Inledning Säkerheten kring lösenord är ofta
debatterad och det finns ett antal viktiga frågor man bör ställa sig. Några
exempel på detta är:
Hur stor risk ligger i den mänskliga faktorn?
Hur hanterar man egentligen lösenorden?
Väljer man verkligen säkra lösenord?
Lånar man ut dem ibland?
Förstår alla hur viktigt det är att skydda dem?
Inser alla vad som kan hända om lösenorden kommer på avvägar?
Kan man vara säker på att den som anger rätt lösenord är behörig?
Vad händer om vi ställer för höga krav?
Användarna tycker att det är jobbigt.
Belastningen på supportavdelningen blir ännu högre eftersom
folk glömmer bort sina lösenord redan nu.
Användarna kommer att leta efter genvägar.
Utmaningen ligger i att skapa ett
förfarande kring lösenord som är svårt att kopiera samtidigt som det är lätt att
använda. Vitsen är att det skall vara svårt för obehöriga och lätt för behöriga.
Slutsatsen måste bli att skapa ett bättre stöd för
användarna där man tar bort riskerna, samtidigt som man låter systemen skapa en
bättre säkerhet.
På följande sidor tar vi upp ett antal aspekter kring lösenord/engångslösenord och
avslutar med hur vi ser att man kan lösa dem med DynaPass.
Bakgrund kring lösenord och hanteringen av dessa
Idag skyddar man
sina system och resurser med olika teknologier för att öka säkerheten och kunna
låsa ute obehöriga från känslig information. Man installerar funktioner,
strukturerar sina resurser och utarbetar processer och rutiner för att skapa
säkerhet.
Vi blir samtidigt mer sårbara eftersom vi öppnar upp för att
kunna arbeta mer mobilt och släppa in andra företag och personer i våra system
eftersom det finns stora affärsmöjligheter med detta.
En stor del av
säkerhetsproblematiken ligger i att kunna verifiera att en användare verkligen
är behörig. I många fall har man bara kombinationen användarnamn och
lösenord att gå på vilket egentligen inte garanterar någonting som helst om vem
som faktiskt använder det. Det kan vara någon annan. Man kan ha "lånat"
det från en kollega, gissat det eller faktiskt tagit
fram det med allmänt tillgängliga
verktyg.
Ett lösenord omfattar inte bara teknologi utan det handlar även
om att det måste kunna hanteras av människor. Blir kraven för höga så slarvar
man och ett vanligt fenomen är att man väljer enkla och uppenbara lösenord för
att man inte skall glömma bort dem. I vissa fall så skriver man ned dem på en
lapp bara för att vara säker. I många fall lånar man ut sitt lösenord till
kollegor som kan använda dem även vid senare tillfällen eller kanske till och
med kunna gissa ditt nästa lösenord.
Det är mycket vanligt att
användarkonton är öppna dygnet runt, året runt. Detta innebär att någon kan
använda ett "lånat" lösenord under lång tid, även utanför kontorstid. Detta sker
utan att någon märker det eftersom det inte finns något ytterligare skyddsnät
genom att kontrollen upphör i och med att användaren har presterat ett giltigt
lösenord och användarnamn.
Man kan kanske utfärda regler kring
lösenordshantering men det finns inget som säger att användarna kommer att följa
det, det kanske får motsatt effekt där allt fler börjar skriva ned sitt
lösenord. Det är ännu svårare att påverka yttre användare, t.ex. i
affärssammanhang.
Tidigare har man kunnat lita på den fysiska säkerheten
eftersom att man behövde nyckel eller passerkort för att komma åt en
arbetsplats. Idag handlar det om mobila användare och användare som sitter i en
helt annan organisation vilket innebär att detta inte gäller längre.
Lösningen är att kunna använda sig av engångslösenord som är så enkelt
för användarna som möjligt samtidigt som administration och underhåll kan
minimeras. Det får inte finnas några begränsningar gällande typ av dator PDA
etc. eller vilken arbetsplats man använder. Den vanliga eller en tillfällig
skall fungera lika bra.
Engångslösenord, som ändras hela tiden, och en
mekanism som ser till att det bara är den behörige som kan få tillgång till
detta engångslösenord tillsammans med aktivering av användarkontot garanterar
säkerheten.
Viktiga aspekter kring lösenord och användarkonton
April
System Design har tittat närmare på lösenordsproblematiken och funnit ett antal delar
som måste hanteras för att kunna erbjuda säkerhet kring lösenord och
verifiering:
Nya lösenord hela tiden.
