Zauważyliśmy, że obecnie odwiedzasz witrynę w Wielkiej Brytanii. Czy zamiast tego chcesz odwiedzić naszą główną stronę?

Ręce wpisujące hasło na klawiaturze. Tekst na ekranie: hasło ukryte pod gwiazdkami
Jak skutecznie zabezpieczyć pliki i nośniki pamięci hasłem

Wielu profesjonalistów, od lekarzy po prawników i przedsiębiorców, zabezpiecza pliki przesyłane pocztą elektroniczną przy użyciu hasła, zakładając, że będą w ten sposób wystarczająco dobrze chronione przed dostępem niepowołanych osób. Jednak zwykła ochrona hasłem jest mniej skuteczna, niż powszechnie się uważa. Istnieją lepsze metody zabezpieczania plików i nośników pamięci za pomocą hasła.

Na podstawowym poziomie ochrona hasłem bez szyfrowania danych fizycznych jest bezużyteczna, ponieważ jest to zabezpieczenie, które można łatwo obejść. Gdy specjaliści ds. bezpieczeństwa mówią o ochronie hasłem, zwykle dotyczy to tylko sposobu uzyskania dostępu do danych. Zazwyczaj dane mają własne fizyczne zabezpieczenie chroniące je przed naruszeniem – szyfrowanie programowe lub sprzętowe.

Przyjrzyjmy się różnicom między ochroną hasłem opartą na szyfrowaniu programowym oraz opartą na szyfrowaniem sprzętowym – np. z wykorzystaniem szyfrowanej sprzętowo pamięci USB lub dysku zewnętrznego.

Istnieją znaczące różnice między ochroną hasłem opartą na szyfrowaniu programowym oraz opartą na szyfrowaniu sprzętowym. Szyfrowanie to podstawowe narzędzie do ochrony danych użytkownika za pomocą unikalnego hasła. Czy jednak nośniki pamięci szyfrowane sprzętowo zapewniają lepszą ochronę danych niż szyfrowanie programowe? Jaki jest najskuteczniejszy sposób ochrony danych, np. prywatnych informacji podatkowych, przed kradzieżą, utratą lub naruszeniem przez hakera?

Pliki chronione hasłem

Pamięć USB Kingston IronKey leżąca płasko na ciemnym tle.

Wiele aplikacji (takich jak MS Word, Excel, Adobe Acrobat itp.) oferuje opcję tworzenia plików „zabezpieczonych hasłem”. Aplikacje te wykorzystują pewną formę szyfrowania programowego plików, aby fizycznie chronić dane. Czasami poziom szyfrowania nie jest określony, więc użytkownicy nie wiedzą, jaki mechanizm, poza ochroną hasłem, jest używany dla samych danych. System Windows oferuje także funkcję szyfrowania programowego BitLocker, która umożliwia szyfrowanie nośników pamięci lub plików zapisanych na dysku komputera. Najnowsza wersja rozwiązania BitLocker obsługuje najnowocześniejszy zalecany algorytm szyfrowania 256-bitowego AES (Advanced Encryption Standard) w trybie XTS. BitLocker to jeden z przykładów narzędzia programowego, które realizuje szyfrowanie programowe poprzez szyfrowanie danych i blokowanie ich za bramką chronioną hasłem. Po włączeniu funkcji szyfrowania dane pliku są szyfrowane przez algorytm (np. AES) podczas ich zapisywania na nośniku pamięci. Gdy użytkownik wprowadzi prawidłowe hasło, dane zostają rozszyfrowane podczas ich odczytu z nośnika pamięci.

Administratorzy IT lubią szyfrowanie programowe, ponieważ jest niedrogie we wdrożeniu, nie wymaga specjalistycznego sprzętu i opiera się na dostępnym oprogramowaniu szyfrującym, na które w razie potrzeby można łatwo uzyskać licencję. Jednak za tymi zaletami kryją się także wady: Jeśli hasło użytkownika zostanie złamane przez hakerów, którzy mogą przeszukać pamięć komputera w poszukiwaniu hasła lub kluczy służących do szyfrowania i odzyskiwania dysku, szyfrowanie stanie się bezużyteczne. Inny problem wiąże się z tym, że szyfrowanie programowe wymaga do działania mocy obliczeniowej komputera. Otwieranie lub zamykanie dużych, zaszyfrowanych plików, takich jak zdjęcia czy filmy, może wpływać na wydajność systemu.

