Popyt na systemy uwierzytelniania jest w Polsce stosunkowo niewielki. Firmy wdrożeniowe mogą szukać klientów głównie w środowisku przedsiębiorstw z branży finansowej, a także dostawców usług, w tym operatorów telekomunikacyjnych. Czasem mogą to być też podmioty z sektora publicznego. Z drugiej strony wyspecjalizowanych w tej dziedzinie integratorów też jest niewielu. Nic dziwnego, że wdrożenia systemów uwierzytelniania są dużo rzadsze niż typowych projektów infrastrukturalnych.

Natomiast samych rozwiązań jest dość sporo. Właśnie m.in. ich mnogość i różnorodność powoduje, że w zasadzie nie wiadomo, jak ma wyglądać optymalny system uwierzytelniania. Mariusz Baczyński, odpowiedzialny w Cisco za sprzedaż systemów bezpieczeństwa w naszej części Europy, uważa nawet, że… uniwersalnego nie ma. Jego zdaniem każda firma sama musi zdefiniować, które zasoby mają dla niej kluczowe znaczenie, i dopasować do nich odpowiednie rozwiązanie zabezpieczające.

Nie wszyscy to potrafią, co oznacza pojawienie się przestrzeni dla integratora. Może on najpierw doradzić, a potem wdrożyć szyty na miarę system, tym bardziej że potencjalni użytkownicy w Polsce zazwyczaj znają (jedynie ze słyszenia) kilku głównych producentów, których rozwiązania uważają za niezwykle trudne do wdrożenia, a także bardzo kosztowne.

– A przecież mechanizmy w standardowych kontrolerach Active Directory umożliwiają łatwe zarządzanie danymi opisującymi elektroniczną tożsamość, co w czasach zdominowanych przez Windowsy wydaje się atrakcyjną opcją. Jednocześnie rośnie zapotrzebowanie na silne uwierzytelnienie w aplikacjach konsumenckich. Stosowane tam narzędzia wieloskładnikowej autentykacji są coraz łatwiejsze w obsłudze. Wydaje się, że to obiecująca ścieżka rozwoju – przekonuje Michał Jarski, Vice President EMEAA w Wheel Systems.

 

W kilku krokach

Wieloskładnikowa autentykacja, nazywana też uwierzytelnianiem wielopoziomowym lub Multi Factor Authentication, pomału umacnia się na rynku. Polega na połączeniu czegoś, co użytkownik zna lub ma, czyli np. generatora tokenów do jednorazowego wykorzystania, z czymś, czego trudno użytkownika pozbawić – linii papilarnych lub topologii żył w dłoni. Kombinacji, które integrator może zaproponować klientowi, jest sporo. Producenci oferują około 20 autentykatorów, gdyż oprócz różnego rodzaju tokenów tę rolę mogą pełnić zdrapki, certyfikaty cyfrowe i czytniki biometryczne.

 

W tej chwili najbardziej popularne jest uwierzytelnianie dwuetapowe, które jest de facto szczególnym przypadkiem MFA. Składa się zazwyczaj z pary hasło/login i drugiego elementu uwierzytelniającego. W Polsce najczęściej korzystają z tego sposobu banki, które jako drugą metodę stosują powiadamianie za pośrednictwem SMS-a. Fundamentalną zaletą takiego rozwiązania jest jego stosunkowo niewielka cena.

Sebastian Krystyniecki, Principal SE w firmie Fortinet, dodaje, że wiadomości tekstowe mają też i inne zalety, do których zalicza unikatowość kodów, a także możliwość przesyłania ich tylko do aktywnego urządzenia, co stanowi dodatkową przeszkodę dla przestępcy. Specjalista zwraca jednak uwagę, że nie jest to zabezpieczenie doskonałe, bowiem hakerzy dysponują oprogramowaniem przeznaczonym do przechwytywania SMS-ów. Należy więc zadbać o odpowiednie zabezpieczenie samych urządzeń mobilnych, przede wszystkim modeli z systemem Android.

– Zgubienie telefonu stwarza tak duży problem z kodami SMS, że konieczna staje się wizyta w banku, aby osobiście zmienić sposób autoryzacji – mówi Sebastian Krystyniecki.

Według ekspertów nie mają tej wady softtokeny, a ich podstawowa zaleta polega na tym, że ciąg cyfr nie jest przesyłany w sieci GSM, ale LAN. Softtokeny działają na zasadzie aplikacji zainstalowanej w telefonie komórkowym.

