It-sikkerhedstekst ST1

Transkript

1 It-sikkerhedstekst ST1 Flere faktorer i login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST1 Version 1 Juli 2014

2 Flere faktorer i login Når en person skal foretage login på et it-system, sker det normalt ved at han/hun afgiver én eller flere oplysninger, fx en adgangskode. En generel betegnelse for nogle af de oplysninger, som kan afkræves ved et login, er "faktorer". Denne tekst omhandler faktorer i personligt login. Hvis én af de faktorer, der anvendes ved et personligt login er en adgangskode, forudsættes det, at der er tale om en fortrolig og personlig (individuel) adgangskode. Login med adgangskoder, som ikke er fortrolige og personlige, indebærer en eller anden grad af fælles-login, og brug af flere faktorer i fælles-login tilsigtes ikke beskrevet i denne sammenhæng. Login der kun kræver en adgangskode er et eksempel på én-faktor-login. Et login med NemID, hvor adgang kræver, at der både afgives en adgangskode samt en engangskode fra et nøglekort, er et eksempel på to-faktor-login. NemID kan i nogle situationer bruges kun med adgangskoden (uden engangskode fra nøglekortet), og dermed kan NemID også være én-faktor-login. Fler-faktor-login betegner en løsning, hvor adgang til et it-system kræver, at brugeren skal afgive to eller flere uafhængige faktorer for at opnå adgang. Inden vi ser nærmere på fler-faktor-login, klarlægges hvilke elementer et én-faktor-login består af. Vi starter med at lave en analogi til den fysiske verden. Én-faktor-login i den fysiske verden I den fysiske verden kan man have en situation, hvor en person skal have adgang til et arkivrum med fortrolige papirjournaler. For at gøre det muligt for en fysisk person at tilgå journalerne laves der en dør ind til rummet. For at styre/begrænse adgangen til kun at omfatte autoriserede personer, sættes der en lås døren. Der kræves nu en bestemt nøgle for at få adgang til journalerne. Figur 1. En person får adgang, når personen bruger den rigtige nøgle til at låse døren op med. Men dette er ikke ensbetydende med, at man har sikret sig, at kun den rette person får adgang. I realiteten er det ikke personen, men kun nøglens form, som bliver autentificeret, når døren låses op. Man kan sige, at autentificering af nøglen træder i stedet for en autentificering af personen. Før man kan sige, at kun den rette person kan låse sig ind med denne nøgle, forudsættes blandt andet at: Nøglen er unik. Person er blevet fysisk identificeret af nogen, før personen fik nøglen udleveret. Ingen andre personer kan få en kopi af nøglen (fx ved at opsnappe den under 1

3 distribution eller ved at tage et foto af nøglen og lave en kopi ud fra dette foto). Nøglen lånes ikke ud til andre. Låsen kan ikke åbnes med andet end den rigtige nøgle (låsen kan ikke dirkes op). Hvis nøglen mistes, bliver låsen straks omkodet/skiftet. Desuden må det ikke være muligt at omgå låsen fx ved, at bryde ind gennem et vindue i arkivrummet. De tre pile i figur 1 angiver, hvor autentificeringen kan fejle, fx: (1) Den forkerte person har fået udleveret en nøgle, eller er uretmæssigt kommet i besiddelse af nøglen eller en kopi af nøglen. (2) Låsen dirkes op. (3) Der brydes ind gennem et vindue i stedet for at låse døren op. Én-faktor-login i den digitale verden Lignende forhold gør sig gældende i den digitale verden. For at gøre det muligt for en fysisk person at tilgå journalerne i en journaldatabase laves en adgang (et "hul") ind til databasen ved at sætte et journalsystem op, hvorigennem personer kan tilgå oplysningerne i databasen. For at styre/begrænse adgangen til kun at omfatte autoriserede personer laves der en login-funktion i