Varna avtentikacija – 10 glavnih priporočil
Kako predvidljiva so vaša gesla?
Lahko napadalec ugane vaše geslo? Vsekakor. Varna avtentikacija je zato nujna pri vzpostavljanju ustreznih varnostnih praks.
Večina aplikacij in storitev, ki jih uporabljamo v poslovnem ali domačem okolju, temelji na varnostnem pristopu vnosa uporabniškega imena in gesla. Prav zato so ta tudi vse bolj pogosta tarča nepridipravov. Način, kako pridobiti ali celo uganiti geslo posameznega uporabnika, je zanje lažje (in cenejše) od iskanja ranljivosti v informacijskih sistemih ter aplikacijah. Mogoče se sliši enostavno, a dejansko se je okoli tematike ugibanja gesel razvila prava mala znanost.
Ko razmišljamo o varnosti informacijskih sistemov in aplikacij, verjetno najprej pomislimo na napake in ranljivosti, ki jih napadalci na različne načine lahko zlorabijo. Vendar to ni edini način, ki je za napadalce zanimiv. Varna avtentikacija je torej zelo pomemben člen za zagotavljanje varnosti aplikacij.
Kaj gre pri geslih lahko narobe?
Na kratko – marsikaj. Napadalci v praksi gesla ali uganejo ali jih ukradejo, zato velja varnostne in avtentikacijske mehanizme razvijati in uporabljati predvsem zoper temu. Poleg tega se moramo zavedati, da prijavno okno aplikacije ali sistema ni nujno edina točka, kjer lahko napadalec ugiba gesla. Uganiti geslo niti ni tako težko, vendar napadalec za to potrebuje kar nekaj poskusov. Zato si pripravi skripto, ki samodejno izvaja poskuse. Obstajajo sistemi, s katerimi se lahko zavarujemo pred takšnimi napadi, vendar pod pogojem, da so pravilno postavljeni.
Kako poskrbeti za pravilno prijavo v sisteme, varovanje aplikacij in varna gesla?
Če želimo otežiti delo napadalcem, moramo poznati najpogostejše načine ugibanja gesel in načine kraje gesel, ki se jih hekerji poslužujejo. Danes obstaja že veliko uveljavljenih dodatkov in vtičnikov, s katerimi lahko preprečimo napade hekerjev. Katere tehnike uporabljajo hekerji in kako učinkoviti so avtentikacijski mehanizmi pri preprečevanju ugibanja in kraje gesel, preberite v Beli knjigi Varna avtentikacija.