כיצד לאפיין ולהטמיע תצורת הזדהות חזקה ללא פגיעה בפעילות התפעולית השוטפת?
סיסמאות קבועות, סיסמאות חד-פעמיות, תעודות, Tokens, Two-Factor- או במילה אחת: הזדהות (Authentication). בכל ארגון, קיים צורך לנהל את סיסמאות המשתמשים כך שמחד תובטח רמת אבטחה גבוהה, כזו אשר תמזער למינימום את הסיכונים הכרוכים בגניבת זהות, ומאידך - תאפשר פעילות תפעולית שוטפת ללא הפרעה לעבודת המשתמשים.
ללא מנגנוני הזדהות כלשהם, לא נוכל לוודא כי גורמים חיצוניים (בעלי כוונות "רעות" בדרך כלל) - יישארו בחוץ, ולא נוכל להבטיח כי גורמים פנימיים לא ייחשפו למידע אשר הם אינם אמורים להיחשף אליו. עם זאת, סיבוך יתר של מנגנוני ההזדהות מוביל לבעיות אבטחה, דוגמת רישום הסיסמאות על פתקים המודבקים על המסך/"מוחבאים" מתחת למקלדת, על כרטיסי העובד ועוד; פשטנות יתרה - המתבטאת בדרך כלל במדיניות סיסמאות חלשה, אשר מאפשרת למשתמשים להגדיר לעצמם סיסמאות עם מספר תווים קטן וללא מורכבות כלשהי (לדוגמה: מינימום של 5 תווים, תוך מתן אפשרות לסיסמה המכילה ספרות בלבד) - משמעותה פוטנציאל פיצוח מהיר ביותר של הסיסמאות לכל החפץ בכך. על כן, נדרש איזון: בין דרישות האבטחה הנגזרות מן המידע המאוחסן בארגון ומרגישות הנכסים העסקיים לבין פעילות המשתמשים השוטפת, כך שלא תיווצר הפרעה משמעותית אשר תמנע מן העובדים לבצע את עבודתם.
לאורך שנים, היתה המנטרה השלטת שיש צורך בסיסמאות ארוכות ומורכבות. אותיות גדולות, קטנות, מספרים, סימנים מיוחדים - כמה שיותר ארוך, יותר טוב. אולם הבעיה היא שמשתמשים אינם מסוגלים לזכור סיסמאות מורכבות (ולא כל שכן ארוכות), ולכן במקרים רבים הם רושמים אותן על פתקים (צהובים נדבקים..) ו/או עושים שימוש באותן סיסמאות הן בעבודה (ב-Active Directory) והן בפייסבוק, ובג'ימייל, ובפורומים, וכן הלאה וכן הלאה.. המשמעויות, מבחינת אבטחת מידע - ברורות.
קיימים כיום מספר פתרונות בשוק אשר מאפשרים לנהל ואף לאחסן את סיסמאות המשתמשים בצורה מאובטחת. כן, ניתן לאחסן סיסמאות - אולם יש להקפיד כי הן מאוחסנות בתצורה מאובטחת, ממש כפי שמאחסנים ושומרים מידע ארגוני רגיש. באופן זה ניתן יהיה להטמיע שימוש בסיסמאות חזקות, אך ללא הצורך שכל משתמש יזכור את סיסמאותיו.
בעיה נוספת היא הצורך בביצוע הזדהות אל מול מערכות ואפליקציות רבות. מחד, אין היגיון בחיוב המשתמשים להשתמש בסיסמאות שונות לכל אפליקציה; מאידך, סיסמה אחידה לכלל האפליקציות מגדילה את הסיכון, בעיקר באם מתבצע שימוש בסיסמאות חלשות. ולכן, גם במקרה זה, ההמלצה הינה להשתמש בסיסמאות חזקות ומאובטחות, אולם לאפשר למשתמשים לבצע Login אחד אשר יאפשר התחברות למספר מקסימלי של אפליקציות אשר נדרשות לצורך עבודתו השוטפת. ספקי פתרונות רבים כבר מספקים Connectors ל-Active Directory, Google Apps ואפילו ל-SAP. גם ספקי שירותי ענן כבר מציעים פתרונות דומים.
