Harvard vs. MIT: řešení správy identit - 2

Harvard vs. MIT: řešení správy identit


Harvard, pouhých několik mil proti proudu Charles River, zvolil naprosto odlišný přístup. Vytvořil jednotný identifikační a autentizační systém zvaný Harvard PIN. Podobně jako systém Kerberos používaný na MIT je harvardský PIN také založen na jednoduchém uživatelském jméně a hesle. Tady však veškerá podobnost končí.

Zatímco uživatelské jméno, které používá systém Kerberos, je e-mailová adresa studenta nebo zaměstnance MIT, uživatelské jméno pro harvardský PIN systém je osmiznakové identifikační číslo dané osoby z univerzitní průkazky Harvardu. Protože toto číslo není široce přístupné, je pro případného útočníka daleko obtížnější je získat. Harvardská hesla jsou také bezpečnější: zatímco MIT umožňuje jako heslo použít téměř cokoliv, co vás napadne, Harvard má v tomto směru „tvrdou“ politiku: PIN musí mít nejméně 8 znaků, z toho alespoň jedno číslo nebo symbol, musí obsahovat velká i malá písmena a mít alespoň pět různých znaků. Trvalo mi asi 15 minut, než jsem vymyslel harvardský PIN, který bych si dokázal zapamatovat a který by přitom byl dostatečně silný, aby splňoval požadavky dané univerzitou.

Pokud student nebo pracovník Harvardu potřebuje udělat on-line něco oficiálního, on-line služby přesměruje uživatelův webový prohlížeč na harvardský PIN server, centralizovaný systém, který si vyžádá identifikační číslo a PIN uživatele a poté vrátí uživatele zpět k on-line službě, jež si autentizaci vyžádala.

Milé na tomto systému je, že uživatel zadává svůj PIN jen na této jediné stránce. Vždycky vypadá stejně a má i stejnou URL. Tato webová stránka je zašifrovaná SSL. Každé z těchto opatření snižuje šance, že harvardský PIN bude ukraden s využitím phishingu.

Vzhledem k tomu, že harvardský PIN se používá k autentizaci transakcí s vysokou i nízkou hodnotou, systém umožňuje, aby různé aplikace měly různou „re-identifikační“ politiku. Například internetové stránky harvardské knihovny používají PIN ke schválení přístupu k elektronickým časopisům, ale chtějí, aby se uživatel identifikoval jen jednou. Poté na počítači uživatele uloží cookie, které platí zhruba den. Oproti tomu finanční aplikace Harvardu, které mohou vydávat šeky na statisíce dolarů, mohou požadovat, aby byl PIN zadáván pro každý šek jednotlivě, a pak mohou být ještě i další omezení, jako například to, že přijímají PIN jen z některých konkrétních pracovišť na některých místech v areálu.

V současné době, kdy Microsoft, Oracle, Sun a řada dalších prodejců podnikového softwaru nabízí své vlastní systémy pro správu identit, je poučné vidět, jak sami pro sebe vyřešili tento problém někteří z nejlepších akademických síťových mágů. Oba systémy pracují nepřetržitě bez zaškobrtnutí a umožňují uživatelům, aby se autentizovali pro velký počet podnikových systémů, nikdy neohrožují bezpečnost tím, že by se heslo posílalo po síti nezašifrované, a budou moci relativně­ přímo přistoupit k upgradu na bezpečnostní systémy zajišťující vysokou bezpečnost, jako bezpečnostní tokeny PKI. Kéž by na tom tak dobře byly i americké firmy.

--------------
Systémy pro správu identit poskytují centralizovaný adresář členů dané organizace. Umožňují členům, aby se autentizovali, a mohou dokonce sledovat úroveň přístupových oprávnění a autorizace každé osoby. Nejlepší systémy pro správu identit lze snadno integrovat do široké škály stávajících systémů. Například mohou spolupracovat se serverem Microsoft Active Directory a nabízejí možnost „federace“, tj. umožňují organizacím, aby certifikovaly identitu určitého člena pro jiné organizace. Takovéto systémy by například mohla používat firma jako Ford k tomu, aby umožnila zaměstnancům svých dodavatelů přímo spolupracovat s webovými stránkami Fordu s využitím jejich stávajících uživatelských jmen a hesel, aniž by je tak musela nutit k tomu, aby si zřizovali nová uživatelská jména a hesla, která by mohli používat zase jen na internetových stránkách Fordu.

Foto: Harvard, MIT








Komentáře