Microsoft har samarbeidet med RSA Security om å utvikle en praktisk løsning for tofaktor autentisering mot Windows. Bakgrunnen for dette nye produktet – SecurID for Windows – er dels at kombinasjonen av brukernavn og passord gir forholdsvis dårlig vern mot at uvedkommende får tilgang til bedriftens interne nettverk, dels krav, også fra myndigheter, om at man skal kunne spore hva den enkelte personen foretar seg i et nettverk, ikke bare hva en gitt maskin blir brukt eller misbrukt til.
– At brukernavn og passord gir dårlig vern mot misbruk, er ingen kontroversiell påstand, mener Bjørn Holmen i RSA Security Nordic. – Det er gjerne enkelt å lokke passord ut av folk, for eksempel ved å gi seg ut for å representere en helpdesk. Det finnes enkle verktøy for å knekke passord, og mange har for vane å skrive ned sine passord.
Ifølge Gartner skyldes mer enn 70 prosent av uautorisert tilgang til IT-systemer bedriftens egne ansatte.
– Det bekrefter at passord er det svake leddet. Interne pålegg om komplekse passord med pålagt minimumslengde, kombinasjon av tall og små og store bokstaver, og pålagt bytte hver nittiende dag, gir ofte bare større storm mot helpdesk. Rundt halvparten av alle henvendelser til helpdesk gjelder passord. Det oppfattes av IT-avdelingen og brukerne som uproduktivt og frustrerende.
Det finnes en rekke avanserte systemer for å bøte på denne situasjonen. I Microsoft selv er det innført en løsning der smartkortet som åpner de fysiske dørene til kontorene, også brukes til å bekrefte brukerens identitet ved pålogging på PC-en.
– Det er ikke alltid like enkelt eller hensiktsmessig for en bedrift å kombinere fysisk adgang og PC- og nettilgang i én løsning, sier Ole Tom Seierstad i Microsoft Norge. – Vi, og mange av kundene, var følgelig på jakt etter en løsning som kunne gi sikker brukerautentisering på en vanlig Windows-PC, og deretter eventuelt utbygges til å omfatte enhetlig pålogging til andre tjenester.
Løsningen som RSA og Microsoft har samarbeidet om, går ut på å bygge et kjent RSA-produkt, SecurID, inn i påloggingsrutinen til Windows. I en PC der den vanlige påloggingsrutinen er erstattet med SecurID for Windows, vil brukeren ikke lenger kunne nøye seg med å oppgi brukernavn og passord. Feltet for passord er erstattet med et felt kalt «pass code». Det krever både en korrekt PIN-kode, og inntasting av tallet som vises i skjermen på brukerens passordkalkulator. Dette er et mangesifret tall som byttes automatisk en gang hvert minutt. Med mindre brukernavn og PIN-kode stemmer overens med øyeblikkstallet fra passordkalkulatoren, vil ikke påloggingen lykkes.
– Brukeren kombinerer følgelig noen han kan med noe han har. Teknologien er modnet gjennom 15 års erfaring og 15 millioner brukere. Løsningen støtter ulike tjenester, og kan også tilrettelegges brukere av bærbare PC-er, ved at systemadministrator definerer regler for hvor lang tid det kan gå mellom hver gang noen må innom lokalnettet for å få påfyll av kontrollkoder til kodegeneratoren. Løsningen kan også utvides til VPN, portaler og applikasjoner, sier Holmen.
Holmen anslår at det kan koste fra 50.000 til 70.000 kroner for en bedrift å tillempe SecurID for Windows til 50 brukere.
– Da ligger også alt klart for VPN, slik at det blir vesentlig billigere. De viktigste fordelene er at du får knyttet elektroniske ID-er til konkrete personer. Mange har brukt mye på å sikre data uten transport, uten å ha systemer for å garantere identiteten til dem som får tilgang til dem. Pålitelig brukerautentisering er en sentral del av en bedrifts helhetlige sikkerhet.
Systemet krever Windows 2003 Server på systemsiden.
Les også:
- [17.09.2004] Ibas lanserer det ultimate sletteutstyr
- [06.07.2004] Gartner-hyllest til Suns nye operativsystem
- [14.06.2004] Autentisering for både PC og bruker
- [24.02.2004] Microsoft velger autentisering fra RSA
- [04.11.2003] Microsoft tror på offentlig krypto infrastruktur
