Spôsoby jednotného prihlasovania do počítača
Prihlasovanie do osobného počítača – aktivita, ktorá sa mnohých ľudí týka prakticky každý deň. Používateľské meno je už často dopredu vyplnené, teraz si už len spomenúť na to správne heslo... Nesprávne. Aha, je zapnutý CapsLock alebo zmenený jazyk klávesnice či NumLock nie je zapnutý. Asi každý z nás sa už s týmto niekedy stretol, a to v tej najnevhodnejšej dobe, keď je potrebné rýchlo odoslať e-mail, vyplniť údaje do náležitého dokumentu a pod. A okrem toho musíme podľa firemnej politiky heslá pravidelne meniť, čo vedie k jedinému – čo najjednoduchšej obmene znakov, ktorú firemná politika dovolí tak, aby sme si heslo stále dobre pamätali. Prečo máme tak často meniť heslo a prečo má mať takú dĺžku, obsahovať číslice, špeciálne znaky a pod.? Vraj bezpečnosť. Je to však to pravé zabezpečenie?
Dovolíme si tvrdiť, že nie. A podľa skúseností nie sme sami. Je tu 21. storočie, a to už za polovicou svojej druhej dekády. Existujú nástroje, ktoré nás bezpečne prihlásia, a množstvo šialených a krkolomných hmatov na klávesnici nie je potrebných. Viacfaktorové overovanie – to je to, o čo tu ide.
Ak si odmyslíme (ne)pohodlie pri písaní «bezpečného» hesla, heslo je niečo, čo VIEME. Môžeme ho teda zabudnúť alebo ho môže zistiť niekto iný (Existuje veľké množstvo úspešných spôsobov, ako heslo od používateľa dostať – či už ide o keyloggery, alebo jednoduché sociálne inžinierstvo). V oboch prípadoch ide o bezpečnostné riziko, a je preto na vedení spoločnosti, ako ho čo možno najviac eliminuje. Znížiť riziko sa dá napríklad nasadením SW pre tzv. Single Sign on alebo tiež jednotné prihlásenie používateľa. Nehovoríme len o hlavnom hesle do systému, ale tiež do ďalších aplikácií, ktoré používame (CRM, účtovníctvo, firemný e-mail...). Vďaka (Enterprise) SSO sú všetky heslá šifrovane uložené v zabezpečenom programe. Ten nás môže navyše do aplikácií, či už intranetových alebo webových, prihlasovať aj úplne automaticky. E-SSO je bežne ako klient inštalovaný v používateľskom počítači (dnes aj Smartphone). Ak nie je možné klienta inštalovať (mnoho používateľov nemá napr. firemný počítač), sú tu aj produkty, ktoré umožnia prístup do firemných webových aplikácií cez zabezpečenú bránu (a opäť stačí len prvotné prihlásenie). Tento princíp využívajú napr. aj niektoré banky pre svoje internetové bankovníctvo a následný automatický prístup k pridruženým zákazníckym službám. Používateľ pristupuje len cez bežný webový prehliadač. V kombinácii s ďalšími metódami overovania ide o optimálny systém zabezpečenia prístupových údajov.
Vyššie zabezpečenie je pritom možné pridaním ďalšieho faktora, napr. niečoho, čo MÁME. Typicky je to čipová karta, USB kľúčenka, RFID karta atď. Hneď je zabezpečenie oveľa silnejšie. Útočník sa totiž musí k tejto veci dostať. Je teda vysoká pravdepodobnosť, že o strate už vieme a nahlásili sme ju. Zafungovali tak bezpečnostné mechanizmy (zablokovanie na helpdesk-u či u správcu systému), ktoré útočníkovi prístup znemožnia. Populárne je aj zadanie jednorazového hesla ako druhotnej autentizácie. A to buď formou SMS na dopredu zadané telefónne číslo, e-mail, alebo aj menej známych metód, ku ktorým patrí oskenovanie zašifrovaného QR kódu pomocou špeciálnej aplikácie v mobilnom telefóne (metóda QRentry). Po naskenovaní dostanete kód, ktorý zadáte do príslušného formulára, či už pre prihlásenie do pracovnej stanice alebo do webovej stránky.
