Portal Zarządzających Bezpieczeństwem

Przegląd różnych wieloparametrowych technologii uwierzytelnienia, które mogą zostać użyte w systemie Windows. W pierwszym artykule przyjrzymy się podstawom uwierzytelnienia opartego na chipie.

Źródło: windowsecurity.com

Gdy hasła po prostu się nie sprawdzają

Wróćmy do roku 1956, kiedy to George A. Miller napisał wspaniały artykuł pod tytułem „The Magical Number Seven, Plus or Minus Two: Some Limits on Our Capacity for Processing Information”. Opisuje w nim jakie ograniczenia my – jako ludzie – mamy, gdy chcemy zapamiętać jakieś informacje. Jednym z wniosków jest to, że przeciętna osoba jest w stanie zapamiętać siedem (7) informacji na raz, plus/minus dwie (2). Inni naukowcy próbowali później udowodnić, że przeciętna osoba może zapamiętać tylko pięć (5) informacji na raz, ponownie plus/minus dwie (2). W ten czy w inny sposób, przyjmując, że teoria ta jest prawidłowa, z pewnością stawia ona wyzwanie radom dotyczącym długości i złożoności hasła, które często możemy znaleźć w artykułach technicznych oraz książkach lub słyszymy z ust audytorów czy osób świadomych aspektów bezpieczeństwa.

Często mówi się, że złożoność jest jednym z największych zagrożeń bezpieczeństwa. Jednym z obszarów, w którym to widzimy, jest sytuacja, kiedy od użytkowników i administratorów wymaga się przestrzegania polityki złożoności hasła. Pomysłowość i obejścia, jakie czasami widzę w wykonaniu użytkowników i administratorów, gdy mają kłopoty z zapamiętaniem swoich haseł, nigdy nie przestaną mnie zadziwiać. W tym samym czasie obszar ten prawie zawsze znajduje się na liście 5-ciu najważniejszych spraw pomocy technicznej w danej organizacji. A kiedy Gartner i Forrester przewidują, że koszty telefonów do biura pomocy technicznej w sprawie zapomnianego hasła osiągają około $10 USD na dzień, wtedy łatwo przeprowadzić oszczędzającą koszty analizę obecnej polityki haseł danej organizacji.

Hasła jako jedyny mechanizm uwierzytelnienia są w porządku pod warunkiem, że ich długość jest większa niż 15 znaków i zawierają przynajmniej 1 znak, który nie należy do angielskiego alfabetu. Frazy kodujące są przykładami długich haseł, które użytkownicy mogą zapamiętać łatwiej. Dzięki temu większość ataków typu „rainbow-attack”, nawet te 8-bitowe, nie odniosą skutku z powodu zwiększonej złożoności w postaci „obcych” znaków.

Uwaga:
Od momentu wejścia systemu Windows 2000 hasło może mieć długość do 127 znaków.

Jednakże powodem dla którego hasła jako jedyny mechanizm uwierzytelniania są niewystarczające jest fakt, że użytkownicy nie lubią wybierania i zapamiętywania dobrego, bezpiecznego hasła. Możesz też często zauważyć, że hasła nie są odpowiednio chronione. Na szczęście istnieją inne rozwiązania dotyczące bezpieczeństwa, które zarówno podwyższają zabezpieczenie jak i wprowadzają udogodnienie w postaci używania krótkiego, łatwego do zapamiętania hasła.

Jednym z takich rozwiązań w zakresie bezpieczeństwa jest uwierzytelnianie oparte na chipie, które często określane jest mianem uwierzytelniania dwuczynnikowego. Uwierzytelnianie dwu-czynnikowe wykorzystuje kombinację następujących punktów:

1. Coś, co masz, np. karta elektroniczna lub token USB

2. Coś, co znasz, np. własny numer PIN. PIN umożliwi użytkownikowi dostęp do certyfikatów cyfrowych zapisanych na karcie elektronicznej.

