Systemy Identity Management stają się w chwili obecnej coraz powszechniejsze. Wynika to z faktu, że ręczne wykonywanie operacji w coraz to większych i bardziej złożonych systemach informatycznych staje się po prostu niemożliwe. Wszystko przekłada się na pieniądze, mniej osób trzeba zatrudniać do obsługi całego systemu, zmiany wykonywane są szybciej, mniej jest błędów, coraz więcej rzeczy dzieje się po prostu automatycznie. Wszystko przyczynia się do zmniejszenia ilości telefonów do HelpDesk... Ale pozostaje jeszcze jedna zmora, hasła. Dlatego też w ramach wdrożenia systemu IdM często wdraża się również moduł wspomagający w tym zakresie użytkowników. Może to być witryna, w za pomocą której pracownicy mogą sobie zmienić hasła do swoich kont w dowolnym systemie. Tylko oczywiście do tej witryny trzeba się uwierzytelnić i tu pojawia się problem, co zrobić, gdy właśnie TO hasło zostanie zapomniane...
A czy potrafisz odpowiedzieć...?
Nie, nie chcemy by pracownik dzwonił do HelpDesk, wszak tam są inne zadania, na których wykonanie stan liczebny HelpDesk nie pozwala, pamiętajmy o tym, że koszty zotały zoptymalizowane! Należy więc pozwolić pracownikowi na zmianę zapomnianego, głównego hasła, ale należy jednocześnie w jakiś sposób go uwierzytelnić. Tym sposobem może być na przykład wyświetlenie wcześniej zdefiniowanych przez siebie pytań, w przypadku prawidłowej odpowiedzi, będzie on mógł zmienić swoje hasło.
Do tej chwili wszystko wydaje się proste. No właśnie, aż za proste. Ja jestem świadomy tego, co może się stać, gdy ktoś zdobędzie moją "tożsamość", nawet jeśli przejawia się to przez zdobycie hasła do jednego z moich kont. Dla wielu "normalnych" ludzi te to zagadnienie jest czystą abstrakcją, którą nie chcą zawracać sobie głowy. Być może uda się wymusić złożoność haseł w systemach (sprawdzić czy pod klawiaturą nie ma żółtej karteczki), ale jak to zrobić w przypadku pytań i odpowiedzi?
Tak naprawdę to nie wiem, ale kilka wolnych myśli przychodzi mi do głowy i już wkrótce testować będę je w praktyce.
NIE WYSTARCZY JEDNO PYTANIE I JEDNA ODPOWIEDŹJedno pytanie i jedna odpowiedź to stanowczo za mało w systemie, który pozwoli na zmianę hasła dowolnego konta użytkownika w dowolnym systemie. Co prawda do systemu też jest tylko jedno hasło, ale potencjalny intruz nie ma podpowiedzi jaki ono może być. W przypadku hasła można przypuszczać, że jest to jakaś wariacja imienia dziewczyny, daty urodzenia i marki ulubionego samochodu. Można przypuszczać. A co jeśli ktoś umieści sobie pytanie "Imię mojej pierwszej miłości to..."? Dla 99% ludzi może to być zagadka nie do rozwiązania, jednak ten 1% może to po prostu wiedzieć, lub zapytać kogoś, kto wie... Dlatego, moim zdaniem, jedno pytanie to stanowczo za mało. Tutaj warto wspomnieć, że w przypadku wielu kont pocztowych istnieje możliwość zdefiniowania właśnie takiego jednego security question, które wykorzystuje się w celu przypomnienia/ustawienia zapomnianego hasła i jakoś nie słyszy się o wielkiej fali kradzieży kont przez to spowodowanych. Być może tutaj w grę wchodzi globalny zakres takich serwisów. Trochę inne informacje na temat określonej osoby posiada anonimowy h4k3r z Pipidówki Mniejszej, a inne jego "kolega" z pracy. Inna jest również motywacja działań...
PYTANIE NIE MOŻE BYĆ ŁATWEUczy się użytkowników tworzenia złożonych haseł. Dobrze. Wypada też uczyć ich wybierania dobrych pytań do takich systemów. Jaki sens ma pytanie typu "Imię mojego pieska", kiedy jego posiadaczka każdy dzień rozpoczyna od kolejnej pasjonującej opowieści o wyczynach jej kochanego Pimpusia. Dobrymi pytaniami nie są również pytania o datę urodzenia, miejsce urodzenia czy o inne tego typu, często podawane dane. PESEL, numer dowodu, numer rejestracyjny samochodu są może i dobrymi pytaniami, ale nie w przypadku gdy atakującym jest osoba, z którą ma się na co dzień bezpośredni kontakt. Takie informacje są banalne do zdobycia. Być może lepsze niż pytanie jest pewne skojarzenie specyficzne dla danej osoby. Może komuś słowo liść... nie kojarzy się z niczym (o przepraszam, jak to z niczym, listek figwy, jesień, wiosna, spadający liść,...), a dla kogoś jest to bezpośrednie odwołanie do wersu z wiersza ulubionego poety, który w tym przypadku można zacytować, najlepiej ze wszystkimi znakami interpunkcyjnymi. Przykład? W moją pamięć zapadł wiersz o tym jak komuś zabierali piec podobny do bramy tryumfalnej. Ilość osób, które słowo piec skojarzą z wersem oddajcie mi piec podobny do bramy tryumfalnej nie jest raczej zbyt duża. Jeśli do tego dołożymy fakt, że pytań takowych powinno być więcej niż jedno, szansa na rozgryzienie takiego schematu jest mniejsza, niż wspominane pimpusie. No, chyba, że o swojej fascynacji tą frazą będę rozpowiadał na prawo i lewo, tak jak to właśnie teraz zrobiłem.
JAK WIELE POWINNO BYĆ PYTAŃ, JAK WIELE ODPOWIEDZI WYMAGAĆOdpowiedzi na to pytanie jeszcze nie znam. Oczywiście, sprawa jest prosta, im więcej tym lepiej. Tylko, że tak nie jest. Kreatywność ludzi postawionych przed zadaniem wymyślenia określonej liczby pewnych specyficznych pytań bywa czasem nader nikła. W efekcie po wymyśleniu jednego, może dwóch sensownych pytań, pojawiają się potworki dotyczące miasta urodzenia czy imienia najmłodszego dziecka. W tej chwili mam nadzieję, że ilość pytań, które przeciętny użytkownik będzie w stanie wymyślić powinna zamknąć się między 4 a 6. Chciałbym 6, ale obawiam się, że będę musiał zweryfikować swoje podejście. Ile odpowiedzi wymagać? Też nie wiem, zacznę od połowy pytań, czyli w przypadku 4 zdefiniowanych pytań, system będzie wymagać odpowiedzi na losowe 2 pytania, w przypadku 6, na 3. A podejście to zweryfikuje życie.
...ale powiem szczerze, że nie do końca wierzę w skuteczność takich systemów...