Att inte behöva komma ihåg lösenorden.
Identifiering av användare.
Enkelheten för användaren och företaget.
Begränsad tillgång till användarkonton.
Nyckeln
är engångslösenord som hela tiden förnyas enligt slumptal som inte kan
beräknas eller gissas. Detta innebär att man alltid använder "färska" lösenord som
är säkra eftersom de inte är skapade enligt något logiskt schema som är lätt att
komma ihåg.
Om
engångslösenorden genereras när man behöver dem finns inte någon som helst
anledning att skriva upp eller att ens försöka komma ihåg det. Skulle man av
misstag råka ta bort det så begär man bara ett nytt
lösenord.
Identifieringen bygger på att kunna verifiera på något
som användaren har och något bara han känner till. Kombinationen bildar styrkan.
För användaren är det enkelt eftersom han får engångslösenordet när han behöver det.
En ofta förbisedd detalj är att många säkerhetssystem faktiskt lagrar en nyckel
på datorn som aktivt måste skyddas av användaren. Alternativt måste användaren
ta med sig extra utrustning i form av t.ex. en säkerhetsdosa.
För systemavdelningen är
det
viktigt att man har system som inte förändrar processer eller rutiner kring
hantering av användare och användarkonton utan man behåller det man redan
har och använder. Många alternativ kräver att man investerar i inköp och administration
av säkerhetsdosor, kortläsare mm. I andra fall krävs specifik
programvara som måste installeras och underhållas i varje arbetsplats. I system
som arbetar med nycklar måste även dessa hanteras och administreras vilket är
ett omfattande arbete.
Om vi jämför "begränsa tillgången till
användarkonton" och ser användarkontot som en dörr in till ditt företag så
innebär detta att man faktiskt kan ta bort dörren temporärt. Det hjälper inte
att man tror sig ha en nyckel, det finns inte ens en dörr att använda den till!
Enda sättet att kunna komma in är att Du begär att dörren skapas och i detta
fall med ett unikt lås som bara Du har nyckel till. Den finns där under en
förbestämd tid, redo för att låsas upp, för att sedan försvinna igen.
Vem behöver
engångs lösenord?
Olika grupper eller typer av användare har olika behov och
krav och man kan, lite förenklat, dela in dem i följande typer:
Det är ganska naturligt att se den första gruppen som primära användare av
engångslösenord eftersom dessa betraktas som en större säkerhetsrisk. Denna typ
av användare "skyddas" inte av att sitta på kontoret där andra kan se vad som
händer och man kanske måste ha nyckel eller ID kort för att komma in i
lokalerna. Tanken med engångslösenord är att denna typ av användare skall i
princip kunna ansluta sig från vilken dator som helst, var som helst utan att
behöva sänka kraven på säkerhet när det gäller lösenord.
Den lokala
användaren är viktig eftersom man trots allt slarvar med lösenord och dessa kan
hamna i orätta händer. Enligt statistik sker många av inträffade
lösenordsincidenter på kontoret. I många fall beroende på att man skrivit ned
lösenorden, i andra fall på att man väljer ett lösenord som kan associeras
med något kring din arbetsplats etc. Det är även lättare att hämta en
databas eller en fil med lösenord om du fysiskt sitter vid någons arbetsplats.
Om man använder engångslösenord även på kontoret så ökas säkerheten. För
användaren är det troligtvis inget extra arbete, eftersom rutinen är precis
densamma som när han inte är på kontoret.
Externa användare blir allt
vanligare eftersom affärslösningar mm via Internet och ett Extranet används mer
för varje dag som går. Dock ställs man inför ett lite annorlunda problem
eftersom det är en part som "äger" informationen och en part som får nyttja den
och åsikterna hur det skall skyddas och vad som bör skyddas kan mycket väl gå
isär. Någonstans kommer någon att drabbas av en administration av användare och
det är mycket viktigt att säkerheten byggs på att detta sker per individ och
inte på en grupp av människor eftersom användarna inte kan styras av mitt eget
företag på samma sätt som de kunde om de var anställda. En annan aspekt här är
att vi har ännu mindre möjligheter att hålla arbetsplatserna uppdaterade med
någon form av säkerhetsdosa /kortläsare alternativt mjukvara för att inte tala
om vem som skall bära kostnaden för detta.
Den temporära användaren kan även
vara en konsult eller liknande som bara skall ha tillgång till informationen
under en begränsad tid och där man bör redan från början sätta en tidsgräns i
systemet för detta.
