Prim Hírek

A jelszókezelés erkölcsi és gazdasági kockázatai

A jelszavak nem megfelelő kezelésével a vállalati bizalmas adatok jelentős kockázatoknak vannak kitéve. Egy adatbiztonsági megoldásokat fejlesztő vállalat, az Imperva 32 millió jelszót elemző statisztikájából kiderült, hogy a használt jelszavak 30 százaléka 6 vagy annál kevesebb karakterből állt és a 60 százaléka pedig semmilyen különleges karaktert nem tartalmazott. A vállalat az elemzésében kiemelte, hogy a jelszavak 50 százaléka szótáralapú visszafejtéssel kideríthető, az 5000 leggyakoribb jelszó pedig megtalálható a támadó és a jelszótörő szótárakban. A nem megfelelően kezelt személyazonosságok és az elszabadult jelszófelügyelet költsége – minden egyes alkalommal, amikor egy felhasználó betelefonál a helpdeskhez – átlagosan 25 és 50 dollár közé esik. Egy 5000 felhasználós szervezet esetében ez akár évi 50 000 dollárra is rúghat, ami még nem tartalmazza a felhasználók munkájának kiesését, amíg a jelszó helyreállítására várnak. Ezt támasztja alá a Novell biztonságtechnikai szakemberek körében végzett világszintű felmérésének eredménye, amelyben a megkérdezettek többsége azt állította, hogy vállalatuk informatikai ügyfélszolgálata az idejük legalább 30 százalékát a jelszavakkal kapcsolatos problémák megoldásával tölti

„A vállalati informatika egyik legnagyobb kihívása a szervezeten belül használt alkalmazásokhoz és szolgáltatásokhoz tárolt több ezer egyedi felhasználónév és jelszó kezelése. A jelszavak számának növekedése csökkenti az informatikai és felhasználói hatékonyságot, ráadásul növeli az adminisztrációs költségeket és a biztonsági kockázatokat is” – mondta Hargitai Zsolt, a Novell Magyarország üzletfejlesztési vezetője. „A hagyományos jelszavak még mindig a legnépszerűbb és legpraktikusabb módszert kínálják a legtöbb vállalati érték és információ védelmére. A különböző jelszókezelési – kiszolgálói szinkronizációt, webes hozzáférés felügyeletet és vállalati egyszeri bejelentkezést kínáló – megoldások önmagukban is jelentősen javítják a jelszókezelés hatékonyságát. Azonban a jelszókezelés jelentette átfogó kihívásokkal szemben a három megoldás egy személyazonosság- és hozzáféréskezelési rendszerre alapozott, és a vállalat informatikai sajátosságaihoz igazodó kombinációjával lehet igazán eredményesen felvenni a harcot” – tette hozzá Hargitai.

„A jelszókezeléssel kapcsolatban fontos kiemelnünk 2 tényezőt: a jelszavak "minőségét" és a hozzá tartozó vállalati kultúrát. A felhasználók többsége nincs tisztában azzal, hogy a gyenge, rossz jelszavak ma már kevesebb mint egy nap alatt megfejthetők. Munkatársainkkal meg kell értetnünk, hogy a szoftveres védelem önmagában nem elegendő, az adatok és a rendszer biztonsága érdekében szükség van a felhasználók közreműködésére, a bonyolult és hosszú vállalati jelszavak használatára is. Ezért olyan fontos, hogy a jelszó legalább 8 karakter legyen, és tartalmazzon nagy- és kisbetűt, és valamilyen speciális karaktert is. Érdemes erre a célra egy jelszógenerátort is igénybe venni. Ha már megvan a biztonságos jelszó, a megfelelő tárolásáról is gondolkodni kell, semmiképpen nem szabad a gép mellett egy papírra felírva, sem a noteszünkben, a telefonunkban vagy a számítógépben tartani. A teljes védelem persze még így sem garantált, de ha megszüntetni nem is lehet a veszélyt, legalább nagymértékben csökkenthetjük” - mondta Papp Péter, a kancellar.hu vezérigazgatója.

