1.1. 

Egy átlagos hálózati felhasználó egy átlagos napon megérkezik a munkahelyére és azon aggódik, hogy vajon a számítógépe bejelentkező képernyőjén megjelenik-e az értesítés, hogy hány napja maradt. Hány napja maradt egy új jelszó kitalálására. Amint kiderül, hogy már csak kettő, felfordítja az egéralátétet, leszedi róla az éppen aktuális jelszót és kétségbeesetten próbál kitalálni valami olyat, amit eddig még nem használt. Ahogy beírta kedvenc háziállata nevét, a rendszer közli, hogy a jelszónak még meg kell felelnie bizonyos biztonsági előírásoknak, szerepelnie kell benne speciális karakternek, nagybetűnek, számnak, és persze nem lehet túl rövid sem. Szomorúan néz körbe az íróasztalon, hátha eszébe jut valamiről a megfelelő jelszó, de semmi… Ismerős a dilemma?

1.1. 

Egy átlagos hálózati felhasználó egy átlagos napon megérkezik a munkahelyére és azon aggódik, hogy vajon a számítógépe bejelentkező képernyőjén megjelenik-e az értesítés, hogy hány napja maradt. Hány napja maradt egy új jelszó kitalálására. Amint kiderül, hogy már csak kettő, felfordítja az egéralátétet, leszedi róla az éppen aktuális jelszót és kétségbeesetten próbál kitalálni valami olyat, amit eddig még nem használt. Ahogy beírta kedvenc háziállata nevét, a rendszer közli, hogy a jelszónak még meg kell felelnie bizonyos biztonsági előírásoknak, szerepelnie kell benne speciális karakternek, nagybetűnek, számnak, és persze nem lehet túl rövid sem. Szomorúan néz körbe az íróasztalon, hátha eszébe jut valamiről a megfelelő jelszó, de semmi… Ismerős a dilemma?

Egymásnak feszülő ellentétek: vállalati vs. felhasználói érdekek

Egy átlagos hálózati felhasználó gyakran találkozik a fent vázolt problémával, de egy dologban biztosak lehetünk: nem fog mindenféle, a hálózat biztonságát maximalizáló, matematikai alapú jelszósémát kitalálni, sem használni. Ha a rendszer jelszaván túl használnia kell egy hálózati alkalmazást, amelyhez meg kell adnia a felhasználói adatokat is a hitelesítéshez, ő bizony a lehető legegyszerűbb módszert fogja választani. A felhasználó számára pedig az a legegyszerűbb, ha ugyanazt a – lehetőleg minél könnyebben megjegyezhető – jelszót használja a munkájához szükséges alkalmazásokhoz, mint amelyikkel a rendszerbe bejelentkezik.

Vállalati munkakörnyezetben a felhasználónak munkájuk során több hálózati és/vagy internetes alkalmazást kell elérniük, az alkalmazások pedig saját jelszómódosítási irányelveket használnak, és saját formázást követelnek meg, pokoli kínokat okozva ezzel a rendszergazdáknak és a felhasználóknak. Egyes jelszókezelési megoldások kiváló biztonságot nyújtanak, míg más rendszerek a hozzáférés terén jeleskednek, de kevésbé biztonságosak, különösen a szervezetre és a partnerekre leselkedő veszélyek tekintetében. A vállalatok ezért olyan megoldást keresnek, amely egyszerre szolgálja ki a biztonsággal és a hozzáféréssel kapcsolatos igényeket, de a vállalatnál a használt platformok sokszínűsége ellenére is költséghatékonyan vezethető be.

 

1.1. 2.2. 3.3.
4.4. 5.5. 6.6.
7.7. 8.8. 9.9.
10.10. 11.11. 12.12.
13.13. 14.14. 15.15.

A rendszergazdák rémálma: a különböző érdekeket kielégítő jelszókezelés megtalálása

Minden vállalati eszköz valamilyen módon az IT-hálózatra kapcsolódik. Az alkalmazottak, a partnerek és az ügyfelek elvárják az egyszerű hozzáférést bármikor és bárhonnan, a versenytársakat és a bűnözőket viszont agresszív módon távol kell tartani. A biztonság mellett ugyanakkor azt is szem előtt kellett tartani, hogy a megoldást bármely alkalmazott a tartózkodási helyétől, illetve az operációs rendszertől és platformtól függetlenül, problémamentesen tudja használni. A megoldásnak mindezek mellett lehetővé kell tenni, hogy a vállalat egyszerű, átlátható módon feleljen meg a szigorú törvényi előírásoknak, anélkül, hogy a rendszergazdák értékes idejét rabolná.

