Według badań przeprowadzonych przez firmę Imprivata, nieco ponad 50% przebadanych firm korzystało z systemów wieloskładnikowego uwierzytelniania. Pozostali albo korzystali z metod tradycyjnych (31%), albo nie do końca orientowali się czego tak naprawdę używają (17%). Prezentujemy krótki przegląd technologii, z których możemy skorzystać (nie będziemy koncentrować się na systemach IAM ( Identity and Access Management), gdyż jest to dużo szersze zagadnienie). A jest z czego wybierać..

Rozwiązania tradycyjne

W zależności od miejsca, w którym planowane jest wykorzystanie mechanizmów uwierzytelniania, mogą zostać zastosowane różne technologie. Zacznijmy od logowania do systemów operacyjnych. Tutaj największą popularnością cieszą się karty inteligentne, tokeny OTP oraz tokeny kryptograficzne. Ciągle jeszcze nieufnie traktowane są wszelkie technologie biometryczne.

Jednym z najpopularniejszych mechanizmów uwierzytelniania wieloskładnikowego są karty inteligentne. Mogą one występować w wielu postaciach. Najczęściej spotykane są tzw. karty kontaktowe. Są to plastikowe karty w formacie karty kredytowej, zgodne ze standardami ISO 7816, których łącznie jest kilkanaście.

Wspomnijmy tylko o czterech, związanych z cechami samej karty, czytnika i przesyłu danych. ISO 7816-1 określa parametry użytkowe karty, m.in. odporność na zginanie. Z kolei ISO 7816-2 opisuje wymiary, lokalizację oraz układ styków na karcie (8 styków). Cechą charakterystyczną kart inteligentnych jest to, że nie są samowystarczalne. Aby móc je odczytać, konieczny jest zewnętrzny czytnik PC/SC - podłączany do komputera lub w niego wbudowany, czy też stanowiący element zamka w drzwiach wejściowych. Specyfikację czytnika z kolei opisuje standard ISO 7816-3. No i wreszcie wszystko dopina ISO 7816-4, który określa format i typ informacji wymienianych w procesie komunikacji karty z czytnikiem.

Ze względu na łatwość użytkowania i trwałość, na popularności zyskują także karty bezkontaktowe, działające na podstawie RFID (Radio-Frequency Identification). Pomimo niewątpliwych zalet, wykorzystywanie tego standardu może rodzić pewne wątpliwości. Już w ubiegłym roku badacze z Uniwersytetu w Wirginii udowodnili, że stosując sprzęt za 1000 USD można skutecznie skompromitować karty z RFID. Młodzi naukowcy wzięli na warsztat chipy RFID Philipsa (MiFare Classic), których - jak do tej pory - sprzedano grubo ponad miliard. Stosowane w nich zabezpieczenia są na tyle słabe, że karty te dają się sklonować, a kopie można używać jak oryginał. W Polsce takie karty również funkcjonują.