Ochrana a řízení uživatelských identit

Elektronická identita je atribut nebo soubor atributů, které jednoznačně určují "Subjekt" v rámci "Informačního systému" (IS). Každý IS v kybernetickém prostoru důvěřuje vlastní evidenci / úložišti identit, kterým často bývají centrální adresářové služby jako např. Microsoft Active Directory.

Identity management (IDM) je systém pro řízení celého životního cyklu identit. Jednou z hlavních výhod je centralizovaná administrace umožňující správu identit na více propojených IS, což přináší zvýšení bezpečnosti i produktivity. Pro využítí služeb těchto IS, musíme prokázat svoji elektronickou identitu. Tomuto procesu se říká autentizace a využívá se při ní různých identifikačních prostředů (ID). Základním ID prostředkem je heslo. Vyšší úrovně důvěry dosáhneme např. pomocí certifikátů, implementací Certifikační autority a PKI. Nejvyšší úrovně důvěry docílíme použitím více ID prostředků (faktorů) současně, pak mluvíme o Multi-faktorové authentizaci (MFA).

Identity management (IDM)

V dnešní době má uživatel v organizaci obvykle přístup k více informačním systémům a tím pádem i více přístupových účtů. Důsledkem nedostatečného a netransparentního řízení účtů však hrozí reálné bezpečnostní riziko zneužití neopodstatněného oprávnění s vážnými následky.

Aby organizace měla jasný přehled o tom, kdo a kdy má jaký přístup, je potřeba uživatelské účty (identity) spravovat z jednoho místa a pro řízení identit využít vhodné a užitečné nástroje.

AC Identita neboli Identity Management Systém od společnosti AUTOCONT je řešení, díky kterému budete mít jednotlivá přístupová oprávnění do podnikových informačních systémů a aplikací bezpečně a přehledně pod kontrolou.

Více detailů na o námi preferovaném řešení najdete na ACIdentita.cz

Centrální adresářové služby (AD, LDAP)

Active Directory je klíčový základ IT každé organizace současnosti. Adresářová služba společnosti Microsoft se stala klíčovým prvkem IT většiny firem a organizací.

Ty ji využívají především:

Certifikační autorita a PKI

Microsoft Active Directory nabízí úzkou integraci s interní certifikační autoritou AD CS (Active Directory Certificate Services). Certifikáty je třeba nejen vydávat, ale doručovat je i koncovým stanicím a uživatelům. Certifikáty lze použít při ověřování identity osoby či objektu nebo zajištění toho, že informace budou dostupné jen určeným osobám. Jsou použitelné též při šifrování, při kterém jsou informace skryty způsobem nerozluštitelným pro neoprávněné osoby či při digitálním podpisování zajišťujícím neodvolatelnost a integritu zprávy.

Multi-faktorová autentizace, SSO

Hesla jako základní prvek autentizace nejsou bezpečná. Jsou často jednoduchá (slovníkový útok), odhadnutelná, odcizitelná (škodlivý kód, zranitelnost, lísteček na monitoru) a bývají využívána pro více služeb (stejné heslo doma, v práci do banky atd.)

Řešením může být multi-faktorová authentizace

  • něco znám (jméno, heslo, pin)
  • něco vlastním (mobil, karta, token...)
  • někdo jsem (otisk, obličej, oči, hlas...)

Zvýšení důvěry při authentizaci adekvátně snižuje uživatelský komfort přihlašování. Pro zkrácení času při práci s certifikáty a ověřovacími předměty je vhodné zavést také principy jednotného přihlašování–Single Sign-On (SSO).

Výhody tzv. enterprise SSO

  • univerzální SSO do všech typů aplikací (nejen webových)
  • bezpečné uložení údajů na výpočetních zdrojích organizace
  • šifrování zadaných loginů a hesel
  • auditování a logování přístupů
  • provázání s Active Directory