Egy átlagos hálózati felhasználó egy átlagos napon megérkezik a munkahelyére, és azon aggódik, hogy vajon a számítógépe bejelentkező képernyőjén megjelenik-e az értesítés, hogy hány napja maradt… egy új jelszó kitalálására. Amint kiderül, hogy már csak kettő, felfordítja az egéralátétet, leszedi róla az éppen aktuális jelszót, és kétségbeesetten próbál kitalálni valami olyat, amit eddig még nem használt. Ahogy beírta kedvenc háziállatának nevét, a rendszer közli, hogy a jelszónak még meg kell felelnie bizonyos biztonsági előírásoknak, szerepelnie kell benne speciális karakternek, nagybetűnek, számnak, és persze nem lehet túl rövid sem. A felhasználó szomorúan néz körbe az íróasztalán, hátha eszébe jut valamiről a megfelelő jelszó, de semmi… Ugye, ismerős a dilemma?

 Vállalati vs. felhasználói érdekek
Egy hálózati felhasználó gyakran találkozik a fent vázolt problémával, de egy dologban biztosak lehetünk: nem fog mindenféle, a hálózat biztonságát maximalizáló, matematikai alapú jelszósémát kitalálni, sem használni. Ha a rendszer jelszaván túl használnia kell egy hálózati alkalmazást, amelyhez meg kell adnia a felhasználói adatokat is a hitelesítéshez, ő bizony a lehető legegyszerűbb módszerre fog voksolni. A felhasználó számára pedig az a legegyszerűbb, ha ugyanazt a – lehetőleg minél könnyebben megjegyezhető – jelszót használja a munkájához szükséges alkalmazásokhoz, mint amelyikkel a rendszerbe bejelentkezik.

Az otthoni és vállalati felhasználóknak is több internetes és/vagy hálózati alkalmazást kell elérniük, az alkalmazások pedig saját jelszó-módosítási irányelveket használnak, és saját formázást követelnek meg, pokoli kínokat okozva ezzel a felhasználóknak és a rendszergazdáknak. Egyes jelszókezelési megoldások kiváló biztonságot nyújtanak, míg más rendszerek a hozzáférés terén jeleskednek, viszont kevésbé biztonságosak, különösen a szervezetre és a partnerekre leselkedő veszélyek tekintetében.

A felhasználók és a vállalatok a biztonságos számítógép-használathoz ezért olyan megoldást keresnek, amely egyszerre szolgálja ki a biztonsággal és a hozzáféréssel kapcsolatos igényeket, de a vállalatnál a használt platformok sokszínűsége ellenére is költséghatékonyan vezethető be.

Rendszergazdák rémálma
Minden vállalati eszköz valamilyen módon az IT-hálózatra kapcsolódik. Az alkalmazottak, a partnerek és az ügyfelek elvárják az egyszerű hozzáférést bármikor és bárhonnan, a versenytársakat és a bűnözőket viszont agresszív módon távol kell tartani. A biztonság mellett ugyanakkor arra is figyelni kell, hogy a megoldást bármely alkalmazott a tartózkodási helyétől, illetve az operációs rendszertől és platformtól függetlenül, problémamentesen tudja használni. A választott eljárásnak mindezek mellett lehetővé kell tennie, hogy a vállalat egyszerű, átlátható módon feleljen meg a szigorú törvényi előírásoknak, anélkül, hogy a rendszergazdák értékes idejét rabolná.

123456
Egy adatbiztonsági megoldások fejlesztésével foglalkozó cég, az Imperva szakembereinek egy olyan fájl került a birtokába, amely nem kevesebb, mint 32 millió jelszót tartalmazott. Az adatállomány egy, a RockYou nevű vállalatot ért biztonsági incidens eredményeként került napvilágra, amelynek során a támadók hozzáfértek a cég regisztrált felhasználóinak adatait tartalmazó adatbázishoz, majd az interneten közzétették az eltulajdonított jelszavakat.

Az eset kivizsgálásakor nyilvánvalóvá vált, hogy az összes jelszó teljesen védtelenül, kódolatlanul, egyszerű szöveges formában került a hackerek kezébe. Az Imperva megvizsgálta a több millió bizalmas adatot tartalmazó adatbázist, és megállapította, hogy a jelszókezeléssel kapcsolatos felhasználói szokások még mindig nagyon aggasztóak. A leggyakoribb jelszavak mindennél jobban árulkodnak a helyzet komolyságáról:

1. 123456
2. 12345
3. 123456789
4. password
5. iloveyou

A vállalat statisztikája szerint a jelszavak 30 százaléka hat vagy annál kevesebb karakterből épül fel, a 60 százalékuk pedig nem tartalmaz semmiféle különleges karaktert. A vizsgálat során az is kiderült, hogy a jelszavak fele olyan szavakat rejt, amelyek egy esetleges szótáralapú jelszóvisszafejtés során hamar elbuknának, illetve az 5000 leggyakoribb jelszó szinte kivétel nélkül megtalálható a támadók és a jelszótörő alkalmazások által alkalmazott szótárakban.

