Vodič za višefaktornu autentifikaciju

Danas su kompjuteri i pametni uređaji postali dovoljno pristupačni da svako može imati i koristiti više njih, bilo da su to pametni telefoni, prenosni računari, tableti ili pak nosivi mikro uređaji poput pametnog sata. Naš posao, pa i privatni život nameću nam imperativ prenosivosti. Uz trend prelaska sa klasičnih korporativnih servera na virtuelne servere i usluge u “oblaku”, raste potreba za sigurnom proverom autentičnosti korisnika, ali to takođe postaje sve veći izazov. To nas dovodi do koncepta višefaktornih mehanizama za proveru autentičnosti (autentifikaciju) korisnika koji zavise od više faktora i nazivaju se višefaktornom autentifikacijom (eng. multi-factor authentication, MFA). Šta to znači i kako se postiže?

Šta je to višefaktorna autentifikacija?

Cilj višefaktorne autentifikacije je da formira slojevitu odbranu, oslanjajući se na dva ili više različitih načina za utvrđivanje autentičnosti korisnika prilikom prijavljivanja u sistem i davanja privilegija pristupa. Kombinuje ono što korisnik zna (korisnička lozinka), ono što korisnik poseduje (token) i ono što fizički identifikuje korisnika (biometrijska verifikacija). Time što se bazira na više od jednog faktora za utvrđivanje autentičnosti korisnika, otežava se neovlašćeno dobijanje pristupa kompjuterima, mobilnim uređajima, fizičkim lokacijama, mrežama ili bazama podataka; sa svakim dodatnim slojem postiže se bolja zaštita, jer svaki sloj štiti u onom delu u kojem ostali slojevi zaštite mogu biti slabi.

Višefaktorna autentifikacija postaje sve prisutnija, naročito u finansijskoj industriji i trenutno krupnim koracima grabi ka tome da obuhvati postupak skeniranja retine oka i otiska prsta, prepoznavanje glasa, pa čak i prepoznavanje lica.

Kako višefaktorna autentifikacija donosi sigurnosne pogodnosti?

Kad bi samo mogli da razvijemo jedan metod autentifikacije koji je 100% pouzdan i da se ne može provaliti ni na koji način, onda nam ne bi ni trebala višefaktorna autentifikacija. Jer lozinke se mogu videti, čuti, pogađati ili zaobići; token može biti izgubljen ili ukraden; a jednojajčani blizanci, kao i korišćenje fotografije u stanju je da zavara biološke sisteme za prepoznavanje (identifikaciju). Upravo zbog toga je višefaktorna autentifikacija vrlo važna, a krucijalna je za bezbednost korisničkog naloga.

Koncept bezbednosti uz primenu višefaktorne autentifikacije polazi od toga da, iako mogu postojati slabosti u jednom faktoru autentifikacije – npr. ukradena lozinka ili PIN kod, snaga drugog, ili trećeg faktora bi trebalo da nadomesti to i pruži verodostojnu autorizaciju pristupa.

Koje su dostupne opcije za višefaktornu autentifikaciju na mobilnim uređajima?

Jednokratne lozinke

Dostupne su aplikacije koje generišu jednokratne lozinke na isti način kao što su sigurnosni tokeni funkcionisali u prošlosti. Jednokratna lozinka je generisana i poslata na mobilni telefon preko SMS-a i ograničenog je vremena validnosti.

Koristeći pametni telefon ili tablet eliminiše se potreba da korisnik vodi računa o tokenima, a kompanije imaju manje troškove za izgubljene tokene, deaktiviranje izgubljenih i aktiviranje novih tokena kad se zaposlenom izdaje novi token ili kad se novozaposleni prima u organizaciju.

Biometrijska autentifikacija

Vodeći proizvođači pametnih telefona prepoznaju da korisnicima bezbednost igra sve važniju ulogu, pa su počeli da ugrađuju biometrijske senzore i autentifikaciju kako bi se pobrinuli da samo autorizovani korisnik može imati pristup uređaju. Svaka od ovih tehnika ima svoje prednosti i mane.

