zde - AMI Praha

Autentizace a autorizace
Vícefaktorová
autentizace v praxi
PETR GAŠPARÍK
Vícefaktorová autentizace, která se stále častěji objevuje v souvislosti
se zabezpečeným řízením přístupu, představuje poměrně širokou oblast
zahrnující fyzickou i virtuální vrstvu. S rozšířením chytrých telefonů se
tento způsob ověření uživatele dostává do širšího povědomí.
32
SECURITYWORLD 4/2014
SW-4-2014-blok.indd 32
11.11.14 12:53
Autentizace a autorizace
T
akřka každý informační systém potřebuje znát identitu uživatele, který
k němu přistupuje. A také musí mít přijatelnou úroveň jistoty, že přistupující uživatel je
skutečně tím, za koho se vydává.
Pryč jsou doby, kdy stačilo ověření jménem a heslem. S nástupem bankovních
aplikací se uživatelé mohli seznámit s certifikáty jako autentizačními nástroji.
V korporátní sféře zase existuje povědomí o přihlašování pomocí hardwarových
tokenů. Tyto rozličné způsoby identifikace
uživatele a jejich vhodné použití řeší vícefaktorová autentizace (MFA, Multi-Factor
Authentication).
Co je vícefaktorová autentizace?
Vícefaktorová autentizace je metoda
ochrany přístupu k prostředku (například
webu či informačnímu systému), založená
na kombinaci zabezpečení ve třech oblastech (takzvaných faktory): znalost (něco,
co uživatel zná nebo se mu sdělí), vlastnictví (něco, co má uživatel ve svém držení) a konečně biometrie (něco, co představuje uživatele samotného – čím uživatel
sám je).
O MFA se mluví v případech, kde je
třeba zajistit ověření identity přistupující
k informačnímu systému více způsoby. Větší
bezpečnosti se zde dosáhne diverzifikací zabezpečení – nejen co do počtu, ale i co do
různých faktorů. Pokud útočník například
získá přístup k něčemu, co uživatel zná
(hesla uložená na počítači), není zabezpečení
heslem a PIN tak bezpečné jako například
heslem a hardwarovým tokenem.
Standardní situace při přihlášení pomocí
vícefaktorové autentizace může vypadat
takto: Uživatel zná svoje přihlašovací jméno
ve specifickém tvaru (i to lze považovat za
formu znalostního faktoru, byť je veřejně
zjistitelné) a heslo (znalostní faktor).
Na klasických klíčích má pověšený
hardwarový token (faktor v držení), jenž se
navíc může doplnit o PIN (opět znalostní
faktor).
Existují zde tedy tři informace, které
musí uživatel znát, z toho dvě tajné, a jednu
věc, kterou musí mít při sobě. V praxi pak
přihlášení může vypadat podobně jako na
přiloženém obrázku 1.
Autentizační faktory
Tady jsou krátké ukázky autentizačních mechanismů v jednotlivých faktorech.
Faktor „znalost“
Jde v podstatě o cokoli, na co si je uživatel
schopný vzpomenout. Klasickým příkladem
může být heslo a PIN (ať už ke kartě nebo
k mobilnímu telefonu), ale patří sem i výběr
obrázků podle vlastní preference (například
software Confident ImageShield), nakres-
Obr. 1: Vícefaktová autentizace – příklad přihlášení pomocí hesla, PIN a hardwarového tokenu
lení gesta/znaku (jako třeba odemčení Androidu, viz obrázek 2) volba přihlášení do
Windows 8 či stále oblíbené osobní otázky
(„jméno matky za svobodna“) či osobní atributy (RČ, město narození).
Patří sem ale i vygenerované jednorázové
kódy, které lze použít například jako obálkovou zálohu k jinému faktoru.
Faktor „vlastnictví“
Tento činitel představuje zjednodušeně
to, co lze nosit v kapse nebo peněžence.
Zahrnuje například hardwarové tokeny
(RSA SecurID, Yubikey), platební karty,
mobilní telefony (aplikace využívající
IMEI) a SIM karty (ověření zpětným voláním a pomocí SMS OTP, třeba Eset Secure
Authentication) a v zobecněné podobě
i osobní doklady (občanský, řidičský průkaz, pas).
Faktor „biometrie“
Prvek „biometrie“ zahrnuje charakteristiky
svého nositele. Snadno si lze představit otisk
prstu, rozšířený jak ve sféře notebooků (podpora přihlašování například ve Windows 7,
8), tak mobilní techniky (zástupcem mohou
být zařízení iPhone generace 5 a 6).
Další možností je například sken očnice,
který je známý zatím spíše z akčních filmů,
anebo rozpoznávání obličeje, jež využívají
především uživatelé OS Android (podpora
od verze 4.2 Jellybean; ve variantě 5 Lollipop se tento sken vykonává už automaticky; u jiných mobilních OS toho lze dosáhnout prostřednictvím odpovídající aplikace).