journalsystemet, og der kræves nu indtastning af en adgangskode, før der gives adgang. Figur 2. En person får adgang ved at afgive den rigtige adgangskode 1. Men dette er ikke ensbetydende med, at man har sikret sig, at kun den rette person får adgang. Det er ikke personen, men kun adgangskoden, som bliver autentificeret ved login. Autentificering af adgangskoden træder i stedet for en autentificering af personen. Før man kan sige, at kun den rette person kan foretage login med denne adgangskode, forudsættes blandt andet at: Adgangskoden er unik. Person er blevet fysisk identificeret af nogen, før personen fik adgangskoden udleveret. Ingen andre personer kan få en kopi af adgangskoden ved at opsnappe den under distribution. Adgangskoden lånes ikke ud til andre. Hvis koden kommer til uvedkommendes kendskab, bliver den straks skiftet eller inaktiveret. Det er ikke muligt at omgå login-funktionen. Autentificeringen kan fejle ved hver af de tre pile i figur 2, fx: (1) En forkert person har fået udleveret en adgangskode, eller er uretmæssigt kommet i besiddelse af adgangskoden. (2) Der foretages gentagne forsøg på indtastning af tilfældige koder i login-funktionen, indtil den rigtige adgangskode findes. (3) Der brydes ind i journaldatabasen ved hacking. 1 Ved mange typer af login skal brugeren indtaste et brugernavn sammen med adgangskoden, men det indebærer ikke, at brugernavnet kan betragtes som en faktor. Dette er nærmere forklaret i eksempel 5. 2

4 Grundlæggende forudsætninger for ethvert login Ethvert login forudsætter en forudgående proces, hvor en faktor knyttes til den korrekte fysiske person. Det forudsættes hermed, at: I. Sammenknytningen mellem personen og faktoren (fx adgangskoden) er sket på en tilstrækkelig sikker måde, herunder at nogen tilstrækkeligt sikkert har fastslået den fysiske persons identitet. II. Personen og dennes systemadgang er registreret korrekt. III. Udleveringen af faktoren (fx adgangskoden) er sket, uden at andre har kunnet få kendskab til den. I det videre lægges til grund, at forudsætningerne I, II og III er opfyldt. Fler-faktor-login Figurerne viser, hvordan sikkerheden kan betragtes som en "kæde", hvor alle led er vigtige for styrken i "kæden". Blot ét svagt led kan mindske eller eliminere sikkerheden for hele loginløsningen. I den digitale verden (figur 2) kan man forbedre sikkerheden for, at det er den rette person, der forsøger at foretage login. Det kan gøres ved at kræve flere faktorer i login, men derved introduceres også nye led i "kæden", og det kan introducere nye risici. Derfor skal der foretages en nærmere vurdering, før man kan sige, om introduktion af en ekstra faktor giver den ønskede forbedring af sikkerheden. Men først er det relevant at se nærmere på, hvilke løsninger der kan anses for fler-faktor-login. Fler-faktor-login betyder i det følgende, at adgang til et it-system kræver, at brugeren skal afgive to eller flere uafhængige 2 faktorer for at opnå adgang. To faktorer anses for uafhængige, såfremt det ikke er muligt at udlede én faktor ud fra viden om den anden faktor. Det er alment anerkendt, at faktorerne i fler-faktor-login skal være fra forskellige kategorier af (A) noget brugeren ved, (B) noget brugeren har, (C) noget brugeren er 3. A. Noget brugeren ved: Typisk en personlig adgangskode. Det skal være noget, som kun brugeren kender, og som brugeren kan nøjes med at have i hukommelsen. Derfor er det normalt også noget, som brugeren selv har valgt. Faktoren må ikke på noget tidspunkt have været tilgængelig eller blive tilgængelig for andre personer. Brugeren skal kunne udskifte denne faktor, hvis der er mistanke om, at andre har fået kendskab til den. B. Noget