White Paper DynaPass

Inledning
Säkerheten kring lösenord är ofta debatterad och det finns ett antal viktiga frågor man bör ställa sig. Några exempel på detta är:

Hur stor risk ligger i den mänskliga faktorn?
- Hur hanterar man egentligen lösenorden?
- Väljer man verkligen säkra lösenord?
- Lånar man ut dem ibland?
- Förstår alla hur viktigt det är att skydda dem?
- Inser alla vad som kan hända om lösenorden kommer på avvägar?
- Kan man vara säker på att den som anger rätt lösenord är behörig?

Vad händer om vi ställer för höga krav?
- Användarna tycker att det är jobbigt.
- Belastningen på supportavdelningen blir ännu högre eftersom folk glömmer bort sina lösenord redan nu.
- Användarna kommer att leta efter genvägar.

Utmaningen ligger i att skapa ett förfarande kring lösenord som är svårt att kopiera samtidigt som det är lätt att använda. Vitsen är att det skall vara svårt för obehöriga och lätt för behöriga.

Slutsatsen måste bli att skapa ett bättre stöd för användarna där man tar bort riskerna, samtidigt som man låter systemen skapa en bättre säkerhet.

På följande sidor tar vi upp ett antal aspekter kring lösenord/engångslösenord och avslutar med hur vi ser att man kan lösa dem med DynaPass.

Bakgrund kring lösenord och hanteringen av dessa
Idag skyddar man sina system och resurser med olika teknologier för att öka säkerheten och kunna låsa ute obehöriga från känslig information. Man installerar funktioner, strukturerar sina resurser och utarbetar processer och rutiner för att skapa säkerhet.

Vi blir samtidigt mer sårbara eftersom vi öppnar upp för att kunna arbeta mer mobilt och släppa in andra företag och personer i våra system eftersom det finns stora affärsmöjligheter med detta.

En stor del av säkerhetsproblematiken ligger i att kunna verifiera att en användare verkligen är behörig. I många fall har man bara kombinationen användarnamn och lösenord att gå på vilket egentligen inte garanterar någonting som helst om vem som faktiskt använder det. Det kan vara någon annan. Man kan ha "lånat" det från en kollega, gissat det eller faktiskt tagit

fram det med allmänt tillgängliga verktyg.

Ett lösenord omfattar inte bara teknologi utan det handlar även om att det måste kunna hanteras av människor. Blir kraven för höga så slarvar man och ett vanligt fenomen är att man väljer enkla och uppenbara lösenord för att man inte skall glömma bort dem. I vissa fall så skriver man ned dem på en lapp bara för att vara säker. I många fall lånar man ut sitt lösenord till kollegor som kan använda dem även vid senare tillfällen eller kanske till och med kunna gissa ditt nästa lösenord.

Det är mycket vanligt att användarkonton är öppna dygnet runt, året runt. Detta innebär att någon kan använda ett "lånat" lösenord under lång tid, även utanför kontorstid. Detta sker utan att någon märker det eftersom det inte finns något ytterligare skyddsnät genom att kontrollen upphör i och med att användaren har presterat ett giltigt lösenord och användarnamn.

Man kan kanske utfärda regler kring lösenordshantering men det finns inget som säger att användarna kommer att följa det, det kanske får motsatt effekt där allt fler börjar skriva ned sitt lösenord. Det är ännu svårare att påverka yttre användare, t.ex. i affärssammanhang.

Tidigare har man kunnat lita på den fysiska säkerheten eftersom att man behövde nyckel eller passerkort för att komma åt en arbetsplats. Idag handlar det om mobila användare och användare som sitter i en helt annan organisation vilket innebär att detta inte gäller längre.

Lösningen är att kunna använda sig av engångslösenord som är så enkelt för användarna som möjligt samtidigt som administration och underhåll kan minimeras. Det får inte finnas några begränsningar gällande typ av dator PDA etc. eller vilken arbetsplats man använder. Den vanliga eller en tillfällig skall fungera lika bra.

Engångslösenord, som ändras hela tiden, och en mekanism som ser till att det bara är den behörige som kan få tillgång till detta engångslösenord tillsammans med aktivering av användarkontot garanterar säkerheten.

Viktiga aspekter kring lösenord och användarkonton
April System Design har tittat närmare på lösenordsproblematiken och funnit ett antal delar som måste hanteras för att kunna erbjuda säkerhet kring lösenord och verifiering:

Nya lösenord hela tiden.
Att inte behöva komma ihåg lösenorden.
Identifiering av användare.
Enkelheten för användaren och företaget.
Begränsad tillgång till användarkonton.

