Na redakční otázky odpovídá David Rusín,  Channel Sales Manager, D-Link

1) Kterým největším výzvám dnes čelíme v oblasti autentizace?

Největší výzvou je podle mého názoru vytvořit takový autentizační proces, který bude co nejméně obtěžovat uživatele svou náročností, bude bezpečný a v neposlední řadě, který bude snadno implementovatelný. Metody autentizace nabývají s růstem počítačové kriminality neustále na významu. Výrobci, ale zejména administrátoři, kteří si toto neuvědomují, si koledují o problém.

2) Které technologie v oblasti autentizace překonané, které jsou aktuální a které teprve čekají na svůj čas?

Budu se zabývat metodami autentizace v LAN, neboť to je moje specializace, navíc díky neoprávněnému průniku do vnitřní sítě vznikají škody na těch nejchoulostivějších místech.

Mezi nejzákladnější metodu patří, autentizace pouze pomocí MAC adresy. Tento způsob považuji za překonaný, jednak nevypovídá nic o skutečné identitě uživatele, ale pouze o tom za jakým počítačem sedí a hlavně MAC adresu lze s trochou šikovnosti změnit na většině zařízení. Dalším způsobem autentizace, může být identifikace pomocí čipové karty, opět hlavním problémem zůstává, že tato metoda ve skutečnosti neprozrazuje nic o reálné identitě uživatele.

Dostáváme se tedy k autentizaci pomocí jména a hesla. Toto je v současnosti nejpoužívanější způsob autentizace a ani vcelku nezáleží na tom, jestli použijete standard 802.1x nebo něco jiného. Problémy u této metody jsou však většinou 3.

Pokud nepoužijete nadstavbu WAC (Web Based Access Control – tedy přihlášení do LAN pomocí webového prohlížeče), musíte na každém klientském zařízení instalovat a konfigurovat SW, který Vámi zvolený standard též podporuje. To je ve velkých sítích nebo v sítích s omezenou možností administrace časově náročné a neefektivní.

Další problém je, že musíte klientům sítě vysvětlit důležitost silného hesla, protože slabá hesla lze snadno prolomit brute force nebo dictionary útokem za použití nějakého zákeřného BOTa. V našich routerech se však tomuto typu útoku bráníme nasazením doplňkového CAPTCHA testu, abychom zjistili, že uživatel je skutečně člověk.

Tím Vám však vznikne třetí problém a to, že uživatelé si silná hesla nepamatují, takže si je píšou na lísteček a lepí na monitor anebo je v lepším případě zapomínají. Nejbezpečnějším způsobem se zdá být tedy autentizace biometrickými údaji, ta je však z mé zkušenosti buď příliš drahá a složitě masově nasaditelná nebo nefunguje spolehlivě.

3) Jaký je dnešní stav v oblasti kdysi tak vychvalovaných řešení z kategorie Single Sign-On?

Mnoho firem se snaží přijít se svým vlastním řešením centralizované správy hesel, nejednotnost a nedokonalost standardu podle mě ale rychlost rozšíření brzdí. Tímto tématem jsem se však nikdy hloubkově nezabýval, mohu se tedy přirozeně mýlit.

4) Jak nejlépe najít rovnováhu mezi protichůdnými požadavky na autentizaci (bezpečnost, rychlost, jednoduchost, spolehlivost)?
 
Z mého pohledu je nutné použít kombinované metody autentizace, jako nejelegantnější řešení pro autentizaci v LAN síti považuji užití metody WAC+IMPB. Ta poskytuje totiž velmi dobrou rovnováhu mezi cenou řešení, jednoduchostí správy a reálnou použitelnosti, navíc řeší problém poměrně komplexně.

IMPB (IP-MAC-Port-Binding)  je technologie, kterou používáme ve vyšších řadách switchů D-Link. Prakticky to znamená, že switch v sobě uchovává databázi s kombinacemi IP adresy MAC adresy a portu, z kterého se autentizovaný uživatel přihlašuje do sítě. Pokud se tedy do sítě pokusí přihlásit narušitel třeba i se správnými autentizačními údaji, ale z jiného zařízení nebo umístění, switch mu automaticky odmítne přístup.
WAC je potom technologie, opět implementována přímo ve switchi, která vám umožní autentizaci v LAN pomocí jména a hesla prostřednictvím webového rozhraní. Databáze hesel může být pak uložena buď lokálně ve switchi nebo centrálně na serveru.

Vzhledem k tomu, že technologie IMPB umožňuje dokonalý audit a odfiltruje většinu pokusů o průnik do LAN, není pak nutné uživatelům dávat nezapamatovatelná silná hesla. Zalogování pomocí WAC, je pak pro uživatele maximálně snadné, protože ho o to požádá WEB browser při prvním pokusu o přístup. Přínosem pro administrátora pak je, že nemusí nic konfigurovat přímo na klientském zařízení.

Autentizace | Lidský faktor | Sítě