Izvor: eKapija | Utorak, 14.06.2016.| 08:19
Izdvojite članak Odštampajte vijest

Slojevita odbrana od hakerskih napada - Koje su najbolje prakse višefaktorne autentifikacije?

(Foto: Den Rise/shutterstock.com)
Uz trend prelaska sa klasičnih korporativnih servera na virtuelne servere i usluge u "oblaku", raste potreba za sigurnom provjerom autentičnosti korisnika, ali to takođe postaje sve veći izazov. To nas dovodi do koncepta višefaktornih mehanizama za provjeru autentičnosti (autentifikaciju) korisnika koji zavise od više faktora i nazivaju se višefaktornom autentifikacijom (eng. multi-factor authentication, MFA).

Cilj višefaktorne autentifikacije je da formira slojevitu odbranu, oslanjajući se na dva ili više različitih načina za utvrđivanje autentičnosti korisnika prilikom prijavljivanja u sistem i davanja privilegija pristupa. Kombinuje ono što korisnik zna (korisnička lozinka), ono što korisnik posjeduje (token) i ono što fizički identifikuje korisnika (biometrijska verifikacija). Time što se bazira na više od jednog faktora za utvrđivanje autentičnosti korisnika, otežava se neovlašćeno dobijanje pristupa kompjuterima, mobilnim uređajima, fizičkim lokacijama, mrežama ili bazama podataka.

Višefaktorna autentifikacija postaje sve prisutnija, naročito u finansijskoj industriji i trenutno krupnim koracima grabi ka tome da obuhvati postupak skeniranja retine oka i otiska prsta, prepoznavanje glasa, pa čak i prepoznavanje lica.

Koncept bezbjednosti uz primjenu višefaktorne autentifikacije polazi od toga da, iako mogu postojati slabosti u jednom faktoru autentifikacije - npr. ukradena lozinka ili PIN kod, snaga drugog, ili trećeg faktora bi trebalo da nadomjesti to i pruži vjerodostojnu autorizaciju pristupa.

Koje su dostupne opcije za višefaktornu autentifikaciju na mobilnim uređajima?


Jednokratne lozinke

Dostupne su aplikacije koje generišu jednokratne lozinke na isti način kao što su sigurnosni tokeni funkcionisali u prošlosti. Jednokratna lozinka je generisana i poslata na mobilni telefon preko SMS-a i ograničenog je vremena validnosti.

Biometrijska autentifikacija


Vodeći proizvođači pametnih telefona prepoznaju da korisnicima bezbjednost igra sve važniju ulogu, pa su počeli da ugrađuju biometrijske senzore i autentifikaciju kako bi se pobrinuli da samo autorizovani korisnik može imati pristup uređaju.

Implementacija višefaktorne autentifikacije u "oblaku"

(Foto: alexskopje/shutterstock.com)
Višefaktorna nasumična autentifikacija korisnika je neophodna da bi se podaci u "oblaku" zaštitili na pravi način.

"Microsoft", "Google", "Amazon Web Services", "Facebook" i "Twitter", između ostalih, nude višefaktornu autentifikaciju za pristupanje servisima u "oblaku", a neki od njih već proširuju sisteme opcijama kojima bi se podržala višefaktorna autentifikacija.

Višefaktorna autentifikacija za Office 365

Aplikacije u sistemu Office 365 zahtijevaju od korisnika lozinku da bi pristupili aplikacijama na svojim PC, Mac, i prenosnim uređajima. A Office 365 adminstratorski alat automatski izdaje slučajno izabrani broj od 16 znakova kao token za korisnike prilikom prijavljivanja u sistem. Od korisnika se po prijavljivanju u sistem traži da podesi dodatni faktor autentifikacije, koji može biti:

- Pozovi moj mobilni: Kad korisnik primi potvrdni poziv, potrebno je da pritisnu # na tastaturi, da bi im bilo omogućeno prijavljivanje.

- Pozovi moj kancelarijski telefon: Slično kao kod prethodne opcije, ali poziv za potvrdu ide na fiksni broj.

