Problemy z hasłami dostępu są równie stare jak technologia komputerowa i nadal nie zostały skutecznie rozwiązane. Dlatego hasła próbuje się zastąpić innymi technikami potwierdzania tożsamości, takimi jak: technologie pojedynczego logowania, dwuskładnikowe uwierzytelnienie, które redukuje niezbędną złożoność hasła, uwierzytelnienie maszyna - maszyna czy coraz lepsze technologie biometryczne. Niestety, każda z nich ma swoje wady, które niekiedy bardzo utrudniają wdrożenie. "Technologie, które mają na celu zmniejszyć uzależnienie od haseł - biometria, karty chipowe, tokeny sprzętowe, generatory haseł jednorazowych - nie osiągnęły stawianego celu. Są zbyt drogie, zawodne lub nieprzydatne do danego zastosowania. A w dobie coraz częściej występujących naruszeń bezpieczeństw zagadnienie zarządzania dostępem i hasłami staje się ważniejsze niż kiedykolwiek" - mówi Eve Maler, analityk w firmie Forrester.

Czy silne hasła są bezpieczne

Wiele włamań spowodowanych jest niedostateczną ochroną wynikającą ze stosowania zbyt słabych haseł. Na pozór oczywiste w tej sytuacji rozwiązanie, czyli stosowanie silnych haseł o wysokiej złożoności, powoduje jednak mnóstwo problemów w przedsiębiorstwie. Złożone hasła łatwo zapomnieć, użytkownicy są poirytowani, bo często blokują swoje konta w wyniku nieudanych prób zalogowania i zgłaszają się do IT w celu resetu, przydzielenia nowego hasła lub odblokowania konta. Według Eve Maler, skutkiem stosowania silnych haseł jest "spadek użyteczności systemów IT, obniżenie wydajności pracy oraz fałszywe poczucie bezpieczeństwa". Co więcej, same hasła są podatne na błąd człowieka, taki jak zapisanie hasła w widocznym miejscu, w telefonie lub współdzielenie hasła między usługami (np. używanie firmowego hasła do prywatnego konta poczty elektronicznej).

Larry Ponemon, ekspert do spraw bezpieczeństwa, pracował kiedyś w agencji rządowej, która wymagała piętnastoznakowego hasła zmienianego co 30 dni. Ponemon tak wspomina tę pracę: "Jeśli zapomniałeś hasła, musiałeś pójść do tyrana za biurkiem help desku, który to despota zawsze poddawał w wątpliwość twoje kompetencje, zanim w końcu przydzielił nowe hasło. Dosłownie wszyscy pracownicy, którzy mieli do czynienia z poufnymi dokumentami, zapisywali swoje hasła na karteczkach samoprzylepnych. Po to, by nie mieć do czynienia z tym facetem".

Sama złożoność haseł to nie wszystko. Gdy do tego dodać konieczność obsługi wielu systemów, liczba haseł rośnie. Nie sposób pamiętać wszystkich, więc trzeba gdzieś je zapisać. Do tego należy dodać działania hakerów, którym czasami udaje się wykraść całe listy haseł wielu pracowników. Na szczęście, większość serwisów przechowuje hasła w postaci skrótów kryptograficznych, ale nadal bezpieczeństwo niektórych implementacji jest niedostateczne.

Nie więcej niż trzy

Zazwyczaj ludzie korzystają z różnych serwisów, a zatem teoretycznie musieliby pamiętać tyle haseł, ile mają kont. Kilka lat temu Instytut Ponemona przeprowadzał szeroko zakrojone badania, by stwierdzić, ile haseł ludzie pamiętają. Większość odpowiadała: jedno lub dwa. Tylko niektórzy potrafili zapamiętać trzy złożone hasła i poprawnie przypisać je za każdym razem do odpowiedniej usługi. Według raportu Ponemona oznacza to, że jedno hasło jest związane np. z dostępem do konta bankowego, a inne używane do pozostałych zastosowań. Jeśli ktoś ukradnie to drugie hasło, może zacząć dalsze działania, by resetować główne hasło z wykorzystaniem socjotechniki.

Centralne zarządzanie tożsamością

Połączenie jednokrotnego logowania (SSO - Single Sign-on) z usługami katalogowymi, takimi jak LDAP, umożliwia zmniejszenie liczby haseł, a w konsekwencji i problemów z tym związanych. Centralne zarządzanie tożsamością sprawia, że do wszystkich zasobów i aplikacji wymagane jest jedno hasło, zarządzane poza aplikacjami i o wiele bezpieczniejsze od listy zapisanej na kartce. Takie rozwiązania integrują się z Active Directory, a zatem wszelkie aplikacje, które korzystają z uwierzytelnienia Windows, z powodzeniem będą działać w ten sposób. Dodatkowo uwierzytelnienie z Active Directory jest możliwe także w aplikacjach webowych, takich jak Drupal, uruchamianych na serwerze Apache w systemie Linux. Pojedyncze logowanie sprawia, że aplikacja samoczynnie uwierzytelnia użytkownika, gdy jest on uwierzytelniony do innych zasobów, np. do stacji roboczej lub innej aplikacji.