Tretím faktorom overovania je niečo, čo SME. Biometrické údaje späté s vlastným telom. Najčastejšie sa pre identifikáciu osoby využíva prst, oko alebo celá tvár. Pre obyčajné odtlačky prstov sú k dispozícii čítačky integrované v mnohých profesionálnych notebookoch. Samozrejme, dajú sa kúpiť aj externé čítačky (napr. tiež integrované do klávesnice). Ďalej sú to čítačky odtlačkov krvného riečiska v prste. Ide o vyššiu a prísnejšiu formu zabezpečenia (už žiadne niekoľkonásobné prikladanie prsta), keďže bežný odtlačok je možné v určitých prípadoch sfalšovať. Profesionálne čítačky sietnice a dúhovky sú opäť primárne externé (nehovoríme o funkcii vo Windows 10) a to isté platí pre skeny tvárovej masky. Pre každú z kategórií na trhu existuje niekoľko zavedených dodávateľov samotných zariadení.
Dobre, máme teda 3 možnosti, ako niečiu totožnosť overiť. Vyberieme len vhodnú kombináciu zariadení a budeme tak mať vysoké zabezpečenie, nadriadení nás pochvália... Nie, je ešte niekoľko vecí, na ktoré musíme pri výbere myslieť. Určite je potrebné vybrať odborníkov, ktorí odporučia vhodné kombinácie zabezpečenia konkrétne do našich podmienok (pomer cena verzus výkon) a, čo je hlavné, vedia ich správne nasadiť. Často sa logický prístup kombinuje tiež s fyzickým. Karta s RFID slúži na prístup do budovy alebo areálu a pohyb po nich, čip potom zas na overenie používateľa na pracovnej stanici, pri tlačiarni pre tlačenie dokumentov atď. Do čipu karty je možné importovať aj elektronický podpis, aby sa tak znížil objem papierových dokumentov obiehajúcich v našej organizácii. Ak sme vo väčšej spoločnosti, je nutné automatizovať čo najviac procesov týkajúcich sa oprávnenia prístupov – tým sa zaoberá tzv. Identity and Access Management. Pre nasadenie čipových kariet je potrebné vybudovať tzv. Public Key infraštruktúru, veľký počet kariet musíme riadiť cez kvalitné Card Management System, pri každom riešení je potrebná servisná podpora a tak ďalej. Na to všetko vás ale naozajstní odborníci pripravia.
Pre zvýšenie zabezpečenia organizácie je často nevyhnutné nasadiť nové technológie. Ešte vo fáze príprav je ale najpodstatnejšie získať podporu aj ostatných oddelení! Všetky nástroje, aj tie pre vyššie zabezpečenie, sú tu pre vás, pre vašich zamestnancov. Vždy ide o vyváženú súhru výrobcu HW, dodávateľa SW, vlastných oddelení, ako je IT, bezpečnosť, HR, a systémového integrátora.
Samozrejme, s ohľadom na technologickú časť jednotného prihlasovania do „počítača“ musí podnik myslieť aj na procesnú časť. Procesná časť zahŕňa správu systémov, na ktorých je inštalovaný Enterprise „Single Sign On“ (E-SSO), ako aj časť, ktorá sa zaoberá správou identít, oprávnení a hesiel. Najjednoduchšie je vysvetliť to na jednoduchom príklade nového zamestnanca na HR oddelení. Process musí ošetriť vytvorenie jeho identity a povedať, kam musí mať nový HR zamestnanec prístup a kam prístup mať nemôže. Následne si predstavme, že HR zamestnanec sa presunie v rámci firmy na iné oddelenie, napr. marketing. Potom musí process ošetriť odobratie HR oprávnení a priradenie tých marketingových. Aby sme cyklus uzavreli, náš fiktívny zamestnanec opustí firmu, to znamená, že process musí zabezpečiť odobratie všetkých prístupov, ktorými náš zamestnanec disponoval. Riešenie opísané v predchádzajúcich odstavcoch značne zjednodušuje vykonateľnosť procesu. Keďže E- SSO dokáže za „pár“ klikov vykonať všetky aktivity, ktoré boli popísané vyššie, čiže vytvorenie, zmenu a vymazanie identity/oprávnení na všetkých systémoch v organizácii namiesto toho, aby administrátori museli mazať niekoľko prístupov na niekoľkých systémoch. Okrem toho dokáže jednoducho vykonať pravidelnú revíziu prístupov a oprávnení, čo je pri správe prístupov dôležitá a pomerne často zanedbávaná aktivita.
Vyspelé E-SSO produkty na trhu sú schopné okrem vyššie uvedeného riešiť aj reporting. Reporting, ktorý dokáže zahrnúť všetky potrebné úrovne v procese, od zamestnanca, manažéra, IT ľudí až po C-level spoločnosti. Predovšetkým pre oblasť bezpečnosti je dôležité spomenúť, že E-SSO by mal byť schopný spolupracovať s tzv. SIEM (Security Incident and Event Management) riešením. Hlavným dôvodom je možnosť 24/7 monitorovať prístupy do podnikových systémov a schopnosť primerane reagovať na bezpečnostné IT incidenty (útoky hackerov).
