů týkajících se bezpečnosti u IDC. "Líbí se mi analogie
se zabezpečením bytů v New Yorku: Jejich dveře nemají jen jeden zámek. Většinou
jich mají několik a k tomu ještě ocelová futra."
Všechny autentizační metody lze zařadit do jedné ze tří kategorií, podle toho,
čeho ke zjištění totožnosti využívají. Může to být něco, co uživatel zná
(heslo, identifikační číslo apod.), co má (chytrou kartu, token, případně
nějakou hardwarovou/firmwarovou vlastnost svého počítače, např. číslo síťové
karty) nebo co je(biometrické vlastnosti otisky prstů, oční duhovka, tvar
obličeje apod.) "Každá z těchto kategorií má své výhody i nevýhody," říká
Richard Smith, autor knihy Authentication: From Passwords to Public Keys
(Autentizace: Od hesel k veřejným klíčům, Addison--Wesley, 2001). Například
neexistuje žádný rozumný způsob, jak přidělit tokeny nebo chytré karty milionům
zákazníků rozsáhlých B2C aplikací, takže jediným způsobem autentizace, který je
zde nyní možno běžně využívat, je stále heslo podpořené šifrováním SSL (Secure
Sockets Layer). Tokeny a chytré karty naopak rozhodně mají smysl ve velkých
aplikacích B2B, kde jsou podepsány příslušné smlouvy a navázány dlouhodobé
vztahy.
Podle Christiansena najdou v nejbližších pěti letech uplatnění především tokeny
a chytré karty, protože se dají nasadit snadněji než zařízení provádějící
autentizaci na základě biometrickcých vlastností. Lze je připojit např.
prostřednictvím USB (Universal Serial Bus) a náklady na jednoho uživatele se
pohybují v částkách od 25 centů (cca 10 Kč) do 60 dolarů (cca 2 200 Kč).
Naproti tomu biometrická zařízení přijdou na minimálně 100 dolarů (cca 3 600
Kč) na jednoho uživatele a vyžadují externí hardwarové čtečky, které může být
těžké někam přenášet a znovu instalovat při zachování všech bezpečnostních
požadavků.

Potenciální nevýhody
Tokeny a chytré karty však mají podle analytiků i uživatelů také své nevýhody.
Jejich obsah například nemusí být při přenosu automaticky šifrován a navíc je
uživatelé mohou snadno poškodit nebo ztratit. Velká poruchovost byla například
důvodem, proč v americké společnosti OppenheimerFunds upustili od instalace 2
500 autentizačních zařízení na bázi tokenů. "Telefonáty zaměstnanců, kteří
potřebovali pomoc s rozbitými tokeny nebo vybitými bateriemi, si vyžádaly čas
dvou správců zaměstnaných na plný úvazek," popisuje situaci Mike Hager,
viceprezident firmy pro bezpečnost
sítě a zotavení po katastrofě. Jinak na problém nahlížejí představitelé
společnosti Predictive Systems. Než se rozhodli přistoupit na autentizaci
prostřednictvím tokenů, podrobili produkty jednotlivých dodavatelů důkladným
testům. Mlátili do nich, chodili po nich a dokonce je i ponořili do šálku kávy.
Nakonec se rozhodli pro USB plug-in tokeny firmy Aladdin Knowledge Systems.
"Můžete skutečně ponořit tyto tokeny do kafe, pak je vysušit, a ony dále
fungují," vysvětluje CTO společnosti Anish Bhimani. Na rozdíl od společnosti
Predictive potřebovala právní firma Allen Matkins Leck Gamble & Mallory tokeny,
které jsou nezávislé na zařízení aby se jejích 250 zaměstnanců mohlo připojovat
z jakéhokoli místa z domácího PC, z notebooku, z právnické knihovny, od soudu
nebo dokonce z konkurenčních právních firem. Tony Bothwell, systémový
administrátor této společnosti, se před více než rokem rozhodl pořídit 2 000
tokenů SafeWord Silver od firmy Secure Computing. Nyní se zaměstnanci
společnosti mohou snadno připojit k jejímu webu, stisknout tlačítko na svém
tokenu, v jehož důsledku se na jeho displeji ukáže číselný kód, a ten následně
zadat do přihlašovacího formuláře. Číslo, které token vygeneruje, je zdánlivě
náhodné ve skutečnosti je ale synchronizováno s dodaným bezpečnostním serverem
PremierAccess od Secure Computing.