Biometrijska verifikacija    Prednosti    manjkavosti
autentifikacija preko otiska prsta    svaki čovek ima jedinstvene otiske prstiju    potrebna integracija sa softverom za pristup mreži
prepoznavanje glasa    nije potrebno dodatno ulaganje u hardver    nije efektivna u situacijama kad ne smemo govoriti glasno, ili kad ima puno pozadinskog šuma / buke
prepoznavanje lica ili skenieanje mrežnjače    nije potrebno dodatno ulaganje u hardver    ne radi dobro u uslovima slabijeg osvetljenja i može se prevariti fotografijom
Implementacija višefaktorne autentifikacije u “oblaku”

Kako se podaci, alati za komunikaciju, prezentiranje, obuku, skladištenje i arhiviranje, kao i aplikaciona serverska infrastruktura sele u “oblak”, IT administratori moraju da se izbore sa rizicima koje donosi izlazak iz tradicionalnog domena servera smeštenog u prostorijama firme. Višefaktorna nasumična autentifikacija korisnika je neophodna da bi se podaci u “oblaku” zaštitili na pravi način.

Microsoft, Google, Amazon Web Services, Facebook i Twitter — između ostalih — nude višefaktornu autentifikaciju za pristupanje servisima u “oblaku”, a neki od njih već proširuju sisteme opcijama kojima bi se podržala višefaktorna autentifikacija.

Višefaktorna autentifikacija za Office 365

Aplikacije u sistemu Office 365 zahtevaju od korisnika lozinku da bi pristupili aplikacijama na svojim PC, Mac, i prenosnim uređajčićima. A Office 365 adminstratorski alat automatski izdaje slučajno izabrani broj od 16 znakova kao token za korisnike prilikom prijavljivanja u sistem. Od korisnika se po prijavljivanju u sistem traži da podesi dodatni faktor autentifikacije, koji može biti:

– Pozovi moj mobilni: Kad korisnik primi potvrdni poziv, potrebno je da pritisnu # na tastaturi, da bi im bilo omogućeno prijavljivanje.

– Pozovi moj kancelarijski telefon: Slično kao kod prethodne opcije, ali poziv za potvrdu ide na fiksni broj.

– Pošalji tekstualni kod na moj mobilni: Tajni kod se šalje na SMS broj korisnikovog telefona, da bi se isti mogao uneti u formular za prijavljivanje Office 365 paketa.

– Obavesti me preko aplikacije: Ako koristite aplikaciju za pametne telefone, primićete notifikaciju i dati potvrdu; aplikacija radi na Windows, iOS i i Android platformama.

– Prikaži jednokratni kod u aplikaciji. Ovaj sistem koristi istu aplikaciju kao u prethodnom pasusu, ali šalje jednokratni šestocifreni kod koji se mora ukucati na formi za logovanje u sistem Office 365.

Višefaktorna autentifikacija za Office 365 korišćenjem Microsoft Azure AD

Office 365 sa Microsoft Azure aktivnim direktorijumom je jedno rešenje za velike korporacije koje zahteva od korisnika da ispravno unesu lozinku, a onda da primi telefonski poziv, tekstualnu poruku, ili obaveštenje mobilne aplikacije, čime se prijavljuju u sistem.

Koji je najbolji načun za implementaciju višefaktorne autentifikacije?

Upotreba i podrška višefaktornih alata za autentifikaciju zahteva da IT organizacije konfigurišu korporacijsku infrastrukturu da bi ispravno radili mehanizmi za bezbedno prijavljivanje na sistem (logovanje). Većina alata obuhvata različite softverske agente koji mogu zaštititi VPN-ove, SharePoint servere, Outlook Web App i servere s bazama podataka. Sa prelaskom sa hardverskih, tradicionanih servera smeštenih na lokaciji firme, na servere i usluge u “oblaku”, većina dobavljača rešenja za višefaktornu autentifikaciju nudi opcije za oblak, pored opcija za rešenja za servere u prostorijama korporacije. Korisnici sve češće biraju opciju sa podrškom za “oblak”, zbog podrške i fleksibilnosti upravljanja koje nudi rešenje u “oblaku”.

Važno je da pažljivo procenimo proizvode za višefaktornu autentifikaciju da bismo utvrdili po čemu se oni razlikuju i koji proizvod najviše odgovara projektovanom okruženju u kome bi se primenio. Proizvodi se razlikuju po tome kako se nose sa različitim scenarijima, a nije svaki od proizvoda podjednako sposoban u svakom od scenarija, pa je to jedan od ključnih aspekata pri izboru. Sledi nekoliko pitanja koje bi trebalo da postavimo i nađemo odgovor kad se pripremamo za detaljniji uvid u proizvode za višefaktornu autentifikaciju koji bismo primenili u sklopu postojeće implementacije poslovnog rešenja:

– U kojoj meri se mreža nosi sa privatnim informacijama i gde joj je granica? Ako mreža trenutno ne barata velikom količinom privatnih informacija, ili ako nije u planu proširenje skladišnih kapaciteta za kritične podatke, najverovatnije nije potrebno menjati postojeće metode autentifikacije.

