Dostęp do haseł użytkowników przez administratorów systemu.

Jedną z najbardziej niebezpiecznych praktyk stosowanych obecnie jest przechowywanie niezaszyfrowanych haseł użytkowników dostępnych dla administratorów systemu. W niektórych witrynach nowi użytkownicy otrzymują hasła, które są przypisywane i zapisywane przez administratorów systemu. Jeśli te hasła zostaną użyte tylko raz, podczas pierwszego logowania, użytkownik może zostać zmuszony do wybrania lub utworzenia prawdziwie tajnego hasła, którego nikt inny nie zna. Jednak w wielu takich witrynach administratorzy zachowują kontrolę nad dokumentami papierowymi lub elektronicznymi, zwykle w celu szybkiego dostępu, gdy użytkownicy zapomną własnych haseł. Taki dostęp całkowicie niszczy ważny element I&A: niezaprzeczalność. Jeśli ktoś inny ma dostęp do hasła, upoważnieni użytkownicy mogą rozsądnie odrzucić transakcje, twierdząc, że ich tożsamość została sfałszowana. Takiemu zaprzeczeniu trudno przeciwdziałać, zwłaszcza w sądzie rozpatrującym zarzut nadużycia ze strony uprawnionego użytkownika tego hasła. Zasadniczo haseł, które będą używane wielokrotnie, nie powinny być zapisywane i nie powinny być dostępne dla administratorów systemu. Krytyczne hasła można zapisać, przechowywać w pojemnikach zabezpieczonych przed manipulacją i zamknąć, gdzie co najmniej dwa podpisy będą wymagane do odzyskania w nagłych wypadkach.

UWIERZYTELNIANIE NA PODSTAWIE HASŁA

Hasła to obecnie wszechobecna technologia uwierzytelniania w cyberprzestrzeni. Według ostrożnych szacunków dziennie dochodzi do blisko miliarda uwierzytelnień opartych na hasłach. Przykłady obejmują ogromną liczbę użytkowników Internetu i liczba haseł, z których każdy z nich korzysta na co dzień. Jednak obecne wdrażanie technologii haseł wymaga wielu ulepszeń. Obecnie użytkownicy muszą pamiętać zbyt wiele tożsamości i odpowiednich haseł. Ponadto zastosowana technologia jest bardziej wrażliwa niż powinna; na przykład wielu użytkowników wybiera hasła, które można łatwo odgadnąć. Hasła nigdy nie będą tak bezpieczne, jak najsilniejsze systemy biometryczne, więc nie można ich używać jako jedynej podstawy, powiedzmy, do wystrzeliwania pocisków jądrowych. Jednak ich użycie może być wystarczająco silne dla wielu mniej krytycznych transakcji. W następnych sekcjach omówiono główne zagrożenia związane z używaniem haseł i ich łagodzenie za pomocą środków technicznych, społecznych i proceduralnych

Co tylko ty robisz

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Dynamiczna biometria rejestruje dynamiczny proces, a nie statyczną charakterystykę osoby. Dobrze znanym przykładem jest dynamika podpisu. Dynamika podpisu polega na rejestrowaniu prędkości i przyspieszenia dłoni osoby, ponieważ podpis jest zapisywany na specjalnym tablecie. Nie tylko kształt podpisu, ale dynamiczna charakterystyka ruchu podczas pisania podpisu uwierzytelnia ruchy osoby, które są niezwykle trudne do zasymulowania. Inną możliwością jest rozpoznanie cech głosu osoby, gdy jest ona proszona o przeczytanie na głos określonego tekstu. Kolejną alternatywą jest dynamika naciśnięć klawiszy podczas pisania na klawiaturze. Podobnie jak we wszystkich innych formach uwierzytelniania, dynamiczna biometria polega na wykluczeniu ataków przechwytywania i odtwarzania, w których na przykład nagranie czyjegoś głosu może zostać użyte do oszukania systemu rozpoznawania głosu. Podobnie, system dynamiki sygnatur może zostać oszukany przez odtwarzanie danych zarejestrowanych z autentycznej sygnatury.