Niestety, niektóre aplikacje nigdy nie były projektowane pod kątem zewnętrznego uwierzytelnienia. Ich integracja z Active Directory lub rozwiązaniami SSO jest więc na tyle trudna lub pracochłonna, że staje się nieopłacalna. Innym problemem jest uzależnienie całego uwierzytelnienia do wszystkich zasobów od jednego hasła. Jeśli zostanie ono skradzione, np. przez keylogger, wszystkie zasoby firmy stoją otworem, niekiedy wliczając w to także zdalny dostęp za pomocą VPN.

Kim jesteś, czyli biometria

Wielkie nadzieje wiązano z zastosowaniem do uwierzytelnienia biometrii. Chociaż jest to dobra metoda, która uzupełnia hasło dostępu do ściśle chronionych zasobów lub pomieszczeń, również ma swoje wady. Najpowszechniejszym wykorzystaniem czytników biometrycznych jest ułatwienie logowania do firmowych laptopów. Niestety, czytniki te są bardzo proste i nieodporne na zabrudzenie. Po kilku miesiącach intensywnego wykorzystywania trzeba wielokrotnie przesuwać palec przed czytnikiem, by w końcu poprawnie odczytał wzór linii papilarnych i uwierzytelnił użytkownika. Niedostatek ten okazał na tyle denerwujący, że wielu użytkowników woli logować się za pomocą hasła.

W dodatku nie każda metoda biometryczna jest wystarczająco bezpieczna, a niektóre w ogóle nie nadają się do zastosowania. Eksperci uważają, że logowanie za pomocą odczytu odcisku palca jest niebezpieczne, gdyż zostawiamy ślady linii papilarnych na niemal każdym przedmiocie, którego dotykamy. Oznacza to, że rozsiewamy własne "hasła" niemal wszędzie. Z kolei wdrożenie biometrii bazującej na obrazie tęczówki oka jest odbierane jako istotny zamach na prywatność pracownika. Podobne zarzuty dotyczą wielu systemów biometrycznych, gdyż biometria, w odróżnieniu od haseł czy kart i tokenów, nie umożliwia zmiany źródła informacji używanej do uwierzytelnienia.

Są jednak miejsca, gdzie czytnik biometryczny może uzupełnić istniejące uwierzytelnienie o niskim ryzyku, pozwalając zrezygnować całkowicie z hasła. Przykładem takiego wdrożenia jest logowanie za pomocą odcisku palca do terminala POS w restauracji. Obecnie do tego celu stosowane są karty magnetyczne, hasła lub tokeny sprzętowe.

Czy pomoże telefon komórkowy?

Tokeny wyświetlające hasła jednorazowe sprawdzały się przez lata, ale po udanym włamaniu do firmy RSA pozostają wątpliwości związane z bezpieczeństwem takiego rozwiązania w środowiskach o wysokich wymaganiach odnośnie do bezpieczeństwa. Ponadto token i tak należy wymienić co kilka lat, a to kosztowna operacja. Wystarczające bezpieczeństwo może zapewnić inne urządzenie: telefon komórkowy.

Uwierzytelnienie za pomocą telefonu komórkowego ma wiele zalet. Po pierwsze, niemal wszyscy pracownicy mają telefony, a zatem wdrożenie takiego systemu nie wymaga zakupu dodatkowych urządzeń. Po drugie, każdy właściciel pilnuje telefonu, więc prawdopodobieństwo użycia hasła przez nieupoważnioną osobę jest mniejsze, bo "hasłem" są wiadomości przesyłane przez telefon. Aby kolega z pracy mógł zalogować się na cudze konto, właściciel konta musiałby podać mu nie tylko hasło, ale także udostępnić swój telefon.

Użycie hasła wysyłanego w wiadomości SMS ma jeszcze inną zaletę - korzysta z innego kanału transmisji niż internet. Dzięki temu, w połączeniu z prostym hasłem użytkownika tworzy mechanizm, który daje wyższy poziom bezpieczeństwa od typowego tokena, gdyż kod wysyłany w wiadomości SMS może być uzależniony od parametrów operacji, której użytkownik zamierza dokonać. Zatem kod do zalogowania użytkownika do sieci może być generowany inaczej niż kod do uwierzytelnienia. Eve Maler uważa, że wykorzystanie haseł SMS to znacznie mocniejsze zabezpieczenie, niż się wydaje. Jej zdaniem, "IT dostaje w ten sposób politykę haseł, która wymusza zmianę hasła przy każdym logowaniu, co wynika z zastosowania losowego składnika hasła przesyłanego przez sieć komórkową. Dodatkowo jest to narzędzie dwuskładnikowe, gdyż zakłada wykorzystanie czegoś, co użytkownik zna - hasła - oraz czegoś, co ma - w tym przypadku telefonu komórkowego".