A leggyakrabban használt jelszó: '123456'

Egy adatbiztonsági megoldások fejlesztésével foglalkozó cég, az Imperva[1] szakembereinek egy olyan fájl került a birtokába, amely nem kevesebb, mint 32 millió jelszót tartalmazott. Az adatállomány egy a RockYou nevű vállalatot ért biztonsági incidens eredményeként került napvilágra, amelynek során a támadók hozzáfértek a cég regisztrált felhasználóinak adatait tartalmazó adatbázishoz, majd az interneten közzétették az eltulajdonított jelszavakat. Az eset kivizsgálásakor nyilvánvalóvá vált, hogy az összes jelszó teljesen védtelenül, kódolatlanul, egyszerű szöveges formában került a hackerek kezébe. Az Imperva megvizsgálta a több millió bizalmas adatot tartalmazó adatbázist, és megállapította, hogy a jelszókezeléssel kapcsolatos felhasználói szokások még mindig nagyon aggasztóak. A leggyakoribb jelszavak mindennél jobban árulkodnak a helyzet komolyságáról:

•1.      123456

•2.      12345

•3.      123456789

•4.      Password

•5.      iloveyou

A vállalat statisztikája szerint a jelszavak 30 százaléka hat vagy annál kevesebb karakterből épült fel, a 60 százalékuk pedig nem tartalmaz semmiféle különleges karaktert. A vizsgálat során az is kiderült, hogy a jelszavak 50 százaléka olyan szavakat rejt, amelyek egy esetleges szótáralapú jelszóvisszafejtés során hamar elbuknának, illetve az 5000 leggyakoribb jelszó szinte kivétel nélkül megtalálható a támadók és a jelszótörő alkalmazások által alkalmazott szótárakban. Ezek a belépési adatok nem felelnek meg az elvárásoknak, és a védelem egyik gyenge láncszemét képezik. A problémát tovább fokozza az a kockázati tényező is, miszerint a felhasználók a különböző rendszerekhez azonos jelszavakat adnak meg. Ezért, ha egy adatlopás során jelszavak illetéktelen kezekbe kerülnek, akkor a támadók nagy valószínűséggel több alkalmazás, online szolgáltatás, weboldal stb. esetében is be tudják vetni a megszerzett belépési adatokat.

A jelszókezelés látható és láthatatlan költségei

Szinte minden elemző különböző becslést közöl a jelszókezelés költségeivel kapcsolatban, de átlagosan 25 és 50 dollár közé esik a nem megfelelően kezelt személyazonosságok és az elszabadult jelszófelügyelet tarifája – minden egyes alkalommal, amikor egy felhasználó betelefonál a helpdeskhez. Egy 5 000 felhasználós szervezet esetében ez például évi 50 000 dollárra tehető, ami még nem tartalmazza a felhasználók munkájának kiesését, amíg a jelszó helyreállítására vár. A felhasználók a könnyen megjegyezhető jelszavakat részesítik előnyben, vagy felírják, egymásnak átadják jelszavaikat, amivel éppen – akaratukon kívül – aláássák a vállalati IT-rendszer biztonságát, megnehezítik a biztonságért felelős részleg munkáját, és így többletköltséget generálnak.

A Novell felmérése a vállalati jelszókezelésről

Napjainkban a vállalati informatika egyik legnagyobb kihívása a szervezeten belül használt alkalmazásokhoz és szolgáltatásokhoz tárolt több ezer egyedi felhasználónév és jelszó kezelése. A jelszavak számának növekedése csökkenti az informatikai és felhasználói hatékonyságot, ráadásul növeli az adminisztrációs költségeket és a biztonsági kockázatokat. Ezt alátámasztja a Novell biztonságtechnikai szakemberek körében végzett világszintű felmérésének eredménye, amelyben a megkérdezettek többsége azt állította, hogy vállalatuk informatikai ügyfélszolgálata az idejük legalább 30 százalékát a jelszavakkal kapcsolatos problémák megoldásával tölti. A rengeteg adatbiztonsági incidens és a naponta nyilvánosságra kerülő adatlopások ellenére még mindig komoly hiányosságok fedezhetők fel a jelszavak kezelésében.