Techniki szyfrowania pomagają utrudnić takie ataki. Eksperci ds. Bezpieczeństwa są zgodni co do tego, że dane biometryczne zapewniają silniejszą gwarancję uwierzytelnienia, ale ich wdrożenie na dużą skalę nie zostało jeszcze wykazane. To, czy ta technologia stanie się w końcu wszechobecna, może ostatecznie zależeć od jej społecznej i politycznej akceptacji, a także od ulepszonej technologii.

Kim tylko Ty jesteś.

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Biometria przenosi uwierzytelnianie bezpośrednio na człowieka. Jako ludzie rozpoznajemy się na podstawie wielu cech. Uwierzytelnianie biometryczne ma na celu osiągnięcie podobnego rezultatu w cyberprzestrzeni. Biometria statyczna jest cechą charakterystyczną osoby, taką jak odcisk palca, geometria dłoni lub wzór tęczówki; bardziej dramatycznie, może to być DNA osoby. Prawdopodobieństwo, że dwie osoby będą miały identyczne odciski palców, wzory tęczówki lub DNA jest znikome (z wyjątkami dla identycznego genetycznie rodzeństwa). Biometria wymaga wyspecjalizowanych i drogich czytników do przechwytywania danych biometrycznych, co utrudnia ich powszechne wdrożenie. Biometria również boryka się z problemami związanymi z odtwarzaniem i manipulowaniem. Dlatego też czytnik biometryczny sam musi być zaufany i odporny na manipulacje; Zmniejsza to prawdopodobieństwo przechwycenia przez napastnika wprowadzonych danych i odtworzenia ich w późniejszym czasie lub tworzenia fałszywych profili biometrycznych, aby oszukać system i zaakceptować oszusta. Ponadto same dane biometryczne muszą być przechwytywane w pobliżu użytkownika, aby zmniejszyć prawdopodobieństwo zastąpienia, na przykład w przypadku kradzieży krwi wykorzystywanej do oszukania systemu biometrycznego opartego na DNA. Jeśli dane są przesyłane do odległego serwera w celu uwierzytelnienia, transmisja wymaga bezpiecznego protokołu, z rozbudowanymi możliwościami oznaczania czasu i szybkim wygaśnięcie danych.

Co masz tylko Ty

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Uwierzytelnianie oparte na posiadaniu tokena jest stosowane tam, gdzie pożądane jest większe zapewnienie tożsamości niż jest to możliwe przy użyciu samych haseł. Podobnie jak w przypadku haseł, posiadanie tokena nie oznacza bezpośredniego uwierzytelnienia istoty ludzkiej; raczej poświadcza posiadanie tokena i możliwość jego użycia. Czasami do korzystania z tokena wymagane jest hasło lub kod PIN, ustanawiając w ten sposób uwierzytelnianie dwuskładnikowe; zgodnie z teorią wymóg posiadania obu elementów zmniejsza prawdopodobieństwo skutecznego spoofingu. Tokeny mogą przybierać różne formy. Najstarszym tokenem jest fizyczny klucz do fizycznego zamka, ale nie są one często używane do zabezpieczania systemów komputerowych. Miękkie tokeny są przenoszone na nośnikach przenośnych lub nawet dostępne przez sieć z serwera. Miękkie tokeny zawierają tylko dane; zazwyczaj wymagają hasła, aby uzyskać dostęp do zawartości. Nowoczesne tokeny są zwykle implementowane na niezależnym sprzęcie z możliwością przetwarzania. Przykłady zawierają:

* Urządzenia wielkości karty kredytowej z wyświetlaczem ciekłokrystalicznym (LCD), które wyświetlają pseudolosowe numery lub inne kody.

* Urządzenia LCD w kształcie breloczka wykorzystujące te same algorytmy, co urządzenia w kształcie karty kredytowej.

