Jak zapobiegać kradzieżom w sieci?

Jak zapobiegać kradzieżom w sieci?

Uwierzytelnianie dwuskładnikowe – bezpieczny sposób ochrony informacji

Coraz częstsze i bardziej wymyślne ataki zorganizowanych grup przestępczych sprawiają, że ochrona informacji wymaga wprowadzania coraz skuteczniejszych zabezpieczeń. Podczas dostępu do zasobów internetu szyfrujemy transmisję, przesyłane dane, hasło, nazwę użytkownika, stosujemy silne uwierzytelnianie.
Korzystanie z uwierzytelnienia przy użyciu tokena lub innego generatora kodów jest łatwe jak wprowadzanie hasła, gwarantuje jednak zdecydowanie wyższy poziom bezpieczeństwa. Wiemy, że hasła statyczne można złamać, a w przypadku uwierzytelnienia dwuskładnikowego, nawet gdy niepowołana osoba przechwyci sekwencję znaków uważaną za hasło i w jakiś sposób odszyfruje ją, na nic się to nie zda, dlatego że jest to jednorazowe hasło, do jednokrotnego wykorzystania.

Tajemnica „komputerowa”

Użytkownik podczas dostępu do zasobów musi wprowadzić dane, które tylko on zna – podać swój PIN i posłużyć się czymś, co tylko on posiada, czyli kodem z wyświetlacza tokena lub kodem wygenerowanym przez program w telefonie komórkowym czy też urządzeniu PDA. W przypadku tokena sprzętowego użytkownik nie musi instalować żadnego dodatkowego oprogramowania. Dostaje urządzenie, które w określonych odstępach czasu lub po naciśnięciu przycisku, zależnie od producenta, generuje ciąg znaków zaszyfrowany algorytmem AES czy 3DES. W przypadku tokena programowego konieczne jest zastosowanie aplikacji, za to są one tańszym rozwiązaniem. Zazwyczaj producent takiego oprogramowania dostarcza listę modeli lub urządzeń przenośnych, które pozwalają na implementację takiego rozwiązania. I tu jak poprzednio kod może być wyświetlany w oparciu o źródło czasu, w momencie wciśnięcia odpowiedniego klawisza albo po wprowadzeniu PIN do programu.
Urządzenia uwierzytelniające zarówno sprzętowe, jak i programowe zabezpieczone są przed kradzieżą lub zagubieniem. Jak? Po pierwsze złodziej musi wiedzieć, gdzie może się zalogować, znać nazwę konta użytkownika i wejść w posiadanie PIN. W przypadku tokena programowego zainstalowanego np. na PDA również konieczna jest znajomość PIN, tak by wygenerować sekwencję pozwalającą na logowanie. Systemy wykorzystujące uwierzytelnianie dwuskładnikowe dodatkowo zabezpieczone są przed atakami typu brute force, które próbują odgadnąć PIN i powodują blokadę konta po kilku błędnych próbach; ponadto użytkownik, który utracił token/telefon/PDA, zgłasza to administratorowi systemu, administrator zaś blokuje dostęp z wykorzystaniem tego urządzenia.

Dwa składniki

Na chwilę obecną rozwiązania oparte na dwuskładnikowym uwierzytelnieniu wydają się pewnym i stabilnym sposobem ochrony dostępu do informacji. Stosują je powszechnie banki w celu zabezpieczenia kont przed nieautoryzowanym dostępem. Najczęściej udostępniają one swoim klientom różnorodne metody uwierzytelnienia dwuskładnikowego i oferują przeprowadzenie transakcji za pośrednictwem wybranego kanału komunikacyjnego. Nad całością procesu pieczę sprawuje oprogramowanie, które po rozpoznaniu wybranej przez klienta metody uwierzytelniania kieruje proces do odpowiedniej aplikacji. Przy obsłudze milionów klientów musi się to odbywać w sposób zautomatyzowany, wydajny i bezpieczny. Co więcej, oprogramowanie takie musi spełniać kryteria tzw. audytowalności procesu uwierzytelnienia, czyli gromadzić dane niezbędne do odtworzenia ciągu udanych i nieudanych prób uzyskania dostępu do operacji na koncie. System taki oferuje w Polsce firma Asseco Poland SA. Oprogramowanie to zostało wyprodukowane przez chorwacką firmę Logos, jedną z kilkunastu spółek z holdingu Asseco South Eastern Europe. Produkt ten to Aseba SxS (Strong Authentication Sollution) i został już zaimplementowany w dwóch polskich bankach. Modułowa budowa systemu pozwala na zarządzanie danymi uwierzytelniającymi użytkowników (ID, PIN), urządzeniami fizycznymi (token, czytnik kart) oraz aplikacjami mobilnymi z jednego miejsca. Zmniejsza to koszty operacyjne ponoszone przez bank, ale też pozwala zachować wiele różnych metod uwierzytelnienia, w tym różnych form uwierzytelnienia dwuskładnikowego, do których przywykli i których oczekują klienci banków.

Asseco Poland

——————————————

Szyfrujący token
Token – urządzenie szyfrujące do generowania jednorazowych i niepowtarzalnych kodów.
Służy do uwierzytelniania transakcji internetowych, najczęściej bankowych. Jego działanie polega na generowaniu ciągów cyfr za pomocą funkcji jednokierunkowej wykorzystującej dwa parametry – jeden stały dla konkretnego egzemplarza urządzenia, drugi zmienny – wprowadzany za pomocą klawiatury, wczytywany z ekranu monitora bądź generowany w inny sposób. Niektóre modele tokenów są zabezpieczone przed użyciem za pomocą systemu haseł.

Wydanie: 11/2010, 2010

Kategorie: Nauka

Napisz komentarz

Odpowiedz na treść artykułu lub innych komentarzy