Problém
Jednou z rostoucích frustrací z internetu je počet identit s heslem, které jsme jako jeho uživatelé nuceni akceptovat. To vede k novému druhu rizika spojenému s identitou. Průměrný uživatel internetu má cca 50 identit. Protože nejsme moc dobří při zapamatovávání mnoha různých unikátních a silných hesel, používáme pravděpodobně stejná hesla pro různé weby. Tyto weby navíc nejsou všechny schopné chránit naše hesla stejnou úrovní zabezpečení. Navíc neměníme pravidelně hesla, což celý problém dále zhoršuje. Jak bychom mohli efektivně spravovat zabezpečení a platnost takového množství hesel pro tolik identit? Odpověď je prostá -- není to možné, minimálně ne bezpečně!
Proč se starat?
Různí poskytovatelé webu po nás žádají různé osobní údaje. To umožňuje někomu s kriminálními úmysly shromáždit naše identity prolomením slabého webu a použitím těchto identit a hesel získat přístup k dalším webům a shromažďovat další osobní údaje. Jako pohoštění pro hackera často umožňujeme webovým serverům ukládat údaje o naší kreditní kartě. Některé weby zcela otevřeně zobrazují čísla kreditní karty přihlášenému uživateli. Weby, které čísla nezobrazují umožňují často objednání produktů a služeb a jejich zaslání na jiná místa. Nebude dlouho trvat a budeme svědky automatického shromažďování dat uvedeným způsobem -- tedy vlastně pokud to již neprobíhá.
Krátkodobé řešení
Používání přihlašovacích frází je bezpečnější než hesla. Můžeme okamžitě začít snižovat riziko představením jednoduchých metod, které nám pro každý web umožní používat různé přihlašovací fráze namísto hesel. Je však důležité, aby náš přístup nebyl odhadnutelný. Pokud například hacker zjistí, že je přihlašovací fráze na webu Google: „mycorepassword?google!“, nebude mu zjištění hesla pro web PayPal trvat dlouho, přestože to vypadá jako silné heslo.
Součásti řešení
OpenID ukazuje jeden přístup, ale bohužel síla bezpečnostního modelu standardu OpenID není dostatečná, aby byla použitelná pro informace s vysokou hodnotou. Tím však není řečeno, že by se standard OpenID nehodil pro aktivity s nízkým rizikem. Není jen dostatečně robustní pro transakce a aktivity, které vyžadují vyšší stupně důvěrnosti či integrity. Standard OpenID není navržen pro odolání cíleným útokům, jako je například útok typu MITM, protože obsahuje příliš mnoho spoléhání se na schopnost a důvěryhodnost poskytovatele OpenID.
Výběry identity, jako je například technologie CardSpace společnosti Microsoft, budou pravděpodobně ve finálním řešení hrát nějakou roli. Jednorázová hesla (papírová i elektronická) jsou také zajímavými komponentami, stejně jako čísla jednorázově použitelných kreditních karet. Důvěryhodné zařízení, které by umožnilo jednoduchý úkon ověření pro práci s informacemi s vysokou hodnotou či vysokým rizikem, by bylo velmi cenné. Dlouhodobé řešení bude vyžadovat spolupráci poskytovatelů (vlastníci webů) a nového druhu poskytovatelů služeb (pro správu identit -- IMSP). Bylo již vytvořeno mnoho efektivních bezpečnostních protokolů.
V této oblasti bude ještě zapotřebí několik zásadních inovací, zejména pro správu zabezpečené postavy. To představuje pro uživatele možnost vystupovat pod různými jmény (postavami)... naštěstí v této oblasti probíhá vývoj některých novinek. Dalším krokem je zformovat tyto součásti do použitelné služby.
Tento článek vyšel v tištěném SecurityWorldu 4/2008.
PŘEDPLATNÉ
ČLÁNKY DO MAILU