Vegye át az irányítást a jelszavak felett

A jelszókezelés okos, aprólékos megközelítésével, amely a személyazonosság élettartam-kezelés, a jelszó-szinkronizálás, a webes hozzáférés-felügyelet és a vállalati egyszeri bejelentkezés megfelelő kombinációját alkalmazza, legyőzhetők a jelszavak kezelésével, felügyeletével és támogatásával járó kihívások. A Novell Identity Manager nagymértékben leegyszerűsíti a személyazonosság-kezelés folyamatát, miközben garantálja a kritikus fontosságú adatok védelmét. A Novell Access Manager segítségével az alkalmazottak, partnerek és vásárlók egyszerűen és biztonságosan érhetik el a szükséges információkat, ugyanakkor a rendszer hatékonyan megakadályozza, hogy bárki más hozzáférjen az értékes adatokhoz. A Novell SecureLogin pedig lehetővé teszi, hogy az alkalmazottak egyetlen, biztonságos bejelentkezéssel hitelesítsék magukat a vállalati erőforrásokon, amellyel kiválthatók a különböző felhasználónevek és jelszavak kezelésével járó feladatok. Mindent összevetve: a hagyományos jelszavak még mindig a legnépszerűbb és legpraktikusabb lehetőséget nyújtják a legtöbb vállalati érték és információ védelmére, csak megfelelően kell kombinálni a jelenleg elérhető jelszókezelő megoldásokat, és ezek működését egy személyazonosság- és hozzáféréskezelési megoldásra kell alapozni.

Ha tetszik, ha nem, jelszavakat használni kell. Ha az Ön vállalata nem tér el nagyon az átlagtól, akkor a hagyományos felhasználói azonosító/jelszó kombinációk még mindig fontos szerepet játszanak, hiszen ezek a hitelesítés elsődleges módszerei, és a legtöbb szakértő szerint ez nem fog változni a közeljövőben. Bizonyos nyilvánvaló és jól ismert hiányosságok ellenére a hagyományos jelszavak még mindig a legnépszerűbb és legpraktikusabb lehetőséget nyújtják a legtöbb vállalati érték és információ védelmére. Ez azonban nem jelenti azt, hogy a jelszavak nem okozhatnak ugyanannyi problémát, mint amennyit megoldanak, különösen nem a nagy, összetett és heterogén informatikai környezetekben. A fő problémák nem új keletűek, minden informatikus szakember ismeri őket. Egy okos, átfogó jelszókezelő megoldás nélkül – amely megoldást nyújt ezekre a tartós problémákra – a jelszavak burjánzása nem csak csökkentheti a termelékenységet, de felesleges munkát is okozhat az informatikusoknak, és veszélyezteti a szervezet biztonságát.

A jelszókezelési problémák megoldásának megközelítései

A jelszavakkal kapcsolatos kihívások szinte általános érvényűek, de a vállalatok által a megoldásukra alkalmazott módszerek és technikák nem azok. Számos különböző tényezőtől – például az IT infrastruktúrától, az adott megfelelőségi követelményektől és a felhasználói elvárásoktól – függően számos különböző megközelítés és technológia közül választhatunk. A kiszolgálói jelszó-szinkronizálás a személyazonosság-kezelő rendszerrel együttműködve szinkronizál egy jelszót a felügyelt környezet összes kapcsolódó rendszerében. A webes hozzáférés-felügyelet és webes egyszeri bejelentkezés: egyszeri bejelentkezéssel nyújt hozzáférést a webalapú alkalmazásokhoz és erőforrásokhoz, általában egy webes portálon keresztül. A vállalati egyszeri bejelentkezés pedig hitelesítő adatokat hív le a könyvtárból és szinte minden alkalmazásnak vagy erőforrásnak továbbítja azt a felhasználó helyett. A legtöbb vállalat ezek közül a módszerek közül alkalmaz egyet vagy többet a jelszavak kezeléséhez. Mindegyiknek megvannak a rá jellemző előnyei és hátrányai.

•6.      Kiszolgálói szinkronizálás

Az egyik gyakori módszer az, hogy a jelszókezelést egy nagyobb személyazonosság életciklus-kezelő és felhasználói hozzáférés-kiosztási megoldás részévé teszik. Ennek keretében a felhasználók egyetlen jelszót kapnak, amelyet a rendszer a környezet összes kapcsolódó rendszerén szinkronizál.