זוהי דרך הפעולה שנראית כפתרון האופטימלי, אולם היא מותנית בכך שמוגדרת ונאכפת מדיניות סיסמאות ארגונית קשיחה אשר הוגדרה לפי Best Practices מקובלים ותקני אבטחת מידע מובילים (PCI, ISO 27001 ועוד).
בכדי לסייע למשתמשים לבחור סיסמה חזקה, אך גם כזו שיוכלו לזכור, מומלץ לבחור סיסמה אשר המשתמשים יוכלו לזכור באופן "טבעי", גם אם היא מורכבת. חשוב "לחנך" משתמשים להשתמש בסיסמאות אשר מכילות מספרים, אותיות קטנות, אותיות גדולות ותווים מיוחדים (דוגמת $, &, !, @, * ועוד); זאת מכיוון שפריצת סיסמה מסוג זה, גם אם היא מכילה ביטויים מוכרים כמו שמות או תאריכים - הינה קשה ביותר ותארך פרק זמן רב - גם לתוכנות פריצה ייעודיות.
לדוגמה, סיסמה אשר מכילה אך ורק מספרים, ואורכה 5 תווים, תיפרץ תוך מספר דקות לכל היותר; סיסמה "קשה" שנראית כך: 12xH%47 הינה בעייתית מכיוון שאין כמעט כל אפשרות לזכור אותה; אולם סיסמה מסוג זה: Rosh_HaShana_2011! הינה קלה יחסית לזכירה וקשה מאוד לפריצה. למעשה - קשה יותר לפריצה מאשר הסיסמה הקודמת, מכיוון שהיא ארוכה יותר ומכילה קומבינציה מורכבת יותר של אותיות ותווים.
כמובן שבכדי להפחית לחלוטין את כאב הראש שכרוך בהתעסקות עם סיסמאות, ניתן להשתמש באמצעי הזדהות חזקה דוגמת Tokens, כרטיסים חכמים ופתרונות נוספים אשר מייתרים את הצורך בזכירת וניהול סיסמאות; עם זאת, אמצעים אלו כרוכים בעלויות של רישיונות, הטמעה, חומרה ותמיכה; השימוש באמצעי הזדהות אלו נפוץ יותר בחיבור של משתמשים מרוחקים, אשר מתחברים אל הרשת הארגונית מן האינטרנט, תוך שימוש בפתרונות התחברות מאובטחת דוגמת VPN, SSL-VPN ועוד. אבל על כך - בפעם הבאה..
בסופו של יום, על כל ארגון להחליט מהי הדרך המתאימה ביותר עבורו; כמובן שארגונים אשר כפופים לרגולציה כזו או אחרת צריכים להתיישר על פי התקן הרלוונטי, דבר אשר במרבית המקרים מסייע להעלאת רמת האבטחה ברשת, וחוסך התלבטויות וחיכוכים מיותרים. המשתמשים תמיד ירצו גישה קלה ככל הניתן; אנשי אבטחת המידע ישאפו למקסימום אבטחה (במינימום עבודה..). האמת, כמו תמיד, נמצאת אי שם באמצע, ועל אנשי אבטחת המידע לתמרן בין רצונות מנוגדים אלו בכדי להשיג מקסימום אבטחה במינימום הפרעה לפעילות הארגון.
התמחותה של איי פי וי סקיוריטי בתחום ה- Risk Auditing IT Security כמו גם היכרותנו עם תקני אבטחת המידע העדכניים מאפשרים לנו להכיר הן את המתודולוגיות והן והפתרונות המובילים בתחום, אשר מסייעים בהטמעת תהליך מורכב מסוג זה בהצלחה.
מעוניינים לתאם פגישה ולשמוע פרטים נוספים? צרו קשר