Wyrzućmy w końcu hasła do kosza !!! Czas na SmartCard !!!

Stara prawda „bezpieczników” mówi, że najsłabszym ogniwem w bezpieczeństwie systemów teleinformatycznych jest … człowiek.

Nie tylko jest podatny na ataki socjologiczne, psychomanipulację ( Phishing prawie doskonały - "na dług" ), ale również ma „skończoną pamięć operacyjną” czego najlepszym przykładem jest problem z wymyślaniem/zapamiętywaniem haseł. Można wprawdzie w miarę prosty sposób opracować sobie „system” wymyślania hasła ( Jak wymyślić hasło idealne ), ale comiesięczna zmiana hasła co jest wymogiem przy przetwarzaniu danych osobowych ( UoODO - jak przetrwać ;-) ) jest dla sporej części użytkowników sporym wyzwaniem i kończy się często sekwencją spełniającą ;-) wymogi Rozporządzenia* w postaci Haslo001, Haslo002, … (jest przecież duża litera, cyfra no i ma co najmniej 8 znaków ;-) ).

No właśnie – a przecież takie pseudohasło nie jest żadnym utrudnieniem dla osoby o niecnych zamiarach – w szczególności w przypadku najczęściej stosowanych systemów operacyjnych z rodziny MS Windows wykorzystujących jeszcze protokół NTLM (https://technet.microsoft.com/pl-pl/library/ntlm.aspx ), który w przypadku krótkich haseł jest dość podatny na atak łamania hasła zakodowanego jednokierunkową funkcją skrótu z wykorzystaniem tzw. tęczowych tablic (ang. rainbow tables). Aby sprawdzić jak skuteczna, stosunkowo łatwa i dostępna za darmo dla wszystkich jest ta metoda wystarczy ściągnąć i nagrać płyty projektu Ophcrack http://ophcrack.sourceforge.net/tables.php (Vista/7).

O wiele ciekawszym i skuteczniejszym sposobem łamania haseł jest dedykowany komputer http://fossbytes.com/this-computer-cluster-cracks-every-windows-password... wyposażony w karty graficzne AMD Radeon których wydajność jest wykorzystywana do wykonania 350 bilionów operacji na sekundę (!) dzięki temu w ciągu ok 6 godzi jest w stanie złamać skomplikowane 8 znakowe hasło (szczegółową prezentację projektu można znaleźć na http://passwords12.at.ifi.uio.no/Jeremi_Gosney_Password_Cracking_HPC_Pas... )

Skoro hasła są nieskuteczne – to w jaki sposób nasi użytkownicy mają udowadniać – że to oni się logują do naszych systemów informatycznych ? Rozwiązaniem jest „Smart Card” – w szczególności, że zgodnie z rekomendacjami MAC powinno być to rozwiązanie które w ramach realizacji wytycznych zawartych w KRI**, administracja publiczna powinna wdrożyć do IV kwartału 2016 !!!

ZALECENIE 1

Środki identyfikacji, które należy zastosować przy dostępie pracowników do systemów back office
Zaleca się wdrożenie w podmiotach publicznych mechanizmów uwierzytelniania zbudowanych w oparciu o architekturę PKI (public key infrastructure), wykorzystującą certyfikaty X.509 wraz z zastosowaniem kart inteligentnych „Smart Card” do ochrony kluczy prywatnych powiązanych z certyfikatami. Ponadto zaleca się zintegrowanie zastosowanych kart inteligentnych z elektronicznym systemem kontroli dostępu stosowanym w budynkach w celu zapewnienia zabezpieczenia fizycznego dostępu do konsoli zalogowanego użytkownika.

Korzyści zalecanego rozwiązania

Wprowadzenie ustandaryzowanych środków identyfikacji stosowanych przy dostępie pracowników do systemów back office umożliwi podniesienie wspólnego poziomu bezpieczeństwa w systemach teleinformatycznych podmiotów publicznych.

Zastosowanie architektury PKI jest powszechnie stosowanym mechanizmem uwierzytelniania a odpowiednio zaprojektowana i wdrożona architektura umożliwia budowanie nowych bezpiecznych usług przez podmioty realizujące zadania publiczne.

Więcej na http://krmc.mac.gov.pl/download/50/11997/RekomendacjeMAC.pdf

* Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - http://isip.sejm.gov.pl/DetailsServlet?id=WDU20041001024&min=

** Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych http://isap.sejm.gov.pl/DetailsServlet?id=WDU20120000526