03
יול
09

איזה שיטת הזדהות חזקה יותר?

כותרת משנה: חוזק מנגנון אבטחת מידע לא תמיד נובע מהחוזק הטכנולוגי

אחת התפיסות הנפוצות בנוגע לחוזק אבטחת מידע נסמכת על התפיסה שהכל נובע מאופן היישום הטכני. לכולם ברור שהצפנה ע"י אלגוריתם AES בטוחה יותר משימוש באלגוריתם 3DES. כך גם כל ספק רכיב זיהוי חזק טוען. רק שזה לא תמיד נכון, ולא מסיבות טכנולוגיות.

זיהוי חזק (או הזדהות חזקה) מבוסס על שילוב של מספר מאפייני אימות:

  • משהו שאתה יודע: סיסמא

  • משהו שיש לך: רכיב פיזי כגון טוקן או מחולל סיסמאות חד-פעמי

  • מאפיין פיזי (משהו שאתה): טביעת אצבע, טביעת קשתית עין, צורת כף יד

בד"כ, משלבים שני מאפיינים: סיסמא ומשהו שיש לך. באופן כללי נהוג לחשוב שהרכיב הפיזי החזק ביותר הוא טוקן או כרטיס חכם (רכיבי PKI), שכן הם שומרים תעודה דיגיטלית שאינה ניתנת לזיוף או העתקה. בנוסף, נדרשת סיסמא כדי לעשות שימוש בטוקן. מחולל סיסמאות
(One Time Password – OTP) נחשב למאובטח גם הוא, אך נתפס כפחות חזק מרכיב PKI. דור חדש של רכיבים פיזיים עושה שימוש בהודעת טקסט (SMS) לטלפונים סלולריים שלכולם יש היום. ישנם ספקים שמתקינים גם תוכנת Java על הטלפון לחילול סיסמאות (סוג של OTP). 
האם באמת טוקן מאובטח יותר ממחולל סיסמאות או טלפון סלולרי? טכנית, התשובה היא כן. אך בגלל הטבע האנושי, התשובה היא: לא בטוח.
ספק חיצוני שמתחבר לרשת הארגונית עם טוקן עשוי להשאיר את הטוקן קבוע במחשב שלו כאשר הסיסמא רשומה על המסך. אם מישהו יחדור למשרד שלו, הרשת שלי תהיה פתוחה בפניו. באופן דומה, אם המשתמש לוקח איתו את הטוקן או מחולל הסיסמאות, הם עלולים ללכת לאיבוד או להגנב כאשר פרטי ההזדהות צמודים אליהם. עלולים לעבור מספר ימים (למשל בסוף שבוע) עד שהמשתמש ישים לב לאובדן.מצד שני, תראו לי משתמש אחד שלא שם לב שהטלפון הסלולרי שלו אינו צמוד אליו כל הזמן. אם הטלפון יאבד, לאחר שעתיים חברת הסלולאר כבר הגדירה את המספר שלו למכשיר חדש. 

אינני מנסה לקבוע איזה שיטה חזקה יותר. מה שאני מנסה להדגים, זה העובדה שגם אם על הנייר פתרון מסוים מאובטח יותר, הטבע האנושי לפעמים חזק יותר מכל שיטת הזדהות חזקה. הטבע האנושי הוא החוליה החלשה במנגנון ההזדהות החזק. לכן, לא מספיק לבחון נתונים מספריים על הנייר, אלא צריך להסתכל על התמונה הרחבה.

מודעות פרסומת

2 Responses to “איזה שיטת הזדהות חזקה יותר?”


  1. 05/07/2009 ב- 14:47

    הייתי מוסיף את רמת המורכבות הטכנית של הפתרון. ככל שפתרון מורכב יותר ליישום ב-Client Side יש סיכוי רב יותר שהמשתמשים בשיתוף עם אנשי הסיסטם יחפשו דרכים לעקוף אותו עקב בעיות טכניות.
    בכלל, בחירה של פתרון הזדהות צריכה לשקף את תרחישי השימוש ולא רק צרכי האבטחה. קח למשל חברה שעובדיה מתניידים בעולם כל הזמן (חברת תעופה למשל); הפתרון צריך לתמוך ביתירות כשעובד נמצא בחול ואבד לו רכיב ההזדהות. במובן זה, שימוש במחולל סיסמאות הנו נוח יותר כיוון שניתן להקריא למשתמש סיסמא בטלפון (נניח לרגע בצד את איך זיהו את המשתמש במוקד הטלפוני וכדומה) או לחילופין משלוח סיסמא ב-SMS (פחות נוח ביומיום). זאת להבדיל מרכיב חומרה שחייבים לשלוח למשתמש במידה והוא אבד.

  2. 05/07/2009 ב- 23:31

    מסכים בהחלט. בחירת אופן ההזדהות חייבת לקחת בחשבון את רמת המורכבות למשתמש, כמו גם השלכות באפליקציה (כגון SSO).


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


יולי 2009
א ב ג ד ה ו ש
« יונ   אוג »
 1234
567891011
12131415161718
19202122232425
262728293031  

%d בלוגרים אהבו את זה: