Silne uwierzytelnianie użytkowników - czy w pełni chroni przed logowaniem osób nieupoważnionych do systemu organizacji?

2013-05-20 | Blog

Uwierzytelnianie jest potocznie rozumiane jako sprawdzanie tożsamości lub ustalenie czy dana osoba (obiekt) jest tym, za kogo (co) się podaje. W kontekście bezpieczeństwa systemów komputerowych uwierzytelnianie to proces lub mechanizm identyfikacji lub weryfikacji tożsamości urządzenia komputerowego, programu komputerowego lub użytkownika. 

Sile uwierzytelnianie nie zawsze jest skuteczne.

Jeden z klientów firmy Verizon zgłosił niedawno regularne korzystanie z VPN-a i korzystanie z wewnętrznej sieci amerykańskiej firmy przez użytkownika z chińskim adresem IP. VPN miał podwójne uwierzytelnienie, bazujące na loginie i haśle oraz tokenie RSA. Ustalono, że dane do VPN należą do jednego z programistów, a po analizie jego dysku twardego odkryto, że programista za 1/5 swojej pensji zatrudnił chińską firmę consultingową, która wykonywała jego zadania. Niektóre z metod mocnego uwierzytelniania nie spełniają więc swojej funkcji, szczególnie kiedy pracownik może ominąć procedury bezpieczeństwa.

Metody uwierzytelniania mogą być oparte o wiele innych parametrów:

  • wiedzę użytkowników (np. znajomość hasła),
  • posiadanie przez użytkownika elementu materialnego (np. karty magnetyczne, procesorowe),
  • cechy biologiczne użytkownika (np. cechy charakterystyczne twarzy, odcisku palca, kształtu dłoni, układu naczyń krwionośnych)
  • zachowanie użytkownika (np. cechy charakterystyczne dynamiki podpisu odręcznego, pisania na klawiaturze, ruchu gałki ocznej, ruchu warg, struktury paznokcia, a nawet zapachu)
  • lokalizację użytkownika.

Od 31 grudnia 2014 roku instytucje finansowe będą zobowiązane stosować zalecenia przedstawione w Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Wybór właściwej metody uwierzytelnienia będzie dla nich szczególnie istotny.

Nasi Partnerzy:

Wyślij zapytanie - skontaktujemy się!

Imię i nazwisko*:   
E-mail*:   
Pytanie:   

Lub podaj nam swój numer - oddzwonimy!

Telefon*:   
2 dodać dwa (słownie):