Jūsų gimtadienio data? Ne. Jūsų vaikų vardai? Ne. Jūsų mėgstama krepšinio komanda? Gal. Pripažinkime: slaptažodžiai, kuriuos lengva atsiminti yra nesudėtingai atspėjami. Atitinkamai, sudėtingi slaptažodžiai nors ir yra saugūs taip pat yra ir labai sunkiai įsimenami, todėl žmonės yra linkę juos užsirašyti, kas yra dar blogiau nei prastai pasirinktas slaptažodis.
Ir iš tiesų, praktika rodo, jog slaptažodžiai nors ir atlieka labai svarbų vaidmenį įmonių tinklų infrastruktūroje, tačiau tai tampa nebepakankama priemone, norint tinkamai apsaugoti informacines organizacijos vertybes. „Critical Security“ dažnai atlieka įsibrovimo testus į organizacijas, kurių metu imituojamas realių įsilaužėlių, nusitaikiusių į kompaniją veiksmus: tam dažniausiai būna sudaromos dvi komandos – viena bando įsilaužti į tinklą per technologinius pažeidžiamumus, o kita tikrina „žmogiškąjį faktorių“. Pirmosios komanda dažnai susiduria su tokia situacija: pavyksta įsilaužti į tikrinamos organizacijos interneto tinklalapį, iš ten ištraukti ją administruojančių žmonių prisijungimo slaptažodžius, tiesa, užšifruotu pavidalu.
Šifruotų slaptažodžių dekodavimas momentaliai atveria daugelį silpnų slaptažodžių, tokių kaip „labas“, „test“ ar „vadovas_asilas“, tačiau dažniausiai jie niekur be tos sistemos netinka. Kur kas sunkiau yra parinkti kompleksinius slaptažodžius pvz., „m69kOpzaD“, tačiau jei tai pavyksta, tuomet yra 99 % tikimybė, jog vartotojas pasirinkęs tokį sudėtingą slaptažodį jį naudoja visur. Kažkas tikriausiai suabejosite, jog kompleksinių slaptažodžių parinkimas yra praktiškai įmanomas per pakankamai trumpą laiką? Deja, šiandien technologijos leidžia pasiekti tikrai įspūdingą slaptažodžių perrinkimo laiką: pavyzdžiui pigios vaizdo kortos už 200 LT su „Nvidia CUDA“ technologija slaptažodžių perrinkimo sparta nedaug atsilieka nuo „Intel Quad Core“ procesoriaus, o naudojant kelias brangias kortas, kurių slaptažodžių perrinkimo sparta yra nuo kelių iki keliolikos kartų didesnė tradiciniais būdais užšifruoti slaptažodžiai lukštenami kaip riešutai. Taigi, turėdami bent vieno vartotojo slaptažodį, įsilaužėliai gali brautis vis giliau ir giliau į organizacijos tinklą.
Kita medalio pusė yra tai, kad organizacijų tinklų vartotojai, ypatingai didesnėse kompanijose, yra labai linkę tiesiog pasakyti savo prisijungimo duomenis, jeigu jie yra pastatomi į tam tikrą psichologinę situaciją. Pavyzdžiui, žinant, jog organizacijoje vartotojų vardai sudaromi iš asmens vardo ir pavardės pirmų raidžių, sakykim Vardenio Pavardenio prisijungimo vardas būtų „vardpav“, „vpav“, įsilaužėliai gali mėginti tiesiog paskambinti ir netiesiogiai paklausti slaptažodžio. Gal tai irgi atrodo neįtikėtina, bet pasirinkus tinkamą būdą – įmanoma. Tarkime atliekant panašaus pobūdžio patikrinimą, kaip būtiną įsibrovimo testo dalį, darbuotojams melavome, jog vyksta kalėdinė IT saugumo apklausa, kurios tikslas yra nustatyti darbuotojų sugebėjimus pasipriešinti IT grėsmėms: tam reikėjo užpildyti anketą, kurioje be bendrų klausimų apie IT saugumą reikėjo nurodyti ir savo slaptažodį, kad išrinktume „saugiausią“, o geriausiai atsakę galėjo laimėti kelionę. Aišku, tai yra dirbtinis pavyzdys – tikri įsilaužėliai nenorėtų sukelti daug triukšmo, tad pasirinktų kokį kitą metodą – galima nusiųsti elektroninį laišką, kuriame prašoma kažkur prisijungti ar pan.