– Ko će imati zadatak da pregleda izveštaje koje će generisati ovi proizvodi? Važno je utvrditi kome će stizati upozorenja kad nešto ne ide kako treba u sistemu autentifikacije. Neki proizvodi mogu da šalju upozorenja svaki put kada se bilo šta pogrešno desi, ali većina velikih preduzeća ne želi da se njihov menadžment opterećuje i alarmira bez potrebe.

– Da li poslovanje insistira na mogućnosti da se postojeća instalacija u budućnosti skalira na više? Važno je uzeti u obzir i buduće troškove licenciranja (povećanje broja korisnika usluge autentifikacije). Većina višefaktornih proizvoda su namenjena za desetine hiljada tokena, tj. korisnika, ali mogu biti primenjena i u okruženjima sa daleko manjim brojem korisnika.

– Ko će se naći među inicijalnim, testnim korisnicima rešenja za autentifikaciju? Ovo može imati uticaja na dalji kurs kompanije kad je u pitanju obezbeđivanje određenih aplikacija i scenarija korišćenja.

– Da li su zaposleni već koristili alate za višefaktornu autentifikaciju u sklopu nekog od potrošačkih usluga (tipa web usluge koja traži unos koda dobijenog preko SMS-a)? Ako je odgovor negativan, velike korporacije bi trebalo da počnu da pričaju svojim zaposlenima o tome i upoznaju ih s principom višefaktorne autentifikacije na njima poznatim uslugama u “oblaku”. Višefaktorna autentifikacija je već ugrađena u ove servise, a ništa ne košta da se isproba, osim malo vremena za trening zaposlenih.

– Kako će zahtevi za resetovanje lozinke biti obrađivani u okruženjima koja primenjuju višefaktornu autentifikaciju? U idealnom slučaju, bilo koji započeti proces resetovanja ili vraćanja bi trebalo da bude isto toliko bezbedonosno snažan kao i sam proces višefaktorne autentifikacije, kako ne bi ugrozio isti. Trebalo bi da postoje tajna pitanja i odgovori, ili da se SMS kod šalje na provereni e-mail ili telefonski broj.

Prepreke u primeni višefaktorne autentifikacije

Priprema i primena višefaktorne autentifikacije sasvim izvesno zahteva napredno planiranje. Postoji mnoštvo scenarija korišćenja ove tehnologije koja bi se mogla primeniti na različite delove IT infrastrukture. Razumeti unapred kako će VFA (višefaktorna autentifikacija) biti korišćena može biti od velike pomoći kad dođe do izbora dobavljača VFA rešenja.

Pre nego što započnete posao izbora dobaljača VFA rešenja, pažljivo razmotrite sledeće moguće prepreke na putu do instalacije u svom sistemu:

– Ako vaš AD (aktivni direktorijum) nije u top formi, implementacija VFA rešenja može biti veoma bolna.

– Ako još uvek koristite većinom servere smeštene u prostorijama firme, može vam biti bolje da koristite (ili barem da krenete od) ugrađenih politika za pojačanje autentifikacije koji postoje u sklopu Windows Servera. Ovo će vam omogućiti da da izmerite koliki je otpor na strani korisnika kad moraju da redovno menjaju svoje lozinke i učine ih komplikovanijim (i dužim).

– Ako vaša kompanija ima osoblje koje je raspoređeno u različitim geografskim regijama, sa manje ljudi raspoređenih u mnogo gradova, može vam biti teško da obučite korisnike ili da ukinete sve tokene koji su u opticaju. U ovim scenarijima, korporacije mogu poželeti da se primene softverski tokeni ili aplikacije umesto fizičkih tokena.

Budućnost višefaktorne autentifikacije

VFA opcija ulazi u mejnstrim za finansijske firme i ostale poslove koji su usmereni na krajnje korisnike. U 2014. više od 1.800 anketiranih u istraživanju Instituta Ponemon naznačilo je da njihove organizacije planiraju uvođenje jedne od formi višefaktorne autentifikacije, dok je dodatnih 40 procenata razmatralo tu opciju. Kako lozinke postaju sve više nebezbedna opcija, a kako naši mobilni uređaji osvajaju teritoriju računarstva u “oblaku”, VFA alati pronalaze primenu u gotovo svakom ćošku korporacija, naročito tamo gde se radi sa ličnim informacijama. Na primer, Symantec Validation and ID Protection Service predstavlja visokoskalabilno rešenje za rad u “oblaku” koje obezbeđuje vrlo sigurnu višefaktornu autentifikaciju za preduzeća svih veličina.

bitsyu