Rysunek 1 ilustruje dwa różne rozwiązania, które w zasadzie mają taką samą technologię. Ściślej mówiąc, różnica polega tylko na czynniku formy i koszcie, chociaż każde z rozwiązań może zawierać dodatkowe funkcje i zaraz to wyjaśnimy.

Zarówno karty elektroniczne jak i tokeny USB mają wbudowane chipy. Chip w zasadzie jest 32-bitowym mikroprocesorem i zazwyczaj zawiera 32KB lub 64KB elektronicznie wymazywalną, programowalną pamięć stałą (EEPROM), pamięć dostępu bezpośredniego (RAM), chip wbudowany w karcie lub tokenie USB. Istnieją także karty elektroniczne lub tokeny USB dziś dostępne, które zawierają do 256KB RAMu dla bezpiecznego przechowywania danych.

Uwaga:
Gdy mówimy w tym artykule o przechowywaniu, odnosimy się tylko do przechowywania zawartego w chipie zabezpieczenia, a nie do samego urządzenia.

Chip ten zawiera małe systemy operacyjne i trochę pamięci dla zapamiętania certyfikatów, która jest używana dla uwierzytelnienia. OS na chipie różni się w zależności od producenta i dlatego musisz się upewnić, że używasz CSP (Cryptographic Service Provider – Dostawca Usług Kryptograficznych) w Windowsie, który obsługuje OS na chipie. W następnym artykule przyglądniemy się CSP. Rozwiązanie oparte na chipie ma parę zalet w porównaniu do innych wieloparametrowych rozwiązań uwierzytelniania, ponieważ może być użyty do przechowania certyfikatów do uwierzytelnienia, identyfikacji oraz podpisania. Jak już wcześniej zostało wspomniane, wszystko jest chronione PINem, co umożliwia użytkownikowi dostęp do danych przechowywanych na chipie. Ponieważ firma często utrzymuje i wydaje swoje własne karty elektroniczne i tokeny USB, może także określić jaka polityka ma być realizowana względem tego rozwiązania. Na przykład to czy karta ma zostać zablokowana lub wymazana po x próbach. Ponieważ możesz połączyć te polityki z PINem, długość PINu może być dużo krótsza i dlatego łatwiejsza do zapamiętania, bez konieczności naruszania ochrony danych. Wszystkie z tych parametrów są przechowywane na karcie elektronicznej w momencie wydania. Rozwiązanie oparte na chipie jest również zabezpieczone przed nieuprawnionym dostępem, więc bez poprawnego numeru PIN do danych (certyfikatów i informacji osobistych) przechowywanych na chipie, nikt nie ma dostępu i staje się ona bezużyteczna.

Jak już wcześniej zostało wspomniane, jedną z różnic pomiędzy kartą elektroniczną a tokenem USB jest forma. Oba sposoby rozwiązują podstawową potrzebę w odniesieniu do dwu-parametrowego uwierzytelniania, ale każdy z nich ma swoje wady i zalety. Karta elektroniczna może być użyta do identyfikacji obrazkowej, ponieważ można na niej wydrukować obrazek i nazwę. Token USB, jednakże, może zawierać pamięć flash dla przechowywania dokumentów i plików. Oba urządzenia mogą być użyte w celu kontroli fizycznego dostępu na swój sposób. Karta elektroniczna zawiera układ chipowy, pasek magnetyczny, kody kreskowe oraz funkcje bezdotykowe, w czasie gdy do urządzenia USB funkcje bezdotykowe lub wsparcie biometryczne mogą zostać dodane.

Uwaga:
Istnieją inne parametry dotyczące formy, takie jak telefony komórkowe, gdzie karta SIM (Subscriber Identity Module – Moduł Identyfikacji Abonenta) może służyć tym samym celom co karta elektroniczna lub token USB.

