dnes je 23.11.2024

Input:

Identifikace a autentizace

15.6.2020, , Zdroj: Verlag Dashöfer

6.5.3
Identifikace a autentizace

RNDr. Dagmar Brechlerová, Ph.D., České vysoké učení v Praze, Fakulta biomedicínského inženýrství, Kladno

Úvod

Autentizace je proces ověření deklarované identity uživatele (člověka) či jiné entity v systému, na jehož základě je mu umožněn (nebo neumožněn) přístup ke zdrojům v systému. Ověřená identita uživatele je parametrem pro rozhodnutí v řízení přístupu. Identita uživatele může být dále zaznamenána do auditních záznamů pro sledování bezpečnostních informací. Například snaha o neúspěšný pokus o autentizaci je zajímavým zdrojem informací pro další šetření případného incidentu. Zatímco řízení přístupu je možné založit i na jiných parametrech, než je identita uživatele, pro auditní záznamy je identita nezbytná. Tento text se týká převážně autentizace uživatele – člověka.

Peter Steiner, magazín The New Yorker, 5. července 1993.

Obvykle není možno autentizaci provádět více než 2krát nebo 3krát po sobě, další autentizace je povolena až po určitém časovém limitu, případně po kontaktování administrátora, ověření e-mailem, obnovením hesla a dalšími metodami. To je způsob, jak zabránit útočníkovi v opakovaných pokusech o autentizaci. Stejně tak je pro zachování vysoké bezpečnosti možné v některých systémech zajistit, aby při delším nepoužívání počítače byla nutná nová identifikace a autentizace, případně jsou systémy odstaveny úplně a je nutné vytvořit pro uživatele zcela nový účet.

V zásadě rozlišujeme autentizaci podle toho, jak člověk svoji identitu prokazuje. Obvykle se uvádějí důkazy identity:

  • znalostí (něčím, co vím),

  • vlastnictvím (něčím, co mám),

  • vlastností (kdo jsem),

  • co dělám,

  • kde jsem.

Důkaz znalostí

Sem patří zejména zadávání hesla, PIN či jiné znalosti. Obvykle heslo může uživatel sám měnit, resp. je to i žádoucí, zatímco PIN (Personal Identification Number) někdy bývá pevně určen, např. bankou. Volba silných hesel je zásadní podmínkou bezpečnosti. Heslem nemá být nikdy jméno, příjmení, značka auta, jména dětí, psů, zaměstnavatele, oblíbených umělců či neoblíbených politiků atd. V hesle by se měly střídat písmena, číslice, speciální znaky [!@#$%&*()] a podobně. Pokud to daný systém umožňuje, měla by se užívat také malá i velká písmena.

Heslo by mělo být co nejdelší, nicméně vzhledem k tomu, že jej uživatel bude pravděpodobně používat častěji, je zase vhodné volit rozumnou délku. Minimální počet znaků by obvykle neměl být menší než deset, ideální je dnes zhruba 12. Jak je však naznačeno například v modulu o lidském faktoru, ani sebedelší heslo nepostačuje, pokud jej zadává neopatrný nebo nezkušený uživatel.

Dalším příkladem důkazu znalostí může být např. telefonická komunikace s úředníkem banky, který může požadovat nějakou znalost (např. datum narození, adresu atd.). Stejně tak bývá tento postup obvyklý například při obnovení přístupu k mailu – uživatel může zvolit bezpečnostní otázky, které jsou mu pak položeny v případě, že se vyskytne nějaký problém (typicky se uživatel nemůže dostat přes ověření a potřebuje například obnovit heslo). Pokud při počítačovém útoku někdo další získá např. uživatelské jméno a heslo, je pak velký problém prokázat, kdo se vlastně v daný moment přihlásil a zda chyba není ve vlastníkovi hesla, který byl neopatrný. Je tedy obvyklé, že v případě podivných pokusů o transakci (například neobvykle vysoká částka převodu) je uživatel kontaktován a jeho totožnost je ověřena.

Druhy útoků na heslo:

  • hádání hesla,

  • spoofing hesla,

  • kompromitace souboru s hesly,

  • pokročilé metody pokusů o prolomení, jako je využití umělé inteligence.

