כניסה בטוחה
אחת המגמות המאפיינות כיום את העולם שלנו היא ריבוי יישומי רשת, שמזמינים אין סוף כניסות לשרתים הארגוניים, על סמך אימות סיסמה וזיהוי. שרתי דואר, שרתי דיווח שעות, שרתי מייל, מסדי נתונים, הם רק חלק מהמערך. כל אחת מהכניסות הללו דורשת אימות באמצעות סיסמה, חתימה אלקטרונית, או זיהוי ביומטרי. הצורך במציאת פתרון, אשר יקל על תפקוד המשתמשים, ובמקביל - לא יפגע ברמת האבטחה, הוליד את המושג SSO או Single Sign On. לרבים מהקוראים המושג לא נשמע חדש, ובצדק. זו תפיסה המוטמעת מזה שנים רבות בשכבות המיחשוב השונות. עם זאת, עדיין קיים הצורך במנגנון, שיחליף את הצורך בכל כך הרבה סיסמאות ואמצעי הזדהות.
הבעיה קיימת, בין היתר, בשרתי הממשלה. אלו נגישים למספר רב מאוד של עובדים ומשתמשים. עם התרחבות ממשל זמין, הבעיה הזו הפכה להיות אקוטית עוד יותר. זו הסיבה לכך שאגף החשב הכללי במשרד האוצר פרסם לא מכבר מכרז טכנולוגי מעניין - לפתרון SSO למשרדי הממשלה. על פי הגדרת מנסחי המכרז, SSO הוא פתרון אבטחתי המאפשר למשתמש לבצע תהליך אימות אחד, שבאמצעותו ניתן לקבל אישור גישה למספר יישומים או תוכנות. תנאי המכרז דורשים כי הממשק המאובטח לגישה מרחוק לרשתות משרדי הממשלה, יכלול את כל אמצעי אבטחת המידע המתקדמים הקיימים היום בשוק, ובכללם שימוש בכרטיס חכם, הנושא תעודה דיגיטלית ואמצעי אבטחה מתקדמים נוספים - לשמירת המידע הממשלתי.
"הכוונה היא לספק למשתמשים חוויית נוחות, בטיחות, אפשרות לאיחסון מאובטח, צמצום בלבול וטעויות בעת ניסיונות ההזדהות", אומר איציק כהן, סגן בכיר לחשב הכללי. בנוסף, מאפשרת השיטה מדיניות אבטחה ריכוזית, פיקוח ואיתור חריגות וצמצום עלויות. המעניין במכרז הזה, הוא שלא מדובר בפתרון ספציפי אחד, אלא לתפיסה. למעשה, מדובר במשפחה של פתרונות המממשים את הרעיון.
בשוק יש כמה שחקניות בולטות שעוסקות בכך: CA, מיקרוסופט ויבמ, ולצידן - שורה ארוכה של שחקניות נישה שונות. הרעיון הוא שהמשתמש מזדהה רק פעם אחת, והיישום עושה עבורו את העבודה. היישום יודע ללמוד את המשתמש ובפעם הבאה שייכנס - הוא כבר יזהה אותו בוודאות. אבל זו רק שיטה אחת. למכרז עצמו, שאמור להסתיים בחודש הבא, מצורפים דפי הסבר מקצועיים, שנכתבו על ידי צוות ממשל זמין, והמסבירים את השיטות השונות הקיימות בתחום ה-SSO .
אחת מהן, היא שיטת ה-Kerberos: זהו פרוטוקול הקרוי על שם כלב השמירה המיתולוגי, בעל שלושת הראשים, ואשר מהווה מנגנון אימות נפוץ שמספק גם תכונות SSO. בשיטה זו, מוגדר שרת מרכזי, המנפיק כרטיסי כניסה לכל היישומים. המשתמש נרשם לשרת באמצעות הסיסמה האישית, ובתמורה - מקבל כרטיסי כניסה לכל היישומים. שיטות נוספות הן: המשתמש מאמת את עצמו באחד היישומים, תוך שימוש בסיסמה, והיישומים השונים מדברים האחד עם השני, ופוטרים את המשתמש מהצורך בזיהוי חוזר.
שיטה נוספת, ייעודית לשרתי Web. המשתמש מגיע אל השרת באמצעות הדפדפן ועושה שימוש במנגנון ה-Cookies. בכל כניסה נשמרת "עוגיה" על המחשב המקומי, או על השרת, ובכל כניסה חוזרת - האימות נעשה בעזרת העוגיות.
שאלה שטבעי לשאול היא האם המאמץ להקל על חיינו - לא יעלה לנו באבטחה פחותה, מאחר ומדובר בצורך בהזדהות חד-פעמית. אם פורץ מתוחכם הצליח בהזדהות שקרית פעם אחת - המצב לא טוב, במילים עדינות. אין תשובה אחידה לשאלה ולאתגר הטמון בצידה. זה יכול לקרות, זהו סיכון, אבל מצד שני - הכניסה האחודה מבצרת טוב יותר את הארגון, מגנה בבת אחת על עשרות יישומים. חוץ מזה, שכבר חלפו הימים שבהם מצפים מתעשיית האבטחה העולמית למצוא פתרון של 'זבנג וגמרנו', לכל בעיות האבטחה בעולם.
