Technológie Single Sign-On

Bezpečný prístup k aplikáciám, či už prevádzkovaným v internom prostredí, alebo dostupným prostredníctvom webových rozhraní, postavený na báze identifikácie (autentifikácie) používateľa je už prirodzený jav, nad ktorým sa pozastavuje málokto.

V praxi sa ujali tri základné formy autentifikácie:
1.    autentifikácia na znalostnej báze – ako oprávnený používateľ zadávam prihlasovacie meno a heslo, ktoré mi zabezpečuje vstup do systému/aplikácie/k webu
2.    autentifikácia na báze vlastníctva – vlastním bezpečnostný predmet, ktorý sa používa ako bezpečné úložisko mojich identifikačných údajov a obyčajne je chránený PIN-om alebo iným ochranným kódom
3.    autentifikácia na báze danosti – disponujem určitými ojedinelými znakmi použiteľnými na identifikáciu – odtlačok prsta, snímok oka a ďalšie tzv. biometrické danosti

Najrozšírenejšou formou je nesporne autentifikácia na znalostnej báze – pomocou mena/hesla, zadávaného z klávesnice. Narastajúci počet aplikácií a riešení využívajúcich túto formu ochrany však pre bežného používateľa predstavuje určitú záťaž vedúcu často k problémom – narastajúci počet prihlasovacích mien a hesiel, ktoré musí zadávať pri prihlasovaní sa do rôznych aplikácií. Problémom je najmä sekundárny efekt uvedeného javu – počet prihlasovacích mien a hesiel, ktoré si musí bežný používateľ zapamätať, je akceptovateľný po určitú hranicu, definovanú počtom a aj požadovanou zložitosťou hesla. Prekročenie tejto hranice vedie k úsiliu (zo strany používateľa) minimalizovať riziko prípadného zabudnutia konkrétneho hesla (hesiel), čo môže viesť k nasledujúcim tendenciám:

-    snahe zjednocovať prihlasovacie heslá k rôznym aplikáciám – používateľ má tendenciu používať rovnaké heslo na prihlasovanie k rozličným prvkom informačného systému,
-    snahe zjednodušovať heslá – používateľ si navrhuje heslá, ktoré sú ľahko memorovateľné (krátke heslá, heslá ľahko odvoditeľné z rôznych súvislostí spojených s identitou, vlastnosťami, záľubami, osobným životom daného používateľa)
-    snahe používať rôzne pomôcky na „pamätanie si hesla“ – prevažne poznámkové post-it bločky, umiestnené na viditeľnom mieste, poznamenávanie si hesiel na neprehliadnuteľné miesta, ako sú napríklad stolové kalendáre, poznámkové bloky umiestnené vedľa počítača, používanie pojmov priamo viditeľných na pracovisku (plagáty, kalendáre, značky spotrebičov) a rad ďalších. (Nedá mi nespomenúť absolútnu perličku – prihlasovacie meno a heslo do homebankingového systému napísané CD popisovačom na bočnej stene monitora.)
-    snahe obchádzať periodické, resp. náhodné zmeny hesiel, pokiaľ túto zmenu nevynucuje systém, ale je ponechaná na rozhodnutí a konaní používateľa

Technológia Single Sign-On (SSO)
Pojem Single Sign On by bolo možné interpretovať ako „jediná prihláška“ alebo „len jedno oznámenie účasti“. Ide vlastne o proces, v ktorom používateľ informačného systému uvedie svoju totožnosť len raz, aby získal prístup k niekoľkým aplikáciám alebo zdrojom bez toho, aby sa musel identifikovať každému zdroju a používať niekoľko rozličných prístupových hesiel. Práve aplikácia SSO sa postará o to, aby identifikačné údaje odovzdala ďalej, čím vlastne nahradí manuálne zadávanie mena a hesla k systému, v ktorom sa chce používateľ identifikovať.