Hur kan DynaPass hjälpa till? DynaPass är
en lösning som är fokuserad på säkra engångslösenord och en säker hantering
av användarkonton. Ambitionen har varit att skapa ett system som inte påverkar
övriga delar i en total lösning eller att ställa krav på specifika lösningar.
Varför välja en mobiltelefon som verktyg?
Valet är ganska naturligt eftersom det finns ett Smartcard i varje mobiltelefon
(gäller GSM). Detta Smartcard, eller SIM kort som det även kallas, är unikt för varje
individ och kan därför med fördel användas för identifiering av användaren.
Användarvänligheten är även den viktig och användaren behöver inte tänka på att ta med
sig någon extra utrustning utan allt finns samlat i mobiltelefonen.
Inga investeringar i säkerhetsdosor.
Ingen extra administration eftersom man redan
administrerar mobiltelefonerna.
Ingen speciell programvara som skall installeras och
underhållas på alla klienter.
Frihet att använda valfri arbetsplats.
Man slipper skydda nycklar etc. i sin dator eftersom
det inte lagras några nycklar där.
Mobiltelefonen bär man alltid med sig så det är liten
risk att man glömmer den och att man därför inte kan komma in i systemet.
Man saknar en mobiltelefon snabbt om den blir stulen eller försvinner
vilket är viktigt för att hålla uppe säkerhetsnivån.
Trenden går mot att fler och fler har en mobiltelefon
som sin enda arbetstelefon vilket innebär att man kan lösa
lösenordsproblematiken för fler och fler användare.
Mobilt Internet där man trådlöst kan koppla upp sig
mot olika tjänster, ofta via mobilnäten. Ny teknik t.ex. GPRS kommer att öka
användandet av dessa tjänster som i de flesta fallen kommer att använda samma
utrustning som används för engångslösenord d.v.s. mobiltelefonen.
Kombinationer och hybrider av mobiltelefoner och PDA.
Bluetooth som kommer att spela en stor roll för hur
vår mobiltelefon används.
Nya applikationer i mobiltelefonerna typ fingeravtrycks
läsare som ökar säkerheten ytterligare.
DynaPass kräver ingen speciell
mobiltelefon utan alla mobiltelefoner som kan hantera SMS fungerar. Detta är
viktigt eftersom det alltid är känsligt att bestämma över användarna och vilka
mobiltelefoner som skall användas. En ytterligare fördel är att man inte ställs
inför beslutet att behöva byta ut fullt fungerande mobiltelefoner och ersätta
dem med speciella mobiltelefoner.
Hur säker är mobiltelefonen?
Säkerheten i DynaPass är uppbyggd i ett antal nivåer där sannolikheten för
att säkerheten på alla nivåer skulle brista samtidigt är försumbar. En del av
säkerheten ligger i det faktum att alla operatörer har byggt in många
säkerhetsmekanismer i sina nät för att man inte skall kunna missbruka tjänster.
Dessa mekanismer skapar ett säkert mobiltelefonnät där vi kan nyttja funktioner
och tjänster utan att information kommer på avvägar.
Alla
mobiltelefoner (gäller GSM) är skyddade med ett s.k. SIM kort (Subscriber Identity Module)
och en PIN kod. Utan dessa så går inte mobiltelefonen att ansluta till ett
mobiltelefonnät och kan därför inte användas. Man kommer inte heller åt
information som är lagrat på sitt SIM kort utan en giltig PIN kod.
All trafik i mobiltelefonnäten är krypterad för att den inte skall kunna avlyssnas
och tydas.
Hur säker är kombinationen DynaPass och mobiltelefonen?
Först och främst är mobiltelefonen skyddad med alla mekanismer som operatören
använder sig av och utan PIN kod är mobiltelefonen oanvändbar och ingen kan
begära eller läsa engångslösenord. Det går ej att förfalska en mobiltelefon och
nyttja den med ett taget mobiltelefonnummer.
I DynaPass knyter man användare
till deras mobiltelefonnummer där detta nummer lagras i en databas som nyttjas
av DynaPass. Varje begäran måste komma från en mobiltelefon som har passerat
alla säkerhetsmekanismer i operatörens nät. När en begäran kommer fram till
DynaPass så registreras detta i en logg och ursprunget från begäran jämförs med
databasen. Är mobiltelefonnumret giltigt så matchas det mot den användare som är
registrerad för just detta nummer. Om numret inte återfinns i databasen loggas
detta bara utan vidare åtgärd.