Nyckeln är engångslösenord som hela tiden förnyas enligt slumptal som inte kan beräknas eller gissas. Detta innebär att man alltid använder "färska" lösenord som är säkra eftersom de inte är skapade enligt något logiskt schema som är lätt att komma ihåg.

Om engångslösenorden genereras när man behöver dem finns inte någon som helst anledning att skriva upp eller att ens försöka komma ihåg det. Skulle man av misstag råka ta bort det så begär man bara ett nytt lösenord.

Identifieringen bygger på att kunna verifiera på något som användaren har och något bara han känner till. Kombinationen bildar styrkan.

För användaren är det enkelt eftersom han får engångslösenordet när han behöver det. En ofta förbisedd detalj är att många säkerhetssystem faktiskt lagrar en nyckel på datorn som aktivt måste skyddas av användaren. Alternativt måste användaren ta med sig extra utrustning i form av t.ex. en säkerhetsdosa.

För systemavdelningen är det viktigt att man har system som inte förändrar processer eller rutiner kring hantering av användare och användarkonton utan man behåller det man redan har och använder. Många alternativ kräver att man investerar i inköp och administration av säkerhetsdosor, kortläsare mm. I andra fall krävs specifik programvara som måste installeras och underhållas i varje arbetsplats. I system som arbetar med nycklar måste även dessa hanteras och administreras vilket är ett omfattande arbete.

Om vi jämför "begränsa tillgången till användarkonton" och ser användarkontot som en dörr in till ditt företag så innebär detta att man faktiskt kan ta bort dörren temporärt. Det hjälper inte att man tror sig ha en nyckel, det finns inte ens en dörr att använda den till! Enda sättet att kunna komma in är att Du begär att dörren skapas och i detta fall med ett unikt lås som bara Du har nyckel till. Den finns där under en förbestämd tid, redo för att låsas upp, för att sedan försvinna igen.

Vem behöver engångs lösenord?
Olika grupper eller typer av användare har olika behov och krav och man kan, lite förenklat, dela in dem i följande typer:

Mobila användare - Användare som arbetar från olika platser men behöver mer eller mindre samma tjänster oavsett var man befinner sig. Kan vara säljare, konsulter, servicepersonal etc.

Lokala användare - De som befinner sig på kontoret och är anslutna via sitt LAN.

Externa användare - De som har tillgång till information alternativt resurser hos ett företag som de inte är anställda av. Exempel på detta kan vara Extranet lösningar där återförsäljare eller kunder kan ta del av information som tillhör någon annan.

Temporära användare - Kan vara inhyrda konsulter som är en begränsad period och kanske bara vissa dagar i veckan.

Det är ganska naturligt att se den första gruppen som primära användare av engångslösenord eftersom dessa betraktas som en större säkerhetsrisk. Denna typ av användare "skyddas" inte av att sitta på kontoret där andra kan se vad som händer och man kanske måste ha nyckel eller ID kort för att komma in i lokalerna. Tanken med engångslösenord är att denna typ av användare skall i princip kunna ansluta sig från vilken dator som helst, var som helst utan att behöva sänka kraven på säkerhet när det gäller lösenord.

Den lokala användaren är viktig eftersom man trots allt slarvar med lösenord och dessa kan hamna i orätta händer. Enligt statistik sker många av inträffade lösenordsincidenter på kontoret. I många fall beroende på att man skrivit ned lösenorden, i andra fall på att man väljer ett lösenord som kan associeras med något kring din arbetsplats etc. Det är även lättare att hämta en databas eller en fil med lösenord om du fysiskt sitter vid någons arbetsplats. Om man använder engångslösenord även på kontoret så ökas säkerheten. För användaren är det troligtvis inget extra arbete, eftersom rutinen är precis densamma som när han inte är på kontoret.

Externa användare blir allt vanligare eftersom affärslösningar mm via Internet och ett Extranet används mer för varje dag som går. Dock ställs man inför ett lite annorlunda problem eftersom det är en part som "äger" informationen och en part som får nyttja den och åsikterna hur det skall skyddas och vad som bör skyddas kan mycket väl gå isär. Någonstans kommer någon att drabbas av en administration av användare och det är mycket viktigt att säkerheten byggs på att detta sker per individ och inte på en grupp av människor eftersom användarna inte kan styras av mitt eget företag på samma sätt som de kunde om de var anställda. En annan aspekt här är att vi har ännu mindre möjligheter att hålla arbetsplatserna uppdaterade med någon form av säkerhetsdosa /kortläsare alternativt mjukvara för att inte tala om vem som skall bära kostnaden för detta.

