Wieloelementowy zawrót głowy
- Patryk Królikowski,
- 13.07.2009
Tradycyjnie przyjęło się uważać, że systemy uwierzytelniania wykorzystują albo coś, co wiemy (np. hasła, PIN), albo coś co mamy (np. token OTP), albo to kim jesteśmy (typowe systemy biometryczne). W związku z rozwojem biometrii do tej triady doszedł jeszcze jeden element, czyli to, jacy jesteśmy (systemy biometrii behawioralnej). Na rynku uwierzytelniania wieloskładnikowego (tzw. multi-factor authentication) pojawia się coraz więcej pomysłów i koncepcji na rozwiązywanie bolączek związanych z bezpiecznym logowaniem do zasobów.
Według badań przeprowadzonych przez firmę Imprivata, nieco ponad 50% przebadanych firm korzystało z systemów wieloskładnikowego uwierzytelniania. Pozostali albo korzystali z metod tradycyjnych (31%), albo nie do końca orientowali się czego tak naprawdę używają (17%). Prezentujemy krótki przegląd technologii, z których możemy skorzystać (nie będziemy koncentrować się na systemach IAM ( Identity and Access Management), gdyż jest to dużo szersze zagadnienie). A jest z czego wybierać..
Rozwiązania tradycyjne
W zależności od miejsca, w którym planowane jest wykorzystanie mechanizmów uwierzytelniania, mogą zostać zastosowane różne technologie. Zacznijmy od logowania do systemów operacyjnych. Tutaj największą popularnością cieszą się karty inteligentne, tokeny OTP oraz tokeny kryptograficzne. Ciągle jeszcze nieufnie traktowane są wszelkie technologie biometryczne.
Jednym z najpopularniejszych mechanizmów uwierzytelniania wieloskładnikowego są karty inteligentne. Mogą one występować w wielu postaciach. Najczęściej spotykane są tzw. karty kontaktowe. Są to plastikowe karty w formacie karty kredytowej, zgodne ze standardami ISO 7816, których łącznie jest kilkanaście.
Ze względu na łatwość użytkowania i trwałość, na popularności zyskują także karty bezkontaktowe, działające na podstawie RFID (Radio-Frequency Identification). Pomimo niewątpliwych zalet, wykorzystywanie tego standardu może rodzić pewne wątpliwości. Już w ubiegłym roku badacze z Uniwersytetu w Wirginii udowodnili, że stosując sprzęt za 1000 USD można skutecznie skompromitować karty z RFID. Młodzi naukowcy wzięli na warsztat chipy RFID Philipsa (MiFare Classic), których - jak do tej pory - sprzedano grubo ponad miliard. Stosowane w nich zabezpieczenia są na tyle słabe, że karty te dają się sklonować, a kopie można używać jak oryginał. W Polsce takie karty również funkcjonują.