Sjekker identiteten

Sterk autentisering med bruk av passord pluss et element som smartkort, generatorer for engangspassord og USB-tokens har vært tradisjonelle valg for bedrifter som er bekymret for bedragerier. Dette er tofaktorløsninger som fortsatt er populært for mange. RSA har i følge dem selv 20 000 globale bedrifter som bruker deres SecurID-token. Ulempen med sterk autentisering er at de alltid har vært relativ dyre å rulle ut og vedlikeholde, samt at brukerne i mange tilfeller synes det er tungvint å bruke. Like fullt er det i følge mange sikkerhetseksperter betydelig sikrere med en tofaktor autentisering i forhold til kun et passord.

ID-system

ActivIdentity er et annet sikkerhetsselskap som byr på sterke autentiseringsløsninger. I følge Tom Widegren ved deres nordiske hovedkontor, har selskapet over 10 millioner personer som bruker deres løsninger. Selskapet er nummer to etter markedslederen RSA og har spesielt banker på sin kundeliste. I likhet med RSA tilbyr ActivIdentity programvare og tokenløsninger. Deres autentiseringsserver støtter Radius, Tacacs+ og 802.1x direkte. Det hele samkjøres med eksisterende LDAP-baser. Selskapet har også såkalte «soft token» på PCer, telefoner osv.

ActivIdentity Secure Remote Access Solution består av fire ulike pakker. Her finner vi tokens, soft tokens, USB-nøkler og smartkort. Disse er alle forankret med en ActivIdentity AAA Server som bekrefter eller avkrefter gyldigheten på engangspassord og en enhet som genererer dem.

Single Sign-On

ActivIdentity tilbyr hva de kaller SecureLogin hvor en klient installeres på maskinen. Ved hjelp av klienten trenger brukeren å logge seg inn kun en gang. Å benytte seg av SSO reduserer i følge ActivIdentity risikoen betraktelig. Via en veiviser kan man legge til nye applikasjoner i innloggingsprosedyren, og blant andre Novell tilbyr SecureLogin-produktet til sine kunder. En stor fordel med SSO-løsninger er at IT-avdelingen avlastes ettersom mange henvendelser dit gjerne dreier seg om glemte brukernavn og passord. Med SSO har man kun ett passord å huske på for alle applikasjonene man bruker, og i følge Widegren kan man spare opptil 40 prosent av brukerstøttekostnadene. Du finner mer informasjon om ActivIdentity på www.actividentity.com.

Angrep

I den siste tiden har kjeltringer klart å finne metoder for å misbruke token-baserte autentiseringssystemer. Forholdsvis mange falske Web-steder har vært brukt for å lure brukere til å gi fra seg kortvarige passord som lages av sikkerhetsenheter. Metoden som er kjent som Phishing benytter seg av et såkalt «man-in-middle» angrep, og det er først nå at angriperne har klart å gjennomføre vellykkede angrep. Det var Citibank som ble utnyttet og kjeltringenes falske Web-side sendte umiddelbart passordinformasjonen til Citibanks ekte Web-sted for å logge seg inn før offeret.

Tre viktige spørsmål

Ifølge Karen Devine hos RSA Security er det tre nøkkelspørsmål man bør sette seg før man setter opp et autentiseringssystem. Dette er:

1. Hvem er du? Er denne personen en ansatt, en partner eller en kunde? Ulike autentiseringsnivåer bør settes opp for forskjellige typer mennesker.

2. Hvor er du? For eksempel så bør en ansatt som allerede har brukt en brikke for å aksessere bygningen utgjøre en mindre risiko enn en ansatt eller partner som logger seg inn utenfra. De som logger seg inn fra en kjent IP-adresse er mindre risikabel enn de som logger seg inn fra Nigeria eller Kasakhstan.

3. Hva vil du? Aksesserer denne personen sensitiv eller bedriftens informasjon, eller får vedkommende tilgang til «ufarlig» data?

- Når det gjelder autentisering er det ikke en størrelse som passer for alle. Mye avhenger av sikkerhetsnivået som trengs for den enkelte sluttbruker, sier Sally Hudson som er analytiker hos IDC.

Tips for tofaktor autentisering

• Analysere risikoen
• Kartlegge brukerbasen
• Velg løsning som matcher brukerbasen og risikonivå
• Opprett forretningsmetoder for autentisering
• Utfør pilottester og trinnvise utrullinger
• Kombiner med andre sikkerhetslag
• Overvåk, mål, gransk og evaluér
• Rull ut flere lag med autentiserings- og sikkerhetslag ettersom brukere og risikoene endres