Den temporära användaren kan även vara en konsult eller liknande som bara skall ha tillgång till informationen under en begränsad tid och där man bör redan från början sätta en tidsgräns i systemet för detta.

Hur kan DynaPass hjälpa till?
DynaPass är en lösning som är fokuserad på säkra engångslösenord och en säker hantering av användarkonton. Ambitionen har varit att skapa ett system som inte påverkar övriga delar i en total lösning eller att ställa krav på specifika lösningar.

Varför välja en mobiltelefon som verktyg?
Valet är ganska naturligt eftersom det finns ett Smartcard i varje mobiltelefon (gäller GSM). Detta Smartcard, eller SIM kort som det även kallas, är unikt för varje individ och kan därför med fördel användas för identifiering av användaren. Användarvänligheten är även den viktig och användaren behöver inte tänka på att ta med sig någon extra utrustning utan allt finns samlat i mobiltelefonen.

Inga investeringar i säkerhetsdosor.
Ingen extra administration eftersom man redan administrerar mobiltelefonerna.
Ingen speciell programvara som skall installeras och underhållas på alla klienter.
Frihet att använda valfri arbetsplats.
Man slipper skydda nycklar etc. i sin dator eftersom det inte lagras några nycklar där.
Mobiltelefonen bär man alltid med sig så det är liten risk att man glömmer den och att man därför inte kan komma in i systemet.
Man saknar en mobiltelefon snabbt om den blir stulen eller försvinner vilket är viktigt för att hålla uppe säkerhetsnivån.
Trenden går mot att fler och fler har en mobiltelefon som sin enda arbetstelefon vilket innebär att man kan lösa lösenordsproblematiken för fler och fler användare.
Mobilt Internet där man trådlöst kan koppla upp sig mot olika tjänster, ofta via mobilnäten. Ny teknik t.ex. GPRS kommer att öka användandet av dessa tjänster som i de flesta fallen kommer att använda samma utrustning som används för engångslösenord d.v.s. mobiltelefonen.
Kombinationer och hybrider av mobiltelefoner och PDA.
Bluetooth som kommer att spela en stor roll för hur vår mobiltelefon används.
Nya applikationer i mobiltelefonerna typ fingeravtrycks läsare som ökar säkerheten ytterligare.

DynaPass kräver ingen speciell mobiltelefon utan alla mobiltelefoner som kan hantera SMS fungerar. Detta är viktigt eftersom det alltid är känsligt att bestämma över användarna och vilka mobiltelefoner som skall användas. En ytterligare fördel är att man inte ställs inför beslutet att behöva byta ut fullt fungerande mobiltelefoner och ersätta dem med speciella mobiltelefoner.

Hur säker är mobiltelefonen?
Säkerheten i DynaPass är uppbyggd i ett antal nivåer där sannolikheten för att säkerheten på alla nivåer skulle brista samtidigt är försumbar. En del av säkerheten ligger i det faktum att alla operatörer har byggt in många säkerhetsmekanismer i sina nät för att man inte skall kunna missbruka tjänster. Dessa mekanismer skapar ett säkert mobiltelefonnät där vi kan nyttja funktioner och tjänster utan att information kommer på avvägar.

Alla mobiltelefoner (gäller GSM) är skyddade med ett s.k. SIM kort (Subscriber Identity Module) och en PIN kod. Utan dessa så går inte mobiltelefonen att ansluta till ett mobiltelefonnät och kan därför inte användas. Man kommer inte heller åt information som är lagrat på sitt SIM kort utan en giltig PIN kod.

All trafik i mobiltelefonnäten är krypterad för att den inte skall kunna avlyssnas och tydas.

Hur säker är kombinationen DynaPass och mobiltelefonen?
Först och främst är mobiltelefonen skyddad med alla mekanismer som operatören använder sig av och utan PIN kod är mobiltelefonen oanvändbar och ingen kan begära eller läsa engångslösenord. Det går ej att förfalska en mobiltelefon och nyttja den med ett taget mobiltelefonnummer.

I DynaPass knyter man användare till deras mobiltelefonnummer där detta nummer lagras i en databas som nyttjas av DynaPass. Varje begäran måste komma från en mobiltelefon som har passerat alla säkerhetsmekanismer i operatörens nät. När en begäran kommer fram till DynaPass så registreras detta i en logg och ursprunget från begäran jämförs med databasen. Är mobiltelefonnumret giltigt så matchas det mot den användare som är registrerad för just detta nummer. Om numret inte återfinns i databasen loggas detta bara utan vidare åtgärd.