Biometrie
Protože komplexní hesla nejsou nikomu příjemná, uživatelé dávají nejčastěji
přednost biometrické autentizaci. Podle Smithe a řady analytiků však biometrie
zůstane až sekundární formou autentizace hlavně uvnitř sítě především kvůli
ohledům na soukromí, ceně, objemnému a náročnému hardwaru (snad s výjimkou
čteček otisků prstů) a hrozbě
špatného přečtení biometrických vlastností objektu. K nahrazení hesel
autentizací na základě čtení otisků prstů se na konci minulého roku rozhodl
např. nejvyšší floridský soud. Bylo rozhodnuto o nasazení softwaru BioLogon od
společnosti Identix a čteček otisků prstů od Compaqu. V rámci projektu bylo
čtečkami osazeno 650 desktopových počítačů při ceně 120 dolarů (cca 4 300 Kč)
na jednoho uživatele.
"U běžných vyšetřovacích soudů musejí dělat soudci jedno rozhodnutí v průměru
každou hodinu a u nejvyššího soudu se tráví spousta času zkoumáním podkladů,"
říká Alan Neubauer, síťový analytik soudu. "Soudce při takovém vytížení
rozhodně nemůžeme trápit ještě tím, aby si pamatovali, jaké 20znakové heslo
mají použít," vysvětluje. Jedním z hlavních aspektů, na které kladl Neubauer
důraz v průběhu pilotního projektu, bylo zajištění ochrany soukromí. "Polovinu
právníků hned začala trápit představa, že informace o jejich otiscích prstů
kolují internetem," vysvětluje Neubauer. Ale software BioLogon přenáší a
uchovává pouze informace o poloze jednotlivých významných bodů sítě otisku
prstu, nikoli vlastní otisk. Současně zajišťuje šifrování těchto informací jak
při přenosu, tak při ukládání.

Krok za krokem
"Zajímavé je, že obavy o narušení soukromí nikdy nevznikly mezi učiteli a
rodiči zapojenými v úvodu zmiňovaném stockholmském pilotním projektu,"
poznamenává Samir Hamouni. Vznikl zde však jiný nečekaný problém bylo třeba
najít takové čtečky otisků, které by byly schopny číst otisky malých dětských
prstů. Ty, které vyrábí společnost Saflink, podle Hamouniho jako jediné tuto
podmínku splňovaly. Uživatelé biometrických zařízení velmi doporučují testovat
nejen kvalitu produktů, ale také stabilní postavení výrobce na trhu. Neubauer
například začínal projekt s pěti výrobci, z nichž 3 během prací z trhu odešli.
Kromě výrobců zaznamenává trh také příliv a odliv celé řady dalších
autentizačních zařízení a metod. Zajímavým produktem je např. software od
společnosti Authentor Systems, který rozpoznává chování uživatele při práci s
klávesnicí. Produkt Safewww od stejnojmenné firmy zase zjišťuje IP adresu
uživatele a vlastnosti hardwaru jeho počítače. Podle Johna Pescatoreho, šéfa
výzkumů zaměřených na bezpečnost u GartnerGroup, vládnou v oblasti přístupu
přes web stále jako autentizační metoda hesla. "Méně než 0,5 % internetových
transakcí dnes používá nějakou silnější autentizační metodu než hesla. Podle
nás zůstane tento způsob autentizace dominantním ještě nejméně do roku 2003",
říká.
Jak už ale bylo uvedeno, správa hesel činí řadu problémů s vydáváním hesel
nových, se špatným nastavením provedeným uživateli, se zapomenutými hesly...
Připočtěte k tomu ještě výše zmíněné problémy s bezpečností a celý obrázek se
stává jasnějším. To všechno jsou důvody, proč Hamouni označuje hesla za mrtvou
záležitost. Současně ale varuje před nákupem autentizačních zařízení jen proto,
že jsou to krásné hračky. "Než změníte autentizační infrastrukturu, měli byste
si pořádně rozmyslet, k čemu ji budete využívat, a poté ji ušít přesně na míru
svým uživatelům," radí.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.