A jelszókezelési problémák megoldásának megközelítései

A jelszavakkal kapcsolatos kihívások szinte általános érvényűek, de a vállalatok által a megoldásukra alkalmazott módszerek és technikák nem azok. Ha a különböző jelszókezelési összetevők és technológiák mind felhasználhatják a személyazonosság-kezelő rendszert, akkor együtt tudnak működni és még egyszerűbben oldják meg a jelszavakkal kapcsolatos kihívásokat. Számos különböző tényezőtől – például az IT infrastruktúrától, az adott megfelelőségi követelményektől és a felhasználói elvárásoktól – függően számos különböző megközelítés és technológia közül választhatunk:

• Kiszolgálói jelszó-szinkronizálás: a módszer a jelszókezelést egy nagyobb személyazonosság életciklus-kezelő és felhasználói hozzáférés-kiosztási megoldás részévé teszi. Ennek keretében a felhasználók egyetlen jelszót kapnak, amelyet a rendszer a környezet összes kapcsolódó rendszerén szinkronizál.
• Webes hozzáférés-felügyelet: a módszer a webes alkalmazások hitelesítésére és engedélyezésére szolgál egy biztonságos webes portálon keresztül. A webes hozzáférés-felügyeleti rendszerek egy felhasználói hozzáférés-kiosztási eszközzel együttműködve szabályozzák, hogy ki milyen erőforrásokhoz férhet hozzá a portálon keresztül.
• Vállalati egyszeri bejelentkezés: a módszer alkalmazása esetén a felhasználók egy hitelesítő adatkészlet megadásával jelentkeznek be a hálózatba. A rendszer előhívja a megfelelő felhasználóneveket és jelszavakat, és a felhasználó nevében automatikusan átadja őket az egyszeri bejelentkezést engedélyező alkalmazásoknak pedig hitelesítő adatokat hív le a könyvtárból és szinte minden alkalmazásnak vagy erőforrásnak továbbítja azt a felhasználó helyett.

A Novell jelszókezelési megoldásai

A Novell kiszolgálói szinkronizációs megoldása: Novell Identity Manager

A Novell Identity Manager nagymértékben leegyszerűsíti a személyazonosság-kezelés folyamatát, miközben garantálja a kritikus fontosságú adatok védelmét. A Novell megoldása automatizálja a felhasználó-létrehozás és jelszókezelés felügyeletét a felhasználó teljes életciklusára vonatkozóan – azonnali hozzáférést biztosít az új felhasználóknak, szükség szerint módosítja, vagy megszünteti a hozzáférést az összes rendszeren, és egységesíti a jelszókezelést. Az Identity Manager szinkronizálja a felhasználó összes jelszavát, és egyetlen jelszavas elérést nyújt az összes rendszerhez. Szabályokkal garantálható, hogy a használt jelszavak biztonságosak: erős, az egész rendszerre kiterjedő jelszóirányelvek alakíthatók ki, amelyek védenek a szótár alapú támadások ellen. A Novell termékével megszüntethető a felhasználói hozzáférési igények költséges és időigényes kézi adminisztrálása is.

A Novell webes hozzáférés-felügyeleti megoldása: Novell Access Manager

A Novell Access Manager segítségével az alkalmazottak, partnerek és vásárlók egyszerűen és biztonságosan érhetik el a szükséges információkat, ugyanakkor a rendszer hatékonyan megakadályozza, hogy bárki más hozzáférjen az értékes adatokhoz. Funkciói közé tartozik, hogy a felhasználó részére SMS-ben is küldhető vele egy egyszer használatos bejelentkezési kód. Pontosan meghatározható, hogy kik jogosultak az erőforrások elérésére, ők pedig mindent, amihez jogosultságuk van, egyetlen jelszóval érhetnek el. Novell Access Managerrel szabályozható mind a webes, mind a hagyományos üzleti alkalmazások hozzáférése. A Novell Access Manager támogatja a webszolgáltatás-összevonást (WS-Federation), egy olyan egypontos bejelentkezési módszert, amelynek köszönhetően a Novell Access Manager az iparág legteljesebb webes hozzáférés-kezelési szolgáltatását kínálja.

A Novell vállalati egyszeri bejelentkezés megoldása: Novell SecureLogin

A Novell SecureLogin lehetővé teszi, hogy az alkalmazottak egyetlen, biztonságos bejelentkezéssel hitelesítsék magukat a vállalati erőforrásokon, amellyel kiválthatók a különböző felhasználónevek és jelszavak kezelésével járó feladatok. A Novell SecureLogin zökkenőmentesen működik együtt a Windows rendszerekkel, valamint a webes, Java-alapú és egyéb vállalati alkalmazásokkal, és segítségével ezek az alkalmazások kiegészíthetők erős hitelesítésen alapuló felhasználó azonosítással. A SecureLogin varázslója számos alkalmazást automatikusan integrál, így az ügyfelek és a partnerek más gyártók termékeihez képest sokkal gyorsabban realizálhatják az egypontos bejelentkezés nyújtotta előnyöket. A Novell SecureLogin jól működik más Novell jelszó és személyazonosságélettartam-kezelő termékekkel is, például a Novell Identity Manager és a Novell Access Manager programokkal.