Alla utskick av engångslösenord sker bara till de mobiltelefonnummer som finns i databasen eftersom det bara är matchningen av användare som bestäms av ursprunget från begäran. Detta är en ytterligare säkerhet om någon mot förmodan skulle komma på ett sätt att kunna förfalska ursprunget. Engångslösenordet kommer att skickas till det mobiltelefonnummer som är angivet i databasen och kommer alltid fram till rätt person.

Som en ytterligare säkerhet kan man sätta en hemlig del av lösenordet.
Denna del bestäms av respektive användare och distribueras aldrig tillsammans med engångslösenordet. Den hemliga delen kombinerat med den del som skickas bildar det fullständiga engångslösenordet.

Säkerheten kring den hemliga delen är hög, den återfinns varken i mobiltelefonen eller i datorn. Den behöver ej bytas speciellt ofta genom att ändringen av lösenordet hela tiden kommer att ske via den del som skickas till användaren.

Om någon kommer över mobiltelefonen eller lösenordet måste man trots allt veta vad man skall använda det till, hur man skall ansluta sig, vilket användarnamn som skall användas etc. Tidsaspekten är även den avgörande eftersom man kan begränsa tiden för hur länge engångslösenordet är giltigt och användarkontot är aktivt.

Skulle mobiltelefonen bli stulen så anmäler man detta oftast till supportavdelningen som tar bort mobiltelefonnumret ur DynaPass och delar ut ett temporärt lösenord. Supportavdelningen meddelar även operatören som spärrar både mobiltelefonen och SIM kortet.

Hur fungerar DynaPass?
DynaPass installeras som en tjänst i en existerande alternativt ny server av typ Windows NT/Windows 2000.

Information om användarkonton hämtas automatiskt från Domain Controllern och kompletteras med ytterligare information i form av regler/villkor och MSISDN nummer (mobiltelefonnummer) för respektive användares mobiltelefon. Dessa uppgifter lagras i en databas som används av DynaPass.

DynaPass styr nu användarkontona i Domain Controller och sätter nya engångslösenord i denna plus aktiverar och de-aktiverar konton enligt det regelverk man satt upp för respektive användare eller grupper. Fördelen med detta arbetssätt är att man inte påverkar funktionen eller mekanismen för hur inloggning från en klient sker i systemet, utan denna del sker enligt samma sätt som tidigare. Olika system som kan hantera inloggning av användare mot Windows NT/Windows 2000 Domain Controller kan användas tillsammans med DynaPass.

Distribution och begäran av engångslösenord sker via mobiltelefonnätet via SMS och kopplingen till detta kan ske på olika sätt beroende på önskemål och krav. Det enklaste och mest kostnadseffektiva sättet är att koppla en mobiltelefon via seriell kabel direkt på servern. Ett annat alternativ är att koppla sig direkt mot någon av operatörernas SMS central (olika alternativ finns bl.a. över IP) vilket ger en mer robust och kostnadseffektiv lösning om det är många användare.

Process för engångslösenord i DynaPass.

En användare skickar ett SMS meddelande till DynaPass.
DynaPass verifierar att begäran kommer från en behörig mobiltelefon och tar reda på vilket användarkonto som är knutet till denna mobiltelefon. Om det ej är en behörig telefon så svarar ej DynaPass utan loggar bara försöket. Om det däremot är en behörig telefon så kvitterar den begäran med att slumptalsmässigt skapa ett engångslösenord.
DynaPass skickar engångslösenordet till det mobiltelefonnummer som finns angivet i databasen för den specifika användaren. Samtidigt sätts samma engångslösenord in som lösenord i Domain Controllern. Om en hemlig del av lösenordet är satt så kombineras detta automatiskt. Användarkontot aktiveras enligt de regler och tidsramar man har bestämt.
Efter normalt ca 5 sekunder så har användaren sitt engångslösenord i sin mobiltelefon och kan använda detta plus eventuell hemlig del för att logga in i systemet

Processen för automatisk distribution är detsamma som ovanstående men steg 1 & 2 används normalt inte.

Summering
DynaPass är en säkerhetslösning för att hantera engångslösenord och användarkonton på ett säkert sätt. Mobiltelefonen med sitt SIM-kort nyttjas som en del i verifieringen av behöriga användare.

Enkelheten för användarna ligger i att inga nya programvaror eller komplicerade rutiner introduceras eller att man behöver komma ihåg några komplicerade lösenord.

För företaget så höjs säkerheten utan att man drabbas av höga administrationskostnader gällande underhåll eller investeringar i hårdvarulösningar.

Se Frequent Questions and Answers