Výhody SSO pre používateľa:
-    ovládanie všetkých hesiel používaných konkrétnym používateľom,
-    odpadá nutnosť pamätať si rôzne heslá, čo znižuje bezpečnosť používaných hesiel,
-    technológie SSO podporujú možnosť vynútenia zmeny hesla.

Výhody SSO pre prevádzkovateľa IS (organizáciu):
-    už spomínané zvýšenie bezpečnostnej úrovne používaných hesiel,
-    redukcia požiadaviek na technickú podporu, súvisiacich s využívaním hesiel,
-    efektívna inštalácia a zavedenie do praxe.

Praktické použitie technológie SSO
Aplikácií, ktoré umožňujú implementáciu technológie SSO, je dnes na trhu dostupných niekoľko, sú to napríklad AXIS (Safenet), Password Officer (Compelson), AreaGuard Easy Login (SodatSW). Úlohou takejto aplikácie je vlastne odovzdávať prihlasovacie informácie do jednotlivých aplikácií a webových formulárov slúžiacich na prihlasovanie používateľa. Aplikácie využívajúce technológiu SSO obyčajne rozlišujú nasledujúce typy prihlasovacích informácií:

-    prihlasovacie informácie pre aplikácie Windows,
-    prihlasovacie informácie pre webové aplikácie,
-    prihlasovacie informácie pre aplikácie typu Terminal server, Mozilla, Java aplikácie, IFRAME,
-    prihlasovacie informácie pre aplikácie bežiace v príkazovom riadku.



Použitie aplikácie SSO môže byť zviazané s používaním výmenného pamäťového média (napr. flash USB), keď k načítaniu prihlasovacích informácií dochádza pri vložení príslušného výmenného disku. Bezpečnosť (t. j. zachovanie dôvernosti) uložených prihlasovacích informácií je pri týchto riešeniach zaistená rôznymi voliteľnými úrovňami bezpečnosti. Obyčajne je databáza obsahujúca uvedené prihlasovacie informácie  šifrovaná a prístup k nej je podmienený korektnou autentifikáciou používateľa, a to buď klasickou dvojfaktorovou autentifikáciou (zadávanie mena a hesla), alebo použitím externých bezpečnostných predmetov typu čipová karta, USB token a podobne. Prakticky to znamená, že využiť služby jednotnej autentifikácie môže len používateľ, ktorý jednoznačne preukáže svoju identitu, a teda oprávnenie danú aplikáciu a jej databázu využívať.



Využitie aplikácie na prihlasovanie je z používateľského hľadiska jednoduchá operácia – stačí aktivovať rozhranie aplikácie SSO (napr. kliknutím na ikonu v systémovej lište pracovnej plochy), vybrať zo zobrazeného zoznamu prihlasovacích informácií, ktoré sú v danej aplikácií zadefinované; následne prebehne automatické prihlásenie.

Najprácnejšou časťou využívania podobných riešení je nesporne ich konfigurácia, v rámci ktorej treba nakonfigurovať nielen správanie aplikácie v procese odovzdávania prihlasovacích informácií, ale najmä nevyhnutnosť zadať prihlasovacie mená a heslá k príslušným aplikáciám, formulárom a pod.

Poskytovanie nástrojov postavených na technológii SSO sa stáva prirodzenou súčasťou vývoja aplikácií zameraných na ochranu dát – stáva sa prirodzenou súčasťou riešení bezpečnej autentifikácie či systémov poskytujúcich ochranu dôvernosti dát použitím kryptografickej ochrany. Nesporne možno predpokladať, že vývoj takýchto riešení bude mať za cieľ tri problémové oblasti:
-    maximálne zjednodušenie procesu prihlasovania zo strany používateľa,
-    zvyšovanie bezpečnostnej úrovne riešení,
-    riešenia centrálnej správy a administrácie.

Ing. Jaroslav Oster, info@infoconsult.sk

Zdroj: TS PCR