Būtent sprendžiant slaptažodžių nepatikimumo problemą, buvo sugalvotas papildomas autentifikacijos faktorius tam, kad užkirsti kelią slaptažodžių nutekėjimo ar nesaugumo problemoms. Vartotojui be slaptažodžio žinojimo reikia papildomai turėti jam suteiktą įrenginį, tuomet autentifikacija vyksta pagal principą „tai ką žinau“ + „tai ką turiu“. O toks priėjimas reikalauja iš įsilaužėlio turėti konkrečiam vartotojui priskirtą įrenginį leidžiantį prieiti prie kompanijos resursų žinant dar ir slaptažodį: t. y. įrenginys be slaptažodžio yra bevertis, lygiai taip pat kaip ir slaptažodis be įrenginio.
Tokį sprendimą realizuoti idealiausia naudojant USB tipo „antro faktoriaus“ įrenginius, tokius kaip, pavyzdžiui, gerai Lietuvos rinkoje užsirekomendavusį „Eutronsec eToken“, leidžiantį vartotojams patogiu būdu autentifikuotis sistemose žinant tik savo įrenginio PIN kodą, kurį lengva įsiminti. Įrenginyje saugomi duomenys yra patikimai šifruojami naudojant RSA šifravimo algoritmą, kurio rakto ilgis yra 2048 bitai, kas yra tikrai labai daug, kadangi net 128 bitų rakto šiuolaikinėmis priemonėmis negalima parinkti, ką jau kalbėti apie kur kas ilgesnį.
„eToken“ naudojimas sprendžia iškart kelias problemas: įsilaužėliams nebelieka galimybės prieiti prie sistemų turint tik kažkurio vartotojo slaptažodį, taip pat jeigu vartotojas, pavyzdžiui, pameta įrenginį – jis nebegali toliau dirbti ir apie tai yra priverstas pasakyti sistemų administratoriui, ko tikrai nebūna pametus ar kitokiu būdų atskleidus tretiesiems asmenims tradicinį slaptažodį. Papildomai sistemos funkcionalumą galima išplėsti naudojant papildomą programinę, pavyzdžiui, „Secure Systems“ gaminamą „ControlSphere“ programinį paketą, leidžiantį dar labiau padidinti saugumo lygį. „ControlSphere“ leidžia vartotojams įsiminti slaptažodžius naršyklėse, IM bei kitose programose fiziškai nesaugant jų kompiuteryje šį darbą patikint saugiai užšifruotam „eToken“ įrenginiui. Taip pat „ControlSphere“ turi ir kitų modulių, leidžiančių vartotojui šifruoti duomenis naudojant „eToken“ įrenginį, rakina darbo stotį ištraukus raktą ir atlieka subtilesnius veiksmus ten, kur reikalinga papildomas vartotojų autentifikavimas.
Galima daryti išvadą, kad nepatikimų, besikartojančių, per sudėtingų slaptažodžių problemos tikrai egzistuoja ir jas būtina spręsti. Naudojant „eToken“ ir „ControlSphere“ mes galime pasiekti deramą prieigų prie duomenų saugumą ir padaryti priėjimą prie duomenų ne tik saugų, bet ir dar patogesnį vartotojams. Papildomai džiugina ir tai, jog šie sprendimai nėra brangūs ir jie ateis į mūsų gyvenimus lygiai taip pat kaip savo laiku atėjo kompiuteriai, internetas ir vėliau antivirusinė apsauga.