Autentifikacija

Autentifikacija možda zvuči kao komplikovan koncept, ali je u suštini jednostavna tehnologija koja služi za proveru identiteta korisnika. U offline svetu ovaj proces je univerzalan i većina država ima dokumentovane procedure za izdavanje pasoša koji će potvrditi vaš identitet gde god da se zaputite. U svetu računara, ipak, ne postoji jedinstveni dokument koji dokazuje vaš identitet već svaka lokacija, servis ili usluga koristi sebi svojstvenu kombinaciju tehnika autentifikacije.

U predhodnom članku smo naveli korelaciju između autentifikacije, autorizacije, kontrole pristupa i beleženja logova. Uspostavljanje validne autentifikacije je prvi i neophodan korak za dalju primenu ostale tri tehnike jer ukoliko korisnik ne potvrdi svoj identitet, nećete biti u mogućnosti da odredite kojim resursima može da pristupi, a ni da zabeležite njegove aktivnosti.

Potvrđivanje identiteta online

Da biste utvrdili da li je neko zaista ko tvrdi da jeste, morate proveriti informacije koje su za tog korisnika jedinstvene i nepromenljive. Za to postoji nekoliko metoda, a na filmu i televiziji ćete ih sresti u sledećem obliku:

• Osoba mora da potvrdi određenu informaciju koju samo on/ona može da zna
• Osoba mora da ima određeni objekat njemu/njoj svojstven
• Proverite da li osoba ima neku primetnu, jedinstvenu osobinu

Slične opcije su dostupne i za proveru korisnika online i to su tri bazične metode koje se kolektivno nazivaju faktori autentifikacije. Pojedinačno, ovi faktori su poznati kao:

• Faktor znanja, tj. šta znaš – ovu informaciju u idealnom slučaju znaju samo korisnik koji se verifikuje i, na drugoj strani, telo za verifikaciju (osoba, proces, servis)
• Faktor posedovanja, tj. šta imate – nešto što korisnik poseduje ili je dodeljeno od strane verifikacionog tela, a uz pomoć čega može da se potvrdi identitet korisnika
• Faktor inherencije ili pripadnosti, tj. šta jeste – prirodna i nerazdvojna osobina korisnika, tipično nepromenljiva

Prva tri faktora

Podaci koji se često koriste kao faktor znanja su lozinke (password), pristupne fraze (passphrases), ili PIN-ovi (Personal Identification Numbers). Korisnici najčešće ne znaju da je i odgovor na “tajno pitanje” (secret question) u koracima identifikacije takođe faktor znanja.

Mnogi od nas imaju barem jedan faktor posedovanja u našim novčanicima, verovatno i više njih. Pored lične karte i vozačke dozvole i platna kartica se ponekad može koristiti u svrhu bazične identifikacije. Kreditna kartica nije samo znak da smo korisnici usluga neke banke, već i da ta banka na osnovu nje može da nas identifikuje. Naravno, ova dokumenta nisu jedina forma među faktorima posedovanja – sve što je jedinstveno u vezi sa korisnikom može biti od koristi: email adresa, mobilni uređaj ili broj, online korisnički nalozi… Privremeni ključevi neophodni za prijavljivanje na određene servise najčešče se šalju putem SMS, govorne ili email poruke.

I na kraju, tu su i faktori inherencije. Ne tako davno bili su samo deo naučne fantastike i špijunskih filmova, a danas su skoro redovne karakteristike prenosnih i mobilnih uređaja. Čitači otiska prsta, kao najčešći primer, verifikuju identitet korisnika na osnovu jedinstvenog otiska prsta. Pojedini pametni telefoni nude i skener zenice koji će na osnovu jedinstvenog rasporeda mrlja i kolornog spektra proveriti identitet korisnika. Sve više su prisutni i skeneri za prepoznavanje lica i poređenje sa poznatom bazom korisnika. Verovatno ste primetili da facebook po automatizmu prepoznaje vaše prijatelje na fotografijama koje delite?

Bazična autentifikacija sa korisničkim imenom i lozinkom je česta meta napada, pa je korišćenje više od jednog faktora autentifikacije sve popularniji pristup u proveri identiteta korisnika.

Kada jedan nije dovoljan

U ovom trenutku većina nas poznaje barem jednog korisnika čiji je online nalog bio “hakovan”. Bazična autentifikacija sa korisničkim imenom i lozinkom je česta meta napada, pa je korišćenje više od jednog faktora autentifikacije sve popularniji pristup u proveri identiteta korisnika.

Metod prijavljivanja korisnika kroz dva faktora autentifikacije se i zove tako – dvostruka autentifikacija ili dvostruka verifikacija; skraćeno 2FA ili TFA. Ukoliko je u procesu prijavljivanja aktivan 2FA, čak i ako korisnik slučajno ili namerno oda svoje kredencijale, nalog će biti zaštićen sve dok napadač nema pristup drugom faktoru.

Dalji razvoj faktora autentifikacije

Jedan od načina za unapređenje autentifikacije je pronalaženje novih faktora. Nekolicina njih je već u upotrebi, a da ih možda i niste primetili:

• Faktor lokacije – Gde se nalazite
• Faktor ponašanja – Šta radite

Možda ovi faktori deluju čudno jer korisnici često menjaju lokaciju i ponašanje, a i sigurno nisu jedinstveni. Uspostavilo se, ipak, da mogu biti od velike pomoći, pogotovu ako se koriste u sprezi sa drugim faktorima.

Faktor lokacije prati uobičajne lokacije i uređaje sa kojih se korisnik prijavljuje. Sam po sebi ovaj faktor ne znači puno ali, ukoliko se koristi kao sekundarni faktor autentifikacije, može biti itekako bitan. Ukoliko se prijavljujete sa nepoznatog mesta ili neregistrovanog uređaja, proces prijavljivanja može da zahteva SMS kod kao dodatni vid provere.

Vremenom se ispostavilo da faktor ponašanja korisnika može biti jedinstven koliko i otisak prsta – pretraživanje Interneta, glasovi, kretanje miša, dodiri po ekranu, rukopis i slični paterni koje svakodnevno ponavljamo mogu biti dodatni način za proveru identiteta. Pored uobičajnog unosa kôda, noviji pametni telefoni nude i mogućnost definisanja oblika koji ćete iscrtati na ekranu ukoliko želite da otključate uređaj.

Sledeći koraci: Postavljanje limita

Nakon uspešne autentifikacije, administratori korisnicima uglavnom ostavljaju neograničen pristup mreži, tj. “na izvol’te”. U sledećem članku ćemo pisati o autorizaciji i kontroli pristupa, tehnikama koje omogućavaju postavku odgovarajućih dozvola i ograničenja koje će korisnike usmeriti samo na ono što im je neophodno i minimizirati mogućnost pojave problema, bili oni slučajni ili namerni.

www.welivesecurity.com