Poslednú časť, na ktorej všetko stojí a padá, ako ja rád hovorím, sú ľudia/zamestnanci, a to na všetkých úrovniach. Najlepšie E-SSO je také, ktoré reálne zjednoduší život zamestnancom tak, že nebudú musieť „vymýšľať“. Samozrejme, nebolo by fér nespomenúť, že školenie zamestnancov v oblasti IT security je potrebné na pravidelnej báze.
Ak si odmyslíme (ne)pohodlie pri písaní «bezpečného» hesla, heslo je niečo, čo VIEME. Môžeme ho teda zabudnúť alebo ho môže zistiť niekto iný (Existuje veľké množstvo úspešných spôsobov, ako heslo od používateľa dostať – či už ide o keyloggery, alebo jednoduché sociálne inžinierstvo). V oboch prípadoch ide o bezpečnostné riziko, a je preto na vedení spoločnosti, ako ho čo možno najviac eliminuje. Znížiť riziko sa dá napríklad nasadením SW pre tzv. Single Sign on alebo tiež jednotné prihlásenie používateľa. Nehovoríme len o hlavnom hesle do systému, ale tiež do ďalších aplikácií, ktoré používame (CRM, účtovníctvo, firemný e-mail...). Vďaka (Enterprise) SSO sú všetky heslá šifrovane uložené v zabezpečenom programe. Ten nás môže navyše do aplikácií, či už intranetových alebo webových, prihlasovať aj úplne automaticky. E-SSO je bežne ako klient inštalovaný v používateľskom počítači (dnes aj Smartphone). Ak nie je možné klienta inštalovať (mnoho používateľov nemá napr. firemný počítač), sú tu aj produkty, ktoré umožnia prístup do firemných webových aplikácií cez zabezpečenú bránu (a opäť stačí len prvotné prihlásenie). Tento princíp využívajú napr. aj niektoré banky pre svoje internetové bankovníctvo a následný automatický prístup k pridruženým zákazníckym službám. Používateľ pristupuje len cez bežný webový prehliadač. V kombinácii s ďalšími metódami overovania ide o optimálny systém zabezpečenia prístupových údajov.
Vyššie zabezpečenie je pritom možné pridaním ďalšieho faktora, napr. niečoho, čo MÁME. Typicky je to čipová karta, USB kľúčenka, RFID karta atď. Hneď je zabezpečenie oveľa silnejšie. Útočník sa totiž musí k tejto veci dostať. Je teda vysoká pravdepodobnosť, že o strate už vieme a nahlásili sme ju. Zafungovali tak bezpečnostné mechanizmy (zablokovanie na helpdesk-u či u správcu systému), ktoré útočníkovi prístup znemožnia. Populárne je aj zadanie jednorazového hesla ako druhotnej autentizácie. A to buď formou SMS na dopredu zadané telefónne číslo, e-mail, alebo aj menej známych metód, ku ktorým patrí oskenovanie zašifrovaného QR kódu pomocou špeciálnej aplikácie v mobilnom telefóne (metóda QRentry). Po naskenovaní dostanete kód, ktorý zadáte do príslušného formulára, či už pre prihlásenie do pracovnej stanice alebo do webovej stránky.
Tretím faktorom overovania je niečo, čo SME. Biometrické údaje späté s vlastným telom. Najčastejšie sa pre identifikáciu osoby využíva prst, oko alebo celá tvár. Pre obyčajné odtlačky prstov sú k dispozícii čítačky integrované v mnohých profesionálnych notebookoch. Samozrejme, dajú sa kúpiť aj externé čítačky (napr. tiež integrované do klávesnice). Ďalej sú to čítačky odtlačkov krvného riečiska v prste. Ide o vyššiu a prísnejšiu formu zabezpečenia (už žiadne niekoľkonásobné prikladanie prsta), keďže bežný odtlačok je možné v určitých prípadoch sfalšovať. Profesionálne čítačky sietnice a dúhovky sú opäť primárne externé (nehovoríme o funkcii vo Windows 10) a to isté platí pre skeny tvárovej masky. Pre každú z kategórií na trhu existuje niekoľko zavedených dodávateľov samotných zariadení.
