Biblioteka Narodowa używa na swojej stronie plików cookies. Brak zmiany ustawień przeglądarki oznacza zgodę na ich użycie. [zamknij]

Uwierzytelnianie użytkowników jako kluczowy element ochrony danych w systemach informacyjnych

Autor: Petr Žák,

Kategorie: Technologia informacyjna i bibliotekarska

Tagi: , , ,

Zostaw komentarz

Społeczeństwu wiedzy coraz bardziej zagraża niewłaściwe wykorzystanie technologii informacyjnych (IT). Jednocześnie ich odpowiednie stosowanie może ograniczać to ryzyko i zwiększyć bezpieczeństwo danych. Spojrzenie na IT pod tym kątem i ciągła praca nad projektowaniem dla bezpieczeństwa (ang. design for security) staje się bardzo ważnym zadaniem, zwłaszcza że dziś ochrona danych oraz systemów informacyjnych (IS) w pełni przenika funkcjonowanie IS, a nie stanowi – tak jak wcześniej – tylko składnika IS działającego w tle. Staje się priorytetem dla informatyków i naukowców zajmujących się informacją, a także dla menedżerów wysokiego szczebla i socjologów.

Autorka zdaje sobie sprawę ze złożoności problematyki ochrony IT, która obejmuje, oprócz samych technologii, również bezpieczeństwo i ochronę IS oraz przechowywanych, przetwarzanych i udostępnianych w nich danych. Skupia się na logicznym poziomie ochrony danych i jej kluczowym elemencie – uwierzytelnianiu użytkowników (UU), który jest coraz częściej stosowany w portalach oraz aplikacjach sieciowych i jednocześnie jest najczęściej atakowany. Rozróżnia przy tym identyfikację (kim jest użytkownik), uwierzytelnianie (czy rzeczywiście to dana osoba) i autoryzację (jakie ma uprawnienia), przy czym identyfikacja i uwierzytelnianie występują razem jako dwa kroki jednego procesu, warunkującego dostęp do systemu.

Podczas wyboru UU trzeba mięć na uwadze różne metody uwierzytelniania i związane z nimi kryteria rzutujące na bezpieczeństwo IS, w szczególności na szybkość danej metody. Odpowiednia metoda UU musi też chronić przed zafałszowaniem tożsamości, musi być niezawodna i wiarygodna (nie wpuszcza obcych, ale też nie odrzuca bez uzasadnienia) oraz nie może zmieniać danych na wejściu/wyjściu uwierzytelniania. W praktyce stosuje się kombinację dwóch-trzech sposobów UU i dzięki odpowiednio ustawionym wymogom udaje się eliminować większość ataków na protokoły uwierzytelniania. Bez wprowadzenia którejś z metod UU traci sens cała pozostała technika ochrony danych w IS. Większość metod UU działa na zasadzie szyfrowania danych i rozwija się wraz z kryptografią.

Omówiono podstawowe metody silnego uwierzytelniania: posługujące się hasłami (statycznymi, jednorazowymi, zmiennymi), tokenami (urządzeniami, za pomocą których użytkownik loguje się do systemu) oraz biometrycznymi cechami użytkownika. Stosowanie tych ostatnich wiąże się jednak z ryzykiem naruszenia prywatności i potrzebą uregulowań prawnych. Następnie przy pomocy analizy SWOT oceniono oraz porównano ww. metody i m. in. stwierdzono, iż najlepszym rozwiązaniem dla publicznych instytucji wydaje się, ogólnie mówiąc, kombinacja hasła z metodą, wyrażającą najnowsze trendy. Potem należałoby wybrać te konkretne techniki, które nadają się do praktycznego, bezpośredniego zastosowania w danych warunkach. Pomocne przy wyborze też będą różne cechy systemów UU, takie jak skala zastosowania, łatwość administrowania, grupowanie użytkowników i urządzeń, stosowanie nowoczesnych algorytmów (np. podczas generowania haseł). Obecnie najbardziej efektywną platformą dla UU są technologie szyfrowania danych, powszechnie stosowane w domowych PC (ochrona plików, poczty elektronicznej), w elektronicznej bankowości i systemach kart płatniczych. Zakres stosowania UU będzie się poszerzał i jego znaczenie będzie rosło wraz z coraz większym znaczeniem IT w życiu społecznym.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>