* Urządzenia sprzętowe zwane kluczami sprzętowymi, które podłącza się do portów wejścia-wyjścia w komputerach. Przykłady obejmują klucze sprzętowe do portów szeregowych, portów równoległych, portów uniwersalnej magistrali szeregowej (USB) i interfejsów kart PC. Wszystkie tokeny używane do uwierzytelniania komputerów wymagają oprogramowania do przetwarzania informacji znajdujących się na nich lub przez nie wytworzonych. Najważniejsze rozróżnienie dotyczy tego, czy tokeny wymagają elektronicznego kontaktu z systemem uwierzytelniania. Tokeny zbliżeniowe są łatwiejsze do wdrożenia, ponieważ nie wymagają wyspecjalizowanych czytelników. Na przykład generatory pseudolosowych numerów kart kredytowych i breloków po prostu wymagają od użytkownika wprowadzenia widocznego kodu w odpowiedzi na monit oprogramowania uwierzytelniającego. Tokeny zbliżeniowe mają bardziej ograniczone funkcje niż tokeny kontaktowe. Na przykład token kontaktowy może służyć do tworzenia podpisów cyfrowych, podczas gdy token zbliżeniowy nie może tego zrobić praktycznie. W cyberprzestrzeni token nie jest uwierzytelniany na podstawie cech fizycznych. Raczej token ma jakiś sekret, albo wyłączny dla siebie, albo prawdopodobnie współdzielony z serwerem w sieci. Uwierzytelnienie tokena jest tak naprawdę uwierzytelnieniem wiedzy o sekrecie przechowywanym na tokenie. W związku z tym uwierzytelnianie oparte na posiadaniu tokena jest równoznaczne z uwierzytelnianiem na podstawie tego, co wie token. Jednak ten sekret może być dłuższy i bardziej losowy niż sekret, który użytkownik musi zachować w ludzkiej pamięci, na przykład hasło. Niestety, budowanie opłacalnych i bezpiecznych tokenów, z których sekretu nie można wydobyć poprzez manipulowanie lub zgadywanie brutalnej siły, okazało się znacznie trudniejsze niż początkowo przewidywano. We wczesnych latach 90. wielu specjalistów ds. Bezpieczeństwa wierzyło, że tokeny zastąpią hasła; w rzeczywistości jednak, chociaż tokeny nadal stanowią atrakcyjną technologię uwierzytelniania, prawdopodobnie nie staną się one wkrótce powszechne ze względu na konsekwentne (ale wysoce dyskusyjne) przekonanie, że wdrażanie i zarządzanie hasłami jest tańsze niż inne metody uwierzytelniania

Co tylko Ty wiesz

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Uwierzytelnianie oparte na haśle lub frazie jest tak szeroko stosowane, że każda osoba, która miała jakikolwiek kontakt z komputerami i sieciami, prawdopodobnie miała kilka haseł. Chociaż technologia haseł jest często źle administrowana i niezabezpieczona (i frustrująca) dla użytkowników i administratorów, hasła mogą być wdrażane znacznie bezpieczniej i wygodniej niż zwykle. Wielu specjalistów ds.bezpieczeństwa od lat miało poczucie i nadzieję, że hasła zostaną ostatecznie wycofane i zastąpione tokenami lub danymi biometrycznymi, ale obecnie panuje zgoda co do tego, że hasła prawdopodobnie nie znikną wkrótce i będą nadal dominującą techniką uwierzytelniania Nadchodzących latach. Wykazanie się znajomością hasła nie powoduje bezpośredniego uwierzytelnienia człowieka. Po prostu uwierzytelnia znajomość hasła. Nieautoryzowana znajomość lub zgadywanie hasła może prowadzić do podszywania się pod jednego użytkownika przez innego; nazywa się to podszywaniem się. Kradzież hasła może być trudna do wykrycia, ponieważ nie jest to aktywa materialne. Hasła są również bardzo łatwe do udostępnienia. Kierownictwo wyższego szczebla często podaje swoje hasła swoim asystentom, aby ułatwić im pracę, mimo że przypisywanie uprawnień pełnomocnika byłoby równie skuteczne i bezpieczniejsze. Studenci hakerów zajmujących się bezpieczeństwem, w tym hakerów kryminalnych, szybko dowiadują się, że słabe zarządzanie hasłami może być powszechne, jeśli organizacje nie zapewnią spójnej świadomości, edukacji i szkoleń; na przykład naiwni użytkownicy czasami umieszczają swoje hasła na karteczkach samoprzylepnych pod klawiaturą lub nawet na widoku z boku swoich monitorów.

