« Home | הבטחה לאבטחה - eCommerce » | SSL VPN Access » | Hebrew ? A Train Of Thought » | How To Assure yourself by Common Criteria » | UTM – Antithesis For The Current Concept Technology » | Well , after a long time of thinking about it , an... »

הזדהות חזקה Out Of Band

למי שמכיר אותי , יודע שאני נחשב מנגנון די קשה לפיצוח בכל הנוגע לשכנוע טכנולוגי. כחלק מתפקידי במקום העבודה שלי, אני נדרש לבצע בדיקות לטכנולוגיות חדשות, מוצרים חדשים וקונספטים . לא פעם ולא פעמיים הגיעו אלינו לפגישות טובי המוחות ויצאו בידיים ריקות שכן הפתרונות א המוצרים שהציגו היו שם אבל זה לא היה זה. ואני כטכנולוג תמיד מחפש את אותו אדם שיפיל אותי מהכיסא.

לפני מספר ימים , זה סופסוף קרה ! מישהו הצליח להגיע אלינו למשרדים, אנחנו נערכנו להשוות אותו לכל פתרון קיים בשוק , וכשסיפר על הפתרון שלו, פשוט לא היה לי מה לומר.
בטח ובטח אני , כשאני אוהב פשטות ותחכום, ישבתי ללא מילים בפי.

אז תנו לי להציג את אותו אדם ואותה חברה.
שמו איתי וייסברג אשר משמש כנשיא ומנכ"ל לחברת SECCES. והפתרון שלהם להזדהות חכמה הוא מסוג הדברים שהיינו אומרים פעם על ICQ ... איך לא חשבנו על זה קודם.

בעוד הזדהות חזקה מוגדרת כיום כשילוב של שני פאקטורים או יותר ( למשל סיסמה וTOKEN או בדיקת רשתית וטביעת אצבע ) אשר על ידי שילוב של שניהם ניתן להוכיח זהות . בד"כ הגישה היא להציג משהו שיש לך ומשהו אתה יודע ( Something You Have And Something You Know ) מאחר וגם א אני יודע ססמה ואין בידי את הTOKEN , אני לא יכול להיכנס...

ובכן , החבר'ה בSECCES לקחו את העולם זה שנים קדימה . הרעיון הוא כזה ... הזדהות מחוץ למחשב. כן כן , לא להשתמש בTOKEN או בסיסמה או באלמנט דומה , תוך שמירה על עקרונות הOTP
( One Time Password - לאחר שימוש אחד לא ניתן להשתמש בסיסמה ). מה שהם עשו זה בעצם לבנות פרופילים של הזדהות לכל משתמש במערכת. למשל אני : יש לי טלפון נייד , יש לי כתובת אימייל , יש לי שלוחה במשרד ועוד כל מיני דוגמאות ... נניח שהטלפון הנייד הוא אימות 1 ,והשלוחה שלי היא אימות 2. במידה ואני צריך להזדהות באמצעות מערכת SECCES, מה שאני צריך לעשות זה להכנס שם משתמש ובקשת אימות . לצורך הענין המערכת הח מוגדרת לCHALLENGE אוטומטי ( מלא אפשרויות קונפיגורציה ), המערכת מחליטה לעבוד איתי באימות 1. מייד אני מקבל SMS שבו כתוב "סיסמתך החד פעמית היא : XXXXXX" , פעם אחרת המערכת בוחרת באימות מסוג 2 , ואני מקבל טלפון שאומר לי "סיסמתך החד פעמית היא : YYYYYY" . פשוט מדהים.

כל תהליך ההזדהות מתבצע OUT OF BAND , כי הרי ידוע שהטלפון שלי הוא שלי , והשלוחה שלי היא שלי , וכל מיני נתונים סטטיסטיים .. בעצם לא צריך רכיב חומרה ( פרט למערכת עצמה ) בכדי לבצע הזדהות. תחשבו על כל הסוכנים בשטח , בלדרים , אנשי מכירות ואנשי תשתיות אשר יכולים להתחבר בצורה חזקה לארגון , מבלי לעלות עשרות דולרים לכל משתמש עבור רכיב שפג תוקף כל 3-4 שנים.

