|
SprzΩt: Zabezpiecz swoje dane tokenem
Okre╢lenia na to urz▒dzenie s▒ r≤┐ne, jedni okre╢laj▒ je tokenem, inni generatorem hase│. Nie mniej jednak wszyscy s▒ zgodni, ┐e urz▒dzenie to mo┐e uratowaµ wiele instytucji finansowych i przedsiΩbiorstw przed w│amaniem lub nieautoryzowanym wej╢ciem w posiadanie informacji znajduj▒cych siΩ m.in. w Internecie, extranecie czy intranecie. Tokeny wykorzystuj▒ m.in. instytucje finansowe (80 proc. klient≤w) udostΩpniaj▒c swoje us│ugi przez Internet, a tak┐e p│atne serwisy informacyjne. Digipass 300 to ma│e, wygl▒daj▒ce jak breloczek urz▒dzenie, z wy╢wietlaczem i klawiatur▒ z 11 przyciskami. Bateria mo┐e wytrzymaµ ponad 7 lat, a sam token jest zabezpieczony przed mechanicznym uszkodzeniem. Mo┐e byµ dostosowany do wymaga± u┐ytkownika - mieµ dowolny kolor lub nadruki. Przeznaczenie urz▒dzenia jest jedno - skutecznie chroniµ informacje przed niepowo│anym dostΩpem, a wiΩc umo┐liwiµ uwierzytelnienie. Token skuteczno╢µ ma ca│kiem niez│▒ - firma istnieje 10 lat na rynku i do tej pory nie zanotowano udanej pr≤by z│amania systemu. Producentem token≤w, kt≤re testowa│a redakcja WebReportera, jest Vasco Data Security - firma kt≤ra powsta│a z po│▒czenia firm: Vintel, Digipass (obie belgijskie) oraz Vasco (USA). Pierwsze zajmowa│y siΩ sprzΩtem, trzecia opracowa│a oprogramowanie. Identyfikacja u┐ytkownika Przy standardowym zabezpieczeniu systemu przed dostΩpem niepowo│anych os≤b u┐ywa siΩ zwykle ci▒gu znak≤w (loginu, identyfikatora - kt≤re mo┐e znaµ ka┐dy) oraz tajnego has│a potwierdzaj▒cego to┐samo╢µ, kt≤re zna jedynie jego w│a╢ciciel - a przynajmniej powinien znaµ tylko on. Wchodz▒c do systemu nastΩpuje sprawdzenie informacji z baz▒ danych znajduj▒ca siΩ na serwerze i je┐eli login oraz has│o zgadzaj▒ siΩ, u┐ytkownik ma dostΩp do zdefiniowanych obszar≤w systemu. Poniewa┐ takie has│o jest statyczne, a wiΩc nie zmienia siΩ czΩsto w czasie, bardzo │atwo mo┐na je uzyskaµ i podszyµ siΩ pod w│a╢ciciela has│a. System mo┐e wymuszaµ zmianΩ has│a np. co tydzie±, lecz jest to w dalszym ci▒gu dosyµ proste do z│amania. Has│o statyczne jest najwiΩkszym zagro┐eniem w│a╢nie w Internecie. Podejrzenie has│a nie jest trudne, szczeg≤lnie gdy w otoczeniu pojawi siΩ kto╢, komu zale┐y na uzyskaniu naszych uprawnie±. Zwykle po 7 dniach wsp≤│pracownik jest w stanie poznaµ nasze has│o. A nawet je┐eli nie da rady, wiΩkszo╢µ u┐ytkownik≤w Internetu i tak nie przestrzega specjalnych regu│, kt≤re pozwalaj▒ na zwiΩkszenie bezpiecze±stwa has│a. Zwykle u┐ywane s▒ jako has│o proste ci▒gi znak≤w lub liter, np. 123456, abcde, 11111, 22222, imiona, nazwy dzieci, bliskich, nazwy marek. A wiΩc u┐ytkownik jest tutaj bardzo s│abym ogniwem. Tokeny dobre na wszystko W celu zapobiegania takim sytuacjom powsta│y tokeny. Urz▒dzenia zabezpieczone PINem, kt≤re potrafi▒ generowaµ jednorazowe has│o i podpisy elektroniczne. Oparte s▒ zwykle na algorytmie DES i 3DES. Teraz u┐ytkownik nie musi martwiµ siΩ o has│o - jest ono generowane