CZTERY ZASADY UWIERZYTELNIANIA

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Uwierzytelnienie deklarowanej tożsamości można ustalić na cztery sposoby:

  1. Co wiesz tylko Ty (hasła i hasła)
  2. To, co masz tylko Ty (tokeny: klucze fizyczne, karty inteligentne)
  3. Kim tylko Ty jesteś (statyczne dane biometryczne: rozpoznawanie odcisków palców, twarzy, siatkówki i tęczówki)
  4. Co tylko Ty robisz (dynamiczne dane biometryczne: rozpoznawanie głosu, pisma ręcznego i pisania)

W każdym podejściu zakłada się, że nikt inny oprócz autoryzowanego użytkownika identyfikatora nie ma dostępu do hasła lub tokena, a prawdopodobieństwo symulacji danych statycznych lub biometrycznych jest akceptowalnie niskie. Metody te można łączyć; na przykład hasła często są łączone z tokenami lub danymi biometrycznymi w celu zapewnienia silniejszego uwierzytelnienia niż jest to możliwe w przypadku jednego z nich. Znany przykład tego dwuskładnikowego uwierzytelniania występuje w przypadku kart do bankomatów. Posiadanie karty (tokena) oraz znajomość osobistego numeru identyfikacyjnego (PIN, odpowiadający hasłu) są niezbędne do uzyskania dostępu do konta bankowego użytkownika. W tym rozdziale przedstawiono każdą z tych czterech metod uwierzytelniania i podano dodatkowe szczegóły dotyczące każdej z nich.

WPROWADZENIE

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Autoryzacja to przydzielanie uprawnień dla określonych typów dostępu do zastrzeżonych informacji. W prawdziwym świecie upoważnienie jest przyznawane prawdziwym istotom ludzkim; z kolei technologia informacyjna zwykle przyznaje autoryzację identyfikatorom użytkownika (identyfikatorom). Systemy komputerowe muszą łączyć określone identyfikatory z określonymi upoważnionymi użytkownikami tych identyfikatorów. Nawet nieożywione komponenty, takie jak karty sieciowe, zapory sieciowe i drukarki, wymagają identyfikatorów. Identyfikacja to proces przypisywania identyfikatora człowiekowi lub innemu komputerowi lub elementowi sieci. Uwierzytelnianie to proces wiązania identyfikatora z określoną jednostką. Na przykład uwierzytelnianie tożsamości użytkownika ogólnie obejmuje zawężenie zakresu możliwych podmiotów twierdzących, że autoryzowały użycie określonego identyfikatora do jednej osoby. W tym rozdziale skupiamy się na uwierzytelnianiu typu „osoba do komputera”. W praktyce potrzebujemy również uwierzytelniania między komputerami, aby zapobiec fałszowaniu usług w sieci. Ten rodzaj uwierzytelniania ma coraz większe znaczenie, zwłaszcza w sieciach otwartych, takich jak Internet, gdzie użytkownicy mogą być wprowadzani w błąd co do tożsamości odwiedzanych witryn internetowych. Na przykład niektórzy przestępcy wysyłają do ofiar niechciane wiadomości e-mail w języku Hypertext Markup Language (HTML); wiadomości zawierają linki, które są oznaczone etykietami sugerującymi nieszkodliwą lub szanowaną witrynę internetową, ale znajdujący się pod nim kod HTML w rzeczywistości prowadzi do oszukańczej witryny zaprojektowanej w celu nakłonienia ludzi do ujawnienia danych osobowych, takich jak numery kart kredytowych lub dane umożliwiające kradzież tożsamości. Mówiąc bardziej ogólnie, wzajemne uwierzytelnianie komputer-komputer, zwykle w obu kierunkach, jest niezbędne do zabezpieczenia transakcji o znaczeniu krytycznym, takich jak przelewy międzybankowe i handel elektroniczny między przedsiębiorstwami. We wczesnych dziesięcioleciach użytkowania komputerów większość komputerów uwierzytelniała użytkowników, którzy uzyskiwali dostęp do komputerów typu mainframe z jednego przedsiębiorstwa. Dlatego też identyfikatory użytkowników można przypisywać w sposób scentralizowany i kontrolowany. Mimo to identyfikatory nigdy nie były niepowtarzalne, ponieważ nie ma obowiązkowej relacji jeden do jednego między identyfikatorem użytkownika a rzeczywistą tożsamością człowieka. Na przykład kilka osób może udostępniać konto takie jak inwentarz bez ingerencji ze strony komputera; co najwyżej system operacyjny można skonfigurować tak, aby uniemożliwić jednoczesne udostępnianie identyfikatora poprzez ograniczenie liczby sesji inicjowanych z określonym identyfikatorem do jednego. I odwrotnie, pojedynczy użytkownik często ma wiele identyfikatorów użytkowników. Na przykład mogą istnieć unikalne identyfikatory dla każdej z kilkudziesięciu witryn internetowych klubów muzycznych, klubów książki, e-mil firmy e-mail i tak dalej. Nawet na tym samym komputerze dany użytkownik może mieć kilka kont zdefiniowanych do różnych celów; jane doe i jdoe mogą być identyfikatorami dla dwóch różnych pakietów aplikacji w systemie. Te wielokrotne identyfikatory powodują problemy dla administratorów, jeśli nie wiedzą, że ten sam użytkownik jest powiązany z różnymi identyfikatorami; powodują również praktyczne problemy dla użytkowników, którzy muszą używać różnych metod uwierzytelniania dla różnych identyfikatorów. Jednym z krytycznych celów dzisiejszych badań i rozwoju w zakresie identyfikacji i uwierzytelniania (I&A) jest opracowanie niezawodnych i ekonomicznych metod pojedynczego logowania, dzięki którym użytkownicy nie musieliby ponownie identyfikować i uwierzytelniać się podczas uzyskiwania dostępu do różnych systemów komputerowych połączonych z Internetem