Karta elektroniczna wymaga czytnika kart, natomiast token USB może korzystać z istniejącego w komputerze portu USB i używać go do emulacji czytnika kart. Dzisiejsze czytniki powinny używać albo modułu takiego jak PC Card, ExpressCard, USB albo wbudowanego czytnika, który został umieszczony przez producentów w niektórych modelach notebooków i klawiatur. Czytniki kart elektronicznych uważane są za urządzenia standardowe Windowsa, niezależnie od systemu operacyjnego chipa i mają one deskryptor bezpieczeństwa i identyfikator PnP (plug-and-play). Zarówno czytniki jak i tokeny USB wymagają sterownika Windows zanim zostaną użyte i zawsze powinieneś się upewnić, że używasz najnowszych sterowników, co ma wpływ na wydajność dwu-parametrowego uwierzytelniania.

Może to wpłynąć na początkowe koszty przy wyborze korzystania z chipa, jednak inne różnice także powinny być wzięte pod uwagę, np. czynniki psychologiczne związane z rozwiązaniem opartym na chipie. Karta elektroniczna oraz kredytowa w zasadzie niczym się nie różnią, co przekłada się na fakt, że ludzie w dzisiejszych czasach często posiadają nowe karty debetowe z modułem chipowym. Wiele firm używa kart elektronicznych zarówno do celów fizycznego dostępu w biurze jak i płacenia za lunch, itp. Oznacza to, że są one wygodne oraz mają wartość pieniężną i dlatego pewniejsze jest, że użytkownik będzie chronił i pamiętał o noszeniu przy sobie karty elektronicznej cały czas. Pasuje ona także do portfela, co oczywiście może zwiększyć efekt bezpieczeństwa w zależności od tego, jak się na to patrzy.

Przy wyborze rozwiązania uwierzytelniania opartego na chipie, istnieje kilka kwestii i zaleceń, które powinny zostać rozważone.

1. Kompatybilność – upewnij się, że system operacyjny chipa jest kompatybilny z CSP, którego chcesz użyć. Jak się dowiesz z następnego artykułu, CSP jest oprogramowaniem pośredniczącym pomiędzy OS chipa a Windowsem i jest także odpowiedzialny za politykę zabezpieczeń, która jest zastosowana na chipie.

2. Zarządzanie – jeśli musisz wdrożyć karty elektroniczne lub tokeny USB dla wielu osób, upewnij się, że wybierasz OS chipa, który jest kompatybilny z wybranym CMS (Card Management System).

3. Rozszerzalność – upewnij się, że OS chipa może zostać użyty ze wszystkimi wymaganymi aplikacjami i odpowiada wymaganym potrzebom uwierzytelniania. Może się okazać, że w przyszłości wynikną inne potrzeby i będzie trzeba do karty elektronicznej lub tokena USB dodać certyfikaty, takie jak podpis e-maila, szyfrowanie albo nawet dane biometryczne. W poszukiwaniu inspiracji sprawdzaj specyfikacje DoD Common Access Card (CAC), które są używane do przechowywania dużej ilości informacji o użytkowniku (zobacz link poniżej). Upewnij się tylko, że wziąłeś pod uwagę kwestie prywatności, wprowadzając takie informacje jak dane biometryczne, itd. Przyjrzymy się temu zagadnieniu później w tej serii artykułów.

4. Użyteczność - upewnij się, że wybierasz i wdrażasz rozwiązanie oparte na chipie, które jest zarówno przyjazne użytkownikowi jak i praktyczne. Jednym z większych wyzwań dotyczących wieloparametrowego uwierzytelniania jest fakt, że ludzie mają tendencję do zapominania albo gubienia swoich kart elektronicznych, urządzeń USB lub zapominania PINu, jeżeli nie jest używany zbyt często.

W następnym artykule przedstawimy najlepsze rady kiedy wdrażać karty elektroniczne lub tokeny USB w środowisku Windows oraz pokażemy również jak skonfigurować klienta CSP i jakie są różnice między konfiguracją CSP w systemach Windows XP/Windows Server 2003 oraz Windows Vista/Windows Server 2008.

• The Magical Number Seven
• Common Access Card (CAC) information

Źródło: windowsecurity.com

Tłumaczenie: Małgorzata Kotlińska, Rzeszów