 

Za, a nawet przeciw

Z całą pewnością warto zwrócić uwagę na rosnącą popularność metod biometrycznych. Urządzenia codziennego użytku, takie jak smartfony, coraz częściej wyposażane są w czytniki linii papilarnych, dzięki czemu możliwe jest np. szybkie potwierdzanie zakupów. Do najnowszych metod uwierzytelniania należy odczytywanie ruchów warg. Jednak praktyczne zastosowanie biometrii w systemach uwierzytelnienia nie jest sprawą oczywistą. Wymaga zwykle poniesienia bardzo dużych nakładów inwestycyjnych, co siłą rzeczy negatywnie wpływa na popyt. W polskich przedsiębiorstwach może być więc mowa głównie o wykorzystywaniu takich mechanizmów do ochrony szczególnie ważnych zasobów IT.

Hasło? Jakie hasło?

Teraźniejszością systemów uwierzytelniających są kody jednorazowe i trudno wyobrazić sobie, aby w najbliższej przyszłości wyparła je inna technika. Gwarantują stosunkowo wysoki poziom bezpieczeństwa, a poza tym są wygodne nawet dla nieobytego z techniką użytkownika i – co jest nie bez znaczenia – tanie. Jednak w nieco dalszej perspektywie sytuacja może ulec zmianie za sprawą systemów wykorzystujących analizę zachowania użytkowników. Niektórzy eksperci spodziewają się zupełnej eliminacji haseł i zastąpienia ich przez analizatory zachowania oraz lokalizacji wykorzystujące sztuczną inteligencję. Taki mechanizm pozwoli na błyskawiczne udostępnianie zasobów w miejscu pracy: przykładowo do odblokowania dostępu do komputera wystarczy zbliżenie się do niego. Poza tym mechanizmy te będą na bieżąco weryfikowały tożsamość użytkownika, uniemożliwiając podmianę przy konsoli.

 

Specjaliści prognozują, że w nieco dalszej przyszłości rozwiązania tego typu będą stosowane w nowoczesnych nieruchomościach klasy premium, w których systemy biometryczne mają stanowić alternatywę dla zamków w drzwiach. Być może znajdą też zastosowanie w branży motoryzacyjnej oraz w bankowości detalicznej – według planów staną się jednym z elementów uwierzytelnienia typu MFA. Wraz z numerem PIN będą chroniły dostęp w wielofunkcyjnych bankomatach oraz kasach. Eksperci zastrzegają jednak, że rozwiązania tego typu nie rozpowszechnią się, dopóki nowe techniki biometryczne nie zostaną udoskonalone, a przez to staną się mniej podatne na oszustwa.

– Pokonanie biometrycznych zabezpieczeń nie jest wcale takie trudne. Można podrobić zarówno odcisk palca, jak i głos. Z tym ostatnim zadaniem poradzi sobie np. syntezator mowy, który dokona syntezy głosu użytkownika na podstawie wcześniejszych nagrań – mówi Mariusz Baczyński z Cisco.

Wielu specjalistów postrzega biometrię jak rodzaj docelowego systemu identyfikacji. Jednak wiele czynników powoduje, że przynajmniej na razie jest to opinia na wyrost. Zalicza się do nich przede wszystkim złożoność systemów, łatwość ominięcia procedur, a nawet niemożność weryfikacji odcisków palców, głosu lub obrazu tęczówek. Zwraca się przy tym uwagę, że według generalnego inspektora ochrony danych osobowych informacje biometryczne stanowią „szczególny rodzaj danych osobowych” i należy traktować je z „dużą ostrożnością”. Na administratorze takich zasobów ciąży więc obowiązek ich wyjątkowo skutecznego zabezpieczenia.

 

Prawo na bank

Z biometrią, czy bez, systemy uwierzytelniające będą się z pewnością rozwijały. Do bodźców dynamizujących ten rozwój należą zmiany prawne. Istotny wpływ na kształt rynku będzie miało egzekwowanie unijnej dyrektywy Payment Services Directive 2. Jej celem jest wprowadzenie silniejszego uwierzytelniania oraz stosowanie minimum dwóch niezależnych rodzajów identyfikacji płacącego.

– Z jednej strony wydłuży to proces weryfikacji, ale z drugiej podniesie poziom bezpieczeństwa – podkreśla Magdalena Baraniewska, Corporate Channel Sales Manager w F-Secure.

Dyrektywa PSD2 to także wyzwanie dla banków, ponieważ będą musiały współpracować z nowymi usługodawcami na rynku płatniczym, co może prowadzić do licznych zagrożeń bezpieczeństwa. Niejednokrotnie najsłabszym ogniwem w procesie uwierzytelniania są firmy trzecie, czyli dostawcy usług, którzy najczęściej odpowiedzialni są za przebieg transakcji. Można wskazać wiele przykładów wywodzących się z handlu detalicznego, kiedy zabezpieczenia systemów informatycznych terminali POS stosowanych przez sprzedawców zostały przełamane, ponieważ udało się wykraść dane uwierzytelniające firm trzecich.