Alla utskick av engångslösenord sker bara
till de mobiltelefonnummer som finns i databasen eftersom det bara är
matchningen av användare som bestäms av ursprunget från begäran. Detta är en
ytterligare säkerhet om någon mot förmodan skulle komma på ett sätt att kunna
förfalska ursprunget. Engångslösenordet kommer att skickas till det
mobiltelefonnummer som är angivet i databasen och kommer alltid fram till rätt
person.
Som en ytterligare säkerhet kan man sätta en hemlig del av
lösenordet.
Denna del bestäms av respektive användare
och distribueras aldrig tillsammans med engångslösenordet. Den hemliga delen
kombinerat med den del som skickas bildar det fullständiga engångslösenordet.
Säkerheten kring den hemliga delen är hög, den återfinns varken i
mobiltelefonen eller i datorn. Den behöver ej bytas speciellt ofta genom att
ändringen av lösenordet hela tiden kommer att ske via den del som skickas till
användaren.
Om någon kommer över mobiltelefonen eller lösenordet måste
man trots allt veta vad man skall använda det till, hur man skall ansluta sig,
vilket användarnamn som skall användas etc. Tidsaspekten är även den avgörande
eftersom man kan begränsa tiden för hur länge engångslösenordet är giltigt och
användarkontot är aktivt.
Skulle mobiltelefonen
bli stulen så anmäler man detta oftast till supportavdelningen som tar bort
mobiltelefonnumret ur DynaPass och delar ut ett temporärt lösenord.
Supportavdelningen meddelar även operatören som spärrar både mobiltelefonen och
SIM kortet.
Hur fungerar DynaPass? DynaPass installeras som en tjänst i en existerande alternativt ny server av typ
Windows NT/Windows 2000.
Information om användarkonton hämtas automatiskt från Domain Controllern
och kompletteras med ytterligare information i form av regler/villkor och MSISDN
nummer (mobiltelefonnummer) för respektive användares mobiltelefon. Dessa
uppgifter lagras i en databas som används av DynaPass.
DynaPass styr nu
användarkontona i Domain Controller och sätter nya engångslösenord i denna plus
aktiverar och de-aktiverar konton enligt det regelverk man satt upp för
respektive användare eller grupper. Fördelen med detta arbetssätt är att man
inte påverkar funktionen eller mekanismen för hur inloggning från en klient sker
i systemet, utan denna del sker enligt samma sätt som tidigare. Olika system som
kan hantera inloggning av användare mot Windows NT/Windows 2000 Domain
Controller kan användas tillsammans med DynaPass.
Distribution och
begäran av
engångslösenord sker via mobiltelefonnätet via SMS och kopplingen till detta
kan ske på olika sätt beroende på önskemål och krav. Det enklaste och mest kostnadseffektiva
sättet är att koppla en mobiltelefon via seriell kabel direkt på
servern. Ett annat alternativ är att koppla sig direkt mot någon av operatörernas SMS
central (olika alternativ finns bl.a. över IP) vilket ger en mer robust
och kostnadseffektiv lösning om det är många användare.
En användare skickar ett SMS meddelande till
DynaPass.
DynaPass verifierar att begäran kommer från en
behörig mobiltelefon och tar reda på vilket användarkonto som är knutet till
denna mobiltelefon. Om det ej är en behörig telefon så svarar ej DynaPass utan
loggar bara försöket. Om det däremot är en behörig telefon så kvitterar den
begäran med att slumptalsmässigt skapa ett engångslösenord.
DynaPass skickar engångslösenordet till det
mobiltelefonnummer som finns angivet i databasen för den specifika användaren.
Samtidigt sätts samma engångslösenord in som lösenord i Domain Controllern. Om
en hemlig del av lösenordet är satt så kombineras detta automatiskt.
Användarkontot aktiveras enligt de regler och tidsramar man har bestämt.
Efter normalt ca 5 sekunder så har användaren sitt
engångslösenord i sin mobiltelefon och kan använda detta plus eventuell hemlig
del för att logga in i systemet
Processen för automatisk distribution är detsamma som
ovanstående men steg 1 & 2 används normalt inte.
Summering
DynaPass är en säkerhetslösning för att hantera
engångslösenord och användarkonton på ett säkert sätt. Mobiltelefonen med
sitt SIM-kort nyttjas som en del i verifieringen av behöriga användare.
Enkelheten för användarna ligger i att inga nya programvaror eller
komplicerade rutiner introduceras eller att man behöver komma ihåg några
komplicerade lösenord.
För företaget så höjs
säkerheten utan att man drabbas av höga administrationskostnader gällande
underhåll eller investeringar i hårdvarulösningar.