brugeren har: Eksempelvis et personligt papkort med unikke engangskoder. Faktoren kan udgøres af et stykke unikt hardware som fx en dongle. Faktoren kan også blive genereret af noget unikt software, som ligger i noget hardware, fx en engangskode genereret af en hardkey/nøglegenerator. Det skal være noget, som brugeren kan have i sin fysiske besiddelse, og som brugeren kan holde helt for sig selv. Det må ikke være noget, som skal deles med andre. Brugeren skal kunne udskifte denne faktor, hvis der opstår mistanke om, at andre har mulighed for at bruge en kopi af hardwaren/softwaren. 2 Det fremgår af certifikatpolitikken for NemID (Certifikatpolitik for OCES-personcertifikater OCES CP version 4), at der skal benyttes to uafhængige faktorer. ISO/IEC 29115:2011 (E) beskriver "multifactor authentication" som "autentication with at last two independent autentication factors". 3 I ENISA's dokument "Privacy and Security Risks when Authenticating on the Internet with European eid Cards" angives det i afsnit 3.4, hvad der kan betegnes som tre-faktor-login: "Three-factor authentication: something you know (eg, a password), something you have (eg, a smart card) and something you are (biometrics)". 3

5 C. Noget brugeren er: Typisk biometri, som fingeraftryk, irisscan, ansigtsgenkendelse, stemmegenkendelse, osv. Til sammenligning med kategori A og B, har kategori C en indbygget svaghed, nemlig at brugeren sjældent kan holde faktoren for sig selv eller udskifte den. Eksempler på to-faktor-login Eksempel 1: Adgangskode og engangskode fra et papkort, hvor hver faktor er uafhængig af den anden faktor, og begge faktorer er personlige og kan til en hver tid udskiftes. Eksempel 2: Adgangskode og fingeraftryk, hvor hver faktor er uafhængig af den anden faktor, og adgangskoden er personlig og kan til en hver tid udskiftes. Eksempler som ikke er fler-faktor-login Eksempel 3: Fingeraftryk og irisscan. Begge er af same kategori (C), og derfor er det ikke flerfaktor-login. Eksempel 4: To personlige adgangskoder. Begge er af samme kategori (A), og derfor er det ikke fler-faktor-login. Eksempel 5: Brugernavn og personlig adgangskode. Brugernavne er normalt ikke noget, som brugeren kan vælge selv eller holde for sig selv. I nogle tilfælde kan brugeren heller ikke ændre brugernavnet, hvis det kommer til andres kendskab. Der kan i øvrigt være andre årsager til, at brugernavne ikke kan anses for en faktor. Eksempel 6: Fingeraftryk og personnummer (eller oplysninger i magnetstriben på sundhedskortet 4 ). Personnummer/sundhedskort er ikke noget, som brugeren kan holde for sig selv, og kan derfor ikke anses for en faktor i kategori A eller B. Eksempel 7: Fingeraftryk og kreditkortnummer (eller oplysninger i magnetstriben på kreditkortet). Kreditkortnummer/kreditkort er ikke noget brugeren kan holde for sig selv, og kan derfor ikke anses for en faktor i kategori A eller B. Svagheder i to-faktor-login Det er ikke en selvfølge, at styrken i et login øges, når der tilføjes en faktor. Det kan bl.a. afhænge af, hvilken kombination af faktorer der vælges. Tilføjelsen af en faktor kan øge sikkerheden ved, at flere forskellige risici skal opstå og udnyttes samtidigt, før login kan blive kompromitteret. Den forventede fordel kan imidlertid være illusorisk eller direkte udgøre en risiko, særligt hvis: man kan udlede én faktor på baggrund af en anden faktor eller, alle faktorerne er udsat for den samme risiko. 4 Magnetstriben på et sundhedskort indeholder blandt andet personnummeret. Det samme gælder stregkoden på forsiden af kortet. Kilde: Danske Regioner. 4