Dobre, máme teda 3 možnosti, ako niečiu totožnosť overiť. Vyberieme len vhodnú kombináciu zariadení a budeme tak mať vysoké zabezpečenie, nadriadení nás pochvália... Nie, je ešte niekoľko vecí, na ktoré musíme pri výbere myslieť. Určite je potrebné vybrať odborníkov, ktorí odporučia vhodné kombinácie zabezpečenia konkrétne do našich podmienok (pomer cena verzus výkon) a, čo je hlavné, vedia ich správne nasadiť. Často sa logický prístup kombinuje tiež s fyzickým. Karta s RFID slúži na prístup do budovy alebo areálu a pohyb po nich, čip potom zas na overenie používateľa na pracovnej stanici, pri tlačiarni pre tlačenie dokumentov atď. Do čipu karty je možné importovať aj elektronický podpis, aby sa tak znížil objem papierových dokumentov obiehajúcich v našej organizácii. Ak sme vo väčšej spoločnosti, je nutné automatizovať čo najviac procesov týkajúcich sa oprávnenia prístupov – tým sa zaoberá tzv. Identity and Access Management. Pre nasadenie čipových kariet je potrebné vybudovať tzv. Public Key infraštruktúru, veľký počet kariet musíme riadiť cez kvalitné Card Management System, pri každom riešení je potrebná servisná podpora a tak ďalej. Na to všetko vás ale naozajstní odborníci pripravia.
Pre zvýšenie zabezpečenia organizácie je často nevyhnutné nasadiť nové technológie. Ešte vo fáze príprav je ale najpodstatnejšie získať podporu aj ostatných oddelení! Všetky nástroje, aj tie pre vyššie zabezpečenie, sú tu pre vás, pre vašich zamestnancov. Vždy ide o vyváženú súhru výrobcu HW, dodávateľa SW, vlastných oddelení, ako je IT, bezpečnosť, HR, a systémového integrátora.
Samozrejme, s ohľadom na technologickú časť jednotného prihlasovania do „počítača“ musí podnik myslieť aj na procesnú časť. Procesná časť zahŕňa správu systémov, na ktorých je inštalovaný Enterprise „Single Sign On“ (E-SSO), ako aj časť, ktorá sa zaoberá správou identít, oprávnení a hesiel. Najjednoduchšie je vysvetliť to na jednoduchom príklade nového zamestnanca na HR oddelení. Process musí ošetriť vytvorenie jeho identity a povedať, kam musí mať nový HR zamestnanec prístup a kam prístup mať nemôže. Následne si predstavme, že HR zamestnanec sa presunie v rámci firmy na iné oddelenie, napr. marketing. Potom musí process ošetriť odobratie HR oprávnení a priradenie tých marketingových. Aby sme cyklus uzavreli, náš fiktívny zamestnanec opustí firmu, to znamená, že process musí zabezpečiť odobratie všetkých prístupov, ktorými náš zamestnanec disponoval. Riešenie opísané v predchádzajúcich odstavcoch značne zjednodušuje vykonateľnosť procesu. Keďže E- SSO dokáže za „pár“ klikov vykonať všetky aktivity, ktoré boli popísané vyššie, čiže vytvorenie, zmenu a vymazanie identity/oprávnení na všetkých systémoch v organizácii namiesto toho, aby administrátori museli mazať niekoľko prístupov na niekoľkých systémoch. Okrem toho dokáže jednoducho vykonať pravidelnú revíziu prístupov a oprávnení, čo je pri správe prístupov dôležitá a pomerne často zanedbávaná aktivita.
Vyspelé E-SSO produkty na trhu sú schopné okrem vyššie uvedeného riešiť aj reporting. Reporting, ktorý dokáže zahrnúť všetky potrebné úrovne v procese, od zamestnanca, manažéra, IT ľudí až po C-level spoločnosti. Predovšetkým pre oblasť bezpečnosti je dôležité spomenúť, že E-SSO by mal byť schopný spolupracovať s tzv. SIEM (Security Incident and Event Management) riešením. Hlavným dôvodom je možnosť 24/7 monitorovať prístupy do podnikových systémov a schopnosť primerane reagovať na bezpečnostné IT incidenty (útoky hackerov).
Poslednú časť, na ktorej všetko stojí a padá, ako ja rád hovorím, sú ľudia/zamestnanci, a to na všetkých úrovniach. Najlepšie E-SSO je také, ktoré reálne zjednoduší život zamestnancom tak, že nebudú musieť „vymýšľať“. Samozrejme, nebolo by fér nespomenúť, že školenie zamestnancov v oblasti IT security je potrebné na pravidelnej báze.
Ondřej Fišer
EVIDIAN Product Manager Czech republic and Slovakia
ATOS IT Solutions and Services, s. r. o.
Prihláste sa na Jarná ITAPA 2024