automatycznie i w dodatku w spos≤b nie pozwalaj▒cy na z│amanie. Pierwszym zabezpieczeniem jest PIN, kt≤ry uruchamia token. Nawet je┐eli kto╢ ukradnie nam urz▒dzenie i tak nie bΩdzie m≤g│ go u┐yµ. Po trzech nieudanych pr≤bach podania PINu token przestaje reagowaµ i przechodzi w stan zablokowania. Urz▒dzenie mo┐na odblokowaµ zdalnie, wystarczy zadzwoniµ lub udaµ siΩ do operatora i na podstawie identyfikacji u┐ytkownika, dostarczany jest numer do odblokowania (dla ka┐dego urz▒dzenia i w ka┐dej chwili czasu inny). NastΩpnie u┐ytkownik mo┐e wprowadza nowy PIN - zna go tylko w│a╢ciciel tokena. Po podaniu PIN'a urz▒dzenie jest gotowe do pracy. Na podstawie wielu zmiennych (czas, klucz DES, dodatkowy klucz) generuje kod, kt≤ry po wpisaniu do formularza sprawdzany jest po stronie serwera w bazie danych. Na serwerze r≤wnie┐ wed│ug tej samej procedury nastΩpuje wygenerowanie has│a dla konkretnego loginu (identyfikatora) i has│a s▒ por≤wnywane. Je┐eli has│a s▒ takie same, nastΩpuje udostΩpnienie zasob≤w dla u┐ytkownika, je┐eli s▒ inne - dostΩp nie jest mo┐liwy. Has│o jest jednorazowe, nie mo┐na podaµ po raz kolejny tego samego has│a. Zmienia siΩ ono w czasie i nawet je┐eli kto╢ podejrzy jakie informacje wpisujemy, nie bΩdzie mia│ z tego ┐adnego po┐ytku. W│a╢nie o to chodzi│o... U┐ywanie tokena mo┐e byµ limitowane w czasie i w ilo╢ci u┐yµ. Mo┐na zaprogramowaµ do trzech kluczy DES, zadanie do wygenerowania has│a mo┐e byµ odczytane z ekranu komputera bez konieczno╢ci wprowadzania go z klawiatury (16 znak≤w), odpowied╝ mo┐e byµ wy╢wietlana w postaci dziesiΩtnej lub szesnastkowej. Token ma r≤wnie┐ mo┐liwo╢µ u┐ycia pytania i odpowiedzi (challenge/response ). Mo┐e r≤wnie┐ s│u┐yµ do generowania elektronicznych podpis≤w. Do programowania urz▒dze± s│u┐y niewielki i │atwy w u┐yciu programator, kt≤rego oprogramowanie dzia│a pod Windows 95/98/NT. Cena jednego tokena wynosi 37 USD przy zam≤wieniach od 1 tys. do 5 tys. sztuk. NiezbΩdne oprogramowanie Aby urz▒dzenie mog│o poprawnie pracowaµ potrzebne jest oprogramowanie po stronie serwera, kt≤re zapewni odczyt has│a, jego potwierdzenie i udostΩpnienie zasob≤w serwera dla upowa┐nionych u┐ytkownik≤w. S▒ trzy metody integracji zabezpiecze± z wykorzystaniem generator≤w jednorazowych hase│. Pierwsza metoda to udostΩpniane (2500 USD) biblioteki C++ funkcji kryptograficznych, kt≤re s▒ w tokenie zapisane. Mo┐na wiΩc modyfikowaµ funkcje szyfruj▒ce wed│ug w│asnych upodoba± i umie╢ciµ je we w│asnych programach. Druga metoda to zakup serwera autentykacyjnego Vacman Radius Server, do kt≤rego importujemy plik z kluczem i dziΩki niemu mo┐emy siΩ komunikowaµ z r≤┐nymi urz▒dzeniami za pomoc▒ protoko│≤w TACACS (Terminal Access Controller Access System), XTACACS i TACACS+.
Trzecia metoda to zastosowanie oprogramowania australijskiej firmy Identikey, a kt≤rym kompatybilny jest Digipass 300. Jest to aplikacja przeznaczona do pracy z Internet Information Server 4.0 i sk│ada siΩ z czterech komponent≤w:
|