Autentizace hlasem je naproti tomu stále
doménou speciálních programů (například
řešení od firem Nuance, Autentify, Voxeo).
A konečně speciální kategorií je pak charakteristika „jsem člověk“, která se používá například v mechanismu CAPTCHA nebo
obecně tam, kde je řešení sice jednoduché,
ale špatně jej lze algoritmizovat (jako třeba
„klikněte na obrázek psa“).
V současnosti se diskutují i další faktory,
jako jsou geolokace (kde se uživatel nachází)
a čas (kdy se tam nachází), které se dají využít v boji s útoky na MFA, viz níže.
Trendy autentizačních tokenů
Co je nového ve slibně se rozvíjející oblasti
tokenů, která tvoří velmi častou komponentu dvoufaktorové autentizace? Tady je to
nejdůležitější.
Hardwarové tokeny
V korporátní sféře představují hardwarové
tokeny převládající způsob realizace autentizačních tokenů. Klasickým představitelem je token RSA, který používá pro generování kódu časové hledisko. Novější variantou je pak například Yubikey, který slouží
jako jednoúčelová klávesnice a ke generování přístupového kódu využívá sekvenční
metodu.
Princip fungování hardwarových tokenů
je:
1. Každý token je unikátně identifikovaný
2. Autentizační server má každý token
přiřazen ke konkrétnímu uživateli
3. Token generuje přístupový kód podle definovaného algoritmu (na základě času či
sekvenční metodou)
4. Server kód zaslaný uživatelem porovná
na své straně s kódem, který si vygeneruje
stejným algoritmem
5. Pokud se oba kódy shodují, uživatel se
tímto faktorem ověří
Výhoda tohoto přístupu je zjevná: aby
někdo zfalšoval přístup někoho jiného, musí
kromě uživatelského jména a hesla získat
i fyzický přístup k tokenu.
Nevýhody HW tokenů jsou především
v nenulové pořizovací ceně a v potřebě fy-
Obr. 2: Příklad gesta na obrazovce mobilního
telefonu s OS Android
SECURITYWORLD 4/2014
SW-4-2014-blok.indd 33
33
11.11.14 12:53
Autentizace a autorizace
Obr. 3: Hardwarové tokeny v praxi – RSA SecurID a Yubikey Standard
zicky spravovat životní cyklus tokenu (vydání, obměna, skartace). V případě osamostatněných tokenů je též vyšší riziko man-in-the-middle útoku.
Softwarové tokeny
Trendem, řešícím některé nevýhody svých
hardwarových protějšků, jsou softwarové tokeny. Jde v podstatě o aplikaci spuštěnou na
chytrém telefonu (s OS Android, iPhone,
Windows Phone aj.). Použití je shodné. Program v telefonu se spáruje s autentizačním
serverem a od té doby generuje klíče, kterým
autentizační protějšek rozumí. Příkladem takových řešení mohou být Google Authenticator, Authy, Amazon AWS MFA apod.
Výhody tohoto přístupu spočívají v tom,
že lze kombinovat autentizační tokeny pro
více služeb v jednom zařízení. Není tedy
nutné pro každý server mít vlastní hardwarový token – vše obstará aplikace, která generuje kódy pro všechny zaregistrované
služby najednou.
Rizika řešení jsou podobná jako u HW
tokenu. Dopady ztráty zařízení ale mohou
být vyšší, což je spojeno s tím, že SW tokeny
se častěji používají on-line (na rozdíl od korporátní sféry s HW tokeny), kde je složitější
reautorizace.
Přístup k tomuto riziku je různý. Některá
řešení vyžadují mít záložní, jednorázově vygenerované kódy (Google Authenticator).
V takovém případě se lze po ztrátě/reinstalaci zařízení znovu autorizovat vůči cílové
aplikaci, kterou je třeba následně znovu propojit s generátorem autentizačních kódů (reautorizace).
Jiná řešení si poradí i s reinstalací chytrého telefonu, neboť jim pro reautorizaci
stačí SIM karta (Authy). Zde při ztrátě mo34
bilního telefonu stačí získat zpět své původní mobilní číslo.
A konečně také lze kontaktovat poskytovatele služby, který po ověření uživatele jiným způsobem (PIN, sken dokumentů) vypne vícefaktorovou autentizaci a umožní její
reinicializaci uživatelem (Amazon AWS
MFA).
Velkým rizikem u tohoto faktoru je ale
samo zařízení, na němž aplikace SW tokenu běží. Bezpečnost faktoru je totiž závislá na zabezpečení celého přístroje. Jaké
nebezpečí může hrozit, je vidět třeba u autorizačních SMS – pokud má škodlivá aplikace právo ke čtení těchto zpráv, může se
útočník ovládající aplikaci vydávat za legitimního uživatele.