6 Eksempel 8: Adgang kræver aflæsning af chipkort (kategori B) og fingeraftryk (kategori C). Et chipkort vil ofte indeholde begge faktorer, idet brugeren har afsat fingeraftryk på kortet. Et tabt kort kan dermed give adgang til alle faktorer, som er nødvendige til et login. Begge faktorer er dermed udsat for samme risiko, og det øger muligheden for misbrug. Hvis man til at starte med kun brugte fingeraftryk og derefter tilføjer kravet om chipkort, har man faktisk introduceret en risiko (tabt kort), som ikke var der før. I værste fald kan man ligefrem sænke sikkerhedsniveauet ved at tilføje en faktor i stedet for at blive ved én faktor. Der bør i denne situation vælges en anden kombination af faktorer. Der kan fx tilføjes en faktor ved at kræve indtastning af en adgangskode, når chipkortet bruges. En anden mulighed er at øge styrken af en faktor ved at afkræve et helt håndaftryk i stedet for kun et fingeraftryk, da det er usandsynligt, at hele håndaftrykket vil kunne afsættes på et chipkort af kreditkortstørrelse. Eksempel 9: Adgang kræver personlig adgangskode (kategori A) og ansigtsgenkendelse via kamera på pc/mobiltelefon (kategori C). Er pc/mobiltelefon inficeret af malware 5 er der mulighed for, at både adgangskode og et foto af ansigtet kan opsnappes og misbruges af uvedkommende. Når begge faktorer passerer gennem en pc/mobiltelefon kan de begge være udsat for samme risiko. Eksempel 8-9 viser, hvordan valget af faktorer har betydning for, om sikkerhedsniveauet øges som forventet, eller om niveauet ligefrem sænkes, og dermed om man reelt mindsker risikoen for, at uvedkommende kan foretage et login. Derfor kan sikkerhedsniveauet i et login ikke vurderes, uden at disse risici er afdækket først. Svagheder i den enkelte faktor For at kunne vurdere, om en faktor bidrager tilstrækkeligt til sikkerheden, og hvor meget den bidrager, skal man undersøge hver faktor for svagheder. Det er især relevant at finde ud af: Om det altid er muligt at beskytte faktoren mod kompromittering. Om det altid er muligt at opdage kompromittering af faktoren og straks ændre faktoren. Om kompromittering af en faktor kan have en blivende negativ effekt på sikkerheden i login. Her følger nogle eksempler på, hvad en undersøgelse kan resultere i. Eksempel 10: Brugeren skal indtaste en personlig adgangskode. Det er muligt at prøve sig frem med indtastninger af koder, indtil man rammer den rigtige adgangskode (kaldet "udtømmende forsøg"), og faktoren er dermed ikke beskyttet mod kompromittering. Løsningen kan forbedres, fx ved at begrænse antal mulige forgæves forsøg på indtastning af adgangskoden, kombineret med, at adgangskoden sikres en vis kompleksitet, længde, begrænset levetid og begrænset mulighed for genbrug af tidligere adgangskoder. Eksempel 11: Brugeren skal holde en elektronisk RFID-brik 6 hen til en læser (kategori B). Hvis det er muligt at kopiere brikken, blot man er indenfor en meters afstand, begrænses muligheden for at beskytte faktoren og muligheden for at opdage, at den er blevet kompromitteret. Det kan 5 En fælles betegnelse for ondsindede programmer, som fx. virus, trojaner, osv. 6 Radio Freqency Identification - Kan aflæses uden fysisk kontakt med 'læseren'. De kan laves med og uden batteri. Læseafstanden kan variere fra få centimeter til flere hundrede meter, og kan afhænge af 'læseren'. 5

