Silne uwierzytelnianie z użyciem tokenów kryptograficznych
- Patryk Królikowski,
- 11.09.2008
System TMS, który jest sercem całego rozwiązania, pozwala na centralne zarządzanie w zasadzie wszystkimi aspektami funkcjonowania tokenów. Możliwe jest więc umieszczanie certyfikatów na tokenach, przypisywanie tokenów do użytkowników czy unieważnianie zagubionych tokenów. TMS wystawia także kilka usług webowych (np. self-service, z którego mogą korzystać użytkownicy, gdy np. potrzebują zresetować hasło). TMS może być zintegrowany z innymi systemami przy użyciu tzw. konektorów. Z pudełka, poza łącznikami z innymi komponentami Aladdina (np. Network Login) dostajemy konektory do Check Pointa czy Microsoft CA, a jeżeli potrzebujemy stworzyć inny, możemy skorzystać z pakietu SDK lub zwrócić się do producenta. Za pomocą TMS możemy również archiwizować oraz przywracać dane uwierzytelniające użytkownika.
Po zainstalowaniu oprogramowania czas na konfigurację. I tu zaczynają się kłopoty. Nie jest to system z gatunku "pierwsze co zrób, to wyrzuć instrukcję". Bez przynajmniej pobieżnego jej przeczytania rozpoczęcie pracy może sprawiać pewne problemy. Dokumentacja nie należy do precyzyjnych, ale jest w zupełności wystarczająca. Jeżeli czegoś nie ma w instrukcjach, to możemy zawsze zajrzeć do bazy wiedzy Aladdina, choć nie spodziewajmy się tam znaleźć zbyt wielu użytecznych informacji.
Zadanie przypisywania tokenów do użytkowników realizowane jest z poziomu przeglądarki internetowej i serwisu TMS Manager Center lub TMS Service. Proces ten jest czytelny. Dzięki integracji z AD (i wcześniejszej konfiguracji konektora do Microsoft CA) wystarczy wpisać nazwisko użytkownika, włożyć właściwy token do czytnika/portu USB i po strachu.
A co z zapominalskimi, którzy w zwojach szarych komórek zagubili hasło do tokenu? Z myślą o nich stworzony został portal TMS Service, za pomocą którego, bez konieczności angażowania administratora, sklerotycy mogą resetować hasła. Za pośrednictwem tego samego portalu możliwe jest również zgłoszenie przypadku zagubienia tokenu, czy wypełnienie szablonu odpowiedzi typu challenge/response.
Warto też wspomnieć o eToken Virtual, który jest kołem ratunkowym dla użytkownika właśnie w przypadku zagubienia tokenu. Jeżeli taki pechowy użytkownik jest poza firmą i nie ma możliwości wręczenia mu nowego tokenu, to może ściągnąć na swój komputer nic innego jak soft-token, dzięki któremu możliwa będzie dalsza praca.
Na koniec raporty i audyt. Tutaj nie mamy zastrzeżeń. Z poziomu przeglądarki WWW możemy tworzyć różnego rodzaju raporty i uzyskiwać dane na temat aktywności użytkowników, stanu tokenów, daty ich wygaśnięcia itp. Informacje przedstawiane są czytelnie i przejrzyście.
Dużo czy mało?
Rozwiązanie Aladdin TMS nie jest szczególnie tanie, ale też nie można go zaliczyć do najdroższych - w porównaniu z konkurencją. Pojedynczy token USB - eTokenPro z pamięcią 32 KB kosztuje ok. 39 USD. Do tego trzeba dodać oprogramowanie klienckie, którego cena w zależności od liczby użytkowników może wahać się od ok. 12 do 16 USD za użytkownika.
Jeżeli chcemy korzystać z funkcjonalności SSO, to koszt takiego klienta wzrasta do odpowiednio ok. 36-46 USD. Doliczamy jeszcze platformę TMS (Token Management System) za ok. 3000 USD plus licencje użytkowników - od ok. 15 do 19 USD za sztukę. Zatem przy założeniu, że mamy ok. 1000 użytkowników musimy na rozwiązanie TMS + SSO + Tokeny wydać ok. 87 tys. USD - to cena SRP z rocznym wsparciem. Jeżeli zdecydujemy się na wersję tańszą z klientem PKI, cena spadnie do ok. 62 tys. USD. A zatem pojedynczy użytkownik kosztować będzie od 62 do 87 USD.
Podsumowując. Rozwiązanie Aladdin Token Management System jest godne uwagi, zważywszy na swoje spore możliwości. Kłopotliwa początkowo administracja przy odrobinie wprawy i obycia nie nastręcza wielu problemów. Jeżeli będziemy mieli jakieś kłopoty z rozwiązaniem, to raczej zwróćmy się z prośbą o pomoc do integratora albo - gdy mamy żyłkę "dłubacza" - postarajmy się znaleźć przyczynę sami. Baza wiedzy, choć dostępna dla każdego, zawiera niewiele użytecznych w kłopotach informacji. Cenowo rozwiązanie plasuje się raczej w środku stawki. Nie jest tak drogie jak RSA, ale też i nie tak tanie jak Entrust.