Előnye: A kiszolgálói szinkronizálás mindenképpen csökkenti a jelszavak számát, amelyet a felhasználóknak meg kell jegyezniük. Azzal a határozott előnnyel is jár, hogy szerves része egy nagyobb azonosságkezelő és hozzáférés-kiosztási megoldásnak.

Hátránya: A hagyományos jelszó-szinkronizálás önmagában még nem mindig tökéletes. A szinkronizált jelszavak csak a kapcsolódó rendszerek „legkisebb közös nevezői" lehetnek, ez akadályozhatja a bevált jelszóházirendek megvalósítását. Ha például egy nagygépes rendszert integrálunk egy csak hatkarakteres jelszavakat támogató személyazonosság-kezelő infrastruktúrába, akkor minden más kapcsolódó rendszernek is át kell vennie ezt a korlátozást, hogy megtörténhessen a szinkronizálás. A jelszó-szinkronizálás költséges lehet abban az esetben, ha még nincs bevezetve központi személyazonosság-kezelő vagy hozzáférés-kiosztási rendszer (IAM rendszer).

A Novell kiszolgálói szinkronizációs megoldása: Novell Identity Manager

A Novell Identity Manager nagymértékben leegyszerűsíti a személyazonosság-kezelés folyamatát, miközben garantálja a kritikus fontosságú adatok védelmét. A Novell megoldása automatizálja a felhasználó-létrehozás és jelszókezelés felügyeletét a felhasználó teljes életciklusára vonatkozóan – azonnali hozzáférést biztosít az új felhasználóknak, szükség szerint módosítja, vagy megszünteti a hozzáférést az összes rendszeren, és egységesíti a jelszókezelést. A megoldás úgy garantálja a biztonságot és az előírásoknak való megfelelést, hogy a kilépő alkalmazottak számára az erőforrások elérése automatikusan megszűnik, ha az alkalmazott állapota „kilépett"-re változik a személyügyi adatbázisban vagy valamely más hiteles adatforrásban. Az Identity Manager szinkronizálja a felhasználó összes jelszavát, és egyetlen jelszavas elérést nyújt az összes rendszerhez. Szabályokkal garantálható, hogy a használt jelszavak biztonságosak: erős, az egész rendszerre kiterjedő jelszóirányelvek alakíthatók ki, amelyek védenek a szótár alapú támadások ellen. A Novell termékével megszüntethető a felhasználói hozzáférési igények költséges és időigényes kézi adminisztrálása is.

•7.      Webes hozzáférés-felügyelet

A jelszókezelés másik népszerű módszere a webes hozzáférés-felügyeleti (Web Access Manager- WAM) termékek használata a webes alkalmazások hitelesítésére és engedélyezésére egy biztonságos webes portálon keresztül. A WAM rendszerek általában egy felhasználói hozzáférés-kiosztási eszközzel együttműködve szabályozzák, hogy ki milyen erőforrásokhoz férhet hozzá a portálon keresztül.

Előnye: A felhasználók egyetlen felhasználónévvel és jelszóval jelentkezhetnek be egy kényelmes, testre szabott portál-kezelőfelületre, amely megfelelő, azonosságon alapuló hozzáférést biztosít a belső alkalmazásokhoz és erőforrásokhoz. Ez zökkenőmentes használatot biztosít a felhasználók számára, amely számos alkalmazást egyesít egyetlen helyen.

Hátránya: A WAM megvalósítása csak webalapú erőforrások esetében lehetséges. A felhasználóknak továbbra is meg kell jegyezniük (vagy le kell írniuk) a jelszavakat az internetes e-mail fiókokhoz, a hagyományos alkalmazásokhoz és más rendszerekhez, amelyeket a portálkörnyezet nem támogat.

A Novell webes hozzáférés-felügyeleti megoldása: Novell Access Manager

A Novell Access Manager segítségével az alkalmazottak, partnerek és vásárlók egyszerűen és biztonságosan érhetik el a szükséges információkat, ugyanakkor a rendszer hatékonyan megakadályozza, hogy bárki más hozzáférjen az értékes adatokhoz. Pontosan meghatározható, hogy kik jogosultak az erőforrások elérésére, ők pedig mindent, amihez jogosultságuk van, egyetlen jelszóval érhetnek el. A Novell Access Manager használatával az informatikai biztonságért felelős szakértők a Windows címtárban korábban nem szereplő felhasználóknak, partnereknek és szervezeteknek is biztosíthatnak egypontos bejelentkezéssel elérhető hozzáférést a Microsoft Web-alapú termékeihez. A Novell Access Manager támogatja a legtöbb erős hitelesítsi eljárást, az SSL VPN-t, és a webszolgáltatás-összevonást (WS-Federation), amelyeknek köszönhetően a Novell Access Manager az iparág egyik legteljesebb webes hozzáférés-kezelési szolgáltatását kínálja.