7 betyde, at brugeren ikke kan holde faktoren for sig selv, og i så fald kan den ikke anses for en faktor af kategori B. Løsningen kan muligvis forbedres, hvis brugeren kan beskytte brikken mod kopiering, når brikken ikke er i brug. Eksempel 12: Brugeren skal indtaste en engangskode modtaget på SMS. I SMS-infrastrukturen er der mulighed for, at andre kan læse denne SMS og dermed kompromitteres faktoren. Samtidig kan koden blive eksponeret ved, at den gemmes i telefonens SMS-arkiv 7 eller vises på skærmen, uden at telefonen er låst op 8. Løsningen kan forbedres ved at minimere den tid, hvor engangskoden kan bruges, og kryptere SMS'en End-to-End 9. Eksempel 13: Brugeren skal have aflæst fingeraftryk eller iris. Fingeraftryk efterlades mange steder, og iris kan opsnappes via fotografering eller ved at bruge fotografier fra sociale medier. Da fingeraftryk/iris ikke kan udskiftes, har denne kompromittering en blivende negativ effekt på den sikkerhed, som faktoren bidrager med. Med iris som faktor kan man gøre det sværere at opsnappe faktoren og samtidig øge dens styrke/kompleksitet. Man kan fx øge antallet af sammenligningspunkter i iris. Man kan også mindske 'False acceptance rate', hvilket indebærer, at man mindsker muligheden for, at andres iris fejlagtigt kan blive accepteret som den rette iris. Eksemplerne viser, hvordan risici kan eliminere en faktor eller mindske faktorens forventede effekt på sikkerheden, med deraf følgende større risiko for uvedkommendes adgang. Derfor kan sikkerhedsniveauet i et login ikke vurderes, før man har et klart billede af styrker og svagheder i den enkelte faktor. Helheden i en login-løsning Sikkerheden i et login afhænger af mere end det, som sker under login. Derfor kan sikkerheden i et fler-faktor-login ikke vurderes alene ud fra faktorerne. Det er nødvendigt at afdække, hvilke andre forhold der kan influere på sikkerheden, især: Alternative indgange, som kan eliminere faktorer. Muligheden for at ændre på, hvilke faktorer der kræves ved login. Her følger nogle eksempler på, hvad en undersøgelse kan resultere i. Eksempel 14: Adgang kræver en personlig adgangskode og fingeraftryk. Der etableres en selvbetjeningsløsning, hvor brugere, som har glemt deres adgangskode, kan få udleveret en ny, ved at besvare en række spørgsmål, i stil med "Hvad hedder din hund?" og "Hvad mærke var din første bil?". Spørgsmål som disse kan ikke anses for en faktor i kategori A, idet der ikke er tale om noget, som kun brugeren kan vide. Adgangskoden kan ikke længere anses for en faktor, idet 7 En modtaget SMS kan blive eksponeret på flere måder, men fx kan forskellige applikationer i telefonen have adgang til arkivet over afsendte og modtagne SMS'er. Det kan også ske gennem tyveri af telefonen. 8 Smartphones kan default være sat op til at vise de sidste modtagne SMS'er på skærmen, uden at det er nødvendigt at låse telefonen op. 9 End-to-End kryptering betyder: (i) at indholdsdata krypteres hos afsenderen inden afsendelsen, (ii) at indholdsdata er og forbliver krypteret under hele transmissionen (infrastrukturen), og (iii) at indholdsdata først dekrypteres hos den rette modtager efter modtagelsen. 6

8 man ikke behøver at afgive adgangskoden for at få adgang, man kan i stedet vælge at besvare spørgsmålene. Eksempel 15: Adgang kræver afgivelse af personlig adgangskode og fingeraftryk. Brugeren kan vælge, at login huskes af en pc/mobiltelefon således, at adgangskode og fingeraftryk ikke skal bruges ved næste login 10. Næste login kræver kun fysisk adgang til pc'en/mobiltelefonen. Dermed er der ikke længere tale om et to-faktor-login (kategori A+C). Sikkerheden kommer i stedet til at afhænge af den pc/mobiltelefon, som login huskes på. Eksempel 16: Adgang kræver afgivelse af personlig adgangskode og engangskode modtaget på SMS. Der etableres en selvbetjeningsløsning, hvor brugere, som har glemt deres adgangskode, kan få tilsendt en ny midlertidig kode på . Ligesom i eksempel 14, kan adgangskoden ikke længere anses for en faktor i login, da den ikke er nødvendig for at kunne foretage login. Eksempel 17: Samme login-løsningen