Autentizace uživatele a řízení přístupu
Problematika autentizace uživatele je rozsáhlá. Existuje několik druhů autentizačních protokolů. Autentizaci můžeme rozdělit na následující typy:
- autentizace důkazem znalostí (heslo)
- autentizace důkazem vlastnictví (bezpečnostní předmět, čipová karta)
- autentizace důkazem vlastností (biometrické metody - otisk prstu, obraz sítnice)
Obecně je autentizace definována jako „způsob ověření identity uživatele v systému za účelem řízení přístupu k systému či zdrojům“ [1] Primárně však slouží k zajištění přístupu do systému. Nejčastěji užívanou autentizační metodou je autentizace důkazem znalostí, tedy například znalostí hesla. Uživatel je vyzván k zadání předem definovaného hesla. Na jeho základě je umožněn přístup do systému.
Aby autentizace byla bezpečná, je potřeba respektovat určitá pravidla nejen při tvorbě hesla. Král[2] ve své publikaci uvádí základní pravidla pro tvorbu silného hesla. Heslo by mělo tvořit více slov, nejlépe v kombinaci s číslicemi a jinými znaky (velká, malá písmena, speciální znaky apod.). Heslo by také mělo mít alespoň 8 znaků. Obecně se doporučuje vyvarovat se jménům, datům narození a podobným osobním údajům, která jsou pro útočníka relativně snadno zjistitelná. Heslo nesmí být lehce uhádnutelné. Dále je vhodné hesla pravidelně měnit (ideální lhůta používání jednoho hesla je 90 dní)[2] Heslo by mělo být vyžadováno u všech uživatelských účtů v počítači, aby se předešlo "nechtěným návštěvám" a případnému zneužití dat.
Řízení přístupu
Řízení přístupu je proces, při kterém je ověřována míra oprávnění a uživatelských práv při přístupu ke zdrojům. Ověřují se uživatelé, skupiny uživatelů i počítače. Zdroje jsou vnímány jako sdílené hodnoty, které může počítač nabídnout, např. kapacita pevného disku, tiskárny, operační paměť, procesorový čas apod. Objekty vnímáme jako účelný shluk dat, tedy soubory, skupiny souborů uložené na paměťovém médiu.[1] Oprávnění určuje typ povoleného přístupu k jednotlivým objektům. Oprávnění se liší podle typu objektu, kterému jsou připisována. Jeden uživatel může mít přiřazeno více oprávnění. Zároveň může patřit do skupiny uživatelů, která má přidělená další práva. Oprávnění se přidělují i souborům. Liší podle objektu přidělení. Ovšem existují i společná oprávnění jako: číst, změnit, odstranit, změnit vlastníka. Nastavením oprávnění určujeme (řídíme) míru nebo způsob přístupu k objektům. Uživatelská práva jsou specifikována souborem oprávnění a přihlašovacími právy v počítačovém prostředí. Mohou být přidělována jednotlivým uživatelským účtům nebo skupinám účtů. „Tato práva umožňují uživatelům provádění specifických akcí, jako je interaktivní přihlášení k systému nebo zálohování souborů a adresářů. Uživatelská práva se liší od oprávnění, protože práva se vztahují na uživatelské účty, zatímco oprávnění jsou přiřazována objektům.“[3] Přidělováním uživatelských práv skupinám se zjednoduší správa uživatelských účtů.
Pojem uživatel je obraz skutečné identity člověka, u kterého je autentizací zajištěno, že vlastníkem oné identity je právě on. Uživateli jsou následně přidělována přístupová práva podle úrovně ověření. Obecně se řízení přístupu může zavést ve dvou režimech, buď jako povinné řízení přístupu (MAC), anebo nepovinné řízení přístupu (DAC). Nepovinné řízení přístupu je častější. Každý uživatel má přidělena určitá přístupová práva k objektům. Výhodou tohoto přístupu je snadná implementace a administrace. V systému může existovat několik uživatelů s neomezenými právy (superuživatel). Tito uživatelé spravují daný systém, jsou tedy správci. Povinné řízení přístupu je využíváno v organizacích, které operují s utajovanými informacemi, například ve vojenství. Základem je dělení dat podle míry utajení. Normální data jsou určená široké veřejnosti, citlivá data jsou interní data (přístupná v rámci dané firmy nebo signatářům NDA) a důvěrná nebo také tajná data jsou určena jen vyjmenovaným příjemcům. Je důležité zabezpečit, aby uživatel neměl přístup k datům z vyššího stupně utajení, než kterému odpovídá jeho pověření. Rozdíl proti nepovinnému řízení přístupu spočívá v tom, že uživatel sám nemůže měnit přístupová práva. Například uživatelé veřejných počítačů v knihovnách mají striktně nastavena uživatelská a přístupová práva k uživatelskému účtu, který je se zdroji dat propojen právě nepovinným řízením přístupu. Řízení přístupu má úzký vztah k procesu autentizace a uživatelským účtům. „Řízení přístupu je závislé na schopnosti systému jednoznačně identifikovat uživatele. Tuto jednoznačnou identifikaci poskytují uživatelské účty.[4]
Reference
- DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004. ISBN 80-251-0106-1.
- KRÁL, Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80-247-1408-6
- Uživatelská práva. In: Windows server [online]. 2013 [cit. 2013-03-20]. Dostupné z: http://technet.microsoft.com/cs-cz/library/cc778337(v=ws.10).aspx
- BOTT, Ed a Carl SIECHERT. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. Brno: Computer Press, 2004. ISBN 80-7226-878-3