Na redakční otázky odpovídá Václav Brožík, IT Security Consultant, DNS a.s.

Nejpalčivější problémy týkající se autentizace, které bych považoval i za největší výzvy, se odvíjí zejména od nejrozšířenějších útoků na její bezpečnost. V současné době se dají za největší přímou hrozbu považovat některé druhy spyware, trojských koňů či sociální inženýrství, které dokážou různými metodami zachytit hesla, privátní klíče a jiné údaje používané při autentizaci. Další typy malware také mohou autentizaci obejít tak, že počkají, až se uživatel úspěšně autentizuje a potom skrytě provádějí operace pod autorizací uživatele. Bohužel tyto útoky jsou dnes vážnější vzhledem k tomu, že jsou vedeny s určitým racionálním cílem, ne pro zábavu nebo z čiré zvědavosti, jak tomu bylo dříve.

Zatímco proti zachycování autentizačních údajů se lze do jisté míry bránit vícefaktorovou autentizací, která se v některých oblastech již stává samozřejmostí, řešení druhého problému (nechtěné autorizace) je zatím pro většinu aplikací příliš finančně náročné a uživatelsky nepříjemné. U nich se tedy ještě musíme stále spoléhat na další způsoby zabezpečení ICT systémů proti útokům.

2. Které technologie jsou v oblasti autentizace překonané, které jsou aktuální a které teprve čekají na svůj čas?

Systémy předem připraveného seznamu jednorázových hesel na kartičce (například S/KEY) jsou již téměř zapomenuty a v seriózních aplikacích byly nejčastěji nahrazeny modernějšími způsoby generování jednorázových hesel (osobní tokeny nebo zaslání šifrovanou SMS). Dále se naštěstí u kritických aplikací čím dál více omezuje používání i jiných snadno duplikovatelných autentizačních předmětů (např. magnetický proužek na platební kartě) či odesílání autentizačního tajemství nešifrovaným kanálem. Příkladem jsou již téměř nepoužívané starší protokoly (FTP, Telnet) či jejich zastaralé autentizační metody.

Výčet všech aktuálních technologií by byl příliš dlouhý. Rozhodně bych však nechtěl opomenout klasickou autentizaci statickým heslem, která vzhledem ke své jednoduchosti bude mít vždy své opodstatnění buď pro méně náročné aplikace, nebo jako jeden z faktorů silné autentizace. Mezi zavedené způsoby silné autentizace patří již zmíněné systémy jednorázových hesel. Použití PKI v autentizaci bohužel nemá rozšíření takové, jaké by si zasloužilo. Jedním z problémů je komplikovanost celého sytému. Díky tomu, že se však jednotlivé standardizované komponenty PKI stávají samozřejmou součástí prvků ICT a implementační detaily se skrývají pod jednodušším konfiguračním rozhraním, se PKI postupně dále rozšiřuje.

V některých aplikacích má zcela jistě veliký potenciál biometrie, čeká ji však ještě asi dlouhý vývoj levných a spolehlivých senzorů. Řešení problému spolehlivosti a zneužitelnosti se pravděpodobně bude ubírat směrem ke snímání dynamických parametrů a reflexů lidského těla.
 
3. Jaký je dnešní stav v oblasti kdysi tak vychvalovaných řešení z kategorie Single Sign-On?

Použití řešení SSO bude vždy určitý kompromis vůči bezpečnosti, kterou může snížit jak jeho samotné nasazení, tak i uživatelé frustrovaní otravnou autentizací, pokud funkční SSO nenasadíme. Největší překážkou většího rozšíření je podle mne nedostatečná standardizace potřebných technologií a malá ochota výrobců navzájem spolupracovat na tomto poli.

SSO funguje zatím relativně dobře v systému určitých aplikací jednoho výrobce. Příkladem může být Microsoft, Google apod. Velice zajímavou vlaštovkou zahnízďující se na poli webových služeb je technologie OpenID, která sice nebyla vyvinutá primárně jako SSO v pravém slova smyslu, ale lze ji takto používat.

4. Jak nejlépe najít rovnováhu mezi protichůdnými požadavky na autentizaci (bezpečnost, rychlost, jednoduchost, spolehlivost)?

Požadovaná rovnováha je samozřejmě u každého plánovaného nasazení jinde. Potřebné parametry je možné systematicky a relativně objektivně vybrat dle možných útoků, požadovaného způsobu používání autentizace, typu uživatelů, akceptovatelné nepohodlnosti a dalších vstupních údajů, mezi kterými má často bohužel veliký omezující faktor v otázce nezmíněná cena řešení.

Autentizace | Biometrie | Škodlivé kódy