Jeden z niedawnych wpisów na Hardcore Security Lab przypomniał mi, że obiecałem Wam kontynuację tematu Bezpiecznej Poczty TP, czyli naszego rozwiązania kryptograficznego, opartego na infrastrukturze klucza publicznego (PKI) . Szyfrowanie i uwierzytelnianie poczty to bowiem tylko jedno z jego zadań.
Konieczność regularnej zmiany haseł, wymuszana przez firmowe polityki bezpieczeństwa, traktowana jest przez użytkowników jako zło – nomen omen – konieczne. Nie dziw więc, że cytowane przez blog HCSL badania trzech naukowców z Uniwersytetu Północnej Karoliny wykazały, iż w znacznej części przypadków monitowani o zmianę użytkownicy dodają do „bazowego” hasła np. kolejne cyfry, zmieniając 1 na 2, potem 2 na 3 i tak dalej. Efekt jest przewidywalny – w przypadku cytowanych badań w 90 proc. przypadków nowe hasło można było odkryć na podstawie poprzednich.
Nie da się ukryć, że mechanizmy działające w ludzkim mózgu niejako niezależnie od nas starają się upraszczać nam życie. Choćby wtedy, gdy na etapie podświadomości filtrują z zalewu wiadomości te, które są dla nas istotne, a odrzucają to, co w IT nazwalibyśmy po prostu spamem. I tu z pomocą, zarówno użytkownikom, jak i pracodawcy, przychodzi Bezpieczna Poczta (BPTP). W TP bowiem w procesie logowania domenowego zamiast nazwy użytkownika i hasła wystarczy włożyć do portu USB token BPTP i wpisać jego alfanumeryczny PIN. PIN to rzecz jasna też hasło i na tej samej zasadzie można go odgadnąć. W tym przypadku jednak znajomość PINu, osiągnięta w dowolny sposób (podejrzenie, brute force, ukradnięcie użytkownikowi kartki z PINem 🙂 ) bez posiadania tokena nic nie da. Oczywiście można również ukraść token, ale jest to łatwiejsze do odnotowania, niż zwykłe podsłuchanie/złamanie hasła, więc siłą rzeczy uwierzytelnienie jest wyraźnie silniejsze.
– BPTP daje użytkownikowi możliwość autoryzacji za pomocą certyfikatu kryptograficznego wszędzie, gdzie są ku temu techniczne możliwości, np. do firmowego VPNa, sieci Wi-Fi, czy też przy szyfrowaniu dysku – wyjaśnia Leszek Gerwatowski, kierownik Działu Bezpieczeństwa Aplikacji, w Telekomunikacji „guru” od systemów opartych na PKI. – Zunifikowanie tych możliwości w jednym kluczu USB nie tylko zmniejsza koszty, ale też ułatwia obsługę systemu i powoduje, że w przypadku problemów z zagubieniem, czy kradzieżą, wystarczy zastrzec tylko jeden token – tłumaczy. Przede wszystkim jednak korzystanie z BPTP (w niektórych przypadkach autoryzacja tokenem jest warunkiem dostępu, czy skorzystania z usługi) znacznie obniża ryzyko nieautoryzowanego dostępu do wrażliwych obszarów sieci korporacyjnej. Kilka dni temu, 7 stycznia, udało się co prawda złamać 768-bitowy klucz RSA, ale szacuje się, iż złamanie kilobitowego (a taki stosowany jest w BPTP) nastąpi najwcześniej w… 2020 roku.