Ezek a belépési adatok nem felelnek meg az elvárásoknak, és a védelem egyik gyenge láncszemét képezik. A problémát tovább fokozza az a kockázati tényező is, miszerint a felhasználók a különböző rendszerekhez azonos jelszavakat adnak meg. Ezért ha egy adatlopás során illetéktelen kezekbe kerülnek a jelszavak, akkor a támadók nagy valószínűséggel több alkalmazás, online szolgáltatás, weboldal stb. esetében is be tudják vetni a megszerzett belépési adatokat.

Látható és láthatatlan költségek
Szinte minden elemző különböző becslést közöl a jelszókezelés költségeivel kapcsolatban, de átlagosan 25 és 50 dollár közé esik a nem megfelelően kezelt személyazonosságok és az elszabadult jelszófelügyelet tarifája – minden egyes alkalommal, amikor egy felhasználó betelefonál a helpdeskhez. Egy ötezer felhasználós szervezet esetében ez már évi több tíz ezer dollárra tehető, ami még nem tartalmazza a felhasználók munkájának kiesését, amíg a jelszó helyreállítására vár.

A felhasználók a könnyen megjegyezhető jelszavakat részesítik előnyben, vagy felírják, egymásnak átadják jelszavaikat, amivel – akaratukon kívül – aláássák a vállalati IT-rendszer biztonságát, megnehezítik a biztonságért felelős részleg munkáját, és így többletköltséget generálnak.

 A problémák megoldása
A jelszavakkal kapcsolatos kihívások szinte általános érvényűek, de a vállalatok által a megoldásukra alkalmazott módszerek és technikák nem azok. Számos különböző tényezőtől – például az IT-infrastruktúrától, az adott megfelelőségi követelményektől és a felhasználói elvárásoktól – függően számos megközelítés és technológia közül választhatunk. A kiszolgálói jelszó-szinkronizálás a személyazonosság-kezelő rendszerrel együttműködve szinkronizál egy jelszót a felügyelt környezet összes kapcsolódó rendszerében.

A webes hozzáférés-felügyelet és a webes egyszeri bejelentkezés, amint arra a neve is utal, egyalkalmas bejelentkezéssel nyújt hozzáférést a webalapú alkalmazásokhoz és erőforrásokhoz, általában egy webes portálon keresztül. A vállalati egyszeri bejelentkezés hitelesítő adatokat hív le a könyvtárból, és szinte minden alkalmazásnak vagy erőforrásnak továbbítja azt a felhasználó helyett. A legtöbb vállalat ezek közül a módszerek közül alkalmaz egyet vagy többet a jelszavak kezeléséhez. Mindegyiknek megvannak a rá jellemző előnyei és hátrányai.

Kiszolgálói szinkronizálás
Az egyik gyakori módszer az, hogy a jelszókezelést egy nagyobb személyazonosság életciklus-kezelő és felhasználói hozzáférés-kiosztási megoldás részévé teszik. Ennek keretében a felhasználók egyetlen jelszót kapnak, amelyet a rendszer a környezet összes kapcsolódó rendszerén szinkronizál. A megoldás kedvező, hiszen a kiszolgálói szinkronizálás mindenképpen csökkenti a jelszavak számát, amelyet a felhasználóknak meg kell jegyezniük. Azzal a határozott előnnyel is jár, hogy szerves része egy nagyobb azonosságkezelő és hozzáférés-kiosztási megoldásnak.

A hagyományos jelszó-szinkronizálás azonban önmagában még nem mindig tökéletes. Minden felhasználónak csak egy jelszót kell megjegyeznie, és így előírhatjuk egy bonyolultabb jelszó használatát. A szinkronizáció révén ez a biztonságosabb jelszó lesz érvényes azokban az alkalmazásokban is, ahol egyébként nincs lehetőség egy szigorúbb jelszóhasználat kikényszerítésére. A jelszó-szinkronizálás költséges lehet abban az esetben, ha még nincs bevezetve központi személyazonosság-kezelő vagy hozzáférés-kiosztási rendszer (IAM rendszer).

Webes hozzáférés-felügyelet
A jelszókezelés másik népszerű módszere a webes hozzáférés-felügyeleti (Web Access Manager – WAM) termékek használata a webes alkalmazások hitelesítésére és engedélyezésére egy biztonságos webes portálon keresztül. A webes hozzáférés-felügyeleti rendszerek általában egy felhasználói hozzáférés-kiosztási eszközzel együttműködve szabályozzák, ki milyen erőforrásokhoz férhet hozzá a portálon keresztül. A módszer implementálásával a felhasználók egyetlen felhasználónévvel és jelszóval jelentkezhetnek be egy kényelmes, testre szabott portál-kezelőfelületre, amely megfelelő, azonosságon alapuló hozzáférést kínál a belső alkalmazásokhoz és erőforrásokhoz. A használata zökkenőmentes a felhasználók számára, további előnye pedig, hogy számos alkalmazást egyesít egyetlen helyen.