Obrana proti hádání hesla

Výběr hesla

Výběr hesla je kritickým bezpečnostním prvkem. Není možné zcela zabránit útočníkovi uhodnout či matematickou cestou zjistit heslo, je ale možné tento proces velmi zkomplikovat. Vzhledem k rychlosti technického vývoje je dnes pomocí speciálních technologií možné prolomit i značně složitá hesla. Je proto vhodné, či skoro nezbytné, hlavně u důležitých hesel, použít vícenásobnou autentizaci, například pomocí jednorázového SMS kódu odesílaného na mobilní telefon uživatele. O vícefázových autentizacích bude pojednáno dále v textu.

Obrana proti útokům na heslo

  • Nepoužívat přístup bez hesla. Někdy je takový přístup umožněn, neboť jej správce např. omylem povolí.

  • Často jsou v systému nastavena nějaká počáteční (systémová/tovární) hesla typu "guest", "manager", "system", "admin" apod. Tato hesla je nutno změnit, neboť je útočník zkusí jako první. Navíc, pokud se podaří útočníkovi získat přístup jako správce, může tak ovládnout celý systém. Proto zejména správce musí dbát na ochranu hesla ještě více než běžný uživatel. Nová zařízení mívají vesměs toto tovární heslo, proto je nutné při resetování přístroje do továrního nastavení (default settings) dbát zvýšené opatrnosti, aby se neobnovilo i původní heslo.

  • Délka hesla: obvykle systém sám vyžaduje určitou minimální délku hesla, čím delší heslo, tím bezpečnější. To však musí samozřejmě doplňovat i dostatečná složitost formátu, nikoliv tedy např. "jananovakova123", zejména pokud se tak uživatelka skutečně jmenuje.

  • Formát hesla: je nutno střídat písmenné, číselné i různé další znaky, pokud možno malé a velké. Může se stát, že některé speciální znaky, např. !@#$%&*() apod., nebude možno použít, neboť je nebude formulář podporovat.

  • Vyhnout se heslům, která jsou běžná a jsou ve slovníku hesel pro daný jazyk. Je vhodné vyvarovat se jakýchkoliv existujících slov i jejich nespisovných zkomolenin, případně i slov, která namísto písmen používají například číslovky (M4M1NK4).

  • Nepoužívat jako heslo jména známých postav z filmů, počítačových her atd.

Další možnosti pro tvorbu silných hesel

  • Použít některý z programů na testování síly hesel (lze je najít na internetu) a ten použít proti stávajícímu heslu (např. http://www.passwordmeter.com/).

  • Některé systémy samy vytvoří na požádání dostatečně silné heslo, tzn. že uživatel heslo netvoří, pouze přijme již vytvořené. Případně vytvoří dočasné heslo, které je pak nutné změnit.

  • Některé systémy vynucují (nebo správce sám nastaví) pravidelnou změnu hesel, a navíc vyžaduje, aby se hesla za určité období neopakovala.

  • Některé systémy hlídají počet pokusů o přihlášení. Pokud počet pokusů překročí určitý počet (obvykle například tři), systém uživatele zablokuje, případně je uživatel kontaktován. Typickým příkladem bývají banky, které sledují potenciální hrozby a snaží se jim takto předcházet.

Obrázek: Ukázka vymazání obsahu v prohlížeči Firefox. Po ukončení aplikace se vymažou všechny uložené údaje včetně cookies, historie vyhledávání, uložených hesel a podobně. Většina prohlížečů má podobné nastavení, jehož pomocí se lze snadno ochránit a na veřejných či sdílených přístrojích je velmi důrazně doporučeno si toto nastavení zkontrolovat. Další možností je použít tzv. anonymní režim – po používání prohlížeče v takovémto režimu jsou také odstraněny všechny uložené údaje včetně historie procházení, cookies a dalších prvků.

Vícefázová autentizace

Přihlašování pouze pomocí hesla může dnes být již natolik rizikové, že účty, které by útočník mohl vážně ohrozit, využívají obvykle vícefázovou autentizaci; typickým příkladem jsou banky. Ověření obvykle probíhá prostřednictvím dočasných kódů, které jsou posílány formou SMS zpráv na mobilní telefon ověřované osoby, dále se používají také bezpečnostní certifikáty stažené do konkrétního zařízení, z něhož se uživatel přihlašuje. Jiným způsobem mohou být například tokeny s digitálním klíčem či bezpečnostní karty. Další možností je například Google Authenticator – jednoduchá aplikace pro mobilní telefon, která generuje

Nahrávám...
Nahrávám...