Dvoufaktorová, nebo dvoukroková
autentizace?
V souvislosti s MFA se často mluví o dvoufaktorové, respektive dvoukrokové autentizaci. Jaký je vlastně mezi nimi rozdíl?
Začít lze tím, co mají společného: Obě
používají na sobě nezávislé informace k ověření identity uživatele. Teprve po autentizaci
obou faktorů je možné prohlásit identitu
uživatele za potvrzenou.
Rozdíl je ale v tom, jak se obě informace
vyberou.
V případě dvoufaktorové autentizace se
ověření dělá dvěma faktory, tedy informacemi z různých oblastí (znalost + vlastnictví,
znalost + biometrie, vlastnictví + biometrie),
zatímco v případě dvoukrokové autentizace
je požadavkem pouze nezávislost informací
v obou krocích (mohou však být oba například z faktoru „znalost“: heslo + poslední
čtyři znaky z rodného čísla).
Příkladem dvoufaktorové autentizace je
třeba použití platební karty + PIN (bankomat) či mobilního telefonu + PIN nebo
přihlášení do webových obchodů jménem + SMS (jako je t-zones).
Zástupcem dvoukrokové autentizace je
mimo jiné ověření při zpětných hovorech
operátorů pomocí jména a posledních čtyř
číslic z rodného čísla (oboje jsou znalostní
faktory).
MFA v prostředí internetu
Klasické on-line služby
Hojně využívané internetové služby podporují ve velké míře SMS jako druhý faktor.
Třeba Google Accounts a Dropbox podporují navíc i softwarové tokeny. AWS (Amazon WS, framework pro aplikace) je pak příkladem rozšířené autentizační služby, která
Obr. 4: Princip spárování SW tokenů
SECURITYWORLD 4/2014
SW-4-2014-blok.indd 34
11.11.14 12:53
Autentizace a autorizace
S určitou nadsázkou tak lze bitcoinovou
ekonomiku přirovnat k Divokému západu
vícefaktorové autentizace.
Obr. 5: Ukázka softwarových tokenů – Authy a Google Authenticator
Přehled použití:
Služba
Faktor
Amazon WS
Amazon AWS MFA, HW token
Dropbox
SMS, Google Authenticator, Amazon AWS MFA
Facebook
SMS
Google Accounts
SMS, Google Authenticator
Hotmail
SMS, e-mail
Paypal
SMS (jen ve spojení s HW tokenem)
Twitter
SMS
pro ověření uživatele nabízí jak softwarový,
tak hardwarový token.
Bitcoinová ekonomika
Velkého rozšíření se MFA dostalo v oblasti
bitcoinové ekonomiky. Obchody, převody,
nákupy – prakticky vše v této oblasti se děje
on-line. S ohledem na princip fungování
virtuálních měn odvozených od bitcoinu (tj.
decentralizovaná správa a anonymita) se objevila spousta webů fungujících jako těžební
platforma, virtuální peněženka, burza měn
či brána mezi virtuálními a papírovými
měnami.
Je proto logické, že tam, kde jde o peníze
(jakkoli v tomto případě virtuální), jen jednokrokové ověření jménem a heslem již nepostačuje. Oblíbené je proto používání
dvoufaktorové autentizace, a to většinou
s řešeními Google Authenticator či Authy.
A zatímco u výše zmíněných klasických
on-line služeb je druhý faktor jakýmsi bonusem navíc, v případě této kategorie webů se
bere jako záruka solidnosti. Případů, kdy se
různé burzy, těžební pooly, virtuální peněženky vyloupily a prostředky anonymně převedly, je dost.
Praxe však v tomto případě předběhla
teorii nebo přesněji edukaci. Projevuje se to
v krátkozrakosti uživatelů, kteří například
správně použijí druhý faktor v podobě softwarového tokenu, avšak nedomyslí již dopady ztráty nosiče tokenu.
Při ztrátě mobilního přístroje to pak
může vypadat podobně, jako kdyby své
prostředky uživatel nechránil vůbec – prostě se k nim nedostane.
Jaká jsou rizika
Nedávný případ úniku soukromých fotografií nejen hollywoodských celebrit ukazuje
slabé místo jednofaktorové autentizace. Na
vině zde byla podle všeho slabá aplikace
Find My iPhone, která umožňovala neomezené množství pokusů o přihlášení pomocí
jména a hesla, a to dokonce bez časové prodlevy mezi pokusy.
V návaznosti na tuto událost Apple zapnul dvoufázové ověření na službě iCloud
pomocí SMS nebo pomocí zmíněné vlastní
aplikace.
