Wieloskładnikowe uwierzytelnianie to połączenie standardowego zabezpieczenia w postaci loginu i hasła z dodatkowym, jakim jest jednorazowy kod, generowany i przesyłany bezpośrednio na urządzenie danego użytkownika. Jednym z dostępnych na rynku rozwiązań tego typu jest ESET Secure Authentication – narzędzie zarządzania dwuskładnikowym uwierzytelnianiem, które w prosty sposób można wdrożyć na serwerach rodziny Windows. Rozwiązanie dostarcza jednorazowe kody zabezpieczające za pomocą specjalnej aplikacji (dostępnej dla wszystkich systemów mobilnych), poprzez wiadomości e-mail, SMS lub tokeny sprzętowe. Wśród tych ostatnich znajdują się karty ze zintegrowanym wyświetlaczem, dostarczające dynamicznie zmieniane hasła jednorazowe (One Time Password).

Karty oferowane są w wersji z jednym przyciskiem lub z wieloprzyciskową klawiaturą dotykową, umożliwiającą wprowadzenie na karcie PIN-u stanowiącego dodatkowy element zabezpieczający. Wykorzystująca karty OTP platforma bazuje na wielu rodzajach algorytmów, w tym opartych na zdarzeniach (HOTP), czasie (TOTP) lub rozwiązaniach typu challenge/response (OCRA).

Wspomniane rozwiązania stają się coraz popularniejsze. Nawet działania UE idą w tym kierunku, aby zachowując racjonalny poziom bezpieczeństwa, upowszechnić innowacyjne narzędzia autoryzacji. Dyrektywa z Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r.  otwiera drogę do używania OTP jako zaawansowanych narzędzi autoryzacji. Ich stosowanie w zakresie podpisu elektronicznego i „usług zaufania” zacznie być obligatoryjne już od 1 lipca 2016 r.

 

Jak wiadomo, kody OTP występują również w innych powszechnie stosowanych postaciach – popularnych kodów SMS – lub są dostarczane przez aplikacje mobilne. Jednak kody SMS nie są optymalnym narzędziem do zastosowania w bankowości mobilnej (zarówno w wersji przeglądarkowej, jak i aplikacyjnej), ponieważ to samo urządzenie służy do pozyskania informacji umożliwiającej autoryzację, jak i do późniejszego wprowadzenia tej informacji (kradzież takiego urządzenia ułatwia dostęp do zabezpieczanych usług). Mogą być także przechwycone przez przestępców, którzy wcale nie muszą wejść w posiadanie telefonu, i wykorzystane w celu uzyskania dostępu do rachunku klienta i jego środków. Poza tym obsługa takich kodów stanowi duże obciążenie dla budżetu danej instytucji lub firmy, bo średni koszt pojedynczego SMS-a wynosi 4–9 gr netto.

 

Karty NIDS Display

Alternatywnym wobec kodów SMS sposobem na wieloskładnikowe uwierzytelnianie są karty NIDS Display. Zapewniają maksymalny komfort użytkowania i wiele funkcji (np. obsługę płatności, uwierzytelnianie on-line, kontrolę dostępu oraz identyfikowanie na podstawie takich cech jak wydrukowane na karcie imię i nazwisko, zdjęcie czy logo). Wyglądają jak karty płatnicze i mogą być przechowywane razem z nimi (nie trzeba nosić ze sobą tokenu pokaźnych rozmiarów). Karta NIDS Display z wbudowanym wyświetlaczem jako jedyna na rynku jest wyposażona w innowacyjną klawiaturę dotykową TOUCH.

W odróżnieniu od SMS-owego systemu dostarczania haseł, do korzystania z karty NIDS Display nie jest potrzebna sieć, więc można jej używać wszędzie i o każdej porze. Użytkownikowi narzędzia nie grozi zatem sytuacja, że nie uzyska dostępu do konta, gdyż wyjechał za granicę albo znajduje się w części budynku, gdzie sieć komórkowa nie działa. Co ważne, korzystanie z takich kart jest bardzo ekonomiczne, nie wiąże się bowiem z opłatami roamingowymi.

Karty NIDS Display z wyświetlaczem zostały dostosowane do warunków typowych dla codziennego użytkowania, cechują się odpornością i trwałością standardowych kart kredytowych. Mają certyfikat EMV, przeszły wymagające testy certyfikacyjne MasterCard Card Structure and Integrity potwierdzające wysoką odporność tworzywa, z którego są wytwarzane.

Przemysław Sobczyk

opiekun laboratorium bezpieczeństwa, Perceptus

Dwuskładnikową autoryzację za pomocą tokenów SMS na szeroką skalę pierwsze wprowadziły banki. Inne firmy powinny podążać ich śladem, ale jednocześnie ulepszyć to rozwiązanie za pomocą fizycznej karty, która pracuje offline. W ten sposób zapewniona zostanie największa ochrona w zakresie dostępu do firmowych zasobów. Tokeny to najlepsze rozwiązanie, jeżeli chodzi o wygodę stosowania przez użytkownika. Połączenie OTP i ESET Security Authenticator daję gwarancję najwyższego poziomu bezpieczeństwa, a dodatkowo wdrożenie tego rozwiązania jest bardzo proste.

