Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Jak systemy informatyczne rozpoznają, kim jesteśmy?

07-11-2018 Autor: Jarosław Rowiński

Z informatycznymi systemami uwierzytelniania każdy z nas ma do czynienia codziennie. Przechodzimy ten proces, płacąc kartą kredytową, logując się do komputera czy na stronę ulubionego sklepu internetowego. Uwierzytelnianie jest tą częścią kontaktu z systemami, której nie poświęcamy wiele uwagi – dopóki nas nie zawiedzie.

 

Bezpieczne i pewne uwierzytelnianie jest niezmiernie ważne – bez niego nie istniałyby np. bankowość elektroniczna, sieci bezprzewodowe, usługi telefonii komórkowej. W jaki sposób jest ono przeprowadzane? Jakie dane są wymieniane? Z jakich sposobów uwierzytelniania korzystać, a jakie omijać? Odpowiedzi na te pytania zawarto w poniższym artykule.

Proces uwierzytelniania

Uwierzytelnianie jest procesem, dzięki któremu system informatyczny jest w stanie jednoznacznie potwierdzić naszą tożsamość i przypisać jej określone zasoby i uprawnienia w swojej strukturze. Zestaw takich zasobów i uprawnień, zwykle nazywany kontem, w prawie każdym systemie jest unikatowy i przypisany wyłącznie do jednego użytkownika. Uwierzytelnianie przebiega zwykle przez zaprezentowanie systemowi czegoś, co pozwala mu jednoznacznie potwierdzić, że osoba wprowadzająca dane jest faktycznie zarejestrowanym użytkownikiem.

Należy pamiętać, że przejęcie danych dostępowych (czyli nazwy i metody uwierzytelniania) jest głównym celem ataków hakerskich w internecie (drugim jest zmuszenie systemu do działań niezgodnych z uprawnieniami, np. przejście z jednego konta na drugie). Metody przechowywania danych uwierzytelniających w organizacji, szczególnie tych, które zabezpieczają serwisy i usługi dostępne przez internet, powinny być silne, testowane i w razie konieczności „łatane” lub poprawiane.

Najprostszą i najstarszą techniką uwierzytelnienia jest hasło – ciąg znaków, który wpisujemy, aby w połączeniu z nazwą użytkownika utworzyć kombinację, która ustala i potwierdza naszą tożsamość.

Oczywiście jest to metoda słaba, jeśli zostanie zastosowana niewłaściwie (np. hasła zbyt krótkie, łatwe do złamania, źle zabezpieczone w bazie danych; z kolei hasła długie i złożone są łatwo zapominane przez uprawnionego użytkownika, szczególnie jeżeli używa się ich rzadko), a także podatna na wiele technik hakerskich. Wiąże się też z nimi ogromna pokusa  używania tego samego hasła do wszystkich kont rozsianych po różnych systemach. Jest to metoda popularna, jednak w czasach, gdy nie ma tygodnia, by jakiś serwis lub usługa internetowa nie uległy hakerom, przejęcie danych dostępowych do jednego z naszych kont daje praktycznie dostęp do wszystkich. Szczególnie mocno należy chronić konto pocztowe, które jest wprowadzane w serwisach internetowych jako miejsce wysyłania informacji i linków do odzyskiwania haseł – nieuprawniony dostęp do niego zagraża wszystkim powiązanym z nim serwisom.

Wszyscy wielokrotnie słyszeli, że im dłuższe hasło, tym trudniej je złamać. Choć stwierdzenie to może wydawać się irytujące, jest w 100% prawdziwe. Czas poświęcony na łamanie haseł wzrasta wykładniczo przy każdej dodanej literze. Jednocześnie im krótsze hasło, tym większa szansa, że zostały dla niego opracowane metody łamania „na skróty” (rainbow tables, słowniki), które do zgadnięcia nie wymagają długiego czasu ani dużej mocy obliczeniowej.

Kolejną cechą haseł, która nie umyka badaczom, jest łatwość ich przekazania innym osobom. W przypadku korzystania z hasła jako jedynej metody uwierzytelnienia nie ma pewności, że nie zostało ono przekazane nieuprawnionej osobie trzeciej. Z punktu widzenia IOD i administratorów systemów bardzo ważne jest prawne i organizacyjne zapewnienie jak największej poufności haseł – poprzez odpowiednie zapisy w regulaminach organizacji i korzystania z systemów informatycznych, które będą przekazywane i regularnie przypominane użytkownikom.

Opisując metody uwierzytelniania, należy wspomnieć o tzw. systemach challenge- response, czyli pytanie i odpowiedź. Nie są one zwykle podstawową metodą uwierzytelniania, ale sprawdzają się jako rozwiązanie dodatkowe w sytuacjach, w których zachodzi podejrzenie próby przełamania hasła. Są to wcześniej przygotowane odpowiedzi na pytania, które system losuje z określonej listy. Stanowią one uproszczony odpowiednik haseł jednorazowych: dodatkowe, uzupełniające zabezpieczenie dla systemu.

Tokeny i inne metody fizycznego uwierzytelniania

Często stosowaną metodą uwierzytelniania są hasła przesyłane SMS-em. Bardzo lubią używać ich banki, które w ten sposób nakładają dodatkową warstwę zabezpieczeń do kont bankowych, zwykle uruchamianych w trakcie realizacji transakcji finansowych. Zamienia ona nasz telefon w tzw. token sprzętowy – udostępniający jednorazowe hasło niezbędne do potwierdzenia tej jednej operacji.

[...]

Autor jest pracownikiem firmy integratorskiej i inżynierem sieciowym z wieloletnim doświadczeniem w obszarach bezpieczeństwa, wysokiej dostępności, integracji systemów bezpieczeństwa, sieci Data Center, bezprzewodowych. Współpracuje z wielo ma firmami i instytucjami z obszaru finansów, administracji publicznej, energetyki i innych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.