W dobie powszechności pracy zdalnej, z szerokim wykorzystaniem dostępu przez Internet niezmiernej wagi nabiera zapewnienie bezpieczeństwa. Jednym z kluczowych zagadnień bezpieczeństwa jest bezpieczeństwa kont. Pisaliśmy o tym zagadnieniu szerzej w poprzednim odcinku
Dla przypomnienia – Verizon szacuje, że ok. 80% wszelkich zdarzeń związanych z włamaniami związanych jest ze skradzionymi lub zbyt słabymi hasłami.
Pamiętanie długich i złożonych haseł, na dodatek często zmienianych to zmora użytkowników. W jaki sposób możemy im w tym pomóc? W kolejnym odcinku przedstawiamy rozwiązanie, tym razem ukierunkowane na wygodę użytkownika
Szybkie hasło na żądanie
Kolejne rozwiązanie mające na celu zabezpieczenie dostępu do kont naszej Jira’y będzie wykorzystywać następujący zestaw:
- Dodatek WebAuthn for Jira firmy Alpha Serve realizujący uwierzytelnienie zgodnie ze standardem WebAuthn.
- Klucz bezpieczeństwa Yubikey firmy Yubico.
Standard WebAuthn umożliwia uwierzytelnienie z wykorzystaniem klucza publicznego, ten sposób uwierzytelnienia wprowadzony w 2019 roku jest obecnie wspierany przez przeglądarki Chrome, Firefox, Edge czy Safari. Mechanizm działa w następujący sposób – klucz prywatny jest przechowywany na bezpiecznym urządzeniu zgodnym ze standardem FIDO2, zaś klucz publiczny wraz z losowo generowanym identyfikatorem jest przesyłany do przeglądarki. Serwer może zatem uwierzytelnić użytkownika z wykorzystaniem klucza publicznego.
Specyfikacja WebAuthn została opracowana przez konsorcjum W3C. W opracowaniu uczestniczyły takie firmy jak Google, Mozilla, Microsoft. Będzie zatem to rozwiązanie, które będzie coraz bardziej popularne. Zalecane jest jako skuteczne zabezpieczenie dostępu do kont w aplikacjach jak Facebook, Google, a także Office, OneDrive. Spektrum zastosowań niewątpliwie będzie rosło.
Rozpoczynamy od konfiguracji dodatku po stronie serwera. Konfiguracja dodatku WebAuthn for Jira umożliwia:
- Definiowania, czy uwierzytelnienie z wykorzystaniem standardu WebAuthn jest wymagane dla określonych osób czy określonych grup użytkowników.
- Konieczności podawania dodatkowo kodu PIN podczas logowania.
- Rejestrowania operacji logowania w logu.
- Ustawianie czasu przechowywania logów.
- Określenie zasad weryfikacji użytkownika (attestation type), zgodnie z wymaganiami standardu WebAuthn.
- Określenie typów systemów uwierzytelniających (Authenticator Type).
W kolejnym kroku rejestrujemy posiadany klucz. Dodatek WebAuthn for Jira umożliwia przypisanie wielu kluczy standardu FIDO2, mamy zatem możliwość utworzenia kluczy zapasowych na wypadek zgubienia klucza podstawowego.
Dodatek jest dostępny dla innych aplikacji Atlassian:
- Webauthn for Confluence
- Webauthn for Crowd
- Webauthn for Bitbucket
- Webauthn for Bamboo.
Tym razem wykorzystamy jako klucz sprzętowy Yubikey 5. Klucz sprzętowy oferuje pełne wsparcie dla wielu standardów bezpieczeństwa – może przechowywać klucze openPGP lub X.509, hasła statyczne, może zapewniać uwierzytelnienie oparte o mechanizm challenge-response, oraz tworzenie haseł dostępu dla standardów OATH-HOTP.
Przedstawiony model to wersja bardzo rozbudowana, do szerszego wykorzystania wystarczy wykorzystać znacznie tańszą wersję Yubikey Security Series.
Użytkowanie tego rozwiązania jest bardzo proste. Otwieramy okno logowania aplikacji i wprowadzamy nasz login. Wkładamy klucz do gniazda USB (dostępne są warianty złącza USB-A i USB-C).
Po połączeniu z aplikacją przycisk na kluczu zaczyna migotać ikona.
Pojawia się okienko, w którym należy wprowadzić kod PIN (min. 4 znaki) a następnie należy nacisnąć na migający przycisk i logowanie zostanie wykonane.
Potencjalnie istnieje możliwość takiego skonfigurowania dodatku, aby podczas logowania nie był wymagany PIN. Jest to jednak podejście niebezpieczne, gdyż oznaczałoby, że osoba posiadająca klucz (nawet jeśli przejęło go bezprawnie) może zalogować się.
Uniwersalne rozwiązanie
Zaproponowane rozwiązanie jest uniwersalne, może być wykorzystywane na potrzeby zapewnienia bezpieczeństwa innych aplikacji.
Jak pisaliśmy wcześniej uwierzytelnienie z wykorzystaniem WebAuthn może być stosowane także w wielu innych aplikacjach.
Klucz Yubikey, oprócz przedstawionych powyżej możliwości:
- Udostępnia możliwość przechowywania 2 kluczy statycznych.
- Generowania kluczy dynamicznych.
- Umożliwia przechowywanie certyfikatu zgodnego ze standardem OpenPGP oraz X.509.
- Wyposażony jest w interfejs NFC, co umożliwia wykorzystanie go także na wielu urządzeniach mobilnych.
Mamy zatem możliwość wykorzystania posiadanych narzędzi do zapewnienia bezpieczeństwa innych rozwiązań.
Podsumowanie
Ochrona dostępu do kont aplikacji jest jednym z najważniejszych wyzwań w obszarze bezpieczeństwa. Stosowane zabezpieczenia organizacyjne takie jak okresowa zmiana haseł są najmniej skuteczne. Na pomoc przychodzą tutaj nowoczesne rozwiązania. W artykule przedstawiono wybrane rozwiązania. Oparte są one o dwa komponenty – oprogramowania i klucz sprzętowy.
Zastosowanie dwuczynnikowego uwierzytelnienia w istotny sposób podnosi bezpieczeństwo uwierzytelnienia, zapewniając jednocześnie odpowiedni komfort dla użytkowników.
Nie czytałeś pierwszej części naszego artykułu o bezpiecznym i łatwym logowaniu?
Dowiedz się w jaki sposób zabezpieczyć konto w Jirze i poznaj techniki, które obniżą ryzyko związane z wykorzystaniem hasła!
