Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

Wdrożenie sprzętowych kluczy U2F w firmie

Data publikacji: 26-08-2021 Autor: Maciej Olanicki

W obliczu coraz bardziej złożonych słowników – do których w przyszłości zaprzęgnięte zostaną zapewne także komputery kwantowe – gigantycznych wycieków danych i złożonych form phishingu dostawcy usług poszukują mechanizmów, które raz na zawsze wyeliminują tradycyjne metody uwierzytelniania. Przyglądanie się tym próbom skłania jednak do wniosku, że każda firma powinna dziś rozważyć wdrożenie sprzętowych kluczy uwierzytelniających.

 

Dla wielu wykorzystywanie do uwierzytelniania fizycznego sprzętu może się wydawać rozwiązaniem staroświeckim. Wszak zewsząd słyszymy o logowaniu bezhasłowym, uwierzytelnianiu z użyciem aplikacji mobilnych czy SMS-ów, a w końcu biometrii. W pierwszej części cyklu na temat teorii i praktyki wdrażania kluczy U2F w firmie skupimy się na tym, jaką przewagę mają one nad wspomnianymi nowoczesnymi i intensywnie promowanymi mechanizmami, które jednak nie są pozbawione wad i podatności. O ile bowiem koncepcyjnie i technicznie trudno zarzucić im wiele, o tyle już sposoby, w jaki są one implementowane w usługach, nierzadko przyczyniają się do obniżania poziomu bezpieczeństwa. Na kolejnych etapach zostanie omówiona praktyka wdrożenia konkretnych urządzeń oraz ich zaawansowana konfiguracja, integracja z usługami oraz chmurą.

> Usterki biometrii

Jedną z najbardziej rozpowszechnionych nowych metod uwierzytelniania jest biometria, dotyczy to już nie tylko urządzeń mobilnych, ale także pecetów, między innymi za sprawą promowanej przez Microsoft usługi Windows Hello. Nietrudno odpowiedzieć sobie na pytanie, dlaczego to właśnie biometria – posługiwanie się wizerunkiem twarzy czy wzorem linii papilarnych – zyskała zarówno wśród konsumentów, jak i klientów biznesowych tak dużą popularność w tak szybkim czasie. Jest to po prostu wygodne i szybkie – pełny dostęp do urządzenia, konta użytkownika czy bankowości internetowej można uzyskać w ułamek sekundy.

Szkopuł w tym, że bezpieczeństwo rzadko łączy się z wygodą, czego zdają się nie dostrzegać na przykład projektanci aplikacji mobilnej bankowości. Aby zobrazować ten problem, konieczne jest zwrócenie uwagi na składniki, jakie w tradycyjnym procesie uwierzytelniania musiał podać użytkownik. Był to login, czyli składnik jawny, oraz hasło, czyli sekret. Dziś – po spopularyzowaniu się biometrii – oba te składniki często zastępowane są jednym, w dodatku jawnym. Wielokrotnie przecież dowodzono, że algorytmy rozpoznawania obrazu można oszukać za pomocą zwykłego zdjęcia, zaś czytniki linii papilarnych zezwalały na dostęp po przyłożeniu do nich przygotowanego w drukarce 3D modelu palca.

W 2017 roku przekonała się o tym Ursula von der Leyen, ówczesna minister obrony Niemiec, a dziś przewodnicząca Komisji Europejskiej. Podczas organizowanej w Niemczech imprezy Chaos
Communication Congress hakerzy zdołali na podstawie ogólnodostępnych zdjęć dostępnych na stronie polityk stworzyć na tyle wyraźny wzór linii papilarnych, że był w stanie oszukiwać czytniki. Podobnych przypadków było znacznie więcej, co powinno skłaniać do refleksji – biometria może być dobrym (choć jak pokazują osiągnięcia uczestników Chaos Communication Congress – niestety często jawnym) składnikiem logowania, ale nie może stanowić jedynego składnika. Gdybyśmy odnieśli współczesne implementacje biometrii do tradycyjnego logowania dwuskładnikowego, to jasne staje się, że biometria mogłaby po prostu, obok loginu i hasła, stanowić trzeci składnik. W innym wariancie – jako element jawny uwierzytelniania – mogłaby zastępować login, ale tylko wtedy, gdyby zachowane zostało tradycyjne, niejawne hasło.

 

[...]

 

Dziennikarz, redaktor, bloger. Entuzjasta i popularyzator wolnego oprogramowania. Redaktor prowadzący „IT Professional”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"