Ali lahko gesla upokojimo?

Posted on 17/12/2012

0


Gesla nas spremljajo že dolgo časa, uporabljamo jih za dostop do spletnih strani, prijavo v računalnik, prijavo v aplikacije in še mnoge druge rešitve. Izziv, ki tukaj nastopi, je, da če uporabnik uporablja večje število gesel, jim le stežka sledi. Prav zaradi tega pa po navadi uporabi isto ali podobno geslo za več aplikacij, kar pa celotno raven varnosti zniža ter poslabša uporabniško izkušnjo.
Okolja Microsoft
V okoljih Microsoft recimo to rešujemo z enotno prijavo v okolje z domenskimi poverilnicami, kar je sicer omejeno na aplikacije znotraj našega okolja ter na tiste, ki podpirajo t. i. Windows Integrated avtentikacijo. Če v okolju operacijskih sistemov Windows uporabljamo aplikacije, ki ne podpirajo tega mehanizma, morajo uporabniki spet uporabljati druga gesla ali celo drugo uporabniško ime. Poleg tega je v okoljih Windows pogosto implementirano spreminjanje gesel po določenem časovnem obdobju, kar postane problematično, če je to prepogosto. Ta trenutek bomo naslovili uporabo pametnih kartic kot možnost za zamenjavo gesel. Problematiko gesel v ostalih aplikacijah bomo naslovili v nadaljevanju članka.
V okoljih Windows lahko zahteve za varno prijavo rešujemo z uporabo digitalnih potrdil na pametnih karticah. Uporabnik mora ob prijavi vpisati le številko PIN za svojo pametno kartico. Za prijavo se nato uporabi digitalno potrdilo na pametni kartici. Prijava je na ta način dvofaktorska, saj sta za prijavo potrebna pametna kartica (nekaj, kar imam) in geslo zanjo oz. koda PIN (nekaj, kar vem).
Kaj je prednost uporabe pametnih kartic
Prednost uporabe pametnih kartic je predvsem v zagotavljanju zelo visoke ravni varnosti. Z združevanjem možnosti fizične in logične kontrole dobimo združen medij za avtentikacijo uporabnika tako pri fizičnem kot pri logičnem dostopu. Na začetku smo omenjali le prijavo na delovno postajo v okolju Windows, vendar to ni edina možnost za uporabo. Potrdilo, ki se nahaja na kartici, lahko uporabimo za prijavo v omrežje VPN, brezžično omrežje, žično omrežje ter različne spletne aplikacije, ki se nahajajo bodisi v internem okolju ali pa pri ponudniku vaših oblačnih storitev.
Kombinirane kartice
Ko enkrat imamo pametno kartico za dostop do delovne postaje, je ta zelo podobna kartici, ki jo uporabljamo tudi za vstop v podjetje. Oblika je čisto ista, le da ima kartica za vstop anteno integrirano v samo kartico, kartica za prijavo pa vsebuje kontaktni čip, ki hrani digitalna potrdila. Z združitvijo obeh sistemov dobimo kombinirano kartico, ki je uporabna za oba namena.
Na videz največji izziv je povezati kontaktno kartico z vašim obstoječim sistemom za kontrolo dostopa. Ni potrebe, da bi bilo treba zamenjati ali nadgraditi obstoječo infrastrukturo za kontrolo dostopa.
Prav tako pa centraliziramo kontrolo dostopa do okolja, saj je kartica oz. njena vsebina sredstvo, s katerim uporabnik dostopa do vseh virov v podjetju hkrati, pa tudi do podjetja samega. Poleg tega tudi zagotavljamo visoko raven varnosti, predvsem pri oddaljenih dostopih, kjer se oddaljeni uporabniki spet predstavijo z digitalnimi potrdili na karticah.

Upravljanje s karticami
Ko govorimo o pametnih karticah, moramo vedeti, da imajo tudi te svoj življenjski cikel, prav tako pa ima življenjski cikel tudi njihova vsebina – digitalna potrdila. Kartice lahko uporabniki izgubijo, založijo ali zaklenejo. Pri izgubi moramo digitalna potrdila preklicati, uporabniku pa izdati nadomestno kartico, ki nadomesti digitalna potrdila, ki smo jih izdali. Manjša težava, vendar bolj pogosta, je ta, da bi uporabnik kartico zaklenil zaradi prevelikega števila napačno vpisanega gesla oz. kode PIN. S sistemom za upravljanje kartic lahko na daljavo ponudimo možnost uporabniku pomagati pri tem, da bi kartico odklenil. Vsekakor pa tudi ponudimo možnost izdaje nadomestne kartice. To so možnosti, ki bi jo stranki lahko ponudili kot storitev.
Uporaba storitve upravljanja kombiniranih kartic predstavlja za stranko predvidljiv strošek ter zmanjšuje tveganje. Pri takšnem modelu nudenja storitev se stranka namreč izogne relativno visokim stroškom začetne investicije. Če bi stranka želela to postaviti v lastnem okolju, mora pripraviti ustrezno infrastrukturo PKI, zagotoviti fizično varovanje korenskih ključev z ustreznimi tehničnimi sredstvi ter v določenih primerih zagotoviti sistem za upravljanje z življenjskim ciklom pametnih kartic.
Stranki želimo nuditi kartico, ki jo mora le predati uporabniku. Na ta način je njeno osebje razbremenjeno celotne skrbi za ta proces IT.

Kaj pa ostala gesla?
Vidimo, da enotno prijavo predvsem v okoljih Windows dosežemo z uporabo t. i. integrirane avtentikacije. Če pa uporabljamo rešitve, ki tega ne podpirajo, pa ni mogoče uporabiti takšnih mehanizmov za enotno prijavo.
V sodelovanju s principalom ActivIdentity lahko ponudimo rešitev, ki ponuja tudi odgovor na ta izziv. Rešitev za enotno prijavo je aktivna ves čas uporabnikove seje ter spremlja dogajanje na zaslonu ter ob odprtju novega prijavnega okna uporabniku ponudi možnost hrambe uporabniškega imena in gesla.
Ob vsaki nadaljnji prijavi v to aplikacijo bo sistem samodejno vpisal uporabniško ime in geslo, po želji pa celo izpeljal samodejno menjavo gesla. Rešitev je mogoče uporabiti za prijavo v veliko število različnih aplikacij, takšnih, ki tečejo na odjemalcu oz. debelih aplikacij ter spletnih aplikacij. Mogoče je celo izdelati lastno definicijo aplikacije ter s tem zagotoviti široko podporo. Sam dostop do shranjenih gesel pa zaščitimo z uporabo digitalnega potrdila na kartici.
Uporabnikovo bazo gesel je poleg tega mogoče hraniti v aktivnem imeniku, s čimer lahko zagotovimo, da bo uporabnik ob menjavi delovne postaje lahko nadaljeval delo s čim manj motenj ter mu zagotovimo dosledno uporabniško izkušnjo.
Zaključek
Iz predstavljenega vidimo, da je mogoče število gesel, ki jih morajo uporabniki vpisati, v vašem okolju zmanjšati na najnižjo možno raven. Skupaj s tem smo tudi zmanjšali stroške vpeljave te rešitve skozi večdomni model nudenja storitve. Uporabnik potrebuje sedaj le eno kartico za vse potrebe dostopa v poslovne prostore ter v informacijski sistem podjetja.
Simon Simčič