- Pošalji tekstualni kod na moj mobilni:
Tajni kod se šalje na SMS broj korisnikovog telefona, da bi se isti mogao unijeti u formular za prijavljivanje Office 365 paketa.

- Obavijesti me preko aplikacije
: Ako koristite aplikaciju za pametne telefone, primićete notifikaciju i dati potvrdu; aplikacija radi na Windows, iOS i i Android platformama.

- Prikaži jednokratni kod u aplikaciji. Ovaj sistem koristi istu aplikaciju kao u prethodnom pasusu, ali šalje jednokratni šestocifreni kod koji se mora ukucati na formi za logovanje u sistem Office 365.

Višefaktorna autentifikacija za Office 365 korišćenjem Microsoft Azure AD

Office 365 sa Microsoft Azure aktivnim direktorijumom je jedno rješenje za velike korporacije koje zahtjeva od korisnika da ispravno unesu lozinku, a onda da primi telefonski poziv, tekstualnu poruku, ili obavještenje mobilne aplikacije, čime se prijavljuju u sistem.

Koji je najbolji načun za implementaciju višefaktorne autentifikacije?

Upotreba i podrška višefaktornih alata za autentifikaciju zahtjeva da IT organizacije konfigurišu korporacijsku infrastrukturu da bi ispravno radili mehanizmi za bezbjedno prijavljivanje na sistem (logovanje). Većina alata obuhvata različite softverske agente koji mogu zaštititi VPN-ove, SharePoint servere, Outlook Web App i servere s bazama podataka. Sa prelaskom sa hardverskih, tradicionanih servera smještenih na lokaciji firme, na servere i usluge u "oblaku", većina dobavljača rješenja za višefaktornu autentifikaciju nudi opcije za oblak, pored opcija za rješenja za servere u prostorijama korporacije. Korisnici sve češće biraju opciju sa podrškom za "oblak", zbog podrške i fleksibilnosti upravljanja koje nudi rješenje u "oblaku".

(Foto: watcharakun/shutterstock.com)
Važno je da pažljivo procijenimo proizvode za višefaktornu autentifikaciju da bismo utvrdili po čemu se oni razlikuju i koji proizvod najviše odgovara projektovanom okruženju u kome bi se primijenio. Proizvodi se razlikuju po tome kako se nose sa različitim scenarijima, a nije svaki od proizvoda podjednako sposoban u svakom od scenarija, pa je to jedan od ključnih aspekata pri izboru.

Prepreke u primjeni višefaktorne autentifikacije

Priprema i primjena višefaktorne autentifikacije sasvim izvjesno zahtjeva napredno planiranje. Postoji mnoštvo scenarija korišćenja ove tehnologije koja bi se mogla primijeniti na različite dijelove IT infrastrukture. Razumjeti unaprijed kako će VFA (višefaktorna autentifikacija) biti korišćena može biti od velike pomoći kad dođe do izbora dobavljača VFA rješenja.

Prije nego što započnete posao izbora dobaljača VFA rješenja, pažljivo razmotrite sljedeće moguće prepreke na putu do instalacije u svom sistemu:

- Ako vaš AD (aktivni direktorijum) nije u top formi, implementacija VFA rješenja može biti veoma bolna

- Ako još uvijek koristite većinom servere smještene u prostorijama firme, može vam biti bolje da koristite (ili barem da krenete od) ugrađenih politika za pojačanje autentifikacije koji postoje u sklopu Windows Servera. Ovo će vam omogućiti da da izmjerite koliki je otpor na strani korisnika kad moraju da redovno mijenjaju svoje lozinke i učine ih komplikovanijim (i dužim)

- Ako vaša kompanija ima osoblje koje je raspoređeno u različitim geografskim regijama, sa manje ljudi raspoređenih u mnogo gradova, može vam biti teško da obučite korisnike ili da ukinete sve tokene koji su u opticaju. U ovim scenarijima, korporacije mogu poželjeti da se primjene softverski tokeni ili aplikacije umjesto fizičkih tokena

Kompletan sadržaj Tematskog biltena "IT - Investicija koja se brzo vraća" možete pročitati OVDJE.


Unos komentara je omogućen samo ulogovanim korisnicima.