Zaščita dostopa do aplikacij in podatkov z večstopenjsko avtentikacijo

Varnostne rešitve za overjanje istovetnosti uporabnika (avtentikacija) so se začele razvijati pred več kot dvajsetimi leti.

Varnostne rešitve za overjanje istovetnosti uporabnika (avtentikacija) so se začele razvijati pred več kot dvajsetimi leti. Sprva je za avtentikacijo zadostovala kombinacija uporabniškega imena in statičnega gesla, kar je ob dejstvu, da promet na internetu ni bil kriptiran, premamilo skupino ljudi, ki so želeli to izkoristiti. Vdor v portal finančne institucije, kjer napadalec pridobi dostop, je bil in ostaja privlačen cilj kriminalnih početij. Ker uporabniki niso poznali zmožnosti interneta, niti niso bili osveščeni o možnih zlorabah, so bili vdori v račune dnevno zaznani. Uporabniki so uporabljali kratka enostavna gesla, ki jih je bilo enostavno odkriti, zlasti ko so se pojavili spletni programi z bazo enostavnih gesel in algoritmi za preizkušanje oz. ugibanje prave kombinacije poverilnic. 

Za prepotreben dvig ravni informacijske varnosti so proizvajalci dali na trg rešitev, ki je omejila neomejeno ugibanje in sicer v obliki gesel za enkratno uporabo. Unikatno časovno omejeno zaporedje znakov je bilo generirano v posebnem programu, ki ga je imel uporabnik na svojem računalniku. V praksi se pristop zavoljo nepraktičnosti ni izkazal. Druga rešitev, ki je uporabljena še danes, pa sloni na geslih generiranih na posebnih napravah. Strežnik in žeton, glede na unikaten ključ, hkrati generirata enako geslo, ki se ob uporabnikovem vpisu v aplikacijo primerja z izračunom na strežniku. V kolikor se ujemata, je avtentikacija uspešna. Za identifikacijo uporabnika dodatno služi PIN, ki ga ve samo uporabnik. V rabi je več načinov kombinacije PIN-a in enkratnega gesla. Eden najbolj razširjenih je način, kjer uporabnik PIN vpiše skupaj z enkratnim geslom v aplikaciji, spet drugi dosti uporabljen primer je, da uporabnik PIN vpiše na žeton, ki mu zgenerira enkratno geslo, katerega vpiše v aplikacijo. Temu rečemo večstopenjska avtentikacija; nekaj kar uporabnik ve in nekaj kar uporabnik ima. 

V vmesnem času se je s pojavom pametnih telefonov, dostopnih za večino uporabnikov, pojavila možnost žetona na mobilnem telefonu. Rešitev je smiselna, saj imamo telefon večino časa pri sebi in tako ni potrebno nositi s seboj še žetona za generiranje gesel. Problem, ki se je v praksi pojavil, pa je bil, da so v tistem času imeli telefoni zelo različne operacijske sisteme in tako aplikacija ni delovala na vsakem telefonu. V primeru uporabe znotraj podjetja je bila rešitev za take uporabnike, ki niso imeli ustreznega telefona, da so še vedno uporabljali žeton, kar je bila ustrezna rešitev. Problem pa se je pojavil pri partnerskih podjetjih. Omogočanje dostopa za partnerska podjetja, pa so zaradi povečane dinamike bila dostikrat nujna in želja je bila, da dobi partner dostop takoj, bodisi zaradi izvajanja pomoči, projektov, popravkov. Rešitev, ki je to omogočala in jo je večina ponudnikov žetonov vključila v svojo ponudbo, pa je bila pošiljanje enkratnega gesla z SMS sporočili. Vendar SMS sporočila že v osnovi niso bila mišljena, da bodo potrebovala varnost in so taka tudi ostala, nezavarovana ob prenosu, tako da sodobni varnostni standardi (npr. bančni PCI standard) tako uporabo ocenjuje kot zastarelo in ne dovolj varno za uporabo. 

Opisana rešitev z žetoni na telefonu je množično v uporabi tudi danes, v bančnih okoljih, VPN dostopih, dostopih do privatnih portalov ipd. Rešitev je varna, uporabniška izkušnja pa ni več tako dobra, saj se je število aplikacij, ki jih uporabljamo, močno povečalo, pa tudi tempo življenja se je povečal in taka rešitev ni hitra za uporabo. 

Sodobne avtentikacijske metode upoštevajo, da je možna zahteva za avtentikacijo v vsakem trenutku, večkrat na dan, zato mora biti enostavna in hitra. Možnost hitre avtentikacije, ki jih predstavljamo kot »passwordless – brez gesla« metode avtentikacije, je največkratrešljiva z biometričnimi metodami.
Z upoštevanjem razvoja mobilnih naprav so sedaj aplikacije veliko bolje stestirane na telefonih, tako da je težav z delovanjem aplikacij zelo malo, zato za te namene prevladuje rešitev z aplikacijo na mobilnem telefonu s potisnim sporočilom. Pri tej rešitvi na svoj telefon namestite kratko aplikacijo, ki vam v trenutku prijave npr. v neko spletno aplikacijo, VPN dostop ipd., preko varne povezave potisne na ekran sporočilo z vprašanjem ali odobrite dostop do spletne aplikacije ali ne. Po potrditvi ste avtenticirani in že lahko uporabljate aplikacijo.

Primer potisnega sporočila na telefonu

Druga zanimiva biometrična metoda pa je prepoznavanje obraza ali prstnega odtisa. Za univerzalno rešitev uporabimo majhen USB sensor, na katerega pritisnemo prst in že smo avtenticirani.

ključki za avtentikacijo brez gesla

Eden izmed vodilnih ponudnikov takih rešitev je podjetje Cisco s produktom DUO. Produkt je zanimiv predvsem zato, ker je bil že v osnovi zasnovan tako, da bo enostavno pokrival praktično vse sisteme s prej opisanimi rešitvami. Ne glede na to ali gre za VPN avtentikacijo, prijavo na portal ali pa tudi prijavo v »Windows«-e ali vašo aplikacijo, obstaja možnost integracije. Za najbolj uporabljane aplikacije je integracija izvedena že na tem nivoju, da dejansko v portalu DUO že kar izberemo s katero aplikacijo delamo integracijo in dobimo navodila kaj je potrebno narediti za vzpostavitev. 

Cisco DUO rešitev je postavljena v oblaku in sicer tako, da je omogočena brezplačna poizkusna uporaba za do deset uporabnikov. V kolikor vas rešitev zanima, se prijavite na portal https://duo.com, izberite aplikacijo za katero želite uporabiti npr. najenostavneje potisna sporočila in preizkusite enostavnost delovanja. Za zahtevnejše primere pa se obrnite na partnerja, ki vam lahko pomaga pri integraciji z ostalimi sistemi. Eden od partnerjev smo tudi mi – SRC.

Cisco DUO

Varen dostop za vse, s katere koli naprave in katere koli lokacije

Prijavi se na SRC novičke

Novice v svetu IT tehnologije

Ostale novice

Digitalna preobrazba ni več vprašanje

MARKO ŠMID DIREKTOR POSLOVNEGA RAZVOJA V PODJETJU SRC Pandemija je z uničevalno hitrostjo spremenila svet. Novi postopki dela, ki so leta čakali ob strani, so

Želite dvigniti vaš IT
na nov raven?

Spletno mesto uporablja piškotke zaradi boljše uporabniške izkušnje. Z uporabo naše spletne strani potrjujete, da se z njihovo uporabo strinjate.