5 Autentifikácia
5.2 Ľudský faktor v procese autentifikácie

Viaceré autentifikačné scenáre využívajú metódy šifrovania verejného kľúča (public key cryptography). Napríklad, používateľ vlastní tzv. smart kartu, ktorá je nositeľom verejného kľúča a zodpovedajúceho súkromného kľúča (private key). Na autentifikáciu požívateľa posiela systém náhodnú výzvu (challenge). Používateľ podpíše výzvu svojím súkromným kľúčom a posiela výsledok systému, ktorý overí podpis verejným kľúčom. Týmto spôsobom dokáže systém verifikovať, či je používateľ držiteľom správneho súkromného kľúča a to bez potreby prijať tento kľúč. Namiesto potreby ukladania verejného kľúča do súboru na vzdialenom systéme dokáže smart karta predložiť podpísanú výzvu a certifikát verejného kľúča, ktorý bol podpísaný treťou stranou. V tomto prípade ide o tzv. PKI (Public Key Infrastructure), normu vychádzajúcu z ITU-T špecifikácií.

Jednou z možných ciest pri autentifikačných systémoch založených na PKI je, že používateľ musí pri použití smart karty najprv autentifikovať samého seba do lokálneho systému (typicky program na počítači alebo mobilnom zariadení) zvyčajne s použitím hesla a až následne sa smart karta použije na autentifikáciu do vzdialeného systému, prostredníctvom PKI. Vzdialený systém sa spolieha na to, že smart karta je spoľahlivá. Verí vyhláseniu smart karty, že subjekt bol náležite autentifikovaný. Ide o príklad tranzitívnej dôvery.

Fig. 4.4 znázorňuje entity zahrnuté v autentifikačnom procese. V každom kroku tohto procesu dokáže potenciálny útočník získať prístup ku autentifikačnému kľúču.

image
Fig. 4.4 – Entity zahrnuté v autentifikačnom procese

Oblasťou zraniteľnosti je však vstupný mechanizmus a používateľ. V prípade autentifikácie založenej na znalosti (hesla, PIN-u a pod.) si musí používateľa pamätať tajomstvo, čo niektorým ľuďom jednoducho nevyhovuje alebo je to pre nich zložité. Toto tajomstvo ľudia obyčajne vyslovia niekedy nechtiac alebo si ho zapíšu, prípadne ho napr. blízky rodinný príslušník zistí, ak nie je dostatočne silné. Používatelia ale mnohokrát svoje heslo vedome zdieľajú s niekým, koho dobre poznajú, nakoľko si neuvedomujú konzekvencie z toho plynúce. Ďalšou z možností je zachytenie hesla na vstupe, spôsobom man-in-the-middle, ak nejde o zabezpečenú prenosovú cestu. Man in the middle (skratka MITM, z angličtiny „človek uprostred“ alebo „človek medzi“) patrí medzi najznámejšie problémy v informatike a kryptografii. Jeho podstatou je snaha útočníka odpočúvať komunikáciu medzi účastníkmi tak, že sa stane aktívnym prostredníkom. V dnešnej dobe nie je podstatné, aby bol fyzicky prítomný v strede medzi dvoma komunikujúcimi bodmi, pretože sa sieťový prenos dá ľahko presmerovať.

Bezpečnosť všeobecne preto nie je možné riešiť výhradne len technickým spôsobom, nakoľko používatelia tvoria jeho integrálnu časť [10].