Szyfrowanie programowe może być odpowiednim wyborem dla użytkowników, dla których bezpieczeństwo danych jest kwestią drugorzędną lub tylko „mile widzianym” dodatkiem. W takich przypadkach dostępne narzędzia do szyfrowania programowego, umożliwiające ochronę plików hasłem, powinny być wystarczające do zabezpieczenia komputera, poczty e-mail lub konta w chmurze.

Jednak szyfrowanie programowe nie ogranicza możliwości wielokrotnych prób odgadnięcia hasła, określanych jako ataki metodą Brute Force lub słownikową, podczas których haker wykorzystuje proces eliminacji i zautomatyzowane narzędzia do łamania haseł. W Internecie dostępnych jest wiele narzędzi do usuwania haseł zabezpieczających różne rodzaje plików i odszyfrowywania danych. Większość współczesnych haseł składa się z ok. 8 znaków, podczas gdy wydajne komputery są w stanie sprawdzić ponad miliard haseł na sekundę, co oznacza, że wiele plików zaszyfrowanych programowo można szybko odblokować, a następnie uzyskać dostęp do danych. Eksperci zalecają przejście na hasła o długości co najmniej 12 znaków, aby spowolnić działanie hakerów atakujących zabezpieczenia oparte na szyfrowaniu programowym..

ŁĄCZE: Jak długie powinno być hasło w 2023 roku? To źle postawione pytanie. | ZDNET Rozwiązaniem jest zabezpieczenie danych z wykorzystaniem szyfrowanej sprzętowo pamięci USB i zewnętrznych dysków SSD. Chronią one przed atakami metodą Brute Force dzięki najlepszemu 256-bitowemu szyfrowaniu AES w trybie XTS. Skuteczność ataków metodą Brute Force można także zmniejszyć, stosując złożone hasła o długości przekraczającej 12-16 znaków lub wyrażenia hasłowe składające się z wielu słów o łącznej długości przekraczającej 12 znaków.

Szyfrowanie sprzętowe

Laptop z podłączoną pamięcią USB. Na ekranie widoczne okno wprowadzania hasła.

W odróżnieniu od szyfrowania programowego szyfrowanie sprzętowe jest obsługiwane przez odrębny bezpieczny mikroprocesor przeznaczony do uwierzytelniania użytkownika i szyfrowania danych. Uważa się to za bezpieczniejsze rozwiązanie, ponieważ procesy te są oddzielone od reszty komputera i znacznie trudniej jest je przechwycić lub zaatakować. Takie oddzielenie procesora oznacza, że procesy szyfrowania są również znacznie szybsze, ponieważ całe przetwarzanie danych obsługuje urządzenie szyfrowane sprzętowo.

Nośniki danych szyfrowane sprzętowo są droższe niż narzędzia do szyfrowania programowego, ponieważ zawierają zaawansowane komponenty, bardziej zaawansowaną technologię i zostały zaprojektowane od podstaw jako urządzenia do ochrony danych (w przeciwieństwie do alternatywnych, nieszyfrowanych rozwiązań). Typowe nośniki pamięci USB to proste urządzenia pamięci masowej bez zabezpieczeń, podczas gdy nośniki szyfrowane sprzętowo zostały stworzone wyłącznie w celu ochrony danych – podobnie jak polisa ubezpieczeniowa na wypadek kradzieży lub utraty nośnika pamięci.

Firmy przestrzegające przepisów i regulacji dotyczących ochrony prywatności (m.in. HIPAA, RODO, CCPA) mogą uznać, że koszty obsługi prawnej związanej z naruszeniem danych wskutek utraty lub kradzieży standardowego nośnika pamięci USB są wielokrotnie wyższe niż koszty zakupu nośnika pamięci szyfrowanego sprzętowo. Coraz częstsze naruszenia bezpieczeństwa danych na całym świecie skutkują wzrostem kosztów w następstwie takich zdarzeń i potrzebą silniejszej ochrony danych.

