Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Každá organizace používající informační systém potřebuje spolehlivý prostředek pro ověřené připojení uživatelů ke svým systémům a aplikacím. Možností je několik, přičemž finální volba závisí na mnoha okolnostech, např. na hodnotě chráněných informací.

Kroky autentizace

Autentizace se skládá z několika kroků a má přitom prakticky vždy stejný scénář. Nejprve je to iniciační proces, kdy po zapnutí počítače dochází k prvotní autentizaci uživatele. Pracovní stanice vykoná buď jen první kontrolu zadaných údajů (např. jestli něco nechybí) a po jejím úspěšném provedení připojí uživatele ke zdrojům, nebo provede kontrolu úplnou (týká se to např. počítačů na cestách).

Ve druhé fázi uživatel spustí požadovanou aplikaci a do ní se autorizuje. Aplikace si ověří identitu a připojí uživatele k požadovanému zdroji – např. e-mailový nebo souborový server.

Obecně je autentizace ověření identity (totožnosti) uživatele služeb nebo původce zprávy. Celkem se používají čtyři základní metody ověření uživatele. Jednak podle toho, co uživatel zná (login a heslo). Jednak podle toho, co uživatel má (USB token, certifikát, zařízení pro generování jednorázových hesel…). Jednak podle toho, čím uživatel je (otisk prstu, snímek oční duhovky či sítnice…). A jednak podle toho, co uživatel umí (odpovědět na náhodně vygenerovaný kontrolní dotaz – používaný např. u testů dospělosti).

Hesla v různých podobách

Nejobvyklejší, nerozšířenější, nejjednodušší a i jinak „nej“ metodou je použití přihlašovacího jména (loginu) a hesla. Ze všech autentizačních metod má nejmenší nároky na jakoukoliv infrastrukturu a dá se říci, že je i přes svoji jednoduchost poměrně bezpečná. Největším limitem je bezpečné uložení hesla na straně uživatele (pomiňme nyní spíše mimořádné situace jako je špatné uložení hesla na straně serveru apod.): ne vše se dá vynutit a k věcem, které se špatně hlídají patří třeba špatná disciplína při zaznamenávání hesel (do mobilů, na poznámkové lístky, vespod na klávesnici...).

Další možnou metodou je použití přihlašovacího jména o hesla OTP (One Time Password, jednorázového hesla). I když označení OTP není v daném případě úplně přesné (ale je používané): nejedná se o heslo jednorázové, nýbrž s omezenou časovou platností. Generuje ho nezávisle na okolním prostředí specializovaný hardware, třeba tzv. kalkulátor. Ten třeba každých pět minut (nebo v jiných vhodných časových intervalech) nabídne heslo nové – tím se následně uživatel prokazuje. Přístup do systému je tak vázaný nejen na znalost (hesla), ale i na vlastnictví (specializovaného generátoru). Systém je pochopitelně bezpečnější, než klasické jméno a heslo, ale je náročnější na provoz a nákladnější na instalaci.

Autentizovat se lze také pomocí přihlašovacího jména a hesla uloženého na hardwarové kartě: obrovskou výhodou je, že heslo může být velmi komplexní a velmi často měněné. Karta je navíc chráněna PINem. Další výhodu představuje, že se velmi rychle zjistí kompromitace systému: ztráty karty si uživatel všimne spíše, než toho, že někdo dokázal „odchytit“. Tato metoda se používá často při prvním přihlášení: například když si aktivujeme licenci software, kdy musíme zadat obludně dlouhý kód (uložený na hardware v daném případě reprezentovaném kusem papíru). Nebo když aktivujeme internetové bankovnictví: také musíme při zakládání účtu znát speciální kód přidělený bankou, který už nikdy poté nepoužijeme.

Karty a biometrika

PKI na kartě nebo USB tokenu – to je další možná a rozšířená metoda. Certifikáty x.509 využívané v PKI infrastruktuře jsou pokročilou technologií, které umožňují podepisovat nebo šifrovat. Jsou přitom ověřené veřejnou (respektovanou) certifikační autoritou, která tak ručí za uživatele, ten se navíc prokazuje znalostí hesla i vlastnictvím předmětu. Certifikáty umožňují elektronické podepisování dat, což znamená, že mohou sloužit nejen k připojování do systému, ale třeba i k prokazování autorství v budoucnu.

Speciální metodou je biometrická autorizace, kdy dochází k ověření části uživatelova těla (typicky oční duhovka, sítnice či otisk prstu): získaná data jsou srovnána s databází a je následně zjištěno, zdali jsou totožná či odlišná. Biometrická autorizace je poměrně náročná na hardware (speciální čtečky) i správu. Proto je používaná jen u ochrany přístupu k velmi citlivým aplikacím.

V poslední době se začíná rozšiřovat také bezkontaktní autentizace pomocí RFID čipů (ty mohou být pasivní nebo aktivní). Uživatelé získávají přístupové karty: systém je poměrně bezpečný a jednoduchý na užívání, ale o to náročnější na nasazení a řízení.