RSS
| Single-Sign-On a jeho použití v praxi |
|
Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity Technologie Single-Sign-On (SSO; volně by se dala přeložit jako „jednotné přihlášení“) se v dnešním světě stává nenahraditelným pomocníkem: zvláště v době, kdy je zapotřebí používat desítky hesel k nejrůznějším aplikacím a systémům. Pozitiva a přínosy Podstatou SSO je, že namísto velkého množství přihlašovacích atributů (zpravidla přihlašovací jméno plus heslo) si uživatel musí pamatovat jen jeden atribut. Ostatní si za něj pamatuje systém SSO, takže soulad se všemi politikami a požadavky není dotčen. SSO se může stát branou do systémů násobných, spojených, ale i zcela nezávislých. Důvod vzniku a existence SSO je prostý: v reálném světě existuje silný tlak na různé přihlašovací atributy. Názorně je to vidět na problematice hesel: jsou kladené různé požadavky na jejich minimální délku, na strukturu (velká/malá písmena, speciální znaky apod.), na četnost změn, na nepoužívání již jednou použitých hesel ve stejném systému apod. Jenomže tato vynucená složitost je často kontraproduktivní. Opravdu je reálné, aby si běžný uživatel pamatoval desítky dlouhých a často měněných hesel? Nevede to naopak k obcházení bezpečnostních politik? SSO tyto problémy řeší, což vede ke zvýšení produktivity, kdy dochází k automatickému přihlášení do různých systémů, takže uživatel se mezi nimi pohybuje jako by šlo o jednu aplikaci. Dalším přínosem je menší počet zásahů technické podpory a nutnosti řešit problémy. K plusům lze připočíst i vyšší bezpečnost právě díky tomu, že nedochází k šizení bezpečnostních nastavení. V neposlední řadě je to pak soulad s bezpečnostními politikami nebo legislativou. Jak SSO pracuje? V oblasti SSO najdeme jednak systémy založené na kerberosu. Uživatel se přihlásí do aplikace, která mu následně vystaví virtuální „vstupenku“. Ta je pak používána kdykoliv přistupuje k dalším aplikacím vyžadujícím autentizaci (e-mail, informační systém apod.). Tento systém je používaný například v prostředí Windows u technologií aktivních adresářů. Microsoft ve svých systémech používá ještě technologii SSO, která ukazuje další možnost přístupu, a to Integrated Windows Authentication. Ta využívá autentizačních protokolů SPNEGO, Kerberos a NTLMSSP ve spojení s funkcionalitou SSPI, přičemž poprvé našla uplatnění ve Windows 2000 a později ve všech NT platformách. Technologie je využívána pro propojení IIS a prohlížeče (v daném případě Internet Explorer). Dnes už ale není limitována jen na microsoftí prostředí, ale propojuje i platformy UNIX, Linux a Mac. Dále jsou to systémy SSO založené na hardwarových kartách. Jejich princip je takový, že úvodní přihlášení odemkne kartu, na které jsou uložené všechny další přihlašovací atributy (mohou to být nejen hesla a jména, ale třeba i certifikáty). Aplikace, k nimž je přistupováno, si pak z karty berou potřebné autentizační údaje. Uživatel tak opět není obtěžován, systém je navíc poměrně bezpečný: je provázaný s autentizačním předmětem a je možné ho využívat při přihlašování z různých počítačů. Potom jsou to systémy SSO založené na OTP (One Time Password) tokenech, které jsou považované za velmi bezpečné a odolné proti neautorizovaným přístupům. Opět: vyšší bezpečnost s sebou nese vyšší nároky na implementaci. Podotýkáme, že v praxi se lze často setkat s kombinacemi těchto technik SSO. Úskalí a rizika Pokud jste z výše uvedeného – především z výčtu výhod a přínosů – nabyli dojmu, že není nic lepšího než SSO, je zase zapotřebí sestoupit z nebes na zem. SSO má i své nedostatky a mouchy, které jeho nasazení přece jen krapet omezují. Největší výzvou je přitom řešení základního úkolu: přihlašování se k různým systémům a rozhraním. To nemusí vždy stoprocentně fungovat, přičemž to není jen vina SSO, ale i nedodržování standardů, norem nebo nekompatibilními rozhraními aplikacemi třetích stran. Jenže kdo je na vině, není v danou chvíli podstatné: obětí je vždy SSO, který nefunguje dle potřeb. Kritikové SSO také upozorňují na to, že tyto systémy jsou často otázkou kompromisů. Prostě pro to, aby vyšly vstříc všem, musí v některých otázkách jaksi slevovat. Dále upozorňují, že často nasazení a správa SSO vyžaduje často více zdrojů (ekonomických, lidských aj.), než kolik činí dosažená úspora. A pak je tu problém největší: otázka dostatečné bezpečnosti SSO. Uvědomme si, že přístupem k jedné sadě přihlašovacích atributů získává útočník přístup i ke všem ostatním. Právě největší výhoda SSO (možnost mít jen jednu jedinou sadu přihlašovacích atributů) se může nesmírně rychle stát něčím, co celému systému zlomí vaz. Ne že by to nešlo ošetřit, ale tuto skutečnost je stále zapotřebí mít na paměti. |
