Print

Bezpieczeństwo systemu AMODIT – zasady minimalnych uprawnień

W tym artykule przedstawiamy odpowiedzi na pytania lub zagadnienia dotyczące bezpieczeństwa systemu AMODIT w kontekście tzw. zasad minimalnych uprawnień (ang. least priviledge).

Pytanie lub zagadnienie dotyczące bezpieczeństwa Jak to jest zrealizowane w systemie AMODIT
Administrator rozwiązania powinien mieć możliwość zarządzania wszystkimi kontami dostępnymi w ramach rozwiązania (w tym kontami technicznymi i serwisowymi) bez wsparcia dostawcy. Taka funkcjonalność jest wspierana przez system.
Każda usługa i każdy użytkownik powinien mieć domyślnie tylko minimalne uprawnienia, które są wymagane do czynności wynikających z pełnionej roli i funkcji opisanej przez wymagania biznesowe. Taka funkcjonalność jest wspierana przez system.
Każdy użytkownik powinien posiadać własne konto użytkownika. Taka funkcjonalność jest wspierana przez system.
Rozwiązanie musi umożliwiać zmianę hasła dla każdego użytkownika – zmiana przez użytkownika we wszystkich scenariuszach. Taka funkcjonalność jest wspierana przez system.
Rozwiązanie musi umożliwiać zmianę hasła dla każdego użytkownika – zmiana interwencyjna przez administratora we wszystkich scenariuszach. Taka funkcjonalność jest wspierana przez system.
W przypadku stosowania w rozwiązaniu haseł i własnych mechanizmów uwierzytelniania, administrator powinien mieć możliwość definiowania wymagań złożoności haseł. System AMODIT może korzystać z zewnętrznego mechanizmu logowania jak np. Active Directory czy OAuth.
Zakres wymagań i złożoności wobec haseł, które powinien móc definiować administrator to:

  • minimalna długość hasła;
  • maksymalna długość hasła (system musi wspierać hasła o długości 128 znaków);
  • minimalna liczba określonych znaków lub grup znaków, np. małe i duże litery, cyfry, znaki specjalne (bez znaków niejednoznacznych i pustych);
  • minimalny i maksymalny okres użytkowania hasła;
  • zapobieganie ponownemu wykorzystaniu poprzednich haseł;
  • zapobieganie stosowaniu haseł zbieżnych z podanymi danymi (nr telefonu, adres email, imię i nazwisko, data urodzenia);
  • maksymalna liczba zmian hasła w danym okresie danego czasu (np. dziennie).
Obecnie w systemie AMODIT zakres wymagań i złożoności wobec haseł przedstawia się następująco:

  • hasło powinno zawierać: przynajmniej 8 znaków, małą literę, dużą literę, znak specjalny;
  • hasło może mieć ustawiony okres ważności (ustawienie konfiguracyjne), po którym wymuszana jest jego zmiana;
  • sprawdzana jest zbieżność hasła z 10 poprzednimi wersjami.

Jako producent systemu możemy dodatkowo zaimplementować:

  • sprawdzanie zbieżności z pewnymi danymi;
  • ograniczenie liczby zmian hasła w okresie czasu.
Jak zabezpieczone są hasła w systemie? AMODIT stosuje poniższe mechanizmy w celu ochrony haseł:

  1. Szyfrowane połączenie (SSL/TLS): System korzysta z protokołu SSL/TLS, który zapewnia szyfrowanie danych w trakcie transmisji. Dzięki temu, nawet jeśli informacje są przechwycone przez potencjalnego atakującego, będą one nieczytelne.
  2. Bezpieczne protokoły uwierzytelniania: System stosuje bezpieczne protokoły uwierzytelniania, takie jak SAML, OAuth lub OpenID Connect, które zapewniają uwierzytelnianie bez przesyłania hasła wprost. Zamiast tego, protokoły te wykorzystują tokeny dostępu, które są wymieniane między stroną klienta a dostawcą usługi, zachowując bezpieczeństwo hasła.
  3. Hashowanie hasła: Zamiast przechowywać hasła użytkowników w postaci jawnej, system stosuje funkcję skrótu (hash) do zabezpieczania haseł. Funkcja skrótu przekształca hasło w unikalny ciąg znaków, który jest niemożliwy do odwrócenia. Podczas uwierzytelniania, system porównuje skrót wprowadzanego hasła z zapisanym skrótem w bazie danych, bez przechowywania samego hasła.
  4. Silne uwierzytelnianie: System wspiera metody MFA (Multi-Factor Authentication) w przypadku kont własnych, jak również pochodzących od dostawców takich jak Google, Microsoft.

 

 

 

Czy artykuł był pomocny?
0 na 5 gwiazdek
5 Stars 0%
4 Stars 0%
3 Stars 0%
2 Stars 0%
1 Stars 0%
5
How can we improve this article?
How Can We Improve This Article?