•8.      Vállalati egyszeri bejelentkezés (ESSO)

A jelszókezelés harmadik módszere a vállalati egyszeri bejelentkezés, ahol a felhasználók egy hitelesítő adatkészlet megadásával jelentkeznek be a hálózatba. A rendszer előhívja a megfelelő felhasználóneveket és jelszavakat, és a felhasználó nevében automatikusan átadja őket az egyszeri bejelentkezést engedélyező alkalmazásoknak.

Előnye: A módszer megszünteti a „legkisebb közös nevező" problémáját azáltal, hogy lehetővé teszi a különböző jelszóházirendek alkalmazását az egyes rendszereken vagy alkalmazásokban. Így minden egyes alkalmazásban az adott alkalmazás által támogatott legerősebb jelszót használhatja. A vállalati egyszeri bejelentkezés ki tudja terjeszteni az egyszeri bejelentkezés lehetőségét a külső alkalmazások és webes erőforrások szélesebb körére, így átláthatóvá és automatikussá teszi a kötelező jelszóváltoztatásokat a rendszergazdák és a felhasználók számára egyaránt, és akár el is rejtheti egy alkalmazás valódi jelszavát a felhasználók elől.

Hátránya: A vállalati egyszeri bejelentkezés technológia alapfeltétele az összes alkalmazás felkészítése az egyszeri bejelentkezésre. A múltban ez gyakran bonyolult és időigényes parancsfájlok használatát tette szükségessé, amelyekkel elérhető volt, hogy az egyes alkalmazások megfelelően reagáljanak a vállalati egyszeri bejelentkezési rendszer kérelmeire.

A Novell vállalati egyszeri bejelentkezés megoldása: Novell SecureLogin

A Novell SecureLogin lehetővé teszi, hogy az alkalmazottak egyetlen, biztonságos bejelentkezéssel hitelesítsék magukat a vállalati erőforrásokon, amellyel kiválthatók a különböző felhasználónevek és jelszavak kezelésével járó feladatok. A Novell SecureLogin jelentősen, hetekről akár napokra csökkenti a vállalati alkalmazások felkészítési idejét az egypontos bejelentkezés bevezetésére. A Novell SecureLogin zökkenőmentesen működik együtt a Windows rendszerekkel, valamint a webes, Java-alapú és egyéb vállalati alkalmazásokkal. A SecureLogin varázslója számos alkalmazást automatikusan integrál, így az ügyfelek és a partnerek más gyártók termékeihez képest sokkal gyorsabban realizálhatják az egypontos bejelentkezés nyújtotta előnyöket. A Novell SecureLogin jól működik más Novell jelszó és személyazonosságélettartam-kezelő termékekkel is, például a Novell Identity Manager és a Novell Access Manager programokkal.

A legjobb válasz megtalálása: mi a megoldás a jelszókezelés problémáira?

Figyelembe véve az összes előnyt és hátrányt, a három jelszókezelési módszer közül vajon melyik nyújtja a legjobb, legteljesebb és legköltséghatékonyabb jelszókezelési megoldást a vállalatok számára? A legjobb válasz erre a kérdésre az egyes megoldásoknak az igények szerinti kombinálása. Használhat például kiszolgálói szinkronizálást a jelszókezelés egyszerűsítéséhez néhány központi rendszeren, alkalmazhat egy webes hozzáférés-felügyeleti terméket az egységes portálkörnyezet biztosításához a felhasználók számára, majd egy vállalati egyszeri bejelentkezési rendszer használatával kiterjesztheti a jelszókezelési funkciókat. Ha a különböző jelszókezelési összetevők és technológiák mind felhasználhatják a személyazonosság-kezelő rendszert, akkor együtt tudnak működni és megoldják a jelszavakkal kapcsolatos kihívásokat.


[1]           Forrás: White Paper: Consumer Password Worst Practices, 2009, https://www.imperva.com/lg/lgw.asp?pid=379

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük