בעולם המחשוב כיום ובעבר, שיטת ההזדהות הנפוצה ביותר הייתה ועדיין היא הסיסמא. על-ידי מסירה של שני נתונים, שם משתמש וסיסמא, משתמשים שעברו אימות מקבלים גישה מתאימה למידע הרגיש ולמערכות בארגון. ככל שרמת האבטחה עולה וככל שהמידע שמאוחסן במערכות שלנו הופך לרב יותר ורגיש יותר, הדרישה לסיסמאות מורכבות יותר הולכת וגדלה.

מחקרים מדעיים רבים ניסו להוכיח כי בני אדם מסוגלים לזכור בצורה יעילה עד שבעה פריטי מידע בבת-אחת ובו-זמנית. לא צירוף מקרים שזהו גודל הסיסמא המינימאלי המומלץ להרבה מאוד סביבות. הבעיה העיקרית בעבודה עם סיסמאות, נובעת מכך שככל שכוח המחשוב הולך וגדל, כך חוזקן של הסיסמאות הולך וקטן וכידוע, חוזקן העיקרי של סיסמאות נובע משני קבועים עיקריים: אורך ומורכבות. ככל שהסיסמא ארוכה יותר ומורכבת יותר – כך היא חזקה יותר, אך זה בא בניגוד מוחלט ליכולת האנושית הבסיסית לזכור פריטי מידע נוחים, קליטים וקצרים.

אחת הבעיות העיקריות בעבודה עם סיסמאות היא הצורך לשמר את האיזון בין הקפדה על האינטרס הארגוני ורמת אבטחה תקינה ובין נוחות המשתמש והיכולת שלנו, כמנהלי רשת ואבטחת מידע, לספק לו סביבת עבודה נוחה ומעודדת פרודוקטיביות. מצד אחד דרישות דרקוניות להגדרת סיסמא נתפשות כלא מציאותיות, אינן מתחשבות במשתמשים ומעודדות תיעוד של הסיסמא ומצד שני, סיסמאות קלות או קצרות מידי אינן עומדות בדרישות תקינה או מאבטחות את המידע בצורה מתאימה.

נושא נוסף שיש לקחת בחשבון הוא העלות של כל נושא ניהול הסיסמאות: איפוס, שינוי, הגדרת מורכבות וכו'. גרטנר ביצעו מחקר והגיעו למסקנה ששיחה אחת ל Helpdesk לאיפוס סיסמא עולה לארגון בגודל ממוצע כ 10$ לשיחה. תוסיפו לזה את ההמלצה הנוכחית כיום, שכל סיסמא חייבת להיות באורך של לפחות 15 תווים ולכלול שילוב של אותיות גדולות, אותיות קטנות, מספרים ותווים מיוחדים, לא לכלול מילים שמופיעות במילון, לא לחזור על אותה סיסמא לפחות 23 פעמים שונות ו… וואו! אתם מקבלים דרישה שאין פלא שמשתמשים מוצאים דרכים יצירתיות לעקוף אותה (פתקים מתחת למקלדת, פתקים על המסך, איש קשר "סיסמא עבודה" בטלפון ועוד – כן, כן, אתם יודעים מי אתם).

עד עכשיו, הצלחנו לתאר מצב מאוד עגום בכל הקשור לעבודה עם סיסמאות ברשת ארגונית וזה עוד מבלי בכלל להעלות את נושא אופן שמירת הסיסמאות והעברתן לצורך הזדהות על-גבי הרשת. כיום יותר ארגונים מנסים לחנך משתמשים על עבודה עם Passphrases, סיסמאות שמורכבות ממשפטים ארוכים וקלים יותר לשינון כגון "שרה שרה שיר שמח!" – ארוך, מורכב ואפילו יש סימן. קיימים טריקים נוספים כמו הקלדת סיסמא עם אותיות באנגלית אבל שימוש באותיות בעברית במקלדת, למשל tkgs jhui! , סיסמא שבאנגלית היא חסרת משמעות אבל בפועל מוקלדת כ"אלעד חיון!". ברור לחלוטין שעם כל הטריקים והשיטות השונות, המסר הוא ברור: סיסמאות הן שיטה מוכחת וותיקה, אך בהחלט נושא שדורש שינוי או לפחות שיפור.

 

הזדהות מרובת אלמנטים

OTPכדי לתת מענה מתאים ולפצות על כל החסרונות של עבודה עם סיסמאות, יש לנו את האפשרות להגדיר ברשת עבודה עם Multi-Factor Authentication (MFA) או הזדהות מרובת אלמנטים. הזדהות מרובת אלמנטים ידועה גם בשם Two-Factor Authentication כאשר שם המשתמש והסיסמא נחשבים לאלמנט אחד וההתקן, הביומטריה, או ה OTP, להתקן נוסף. שיטה זו מעודדת את עיקרון האימות על בסיס משהו שאני יודע ובנוסף, משהו שיש לי – Something I know & Something I have. המחמירים יותר גם מיישמים MFA עם Something I am באמצעות יישום של אמצעי זיהוי ביומטריים.

העיקרון המוביל מאחורי MFA הוא פשוט – לא מספיק לדעת את הסיסמא אלא צריך להוכיח שהאדם שיודע מה הסיסמא גם מחזיק במפתח ייחודי לו – עיקרון שקיים כבר לא מעט זמן. הדוגמא הפשוטה ביותר לכך הוא כרטיס הכספומט שלכם. תחשבו, האם הייתם מצליחים למשוך כסף אם הקוד לכספומט היה נראה כך "b$3XB%5!Pb8b9pX"? כנראה שלא. לכן הקוד שלנו מאוד פשוט אבל דורש שנעביר את הכרטיס המגנטי. משהו שאני יודע: קוד בן ארבע ספרות, משהו שיש לי: כרטיס מגנטי תואם לקוד. כל עקרונות ה MFA מבוססים על הבנה זו.

אלמנטים שמאפשרים הזדהות מבוססת MFA על-פי עיקרון 'Something I have' הם למשל OTPs (One Time Password Devices), שיודעים להנפיק סיסמא חד-פעמית בנוסף לשם המשתמש והסיסמא, כרטיסים חכמים, מערכות ששולחות מסרונים (SMS) לטלפון הנייד של המשתמש, תוכנות שמותקנות על המחשב הנייד או על הטלפון ואפילו מערכות שמתקשרות באופן אוטומטי ומקריאות את הקוד. אלמנטים שמאפשרים הזדהות על-פי עיקרון 'Something I am' יכולים להיות טביעת אצבע) הפופולרי בהם), זיהוי קולי, זיהוי פנים ואפילו זיהוי רשתית העין.

 

הזדהות מרובת אלמנטים בסביבת Microsoft Windows

Certificateבסביבת Windows, עומדות לרשותנו מספר אפשרויות להגדרה של MFA, הפופולרית והזמינה ביותר ללא דרישה של שום רכיב צד ג' אפשרית ע"י הקמה של סביבת PKI (Public Key Infrastructure) והגדרה באמצעות GPO של SmartCard Logon. ההגדרה של SmartCard Logon מאפשרת לנו לחייב את המשתמשים לבצע Login לסביבת ה Active Directory שלנו אך ורק בזמן שיש כרטיס חכם זמין למשך כל זמן העבודה. כאשר הכרטיס החכם, המונפק לכל משתמש בצורה ייעודית וייחודית, נשלף מהקורא, התחנה ננעלת.

מעבר לעבודה באמצעות SmartCard והגדרה של Auto-Enrollment ניתן להגדיר גם MFA בסביבות נוספות, לא רק לעבודה ב Active Directory אלא כתנאי להתחברות מרחוק או עבודה מהבית. בסביבות האלו, ה MFA מאפשר לנו להתחבר לתשתית הארגונית אבל מאותו שלב ואילך – ההזדהות, כאפשרות, חוזרת להיות מבוססת סיסמאות ושמות משתמשים בלבד.

 

הזדהות מרובת אלמנטים בעולם

נושא ה Mutli-Factor Authentication תופס תאוצה גם בשוק הפרטי ובעקבות הגידול של מקרי הפריצה בשנתיים האחרונות, הרבה מאוד אתרים החלו להציע אותו כאופציה לאבטחה מוגברת על חשבונות משתמשים, ביניהן: Blizzard, Twitter, Facebook, Microsoft עבור כלל השירותים המבוססים Live ID ו Google עבור כל השירותים שהיא מציעה. Google אף פיתחה מערכת Open Source הפתוחה לשימוש הציבור בשם Google Authenticator עם אפליקציה בשם תואם שמאפשרת יצירת OTPs עבור הרבה מהחברות שהוזכרו לעיל.

 

לסיכום

ככל שכמות המידע והרגישות שלו תגדל, כך נידרש להגן עליו בשיטות יותר ויותר מתוחכמות – דרישה שהסיסמאות כבר אינן יכולות לענות עליה, גם בגלל מורכבות הסיסמא הנדרשת להגנה יעילה וגם בגלל כוח המחשוב העצום שיכול לעמוד ברשות מישהו שרוצה לנחש סיסמאות. הגנה בשכבות ובמספר אמצעים היא הדרך הנכונה לפעול – Multi-Factor Authentication פותח בפנינו את האפשרות הזו ובו בזמן דואג לשמור על הנושא פשוט, נוח, בר-ניהול וישים תוך שמירה על כל עקרונות אבטחת המידע הנדרשים כיום.

Leave a Reply

האימייל לא יוצג באתר. שדות החובה מסומנים *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>