 
NIDS i ESET

Oczywiście rozwiązanie uwierzytelniania bazujące na kodach OTP wymaga po stronie weryfikującej serwera autoryzacji. Platforma kart NIDS Display jest kompatybilna z większością algorytmów bezpieczeństwa. Istnieją karty prekonfigurowane z rozwiązaniami MasterCard CAP lub OATH (Open Authentication), co oznacza, że administratorzy mają dość dużą swobodę wyboru.

Inżynierowie firmy Perceptus, w ramach testów przeprowadzonych we własnym laboratorium, przygotowali dla partnerów i klientów kilka różnych konfiguracji wspomnianej karty z niezależnymi serwerami autoryzacji. Ich zdaniem na szczególną uwagę zasługuje rozwiązanie ESET Secure Authentication (ESA), które integruje się z Active Directory. Co bardzo ważne, nie wymaga instalacji żadnego oprogramowania w systemach operacyjnych na stanowiskach klienckich. Rozwiązanie może być wykorzystywane m.in. do uwierzytelniania w procesie logowania się użytkownika do stacji roboczej.

Zbyt jawne loginy i hasła

Według badania przeprowadzonego przez firmę Ping Identity wciąż najbardziej popularną metodą uwierzytelniania użytkowników korzystających zdalnie z zasobów firmowych (konto firmowe w laptopie, VPN, sieciowe portale firmowe) jest stosowanie loginu i hasła. Oto najciekawsze wnioski płynące z tego badania:

• 78 proc. pracowników firm uważa, że ryzykowne jest współużytkowanie hasła z członkami rodziny, ale 37 proc. i tak to robi.

• 54 proc. pracowników umożliwia członkom rodziny korzystanie z ich służbowych laptopów i smartfonów.

• 74 proc. użytkowników zapewnia, że nigdy nie podzieliło się swoimi danymi do laptopa, ale równocześnie 20 proc. twierdzi, że oddałoby swoje hasła za równowartość rocznej spłaty hipoteki lub rocznego wynajmu mieszkania.

• 59 proc. pracowników jest zdania, że wyłącznie dział IT jest odpowiedzialny za odpowiednie zabezpieczenie komputerów.

 

Po jednorazowej czynności zarejestrowania i przypisaniu karty tokenowej do użytkownika można dowolnie korzystać z bezpiecznego dwuskładnikowego uwierzytelnienia. Kompletne rozwiązanie zostało pomyślane w taki sposób, aby token i jego jednorazowy kod był generowany na urządzeniu posiadanym przez użytkownika (coś, co masz), a hasło stanowiło czynnik bazujący na wiedzy (coś, co wiesz). Należy przy tym zwrócić uwagę, że samo hasło w przypadku używania tokenu nie musi być już objęte rygorystyczną polityką ochronną, bo nawet jego pozyskanie przez przestępców nie naraża użytkownika na utratę poufności. Wieloskładnikowe uwierzytelnianie w przypadku pracy zdalnej jest zapewniane dzięki integracji ESET Secure Authentication z klientem VPN, bazującej na protokole RADIUS.

Analogiczne zabezpieczenie może być stosowane również wobec aplikacji internetowych – kolejnego wrażliwego kanału komunikacji, w którym stosowana uprzednio infrastruktura klucza publicznego (PKI) nie pasowała najlepiej. W tym przypadku, po klasycznym uwierzytelnieniu w aplikacji, użytkownik przekierowywany jest na stronę autoryzacji ESET Secure Authentication, gdzie wymagane jest podanie do weryfikacji kodu OTP z tokenu.

W zakresie integracji z aplikacjami sieciowymi rozwiązanie ESA nadzwyczaj dobrze współpracuje z produktami Microsoft, takimi jak Exchange, SharePoint czy Dynamics CRM. Uzupełnieniem zabezpieczeń połączeń zdalnych jest też autoryzacja sesji zdalnych RDP (Remote Desktop Protocol) oraz RWA (Remote Web Access), podczas których oczywiście, poza hasłem do konta użytkownika, wymuszana jest autoryzacja za pomocą kodu OTP z karty.

Jedną z wielu ciekawych cech ESET Secure Authentication jest możliwość autoryzacji użytkowników domenowych w procesie logowania do lokalnego konta na stacji roboczej przy użyciu dwuskładnikowego uwierzytelniania. Przydatna jest też opcja logowania się offline za pomocą tokenu, co nie jest często spotykane w tej klasy rozwiązaniach autoryzacyjnych.

Dodatkowe informacje:

Przemysław Sobczyk,

opiekun laboratorium bezpieczeństwa,  Perceptus,

p.sobczyk@perceptus.pl

Artykuł powstał we współpracy z firmą Perceptus.