som i eksempel 16, men den konto, som den nye midlertidige kode bliver sendt til, kræver sit eget login. kontoen tilgås via samme mobiltelefon, hvor også SMS'en med engangskoden modtages. Umiddelbart kan det virke som om der stadig kræves to faktorer, nemlig adgangskoden til e- mailkontoen og engangskode modtaget på SMS. Men en vurdering af svagheder kan fx vise følgende: Idet kontoen tilgås via samme mobiltelefon, hvor også SMS'en med engangskoden modtages, er begge faktorer udsat for mange af de samme risici (se eksempel 9). Hvis der bruges ukrypteret over et åbent net (internettet), er der andre end brugeren, som har haft mulighed for adgang til den midlertidige kode. Eksemplerne viser, hvordan valgmuligheder i login-processen kan bevirke, at faktorer elimineres eller udskiftes til noget mindre sikkert. En hver ændring skal derfor opfølges af ny vurdering af svagheder i kombinationen af faktorer, svagheder ved den enkelte faktor og svagheder i løsningen som helhed. Andre risici Hvis et login skal have det forventede sikkerhedsniveau, betyder det, at der ikke må være andre mindre sikre metoder til at opnå adgang (legitime såvel som illegitime). Derfor er det relevant at se på sikkerheden i de omgivende processer og den software, der håndterer faktorerne, fx: Korrekt sessionsstyring. Sikring af applikationer/web-applikationer mod hacking. Tilstrækkeligt sikret/krypteret transmission af data. Tilstrækkeligt sikret/krypteret transmission af faktorerne, mens de afgives under login eller distribueres til brugeren. Korrekt og rettidig oprettelse/spærring/nedlæggelse af brugeradgange. Samme sikkerhed i genåbning af brugeradgang som ved oprettelse af brugeradgang. Sikker udstedelse/inddragelse af hardware. Sikkerhedsmæssig opdatering af software på alt det udstyr, der enten håndterer login eller håndterer de data, der skal beskyttes af login. Hvis relevant - sikkerheden i det udstyr, hvorfra login foretages. Hvis relevant - retningslinjer som brugerne skal følge. 10 Et login, der huskes på en enhed kaldes fx "husk mit login" eller "keep me logged in". I nogle løsninger er det standard og skal fravælges i stedet for tilvælges. I andre tilfælde kræver det, at brugeren aktivt logger ud, hvis han/hun vil undgå, at login huskes. 7

9 Det er også relevant at vurdere, om et login bliver så komplekst, at brugerne ser sig nødsaget til (måske i frustration) at behandle faktorerne på en usikker måde. Det kan fx resultere i, at brugeren nedskriver alle koderne og lægger dem under tastaturet eller lagrer dem i mobiltelefonen. Endelig kan fler-faktor-login aldrig opveje manglende opfyldelse af de føromtalte grundlæggende forudsætninger, hvor en faktor knyttes til den korrekte fysiske person (punkterne I, II og III). Det vil sige, at en dårlig implementering af denne sammenknytning kan ødelægge sikkerheden ved hele løsningen, og dette kan ikke afhjælpes ved at anvende flerfaktor-login, uanset hvilke eller hvor mange faktorer der tages i anvendelse. Tilbagevendende vurdering De teknologier, der kan benyttes til at lave et login, ændrer sig ofte, og det samme gælder trusselsbilledet. Brug af teknologier som mobiltelefonen til en del af et login betyder, at udviklingen indenfor telefonernes hardware og software kan påvirke sikkerheden i én eller flere faktorer. Alternative adgange til de samme data kan blive lavet, uden at det eksisterende login ændres, men den alternative adgang kan erstatte eller eliminere meget af sikkerheden, der oprindeligt blev etableret i login. Derfor er det en løbende proces at "efterse" samtlige adgange til data, og vurdere, om loginløsningen stadig giver den forventede sikkerhed. dt@datatilsynet.dk (+45)