Image
6.4.2016 0 Comments

Spôsoby na jednotné prihlasovanie do počítača

Používateľské meno je vyplnené automaticky, teraz si už len spomenúť na heslo... Nesprávne. Aha, zapnutý CapsLock, prehodený jazyk klávesnice alebo vypnutý NumLock. Prihlasovanie do osobného počítača je rutinná každodenná aktivita a s niečím podobným sa už azda stretol každý. Ako naschvál sa to deje v najnevhodnejšom čase – keď treba rýchlo odoslať e-mail či doplniť dokument.

Firemné politiky navyše vyžadujú, aby sa heslá pravidelne menili. To vedie k jedinému – čo najjednoduchšej obmene znakov, ktorú pravidlá dovolia. Prečo by sme si vlastne mali heslo meniť často a prečo by malo byť dlhé, s číslicami a špeciálnymi znakmi? Vraj pre bezpečnosť. Je toto však to pravé zabezpečenie?

Dnes už existujú nástroje, ktoré nás dokážu bezpečne prihlásiť aj bez potreby divokých a krkolomných hmatov na klávesnici. Áno, ide o viacfaktorové overovanie.

Vieme...

Ak si odmyslíme nepohodlie pri písaní „bezpečného“ reťazca, heslo je to, čo VIEME. Môžeme ho teda zabudnúť alebo ho môže zistiť niekto iný. Existuje množstvo úspešných spôsobov, ako sa k nemu dostať – od keyloggerov až po jednoduché sociálne inžinierstvo. V oboch prípadoch ide o bezpečnostné riziko a je na firmách, ako ho čo najviac eliminovať.

Dá sa to napríklad nasadením softvéru na takzvaný Single Sign On, teda jednotné prihlásenie používateľa. Nejde len o hlavné heslo do systému, ale aj do ostatných používaných aplikácií (CRM, účtovníctvo, firemný e-mail).

Vďaka Enterprise SSO sú všetky heslá zašifrované a uložené v zabezpečenom programe. Ten navyše dokáže prihlásiť používateľa úplne automaticky do aplikácií – či už v intranete, alebo na webe. Nejaký systém E-SSO je dnes už bežne ako klient inštalovaný nielen v počítačoch, ale i smartfónoch. Ak klienta inštalovať nemožno, napríklad ak používateľ nemá firemný počítač, existujú aj produkty, ktoré umožnia prístup do firemných webových aplikácií cez zabezpečenú bránu. Opäť stačí len prvotné prihlásenie.

Tento princíp využívajú napríklad niektoré banky na internetové bankovníctvo a následný automatický prístup k pridruženým zákazníckym službám. Napriek tomu, že používateľ využíva bežný internetový prehliadač, je to v kombinácii s ďalšími metódami overovania optimálny spôsob zabezpečenia prístupových údajov.

Máme..

Vyššie zabezpečenie možno dosiahnuť pridaním ďalšieho faktora, napríklad niečoho, čo MÁME. Bežne to býva čipová karta, kľúč USB alebo karta RFID, ktoré razom zabezpečenie zosilnia. Útočník sa totiž musí k tejto veci dostať, no v tom prípade je vysoká pravdepodobnosť, že o strate vieme a nahlásili sme ju. Útočníkovi znemožnia prístup bezpečnostné mechanizmy, ako je blokácia na helpdesku alebo u správcu systému.

Populárne je aj zadanie jednorazového hesla ako druhotnej autentifikácie. Používa sa SMS na skôr zadané telefónne číslo, e-mail alebo menej známe metódy, ako napr. skenovanie zašifrovaného QR kódu špeciálnou aplikáciou v mobilnom telefóne.

Sme...

Tretí faktor overovania je niečo, čo SME. Biometrické údaje sú spojené s vlastným telom. Najčastejšie sa používa na identifikáciu prst, oko či celá tvár.

