5 běžných metod ověřování pro zabezpečení sítě

Posted on

Srovnání:

Hesla se stávají zjevně nedostatečnou formou zabezpečení. Sama o sobě prostě nestačí – a proč? Protože spoléhají na to, že se uživatelé budou pohybovat na tenké hranici mezi složitostí a zapamatovatelností.

Naneštěstí většina uživatelů volí něco, co je zapamatovatelnější. To znamená, že používají slabší hesla, která vystavují jejich data, systémy a síť většímu riziku.

V jednu chvíli bylo 86 % z více než 2 milionů prolomených hesel totožných s hesly, která již byla prolomena. Jak je to možné, když jsou hesla všech lidí dlouhá, složitá a jedinečná?

Ve skutečnosti tomu tak není. Mezi 10 nejčastějších a opakovaně prolamovaných hesel v této zprávě patří např:

  1. 123456
  2. 123456789
  3. Qwerty
  4. password
  5. 111111
  6. 12345678
  7. abc123
  8. heslo1
  9. 1234567
  10. 12345

Takže, ačkoli byste se mohli jednoduše pokusit používat složitější hesla (a pravděpodobně je zapomenout), existuje lepší způsob ochrany sítě – přidat sekundární metodu ověřování.

Základy ověřování

Ověření vaší osoby počítačovým systémem probíhá několika způsoby:

  1. něco, co znáte, například heslo nebo PIN (osobní identifikační číslo);
  2. něco, co nosíte u sebe, například flash disk nebo bezkontaktní kartu; nebo
  3. použití biometrie k ověření vaší osoby jako oprávněného uživatele.

Běžně se uznává, že běžné ověřovací protokoly a ochrana heslem jsou příliš slabé, přičemž dnešní hackeři snadno používají sofistikované nástroje, které dokáží prolomit hesla a dostat se do vašeho systému a dat v něm uložených.

Řešením zabezpečení celého počítačového systému nebo vašeho chytrého telefonu je forma sekundární autentizace – ale která metoda je pro vaše potřeby nejlepší volbou?

Srovnání:

Biometrie

Biometrie je pojem, který označuje měření jedinečných individuálních charakteristik, jako je sítnice, duhovka, otisky prstů nebo dokonce obličej. Dnes je tento termín většinou lidí obecně používán k popisu metody zabezpečení počítačů a uložených dat, která vyžaduje, aby uživatel podstoupil skenování části těla použité k rozpoznání.

Zatímco mnoho systémů používá otisk prstu nebo sken sítnice jako uživatelské heslo, systémy, které to se zabezpečením myslí vážně, často používají heslo a biometrický sken před odemknutím počítače nebo zařízení. Mezi běžné biometrické metody ověřování patří identifikace otisků prstů, rozpoznávání hlasu, skenování sítnice a duhovky a skenování a rozpoznávání obličeje.

  • Výhoda: Biometrické údaje je velmi obtížné zfalšovat. Ve špionážních filmech se zdá být jednoduché sejmout někomu otisk prstu pomocí pásky nebo napodobit jeho sítnici pomocí falešné kontaktní čočky, ale je to mnohem složitější. Biometrické údaje jsou natolik specifické a jedinečné, že jsou z hlediska ověřování téměř neprůstřelné.
  • Nevýhoda:

Ověřování pomocí tokenů

Token je hmotné zařízení, které se používá k přístupu do zabezpečených systémů. Mezi běžné formy patří klíč, karta nebo čip RFID. Token ztěžuje hackerovi přístup k účtu, protože musí mít dlouhé přihlašovací údaje a samotné hmotné zařízení, které je pro hackera mnohem obtížnější získat.

  • Výhoda: Podobně jako biometrické údaje je i token obtížné zfalšovat. Konkrétní digitální identita klíče nebo čipu RFID je založena na mimořádně složitých bezpečnostních standardech, které kyberzločinci nesnadno falšují.
  • Nevýhoda: Tuto metodu ověřování může uživatel bohužel snadno podvrhnout. Jednoduše řečeno, token je něco, co můžete ztratit. Ať už je na kroužku s klíči nebo uložený v aktovce, i ti nejpozornější lidé ho mohou zapomenout v autě, které jim pak někdo ukradne, nebo jim může vypadnout z kapsy při večeři.

Ověřování transakcí

Základní myšlenkou kolem ověřování transakcí je kontext – tato metoda hledá rozumné chyby při porovnávání známých údajů o uživateli s detaily aktuální transakce.