Že však ani dvoufaktorové zabezpečení
nemusí být samospasitelné, dokazuje případ novináře Mata Honana, o němž se
psalo v roce 2012. Dobře totiž ilustruje, že
rozdílné stupně zabezpečení služeb od různých poskytovatelů mohou zmařit i dobrý
záměr.
V případě Honana stačilo, aby útočník
získal přístup na novinářův účet na Amazonu, odkud získal poslední čtyři číslice kreditní karty, a následně si pomocí tohoto
údaje a známé poštovní adresy oběti nechal
zresetovat příslušné heslo.
Šlo o demonstraci slabiny systému, na jehož konci byl kompletní výmaz dat Mata
Honana ze služby iCloud a převzetí účtu
Google a Twitter.
Je tedy vidět, že i s použitím vícefaktorové autentizace lze s dostatečným časem a/
nebo nešťastnou kombinací různě zabezpečených přístupů dosáhnout falešně pozitivní
autentizace identity uživatele.
Ke zlepšení lze sice dospět přidáváním
dalších autentizačních faktorů, ty však snižují komfort uživatele.
Další variantou je pak použití správy přístupu se začleněním rizikového profilu žádosti o autentizaci. Tato myšlenka je zpracovaná v konceptu Risk-Adaptable Access
Control (RAdAC).
Obr. 6: Dvoufaktorová autentizace od Google Accounts
SECURITYWORLD 4/2014
SW-4-2014-blok.indd 35
35
11.11.14 12:53
Autentizace a autorizace
Obr. 9: Dvoufázové ověření
lokace, případně podle připojeného Bluetooth zařízení (například pro možnost mít
telefon s handsfree sadou v autě vždy odemknutý).
Dalším případem, tentokrát z reálného
života, jsou bezkontaktní platební karty, kde
se PIN zadává pouze v případě nákupu nad
stanovenou hranici nebo kontrolně v náhodných intervalech.
◀ Obr. 7:
Koncept řízení
přístupu ke
službě podle
rizikového
profilu
RAdAC – Risk-Adaptable Access
Control
Myšlenka RAdAC je následující: Nechme
uživatele přihlašovat se za standardních podmínek komfortně, a teprve když se zvedne
úroveň rizika, vyzveme jej k přihlášení dalším faktorem.
Vstupy pro posouzení stupně rizika lze
přitom definovat poměrně košatě. Mezi základní patří: kdo se hlásí (oprávnění uživatele, pozice ve firmě, historie uživatele), jak
se hlásí (zabezpečení přístupu, jako jsou
VPN, důvěryhodnost zařízení – osobní počítač či kavárna) a za jakých podmínek se
hlásí (v práci, doma, v zahraničí, přes den,
o svátcích).
Výsledkem tohoto posouzení v reálném
čase je rizikový profil (navázaný například
na podnikové politiky přístupu), který
může předepsat další autentizační modul
nebo případně celý autentizační pokus
ukončit.
Hlásí se uživatel nečekaně z ciziny? Dostane autentizační kód přes SMS. Jezdí do
ciziny podle historie pravidelně? Pak je to
nejspíš v pořádku, pokud použije VPN.
Hlásí se administrátor v noci k finančnímu
softwaru? Takové spojení rovnou odmítnout. A podobně.
Zmíněný koncept se pomalu dostává do
implementací balíkových nástrojů typu Ac36
cess Manager a Security Analytics (jako
jsou například Forgerock OpenAM nebo
Oracle Adaptive Access Manager). Tato řešení doplňují nástroje SIEM o aktivní uživatelskou složku. U on-line služeb lze zárodky konceptu vidět v upozorňování uživatele na předchozí přihlášení z jiné lokace
(Gmail).
Ani mobilní operační systémy nezůstávají pozadu – poslední verze Androidu
(5.0, Lollipop) umožňuje například vynucovat silnější zámek obrazovky podle geo-
Závěrem
Vícefaktorová autentizace dokáže dobře
chránit uživatelskou identitu, díky čemuž je
dobře zakořeněná v korporátní sféře podnikových aplikací.
Nyní se jí dostává pomalu široké podpory i mezi poskytovateli on-line služeb,
čímž se výrazněji dostává také do povědomí
koncových uživatelů.
Toto rozšíření však s sebou nese nejen
početnou fragmentaci autentizačních řešení,
ale i nevyvážené zabezpečení různých služeb,
které uživatelé používají.
To přináší rizika, jež představují nejen
hackeři, ale i uživatelé sami o sobě. Efektivní metodu boje s těmito riziky pak představuje třeba koncept rizikových profilů
RAdAC.
■
Autor pracuje jako solution
architect pro oblast IT bezpečnosti
ve společnosti AMI Praha.
Obr. 8: Princip spárování HW tokenů
SECURITYWORLD 4/2014
SW-4-2014-blok.indd 36
11.11.14 12:53