Na obyčajné odtlačky prstov existujú čítačky, externé i integrované v mnohých profesionálnych notebookoch. K dispozícii sú aj čítačky odtlačkov krvného riečiska v prste. Ide o vyššiu a presnejšiu formu zabezpečenia. Nielenže netreba prst prikladať viackrát, ale bežný odtlačok možno i sfalšovať. Profesionálne čítačky sietnice a dúhovky sú opäť najmä externé a to isté platí aj pre skeny tvárovej masky.

Výberom sa bezpečnosť nekončí

Máme tri možnosti overenia, teda treba už len vybrať vhodnú kombináciu zariadení – dosiahneme vysoké zabezpečenie a nadriadení nás pochvália. Alebo ani nie. Existuje ešte niekoľko vecí, na ktoré musíme pri  výbere myslieť.

V prvom rade sa treba obrátiť na odborníkov, ktorí odporučia vhodné kombinácie zabezpečenia pre konkrétne podmienky (pomer cena/výkon) a ktorí ich hlavne vedia správne nasadiť.

Logický prístup sa často kombinuje s fyzickým. Karta RFID slúži na prístup i na pohyb po budove alebo v areáli, čip na overenie používateľa na pracovnej stanici, ale i tlačiarni. Do čipu možno importovať aj elektronický podpis na zníženie objemu papierových dokumentov. Vo väčších spoločnostiach treba automatizovať čo najviac procesov, ktoré sa týkajú oprávnenia prístupu, čím sa zaoberá Identity and Access Management.

Na nasadenie čipových kariet treba vybudovať takzvanú infraštruktúru Public Key. Ak ich bude veľký počet, treba ich riadiť cez kvalitný Card Management System. Každé riešenie potrebuje servisnú podporu. Skutoční odborníci vás však na to pripravia.

Komplexný systém

Samozrejme, okrem technológií sa podnik musí sústrediť aj na procesnú časť. Tá zahŕňa nielen správu systémov, na ktorých je podnikový systém jednotného prístupu (Enterprise Single Sign On, E-SSO) nainštalovaný, ale aj správu identít, oprávnení a hesiel.

Po nástupe nového zamestnanca tak systém musí vytvoriť jeho identitu a určiť, kam prístup mať musí a kde ho, naopak, nemožno pustiť. Čo však v prípade, ak zamestnanca preradia v rámci firmy na iné oddelenie? Systém musí zvládnuť odobratie oprávnení z pôvodného pracoviska a priradenie nových. A ak zamestnanec firmu opustí úplne, proces musí odobrať všetky prístupy, ktorými disponoval.

Opísané riešenie to značne zjednodušuje. Podnikový systém na jednotné prihlasovanie používateľa dokáže na pár kliknutí vytvoriť používateľa, meniť jeho nastavenia i vymazať jeho identitu a oprávnenia v rámci všetkých systémov v organizácii bez toho, aby to správcovia museli robiť jednotlivo.

Takéto riešenie navyše jednoducho zvládne aj pravidelnú revíziu prístupov a oprávnení, čo je dôležitá a často zanedbávaná aktivita pri správe.

Vyspelé produkty E-SSO na trhu okrem toho dokážu zabezpečiť aj reporting. Ten môže zahrnúť všetky potrebné úrovne v procese – od zamestnanca cez manažéra, IT tím až po C-level spoločnosti.

Dôležité je, aby systém vedel spolupracovať s takzvaným riešením SIEM (Security Incident and Event Management). Hlavný dôvod je možnosť nepretržite monitorovať prístupy do podnikových systémov a schopnosť primerane reagovať na bezpečnostné IT incidenty (útoky hackerov).

Časť, na ktorej všetko stojí a padá, sú však zamestnanci na všetkých úrovniach. Najlepší systém je taký, ktorý im reálne zjednoduší život. Ich školenia v oblasti IT bezpečnosti sú však potrebné, a to pravidelne.

Ondřej Fišer, EVIDIAN Product Manager Czech republic and Slovakia, Atos IT Solutions and Services

Marian Duda, Business Consultant for CyberSecurity, Atos IT Solutions and Services

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá