Jūsų gimtadienio data? Ne. Jūsų vaikų vardai? Ne. Jūsų mėgstama krepšinio komanda? Gal. Pripažinkime: slaptažodžiai, kuriuos lengva atsiminti yra nesudėtingai atspėjami. Atitinkamai, sudėtingi slaptažodžiai nors ir yra saugūs taip pat yra ir labai sunkiai įsimenami, todėl žmonės yra linkę juos užsirašyti, kas yra dar blogiau nei prastai pasirinktas slaptažodis.
Ir iš tiesų, praktika rodo, jog slaptažodžiai nors ir atlieka labai svarbų vaidmenį įmonių tinklų infrastruktūroje, tačiau tai
Šifruotų slaptažodžių dekodavimas momentaliai atveria daugelį silpnų slaptažodžių, tokių kaip „labas“, „test“ ar „vadovas_asilas“, tačiau dažniausiai jie niekur be tos sistemos netinka. Kur kas sunkiau yra parinkti kompleksinius slaptažodžius pvz. m69kOpzaD, tačiau jei tai pavyksta, tuomet yra 99% tikimybė, jog vartotojas pasirinkęs tokį sudėtingą slaptažodį jį naudoja visur. Kažkas tikriausiai suabejosite, jog kompleksinių slaptažodžių parinkimas yra praktiškai įmanomas per pakankamai trumpą laiką? Deja, šiandien technologijos leidžia pasiekti tikrai įspūdingą slaptažodžių perrinkimo laiką: pavyzdžiui pigios vaizdo kortos už 200 LT su Nvidia CUDA technologija slaptažodžių perrinkimo sparta nedaug atsilieka nuo Intel Quad Core procesoriaus, o naudojant kelias brangias kortas, kurių slaptažodžių perrinkimo sparta yra nuo kelių iki keliolikos kartų didesnė tradiciniais būdais užšifruoti slaptažodžiai lukštenami kaip riešutai. Taigi turėdami bent vieno vartotojo slaptažodį, įsilaužėliai gali brautis vis giliau ir giliau į organizacijos tinklą.
Kita medalio pusė yra tai, kad organizacijų tinklų vartotojai, ypatingai didesnėse kompanijose, yra labai linkę tiesiog pasakyti savo prisijungimo duomenis, jeigu jie yra pastatomi į tam tikrą psichologinę situaciją. Pavyzdžiui, žinant, jog organizacijoje vartotojų vardai sudaromi iš asmens vardo ir pavardės pirmų raidžių, sakykim Vardenio Pavardenio prisijungimo vardas būtų „vardpav“, „vpav“, įsilaužėliai gali mėginti tiesiog paskambinti ir netiesiogiai paklausti slaptažodžio. Gal tai irgi atrodo neįtikėtina, bet pasirinkus tinkamą būdą – įmanoma. Tarkime atliekant panašaus pobūdžio patikrinimą, kaip būtiną įsibrovimo testo dalį, darbuotojams melavome, jog vyksta kalėdinė IT saugumo apklausa, kurios tikslas yra nustatyti darbuotojų sugebėjimus pasipriešinti IT grėsmėms: tam reikėjo užpildyti anketą, kurioje be bendrų klausimų apie IT saugumą reikėjo nurodyti ir savo slaptažodį, kad išrinktume „saugiausią“, o geriausiai atsakę galėjo laimėti kelionę. Aišku, tai yra dirbtinis pavyzdys – tikri įsilaužėliai nenorėtų sukelti daug triukšmo, tad pasirinktų kokį kitą metodą – galima nusiųsti elektroninį laišką, kuriame prašoma kažkur prisijungti ar pan.
Būtent sprendžiant slaptažodžių nepatikimumo problemą, buvo sugalvotas papildomas autentifikacijos faktorius tam, kad užkirsti kelią slaptažodžių nutekėjimo ar nesaugumo problemoms. Vartotojui be slaptažodžio žinojimo reikia papildomai turėti jam suteiktą įrenginį, tuomet autentifikacija vyksta pagal principą „tai ką žinau“ + “tai ką turiu“. O toks priėjimas reikalauja iš įsilaužėlio turėti konkrečiam vartotojui priskirtą įrenginį leidžiantį prieiti prie kompanijos resursų žinant dar ir slaptažodį: t.y. įrenginys be slaptažodžio yra bevertis, lygiai taip pat kaip ir slaptažodis be įrenginio.
Tokį sprendimą realizuoti idealiausia naudojant USB tipo „antro faktoriaus“ įrenginius, tokius kaip, pavyzdžiui, gerai Lietuvos rinkoje užsirekomendavusį Eutronsec eToken, leidžiantį vartotojams patogiu būdu autentifikuotis sistemose žinant tik savo įrenginio PIN kodą, kurį lengva įsiminti. Įrenginyje saugomi duomenys yra patikimai šifruojami naudojant RSA šifravimo algoritmą, kurio rakto ilgis yra 2048 bitai, kas yra tikrai labai daug, kadangi net 128 bitų rakto šiuolaikinėmis priemonėmis negalima parinkti, ką jau kalbėti apie kur kas ilgesnį.
eToken naudojimas sprendžia iškart kelias problemas: įsilaužėliams nebelieka galimybės prieiti prie sistemų turint tik kažkurio vartotojo slaptažodį, taip pat jeigu vartotojas, pavyzdžiui, pameta įrenginį – jis nebegali toliau dirbti ir apie tai yra priverstas pasakyti sistemų administratoriui, ko tikrai nebūna pametus ar kitokiu būdų atskleidus tretiesiems asmenims tradicinį slaptažodį. Papildomai sistemos funkcionalumą galima išplėsti naudojant papildomą programinę, pavyzdžiui, Secure Systems gaminamą ControlSphere programinį paketą, leidžiantį dar labiau padidinti saugumo lygį. ControlSphere leidžia vartotojams įsiminti slaptažodžius naršyklėse, IM bei kitose programose fiziškai nesaugant jų kompiuteryje šį darbą patikint saugiai užšifruotam eToken įrenginiui. Taip pat ControlSphere turi ir kitų modulių, leidžiančių vartotojui šifruoti duomenis naudojant eToken įrenginį, rakina darbo stotį ištraukus raktą ir atlieka subtilesnius veiksmus ten, kur reikalinga papildomas vartotojų autentifikavimas.
Galima daryti išvadą, kad nepatikimų, besikartojančių, per sudėtingų slaptažodžių problemos tikrai egzistuoja ir jas būtina spręsti. Naudojant eToken ir ControlSphere mes galime pasiekti deramą prieigų prie duomenų saugumą ir padaryti priėjimą prie duomenų ne tik saugų, bet ir dar patogesnį vartotojams. Papildomai džiugina ir tai, jog šie sprendimai nėra brangūs ir jie ateis į mūsų gyvenimus lygiai taip pat kaip savo laiku atėjo kompiuteriai, internetas ir vėliau antivirusinė apsauga.
UAB “NOD Baltic”
http://www.nodbaltic.lt/