Přemýšlejte o bezpečnostních standardech uplatňovaných na vaši kreditní kartu: když cestujete do zahraničí, je rozumné informovat svou banku o tom, kam jedete, aby nebyly označeny transakce mimo vaši domovskou zemi. Ověřování transakcí uplatňuje toto vyhodnocování transakcí na základě kontextu.

Příkladem může být situace, kdy osoba žije ve Spojených státech, ale velké nákupy se objeví při přihlášení z IP adresy v zahraničí. Je vyslána červená vlajka a tento důvod k obavám vyžaduje více ověřovacích kroků, aby se zajistilo, že nákup je legitimní a že uživatel není obětí kybernetického zločinu.

  • Výhoda: Tato metoda ověřování není závislá na uživatelích, protože je zadána monitorovacímu týmu nebo třetí straně, jako je banka. To znamená, že má kvalitu „nastav a zapomeň“ ve srovnání s jinými metodami, které kladou břemeno na uživatele.
  • Nevýhoda: Pokud se kyberzločincům podaří uživatele úspěšně podvrhnout, mohou podvodně schválit transakce probíhající pod falešnou záminkou nebo v pochybných souvislostech.

Vícefaktorové ověřování (MFA)

Při přihlašování k účtu, který má zapnutou funkci MFA, musíte kromě zadání hesla zadat také přidaný vygenerovaný kód nebo autorizovat přihlášení pomocí požadavku „push“ na sekundárním zařízení.

V případě prozrazení hesla může zůstat váš účet v bezpečí, protože kyberzločinec není schopen ověřit sekundární požadavek.

Existuje řada možností generování kódů MFA:

  • Přijetí textové zprávy
  • Použití specializované ověřovací aplikace
  • Vlastnění fyzického zařízení, na kterém musíte stisknutím tlačítka ověřit, že jste oprávněným uživatelem daného účtu

Ochrana, kterou přidává MFA, umožňuje používat hesla po delší dobu mezi obnovením hesla, a v případě, že dojde ke kompromitaci vašeho poskytovatele služeb a váš e-mail a heslo se ocitnou v otevřené databázi na otevřeném webu, budete mít čas na změnu hesla dříve, než dojde ke kompromitaci vašeho individuálního účtu.

ATM jsou ukázkovým příkladem MFA, protože k uskutečnění transakce potřebujete kartu (fyzický token) a PIN (něco známého).

  • Výhoda: MFA je běžná a její implementace je levná. Jelikož se jedná o jednu z nejoblíbenějších metod ověřování pro cokoli od e-mailových účtů po internetové bankovnictví, bylo by relativně snadné zavést MFA u zaměstnanců.
  • Nevýhoda: Stejně jako v případě ověřování pomocí tokenu může ztracený telefon rychle obejít zabezpečení, které MFA nabízí. Pokud se kyberzločinci podaří chytrý telefon ukrást nebo zfalšovat, může pak zrušit jakýkoli účinek procesu MFA.

Out-of-Band Authentication (OOB)

Specifický typ MFA, OOB, využívá k ověřování transakcí, které vznikly na počítači, zcela oddělené kanály, jako jsou mobilní zařízení.

Každá transakce, která vyžaduje vklady z jednoho místa na druhé, například velký převod peněz, by vygenerovala telefonní hovor, textovou zprávu nebo oznámení v aplikaci, že k dokončení transakce je nutné další ověření. Díky dvěma potřebným kanálům je pro hackera mnohem obtížnější ukrást peníze.

  • Výhoda: Stejně jako MFA je i OOB běžné a levné na implementaci. Jelikož je OOB jednou z nejoblíbenějších metod ověřování pro cokoli od e-mailových účtů až po internetové bankovnictví, lze ji u zaměstnanců poměrně snadno zavést.
  • Nevýhoda: Stejně jako u tokenového a vícefaktorového ověřování může ztracený telefon rychle obejít zabezpečení, které nabízí OOB. Pokud se kyberzločinci podaří chytrý telefon ukrást nebo podvrhnout, může pak zrušit jakýkoli účinek procesu MFA.

Která metoda ověřování je pro vás vhodná?

Na tuto otázku vám bohužel nemůžeme odpovědět. V závislosti na vaší firmě, její velikosti, dostupném rozpočtu na zabezpečení a dalších specifických faktorech pro vás může být jedna metoda lepší než druhá. Pokud nemáte nastaveno žádné sekundární ověřování, měli byste jako základ začít alespoň povolením MFA na všech firemních účtech, kde je nabízeno.

Pokud byste chtěli odbornou pomoc se správou některé z těchto metod, obraťte se na tým Alliance Technology Partners. Znalí členové našeho týmu jsou připraveni pomoci vám s jakýmikoliv problémy.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.