|
Sprzęt: Zabezpiecz swoje dane tokenem
Określenia na to urządzenie są różne, jedni określają je tokenem, inni generatorem haseł. Nie mniej jednak wszyscy są zgodni, że urządzenie to może uratować wiele instytucji finansowych i przedsiębiorstw przed włamaniem lub nieautoryzowanym wejściem w posiadanie informacji znajdujących się m.in. w Internecie, extranecie czy intranecie. Tokeny wykorzystują m.in. instytucje finansowe (80 proc. klientów) udostępniając swoje usługi przez Internet, a także płatne serwisy informacyjne. Digipass 300 to małe, wyglądające jak breloczek urządzenie, z wyświetlaczem i klawiaturą z 11 przyciskami. Bateria może wytrzymać ponad 7 lat, a sam token jest zabezpieczony przed mechanicznym uszkodzeniem. Może być dostosowany do wymagań użytkownika - mieć dowolny kolor lub nadruki. Przeznaczenie urządzenia jest jedno - skutecznie chronić informacje przed niepowołanym dostępem, a więc umożliwić uwierzytelnienie. Token skuteczność ma całkiem niezłą - firma istnieje 10 lat na rynku i do tej pory nie zanotowano udanej próby złamania systemu. Producentem tokenów, które testowała redakcja WebReportera, jest Vasco Data Security - firma która powstała z połączenia firm: Vintel, Digipass (obie belgijskie) oraz Vasco (USA). Pierwsze zajmowały się sprzętem, trzecia opracowała oprogramowanie. Identyfikacja użytkownika Przy standardowym zabezpieczeniu systemu przed dostępem niepowołanych osób używa się zwykle ciągu znaków (loginu, identyfikatora - które może znać każdy) oraz tajnego hasła potwierdzającego tożsamość, które zna jedynie jego właściciel - a przynajmniej powinien znać tylko on. Wchodząc do systemu następuje sprawdzenie informacji z bazą danych znajdująca się na serwerze i jeżeli login oraz hasło zgadzają się, użytkownik ma dostęp do zdefiniowanych obszarów systemu. Ponieważ takie hasło jest statyczne, a więc nie zmienia się często w czasie, bardzo łatwo można je uzyskać i podszyć się pod właściciela hasła. System może wymuszać zmianę hasła np. co tydzień, lecz jest to w dalszym ciągu dosyć proste do złamania. Hasło statyczne jest największym zagrożeniem właśnie w Internecie. Podejrzenie hasła nie jest trudne, szczególnie gdy w otoczeniu pojawi się ktoś, komu zależy na uzyskaniu naszych uprawnień. Zwykle po 7 dniach współpracownik jest w stanie poznać nasze hasło. A nawet jeżeli nie da rady, większość użytkowników Internetu i tak nie przestrzega specjalnych reguł, które pozwalają na zwiększenie bezpieczeństwa hasła. Zwykle używane są jako hasło proste ciągi znaków lub liter, np. 123456, abcde, 11111, 22222, imiona, nazwy dzieci, bliskich, nazwy marek. A więc użytkownik jest tutaj bardzo słabym ogniwem. Tokeny dobre na wszystko W celu zapobiegania takim sytuacjom powstały tokeny. Urządzenia zabezpieczone PINem, które potrafią generować jednorazowe hasło i podpisy elektroniczne. Oparte są zwykle na algorytmie DES i 3DES. Teraz użytkownik nie musi martwić się o hasło - jest ono generowane automatycznie i w dodatku w sposób nie pozwalający na złamanie. Pierwszym zabezpieczeniem jest PIN, który uruchamia token. Nawet jeżeli ktoś ukradnie nam urządzenie i tak nie będzie mógł go użyć. Po trzech nieudanych próbach podania PINu token przestaje reagować i przechodzi w stan zablokowania. Urządzenie można odblokować zdalnie, wystarczy zadzwonić lub udać się do operatora i na podstawie identyfikacji użytkownika, dostarczany jest numer do odblokowania (dla każdego urządzenia i w każdej chwili czasu inny). Następnie użytkownik może wprowadza nowy PIN - zna go tylko właściciel tokena. Po podaniu PIN'a urządzenie jest gotowe do pracy. Na podstawie wielu zmiennych (czas, klucz DES, dodatkowy klucz) generuje kod, który po wpisaniu do formularza sprawdzany jest po stronie serwera w bazie danych. Na serwerze również według tej samej procedury następuje wygenerowanie hasła dla konkretnego loginu (identyfikatora) i hasła są porównywane. Jeżeli hasła są takie same, następuje udostępnienie zasobów dla użytkownika, jeżeli są inne - dostęp nie jest możliwy. Hasło jest jednorazowe, nie można podać po raz kolejny tego samego hasła. Zmienia się ono w czasie i nawet jeżeli ktoś podejrzy jakie informacje wpisujemy, nie będzie miał z tego żadnego pożytku. Właśnie o to chodziło... Używanie tokena może być limitowane w czasie i w ilości użyć. Można zaprogramować do trzech kluczy DES, zadanie do wygenerowania hasła może być odczytane z ekranu komputera bez konieczności wprowadzania go z klawiatury (16 znaków), odpowiedź może być wyświetlana w postaci dziesiętnej lub szesnastkowej. Token ma również możliwość użycia pytania i odpowiedzi (challenge/response ). Może również służyć do generowania elektronicznych podpisów. Do programowania urządzeń służy niewielki i łatwy w użyciu programator, którego oprogramowanie działa pod Windows 95/98/NT. Cena jednego tokena wynosi 37 USD przy zamówieniach od 1 tys. do 5 tys. sztuk. Niezbędne oprogramowanie Aby urządzenie mogło poprawnie pracować potrzebne jest oprogramowanie po stronie serwera, które zapewni odczyt hasła, jego potwierdzenie i udostępnienie zasobów serwera dla upoważnionych użytkowników. Są trzy metody integracji zabezpieczeń z wykorzystaniem generatorów jednorazowych haseł. Pierwsza metoda to udostępniane (2500 USD) biblioteki C++ funkcji kryptograficznych, które są w tokenie zapisane. Można więc modyfikować funkcje szyfrujące według własnych upodobań i umieścić je we własnych programach. Druga metoda to zakup serwera autentykacyjnego Vacman Radius Server, do którego importujemy plik z kluczem i dzięki niemu możemy się komunikować z różnymi urządzeniami za pomocą protokołów TACACS (Terminal Access Controller Access System), XTACACS i TACACS+.
Trzecia metoda to zastosowanie oprogramowania australijskiej firmy Identikey, a którym kompatybilny jest Digipass 300. Jest to aplikacja przeznaczona do pracy z Internet Information Server 4.0 i składa się z czterech komponentów:
|