WNIOSKI

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Wykrywanie włamań i zapobieganie włamaniom to cenne dodatki do pakietów bezpieczeństwa systemu, umożliwiające kierownikom ds. Bezpieczeństwa wykrywanie, a czasami blokowanie naruszeń bezpieczeństwa, które nieuchronnie występują pomimo zastosowania prewencyjnych środków bezpieczeństwa. Chociaż obecne produkty komercyjne są niedoskonałe, służą do rozpoznawania wielu typowych typów włamań, w wielu przypadkach wystarczająco szybko, aby umożliwić personelowi ochrony i systemom IPS blokowanie uszkodzeń systemów i danych. Ponadto wraz z postępem prac badawczo-rozwojowych w zakresie wykrywania i zapobiegania włamaniom jakość i możliwości dostępnych systemów IDS i IPS będą stale się poprawiać.

Outsourcing IDS / IPS

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Wszelkie dyskusje na temat strategii IDS i IPS byłyby niepełne bez wzmianki o outsourcingu tych usług bezpieczeństwa. Z takim podejściem wiążą się znaczące korzyści, zwłaszcza w przedsiębiorstwach zbyt małych, aby pozwolić sobie na rozbudowany personel ochrony. Podobnie jak w innych obszarach outsourcingu IT, aby podejście to było skuteczne, trzeba mieć niezwykle jasne wyobrażenie o konkretnych pożądanych celach bezpieczeństwa i operacyjnych. Niezbędna jest jasno sformułowana polityka bezpieczeństwa, która odzwierciedla aktualne obawy. Zalet outsourcingu jest wiele: dostawcy zarządzanych usług ochrony zwykle mają duże doświadczenie w pracy ze sprzętem IDS i IPS, ich pracownicy są często dobrze wyszkoleni i doświadczeni w obsłudze sprzętu, personel monitorujący jest zwykle obecny przez całą dobę, oraz warunki umowy często obejmują określone poziomy umów serwisowych. Mówiąc słowami mądrego CISO, „outsourcing to nie odciążanie”. Oznacza to, że outsourcing funkcji bezpieczeństwa nie zwalnia Cię z odpowiedzialności za bezpieczeństwo systemu. Oznacza to również, że musisz zachować należytą staranność przy wyborze dostawcy usług, przydzielaniu mu zadań i zarządzaniu nim oraz monitorowaniu, aby zapewnić, że Twoje cele polityki są dobrze obsługiwane przez dostawcę