Chytré autentizační systémy (ukázka z aktuálního CW č. 6)

28. 3. 2007

Sdílet

V situaci, kdy se jednofaktorová autentizace - uživatelská jména a přihlašovací hesla - stávají v IT sféře terčem vtipů a tradiční spolehlivé ověřovací nástroje jsou stále ještě příliš drahé (na pořízení i na provoz), se firmy snaží najít nové způsoby, jak ověřovací procesy vylepšit, učinit je důslednějšími a zároveň zjednodušit pro běžné použití.

V situaci, kdy se jednofaktorová autentizace - uživatelská jména a přihlašovací hesla - stávají v IT sféře terčem vtipů a tradiční spolehlivé ověřovací nástroje jsou stále ještě příliš drahé (na pořízení i na provoz), se firmy snaží najít nové způsoby, jak ověřovací procesy vylepšit, učinit je důslednějšími a zároveň zjednodušit pro běžné použití.

Podle expertů budou IT oddělení ve všech firmách brzy potřebovat zavést způsoby ochrany podobné těm, které nyní už používají finanční instituce, jež se potýkají se zpronevěrou po mnoho let. V reakci na to se strnulý segment ověřovacích nástrojů začíná zásadně transformovat. Nové formy ověřování spolu s přílivem rizikového kapitálu do start-upů, jež se této problematice úzce věnují, znamenají, že pomoc je na cestě. Výzvou pro podnikové IT je zprovoznit systémy dřív, než si útočníci najdou cestu dovnitř.

„V uplynulých letech se počet cílených útoků na komerční organizace zvýšil z jednoho až dvou týdně na jeden a více denně. Ačkoli tyto údaje mohou vypadat úsměvně v porovnání s e-mailovými viry či spamovými kampaněmi, které se počítají v milionech, útoky uvedeného typu (takzvaný spear-phishing) jsou mnohem nebezpečnější,“ říká Paul Wood, analytik ve společnosti MessageLabs.

Oni se nezajímají o takové adresy, které hromadně nasbíráte z internetu," tvrdí Wood. „Tito lidé mají rozsáhlé znalosti o organizacích, do kterých chtějí proniknout, přičemž e-mailové zprávy odpovídají specifikám organizací, z nichž se snaží něco získat." Většinou se jedná o duševní vlastnictví firmy: zdrojové kódy k softwaru, dokumenty týkající se designu produktů nebo různé další podrobné podklady. Pro společnosti případné škody způsobené ztrátou cenných dat obvykle převyšují hodnoty běžné u jiných typů útoků.


Problém s hesly

Bob Blakley, šéf výzkumu pro bezpečnost a ochranu osobních dat v IBM, poukazuje na to, že omezená účinnost ochrany heslem není způsobena tím, že by systém zastarával. Důvodem je to, že nikdy nefungovala tak, aby se na nich dala bezpečnost stavět.

Základním problémem je to, že zde existuje určitý kompromis mezi lidskou mentální kapacitou a silou hesla,“ říká Blakley. Jestliže standardní protokol silného hesla vyžaduje osm i více znaků obsahující jak alfabetické, tak i číselné znaky, uživatelé většinou zadávají hesla, která nejsou dostatečně bezpečná, anebo hesla, která si naopak nemohou zapamatovat.
Sam Tuohey, CTO ve společnosti Stanford Federal Credit Union, dospěl ke stejnému závěru o něco empiričtějším způsobem – auditem účinnosti hesel u 45 000 zákazníků své firmy. Tuoheyho tým použil standardní crackovací nástroje a zjistil, že přibližně 80 procent z nich může být, jak říká Tuohey, jednoduše dekódováno během jediné sekundy.

Po mnoho let byla jednoduchá hesla proti relativně nízkým úrovním hackování a jinému internetovému zločinu dostatečnou ochranou. To už ale dnes neplatí. Co se dříve zdálo být pouze nedbalým přístupem uživatelů, je nyní otevřenou pozvánkou pro sofistikované internetové zločince, kteří velmi rychle přišli na to, jak si s takovými hesly rychle poradit - a to třeba formou phishingu v kombinaci se zákeřným kódem, jenž sesbírá další citlivá data. „Změny prostředí, z něhož se šíří hrozba, zároveň urychlují změny v autentizačním byznysu,“ říká Chris Young, manažer zákaznických řešení ve firmě RSA Security. Všichni jsme zaznamenali posun od středoškoláků, kteří psali viry, k organizovaným zločineckým spolkům, které formou phishingu a pharmingu a propagací trojských koní kradou informace čistě za účelem zisku," dodáváYoung.

Stanford Federal to zná velmi dobře. Tato organizace se stěží stane takovým cílem jako třeba Bank of America, nicméně phisheři se i v tomto případě snaží využít dostatku času k propracovaným cíleným podvodům a snaží se získat přístup k zákaznickým účtům, jak říká Tuohey. Díky napojení organizace na stanfordskou univerzitu získali phisheři tisíce adres veřejně dostupných v databázi stanford.edu a rozeslali na ně e-maily, které sváděly k dojmu, že pocházejí od uvedeného sdružení. Touhey ví pouze o čtyřech zákaznících, kteří na tento e-mail odpověděli, a zároveň dodává, že nemůže uvěřit tomu, že žádný z účtů nebyl dosud narušen. Nicméně tento incident byl pro všechny jakýmsi budíčkem....


Toto je ukázka z hlavního článku z nedávno vyšlého, 6. čísla časopisu Computerworld.


Více se o tomto vydání dozvíte zde (obsah čísla).

 

Autor článku