Na redakční otázky odpovídají Petr Česal, Viktor Otčenášek a Pavel Sekanina - zaměstnanci Autocont CZ a spoluřešitelé výzkumného projektu KAAPS

1) Kterým největším výzvám dnes čelíme v oblasti autentizace?

Největší výzvou pro autentizaci je vždy vhodný kompromis mezi kvalitou ověření a její jednoduchostí. Tento rozpor řeší odborníci na celém světě od ranných počátků autentizace. V současnosti nahlížíme na tento spor spíše z pohledu útočníka, tedy jak moc času a prostředků musí útočník vydat, aby prolomil uvažovanou formu autentizace. Tento návrh by měl korespondovat s cenou chráněných informací.

Například k prolomení autentizace na bázi jména a hesla jsou snadno veřejně k dispozici nástroje, které umožňují prolomení během někilika minut či hodin.

Výzvou dnešní doby je pokusit se napravit chybné implementace používající například technologie otisku prstu ne jako funkční ahtentizační faktor, ale jenom zástupný pro získání jména a hesla. Tím vytváří falešný pocit zvýšené bezpečnosti. Řešením je skutečně zavést vícefaktorovou autentizaci, na úrovni desktopu.

Zvyšuje se rozmanitost zařízení, překotně vyvíjených bez standartizace zabezpečení. Citlivá data se tak ocitají v zařízeních, která nejsou uspokojivě zabezpečena.

2) Které technologie v oblasti autentizace překonané, které jsou aktuální a které teprve čekají na svůj čas?

Překonané je zřejmě uživatelské heslo přenášené nebo uložené v čistě textové podobě, nebo slabě zabezpečné dnes již překonanými jednocestnými funkcemi (NTLM hash...) . Jsou aplikace, kde může být taková forma autentizace dostačující, ale jedná se zpravidla o jednoúčelové záležitosti kde jsou chráněné informace relativně bezcenné.

Aktuálně je nejčastější autentizace uživatelským jménem a heslem ovšem ve zcela jiné zabezpečené podobě. Je vyžadováno šifrované spojení, přístupy se dělí do jednotlivých rolí na něž je pak kladena různá náročnost na složitost přihlášení. V poslední době je na vzestupu, již dávno známá, vícefaktorová autentizace, využívající PKI mechanismů s certifikáty v bezpečných ůložištích. Příkladem může být naše každodenně používaná platební karta – je to vlastně hardwarový token, který odemykáme PINem, tedy něco vlastním a něco znám.

Mezi technologie čekající na svůj čas patří metody využívající biometrická data nejrůznějších forem, např. otisk prstu, scan očního pozadí, rozpoznání hlasu, snímání myšlenkových proudů apod. Zařízení a technologie zabývající se rozborem těchto biometrických informací se neustále zdokonalují a klesá jejich cena.

3) Jaký je dnešní stav v oblasti kdysi tak vychvalovaných řešení z kategorie Single Sign-On?

Historicky se SSO nedaří uspokojivě nasadit ani ve velkých centalizovaných korporacích.

Problém je v kumulaci mnoha cenných informací na jedno místo, vzájemně nekomunikujícími řešeními velkých výrobců. Ekonomický svět nám vštěpuje základní tezi o diverzifikaci rizik, a SSO jde přímo proti těmto pravidlům. Na trhu dnes existuje dost produktů, zákazníci k nim však nejsou nakloněni. Hlavním problémem je obrovská ztráta v okamžiku kompromitace SSO systému. Tuto nevýhodu částečně řeší hardwarové tokeny. Na světě ovšem existují funkční systémy, za nimiž většinou ale stojí velké korporace, které mají „sílu“ takové myšlenky prosadit např. Microsoft a jeho Windows Live ID, nebo Google se všemi svými online aplikacemi.

4) Jak nejlépe najít rovnováhu mezi protichůdnými požadavky na autentizaci (bezpečnost, rychlost, jednoduchost, spolehlivost)?

To je velmi obtížná otázka, na kterou dlouhodbě hledá odpověď mnoho odborníků. Rovnováhu není snadné nalézt, protože to co je správné pro správce systému je složité pro jeho uživatele. Vždy je třeba v konkrétním případě najít optimální kompromis, a velmi záleží na povaze chráněných dat. Důležité je vzdělávání a vzájemné poznávání potřeb všech zůčastněných stran. Nelze opomíjet aktuální trendy a poslední poznatky, kumulované zejména v normativech a doporučeních. Hlavní roli hraje vždy implementační tým, který by měl tento kompromis optimálně nastavit a periodicky ověřovat jeho správnost, například účastí nezávislého auditora.

Dlouhodobá praxe ukazuje, že budoucnost se neobejde bez změny v přístupu k vývoji aplikací. Dnes je často vyvinuta aplikace a pak teprve dochází k jejímu zabezpečení. V budoucnosti bude nutné mít na zřeteli otázky bezpečnosti hned od začátku vývoje aplikací.

Aktuálně jsou vyvíjeny rozsáhlé aplikace národního významu, které nerespektují základní pravidla pro bezpečnost autentizace.

Autentizace | Bezpečnostní management | Biometrie