A webes hozzáférés-felügyelet megvalósítása azonban csak webalapú erőforrások esetében lehetséges. A felhasználóknak továbbra is meg kell jegyezniük – vagy le kell írniuk – a jelszavakat a hagyományos alkalmazásokhoz és más rendszerekhez, amelyeket a portálkörnyezet nem támogat.

Vállalati egyszeri bejelentkezés
A jelszókezelés harmadik módszere a vállalati egyszeri bejelentkezés, ahol a felhasználók egy hitelesítő adatkészlet megadásával jelentkeznek be a hálózatba. A rendszer előhívja a megfelelő felhasználóneveket és jelszavakat, és a felhasználó nevében automatikusan átadja őket az egyszeri bejelentkezést engedélyező alkalmazásoknak. A módszer megszünteti a „legkisebb közös nevező” problémáját azáltal, hogy lehetővé teszi a különböző jelszóházirendek alkalmazását az egyes rendszereken vagy alkalmazásokban. Így minden egyes alkalmazásban az adott alkalmazás által támogatott legerősebb jelszót használhatja.

A vállalati egyszeri bejelentkezés ki tudja terjeszteni az egyszeri bejelentkezés lehetőségét a külső alkalmazások és webes erőforrások szélesebb körére, így átláthatóvá és automatikussá teszi a kötelező jelszóváltoztatásokat a rendszergazdák és a felhasználók számára egyaránt, és akár el is rejtheti egy alkalmazás valódi jelszavát a felhasználók elől. A technológia alapfeltétele viszont, hogy az összes vállalati alkalmazást fel kell készíteni az egyszeri bejelentkezésre. A múltban ez gyakran bonyolult és időigényes parancsfájlok létrehozását tette szükségessé, amelyekkel elérhető volt, hogy az egyes alkalmazások megfelelően reagáljanak a vállalati egyszeri bejelentkezési rendszer kérelmeire, de a mai korszerű rendszerekkel ez már egyszerűbben megoldható.

Melyik a legjobb?
Figyelembe véve az összes előnyt és hátrányt, a három jelszókezelési módszer közül vajon melyik nyújtja a legjobb, legteljesebb és legköltséghatékonyabb jelszókezelési megoldást a vállalatok számára? A legjobb válasz erre a kérdésre az egyes megoldásoknak az igények szerinti kombinálása. Használhatunk például kiszolgálói szinkronizálást a jelszókezelés egyszerűsítéséhez néhány központi rendszeren, alkalmazhatunk egy webes hozzáférés-felügyeleti terméket az egységes portálkörnyezet biztosításához a felhasználók számára, majd egy vállalati egyszeri bejelentkezési rendszer használatával kiterjeszthetjük a jelszókezelési funkciókat.

Ha a különböző jelszókezelési összetevők és technológiák mind felhasználhatják a személyazonosság-kezelő rendszert, akkor együtt tudnak működni, és képesek megfelelni a jelszavakkal kapcsolatos kihívásoknak.

A Novell felmérése a vállalati jelszókezelésről
Napjainkban a vállalati informatika egyik legnagyobb kihívása a szervezeten belül használt alkalmazásokhoz és szolgáltatásokhoz tárolt több ezer egyedi felhasználónév és jelszó kezelése. A jelszavak számának növekedése csökkenti az informatikai és felhasználói hatékonyságot, ráadásul növeli az adminisztrációs költségeket és a biztonsági kockázatokat.

Ezt alátámasztja a Novell biztonságtechnikai szakemberek körében végzett világszintű felmérésének eredménye, amelyben a megkérdezettek többsége azt állította, hogy vállalatuk informatikai ügyfélszolgálata az idejük legalább 30 százalékát a jelszavakkal kapcsolatos problémák megoldásával tölti. A rengeteg adatbiztonsági incidens és a naponta nyilvánosságra kerülő adatlopások ellenére még mindig komoly hiányosságok fedezhetők fel a jelszavak kezelésében.

A Novell SecureLogin vállalati egypontos bejelentkezést nyújtó (Enterprise Single Sign-on – ESSO) megoldása lehetővé teszi, hogy az alkalmazottak egyetlen, biztonságos bejelentkezéssel hitelesítsék magukat a vállalati erőforrásokon, amellyel kiválthatók a különböző felhasználónevek és jelszavak kezelésével járó feladatok.

Ha érdeklik a hasonló, elsősorban az üzleti felhasználókat érintő információk, feltétlenül lapozzon bele a techline.hu szakmai támogatásával készült Business IT Plusz 2011 kiadványba, amelyet megvásárolhat az újságárusoknál, vagy megrendelhet itt.