המערכת תוכננה לעבודה כרדיוס ( וככזאת - יכולה להתממשק לכל מערכת שיודעת לדבר מול רדיוס ), יש לה 2 אלמנטים : מערכת האימות ושרת הRADIUS RELAY.
המערכת בנויה בצורה מאוד מוקשחת וSUPER SECURE. בעצם השרת מולו מבצעים את שאילתת הרדיוס הוא קופסא טיפשה אשר רק יודעת לקבל בקשות, השרת החכם הוא שרת האימות והוא מבקש ממנה את הבקשות וגם שם בה תשובות , כלומר אם שמים אותה בDMZ , למכונת הRADIUS RELAY אין כלל צורך בחוקי גישה ממנה החוצה. חשוב לציין ששירותי ההתקשרות, כולל SMS או כל דרך אחרת תלויים בקיום של מערכות כאלה בארגון , או אצל ספק שירות.

בכל מקרה, הרעיון והטכנולוגיה הזו לאימות , הן בדיוק הסיבה שאני אוהב לעבוד בתחום הזה. טרם יצא לי לראות אימלפמנטציה כלכך מדליקה וכלכך מעניינת לביצוע הזדהות. לדעתי אנחנו נשמע הרבה מהחבר'ה האלה. אני בהחלט מתכוון לאמץ את הטכנולוגיה הזו.

האתר של SECCES הוא :
www.secces.com

Labels: , , ,

Syndication : Digg It  Add to Technorati Favorites  Stumble It  Worth Reading 

הווו הוו...
אז צריך לשמור את הפלאפון "קרוב לחזה" כי זאת ההגנה היחידה. הרי את הפרטים המזהים בפרופיל לא באמת קשה להשיג.

זה לא ממש משנה , שכן הסיסמה מגיעה לפלאפון ( לצורך העניין ) היא חד פעמית ופגה תוקף תוך פרק זמן מסויים ( המקובל הוא - תוך דקה ) אז גם אם יש לי את הטלפון שלך , ואני לא יודע מה לעשות איתו ,... לא יעזור לי

מדובר בפתרונות לא חדשים. אולי החידוש שלהם הוא שאתה יכול לבחור יותר אופציות מבדרך כלל, אבל out of band authentication אינו חדש.
למיטב זכרוני הראשונים להטמיע מערכות מהסוג הזה הם בנקים בניוזילנד ואוסטרליה (לפני כשלוש שנים) ואולי גם בארצות הברית.

אחד החסרונות של פתרונות כאלה זה שלא בכל מקום ספקי הסלולר מסוגלים להתחייב לזמן מקסימלי בין משלוח ה-SMS להגעתו למכשיר הלקוח (אני יודע שזה נשמע אינפנטילי, אך זה המצב). כך שלגופים מסחריים זה לא ישים (תחכה 10 דקות לסיסמא?).

הפתרונות גם חשופים לפישינג כמו כל פתרון OTP אחר.

ראה למשל
http://www.finextra.com/fullstory.asp?id=13373

כמו שאמרתי , יש פתרונות נוספים פרט לSMS , כמו למשל IVR או IM...

כן כן ... קבל הודעה לMSN שלך ... וזה עובד . העניין הוא שאתה כמשתמש יכול לבקש לאן הOTP שלך יגיע .

אז נכון , זה לא מושלם ויש לנו מספר בעיות עם המדיה על גביה אנחנו מקבלים את הOTP עצמו. אבל תמיד יש משחק של WIN SOME \ LOSE SOME.

אני בכל אופן אהבתי את הפתרון של SECCES.

Post a Comment

About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites