Friday, October 21, 2011

Adgangskort og PIN koder

[PINs på Post-it. Er det noe problem?]
Denne bloggposten skrives etter veldig mange års frustrasjon med fysisk adgangskontroll. Bildet over bør være god nok forklaring på min frustrasjon, det er Post-it lapper jeg har fått utlevert sammen med ulike typer adgangskort, både magnetstripe og RFID baserte kort. Med et ønske om å bidra med "enkle sikkerhetstips i hverdagen", så har jeg noen spørsmål og tips rundt slike løsninger for adgangskontroll.

Jeg tror på forenkling av sikkerhet. Forstå meg rett; jeg vil forenkle sikkerheten, slik at det blir enklere for oss alle å overholde faktiske sikkerhetskrav. På den måten tror jeg at sikkerheten vil forbedres.


Jeg har hatt denne bloggposten i hodet i mange år, og dagens lille "æddabædda" nyhet om sikkert.no, som rapportert i Teknisk Ukeblad, fikk meg til å skrive litt. Denne nyheten om sikkert.no i seg selv fortjener gjentakelsen av noen enkle anbefalinger:

1. Still skriftlige sikkerhetskrav til leverandøren din, inkludert din rett til å foreta kontroller.
2. Kontroller at krav er oppfylt FØR løsninger settes i produksjon.
3. Kontroller selv, eller via tredjepart, at leverandøren overholder kravene jevnlig.


Uansett, tilbake til adgangskontrollen. Det jeg har opplevd utallige ganger, er blant annet følgende:

1. Adgangskort utleveres sammen med 4-sifret PIN kode på en lapp
Det gjelder både ved utlevering av vanlige adgangskort, samt besøkskort av ymse slag. I enda verre tilfeller, så er PIN kodet faktisk trykket på kortet, eller klistret på, slik dette bildet viser:


[Adgangskort fra et hotell i Norge. Her har du ALT du trenger...]
2. Jeg blir sjelden - nesten aldri - spurt om å velge PIN selv
Det kan jo forsåvidt være fornuftig, tenk på koden du får tilsendt i posten (...), til VISA kortet og de øvrige kredittkortene du har. Hadde nå bare disse resepsjonistene og vekterne delt ut tilfeldige PIN koder i lukket konvolutt eller noe slikt, men du får nok 1234, 0000 eller 2011 tildelt som din PIN kode.


3. Får jeg velge selv, så må jeg skrive ønsket kode på en lapp og gi den til adgangskontrollen
At sikkerhetspolicy i stort sett alt av selskaper og organisasjoner sier at du aldri skal oppgi ditt passord eller PIN kode til andre virker å være totalt neglisjert i enhver resepsjon og vekterfirma.

Kunne de ikke bare hatt en ekstern keypad på resepsjonsdisken?


4. På spørsmål om hvor mange forsøk jeg har før kortet sperres, så er svaret "Æhhh...."
Sannheten er at jeg aldri har opplevd noe sted som har en max begrensning på antall forsøk. Selv jeg, som feilet i matte valgfag i tredje på videregående, vet at det er 10,000 kombinasjoner å prøve. Med 5 sekunder pr PIN, mat & pissepause, så har du testet dem før det er gått 15 timer. Fin helgeaktivitet med andre ord.

På passordsiden opererer man normalt med max antall forsøk før konto blir sperret i N sekunder/minutter/timer, om ikke permanent til kontoen blir åpnet igjen manuelt. Ikke bare det, men for store nettsteder på Internett har man også for lengst innført rate limiting, dvs en eskalerende tidsforsinkelse mellom hvert feilede forsøk. Dette gir en mer fornuftig og ikke minst mer kostnadseffektiv håndtering av eksterne passordangrep, og reduserer behovet for 24x7 helpdesk som kan åpne kontoer manuelt og så videre.


5. Ved glemt PIN kode, så får jeg utlevert min kode på lapp eller muntlig
Gå direkte videre til pkt 6:

6. Kan resepsjonist/vekter se min PIN kode?
JA. Helt spesifikt har jeg utallige ganger sett at løsninger fra Securitas for fysisk adgangskontroll enten viser PIN kode på skjerm direkte, eller maskert (****). Imidlertid har lokal operatør selv mulighet til å fjerne denne maskeringen. Det er ikke meningen å "henge ut" Securitas mer enn noen andre, men nå er det engang sånn at det er de jeg har absolutt førstehåndskjennskap til. Hva har du å tilby @tabalizer? :-)

7. Tvunget/regelmessig skifte av PIN kode på adgangskort?
PIN er passord. Passord skal skiftes regelmessig. Passord skal skiftes umiddelbart etter at du har fått nytt (glemt passord), eller første gang du får tildelt en konto. Skjer tilsvarende for adgangskort? Gjett EN gang.

At man ikke vil skifte PIN regelmessig på adgangskort kan jeg ha forståelse for. Det ville gjort hverdagen enda vanskeligere for oss alle. Imidlertid sliter jeg med å se at kompenserende tiltak er på plass for å tillate oss denne luksusen, jfr punktene over, og og jeg har enda ikke sett en skriflig risikoanalyse eller aksept for avvik i adgangskontrollen i forhold til gjeldende sikkerhetspolicy.

8. "...adgangskort skal bæres synlig..."
Kravet finnes i nesten alle sikkerhetspolicyer i det vidstrakte land. Men... øh....:

[Bruker og adgangskort. Ser du likheten?]
Sannheten er at policykravet eksisterer de fleste steder, samtidig som noen med økonomisk forståelse har funnet ut at dersom man dropper store adgangskort med fargetrykk og istedenfor bruker RFID brikker, så blir kostnadene lavere. Evne til å se forbi nesetippen ser også ut til å reduseres kraftig, men det er ofte irrelevant for kvartals- og årsbudsjettet. De som er ansvarlige for valg av adgangskontrollsystemer bør blafre seg gjennom de nyeste bøkene til Kevin Mitnick før de tar flere beslutninger.

En liten utfordring til NSM, NorSIS og leverandører av adgangskontrollsystemer og resepsjons/vektertjenester her i landet:
Hører gjerne fra dere i forhold til kost/nytte og risikoanalyser foretatt, som forsvarer ett eller flere av de punkter som beskrevet over. Jeg har ikke sett noe slikt foreløpig.

Så helt til slutt, siden det er fredag og man gjerne spøker litt før man tar helg: la oss returnere til bildet av Post-it lappene på toppen av bloggposten her.

3M har lansert "Post-it Popnotes" som gratis app for iPhone og iPad, kommer også for Android og Windows Phone. Foreløpig bare i USA, men appen kommer nok hit også. Ta en kikk på beskrivelsen; du kan lage "Post-it" lapper med geotagging, og gjøre dem offentlig tilgjengelig slik at du kan få frem alle "lapper" postet innen en radius på 500 yards, altså ca 450 meter. Skal vi poste en lapp på hvert sted hvor ovenstående punkter blir observert, og se hvordan Norgeskartet blir seende ut etter en måned eller to?

Ha en riktig god helg!

No comments:

Post a Comment

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.