V současné informační společnosti se do značné míry mění způsob podnikání. Konkurenční prostředí nutí podniky ke zpřístupnění svých interních zdrojů prostřednictvím elektronických zařízení. Elektronické podnikání umožňuje mnohem efektivnější práci ve vztahu se zaměstnanci, dodavateli, odběrateli a dalšími partnery.

Organizace potřebují přesně znát, kdo získává přístup ke specifickým zdrojům. Potřebují přesně identifikovat subjekt, který se "na druhé straně drátu" představil, jako oprávněný elektronický partner. Jednoznačné prokázání identity se nazývá autentizace.

Spolehlivá autentizace tvoří pevné základy pro podnikovou ochranu informací. Bez ní se hroutí veškerý systém oprávnění odpovědných funkcionářů. Pokud kdokoli může snadno předstírat totožnost vysokého manažera, dostává do rukou nástroje pro přístup k citlivým informacím, může měnit jejich podstatu a před podnikovou kontrolou vytvářet dojem, že se nic neděje a vše je v pořádku.

Obr. 1:Model elektronické bezpečnosti

Běžně používaná fixní hesla neposkytují uživateli dostatečný stupeň spolehlivosti a bezpečnosti. Jednak se sítí pohybují nešifrovaná a lze je poměrně snadno odchytit, a získat tak přístup k citlivým datům, jednak uživatelé často volí za svá hesla snadno zjistitelná slova.

Dvoufaktorová autentizace
Tato bezpečnostní rizika eliminují řešení, která pro ochranu přístupu uživatelů používají jednorázových přístupových kódů s využitím dvoufaktorové autentizace.

Dvoufaktorová autentizace je založena na dvou zcela nezávislých faktorech - např. na něčem, co uživatel zná - tajné PIN (osobní identifikační číslo) a něčem, co fyzicky má - osobní autentizační předmět.

Použití dvou forem identifikace zajistí, že v případě zneužití jedné z forem zůstanou firemní aktiva stále v bezpečí, protože hacker ještě potřebuje druhou formu, aby mohl proniknout skrz bezpečnostní bariéry.

Dvoufaktorová autentizace musí využívat opravdu nezávislé bezpečnostní faktory. Zneužití pouze jednoho z faktorů nesmí způsobit bezpečnostní kolaps. Tato metoda je běžně používána bankami pro autentizaci uživatele bankomatu a je přirozeným způsobem bezpečná. Dvoufaktorová autentizace pro elektronickou bezpečnost využívá stejný princip.

Praktické řešení silné autentizace
Řešení se obvykle skládá ze tří komponent. Dvě komponenty tvoří softwarová aplikace architektury klient/server, třetí komponenta je hardwarová.

1. Server poskytuje dvoufaktorovou autentizaci, centrální databázi a administrační software. Přístup k chráněným podnikovým zdrojům je tak poskytnut pouze oprávněným uživatelům. Server může být umístěn kdekoli v podnikové síti a odtud provádět autentizaci všech uživatelů.

2. Klientské prostředí, které je instalováno všude, kde je vyžadován přístup k chráněným zdrojům.

3. Autentizační předměty jsou zařízení pro koncového uživatele, která generují jednorázové kódy, které při použití společně s PIN uživatele poskytují jednocestnou a transparentní autentizaci.

Princip autentizace
Autentizační předměty (osobní karty) tvoří jeden z faktorů při dvoufaktorové autentizaci. Využívají technologii pro časovou synchronizaci, která odvozuje jednorázový kód z aktuálního reálného času.

Uživatel kombinuje tajné PIN - osobní identifikační číslo (něco, co zná) s kódem generovaným každou minutu jeho osobní kartou (něco, co má). Výsledkem je jednoznačný a jednorázový řetězec znaků, který je použit k identifikaci uživatele. Když je tento řetězec akceptován bezpečnostním serverem, povolí systém uživateli přístup k chráněným zdrojům. Pokud ne, není přístup uživateli povolen.

Autentizační předmět generuje řetězec znaků na základě dvou vstupních parametrů:

1. unikátního (jednoznačného) náhodně vygenerovaného řetězce znaků, který je zašifrován (většinou algoritmem RSA) a uložen v kartě,

2. přesného času a algoritmu pro generování.

Řada všech řetězců za celou dobu životnosti autentizačního předmětu je jednoznačná - specifická pro jednu jedinou kartu na světě.

Karta bývá vyrobena tak, že při pokusu o její otevření dojde k jejímu zničení. I pro případ odcizení skýtají karty spolehlivou ochranu. Samozřejmostí je, že i když je bez uživatelova PINu karta nepoužitelná, je ji v případě ztráty možné ihned zablokovat.

Autentizace uživatele je verifikována bezpečnostním serverem, který udržuje databázi všech karet a uživatelů, kterým jsou přiděleny. Veškeré tyto údaje jsou uloženy a zašifrovány (většinou algoritmem RSA). Administrátor může přidělovat a blokovat karty, nastavovat uživatelské profily, ale nemá přístup k datům jednotlivých uživatelů a jejich PIN. Bezpečnostní server je synchronizován s autentizačními kartami. Je kalkulováno i s možností časových diferencí mezi kartou a serverem např. v případě vystavení karty extrémním teplotním výkyvům.

Autentizační předměty
Výrobci poskytují široké spektrum možností autentizace: hardwarová zařízení (osobní karty velikosti kreditních karet), softwarové aplikace, osobní kapesní počítače (PDA) a chipové karty. Většina těchto zařízení je již každodenní součástí povinného arzenálu moderního člověka (notebook, kapesní počítač PDA, mobilní telefon, osobní identifikační karta atd.).

Používání autentizačních předmětů je intuitivní a vyžaduje pouze minimální instruktáž a méně požadavků o pomoc, než je běžné u tradičního přístupu přes heslo.

Hardwarové karty
Součástí hardwarové karty bývá interní zdroj pro celou dobu životnosti. Není tedy nutná výměna baterie ani jiná údržba. Některé mají tvar a velikost standardního přívěšku ke klíčům.
Pokud je požadován vyšší stupeň zabezpečení, kdy je chráněn i samotný PIN, bývají k dispozici modely karet s klávesnicí. Uživatelský PIN je potom zadáván do karty z její vlastní klávesnice a karta vygeneruje již hotový řetězec, který je teprve zadáván z klávesnice počítače nebo z libovolného jiného vstupního zařízení. Takto je spolehlivě ochráněn i uživatelský PIN proti případu vysoce kvalifikovaného narušení pomocí analyzátoru paketů, následného určení uživatele a odcizení karty uživateli.

Autentizace v prostředí Palm
Speciální autentizační software pro Palm Computing Platform lze nainstalovat do prostředí kapesního počítače 3Com Palm III. Pracuje shodně jako standardní autentizační karta. Uživatel, který již používá kapesní počítač, nepotřebuje oddělený autentizační předmět.

Chipová karta (Smart Card)
Chipové karty pracují společně s bezpečnostním serverem. K zesílené autentizaci se využívá jednoznačný záznam, který je bezpečně uložen v paměti karty. Toto řešení vyžaduje použití čtečky chipových karet.

Chipová karta může být v podniku použita víceúčelově též k fyzické ochraně přístupu do budov a místností, do jídelny, k lékaři apod. K dispozici bývá volná EEPROM paměť k uložení dalších aplikací.
Speciální chipové karty fungují jako kryptografická zařízení, která se využívají nejen jako osobní autentizační předměty, ale zároveň slouží k uložení elektronických údajů jednotlivce při řešení infrastruktury veřejných klíčů (PKI).

Typické přednosti kvalitních řešení silné autentizace
. Spolehlivá a bezpečná autentizace na základě jednorázových přístupových kódů. Přitom komunikace uživatele s informačními zdroji je jednocestná a nezatěžuje ho nadbytečnými úkony.

. Dvoufaktorová autentizace - uživatelský PIN a řetězec znaků z displeje autentizačního předmětu - umožňuje uživatelům používat snadno zapamatovatelný PIN, znemožňuje uhádnutí nebo odchycení přístupového hesla, znemožňuje zneužití odcizené karty.

. Umožňuje administrátorům specifikovat přístupová práva uživatelů nebo skupin uživatelů podle řady kritérií včetně kalendářního data a přesného času.

. Centralizované serverové řešení bez instalace software na pracovní stanice a nezávislé na hardwarové a softwarové platformě.