Zdaniem integratora

• Grzegorz Blinowski, prezes CC Otwarte Systemy Komputerowe

Rozwiązania uwierzytelniające to dość delikatna kwestia. Dywagacje na temat tego, który system jest bardziej bezpieczny, mają moim zdaniem charakter raczej akademicki. System skuteczny pod względem technicznym, ale źle wdrożony, nie tylko nie poprawi bezpieczeństwa, ale wręcz może obniżyć jego poziom. Bezpieczne więc są te systemy, które zostały wdrożone poprawnie. Przykładem są systemy wykorzystujące SMS-y. Sama idea jest prosta, ale dopiero sposób, w jaki została zrealizowana przez firmę instalatorską, decyduje o tym, czy wpływa na poprawę bezpieczeństwa, czy raczej na jego pogorszenie. Są też inne problemy – pod względem czysto technicznym najbardziej bezpieczne są systemy biometryczne. Odstrasza jednak wysoka cena, a ich zastosowanie w wielu przypadkach budzi wątpliwości natury prawnej.

 

– Skoro można było przełamać zabezpieczenia infrastruktury wydawałoby się niezwiązanej z płatnościami, należy zwrócić uwagę na to, jak zabezpieczone są firmy trzecie, pośredniczące między klientem, bankiem a stroną e-commerce – zwraca uwagę Magdalena Baraniewska.

 

Bezpieczeństwo przez telefon

Wielu specjalistów uważa, że systemy uwierzytelniające będą coraz bardziej mobilne, co oznacza, że wszystkie ważne aplikacje autentykujące będą instalowane w smartfonie lub telefonie. Wejście na tę ścieżkę rozwoju może spowodować, że smartfon zastąpi karty, które teraz pracownicy korporacji wieszają na tzw. smyczach. Już teraz aparaty są wyposażane w cyfrowe certyfikaty i emulują karty. Producenci oprogramowania piszą już odpowiednie aplikacje. Zwolennicy tej koncepcji wymieniają wiele związanych z tym korzyści, m.in., że utrata tak wyposażonego telefonu jest mniej groźna niż zgubienie „smyczy” z kartami.

– Smartfon ma kilka elementów chroniących, m.in. czytnik linii papilarnych lub kod PIN. Karta w zasadzie nie ma żadnych zabezpieczeń – mówi Jarosław Eitelthaler, Product Manager z Veracompu.

Uwierzytelnianie za pośrednictwem smartfonów powinno zyskiwać na popularności ze względu na niskie koszty i rzecz jasna wygodę użytkowania. Ciekawą kwestią jest droga rozwoju techniki uwierzytelniania płatności. Czy ma to być coraz lepsza karta, czy smartfon? Próbę odpowiedzi podjął ostatnio Mastercard, prezentując biometryczną kartę płatniczą nowej generacji, która łączy mikroprocesor i technikę rozpoznawania odcisku palca. Być może jednak rynek zdominują telefony i smartfony wyposażone w sensory analizujące.

– W mojej opinii smartfony nie zwiększają bezpieczeństwa, ale trend związany z rozwiązaniami mobilnymi jest bardzo silny. Cóż, chyba po prostu będziemy musieli się pogodzić z tym, że telefonia będzie odgrywała w naszym życiu coraz większą rolę – podsumowuje Grzegorz Blinowski prezes CC Otwarte Systemy Komputerowe.

Niezależnie od rozwoju konkretnych systemów czy urządzeń uwierzytelnianie stanowi spore pole do popisu dla wdrożeniowca, ale tylko dobrze przygotowanego. Doradztwo, szkolenia, no i samo wdrożenie, mogą przynieść całkiem godziwe zyski. Jak w każdym segmencie wymagającym specjalizacji, rentowność prac instalatorskich jest tu stosunkowo wysoka.

Jarosław Eitelthaler

Product Manager, Veracomp

Wbrew rozpowszechnionej wśród licznych menedżerów opinii systemy do uwierzytelniania nie są drogie. Kiedy prezentujemy rozwiązanie klientom, prawie zawsze najbardziej są zaskoczeni właśnie ich niską ceną. Zresztą niewiedza to chyba grzech główny związany z systemami uwierzytelnienia. Potencjalni nabywcy nie zdają sobie sprawy z zagrożeń, tym bardziej nie wiedzą, jak się chronić przed atakami. Trudno powiedzieć, czym to jest spowodowane. Może nonszalancją i przekonaniem, że nic się nie wydarzy?