Ostatecznie wszystko sprowadza się do ceny, jaką jesteśmy w stanie zapłacić za naruszenie najbardziej wrażliwych danych.

Zalety szyfrowania sprzętowego

Kłódka i klucz na laptopie; nałożony symbol zamkniętej kłódki i połączeń na płytce drukowanej.

Istnieje wiele powodów, dla których zaleca się korzystanie z szyfrowania sprzętowego:

  • Trudniej przeprowadzić atak: Nośniki pamięci szyfrowane sprzętowo, np. z linii Kingston IronKey, zostały zaprojektowane w taki sposób, aby były odporne na ataki hakerów – w przeciwieństwie do rozwiązań opartych na szyfrowaniu programowym. Wykorzystują one dodatkowe zabezpieczenia, m.in. przed atakami metodą Brute Force. Funkcja szyfrowania sprzętowego może np. zliczać całkowitą liczbę prób wprowadzenia hasła i po przekroczeniu określonej wartości wymazać kryptograficznie zawartość pamięci. Cyberprzestępcy zwykle wolą łamać zabezpieczenia oparte na szyfrowaniu programowym, ponieważ są one łatwiejsze do pokonania.
  • Odporność na ingerencję fizyczną i cyfrową: Nośniki pamięci szyfrowane sprzętowo, spełniające wojskowe normy bezpieczeństwa zgodnie ze standardem NIST FIPS 140-3 Level 3 dla instytucji rządowych w Stanach Zjednoczonych, mają dodatkowe zabezpieczenia przed fizyczną ingerencją. Stosuje się w nich żywicę epoksydową, która tworzy ochronną warstwę wokół wewnętrznych komponentów nośnika pamięci, dzięki czemu są bardziej odporne na ataki fizyczne. Najlepsze w swojej klasie urządzenia IronKey D500S i IronKey Keypad 200 z certyfikatem FIPS 140-3 Level 3 (w toku) mają obudowy wypełnione żywicą epoksydową w celu ochrony wewnętrznych mechanizmów bezpieczeństwa. Obejmują one m.in. funkcje wyłączenia w przypadku wykrycia zbyt wysokiej wartości temperatury lub napięcia, autotestu po włączeniu zasilania w celu wykrycia anomalii oraz wyłączenia w przypadku ich wystąpienia, a także inne zabezpieczenia podlegające tzw. testom penetracyjnym, które są wymagane przez normę FIPS 140-3 Level 3.

    Aby nośnik pamięci mógł otrzymać certyfikat FIPS 140-3 Level 3, musi przejść najbardziej rygorystyczny proces weryfikacji w branży komputerowej, realizowany przez zewnętrzny podmiot – laboratorium posiadające certyfikat NIST. Instytut NIST (National Institute of Standards and Technology) jest odpowiedzialny za standard szyfrowania AES z kluczem 256-bitowym, stosowany przez agencje rządowe w USA. Certyfikat FIPS 140-3 Level 3, którego uzyskanie może zająć lata, jest dla użytkowników godnym zaufania znakiem jakości, potwierdzającym, że produkt jest wyjątkowo odporny na ataki i pomocny w zapewnieniu zgodności z przepisami.
  • Przenośność: Podczas gdy przenoszenie komputera stacjonarnego lub laptopa może być dość uciążliwe, szyfrowaną sprzętowo pamięć USB lub zewnętrzny dysk SSD można z łatwością zabrać wszędzie. Nie trzeba także podejmować ryzyka związanego z przesyłaniem dokumentów finansowych pocztą elektroniczną czy przechowywaniem wrażliwych danych w chmurze – poufne dane można bezpiecznie przechowywać poza siecią. Dysk zewnętrzny, taki jak IronKey Vault Privacy 80ES, umożliwia utworzenie kopii zapasowej nawet 8TB danych w oddzielonej od Internetu lokalizacji kontrolowanej przez użytkownika.
  • Zgodność z przepisami prawa i regulacjami: Szyfrowanie danych jest wymagane przez wiele przepisów, takich jak HIPAA w amerykańskim systemie ochrony zdrowia czy RODO w Unii Europejskiej. Nośniki pamięci Kingston IronKey mogą pomóc w zapewnieniu zgodności z tym wymogiem, ponieważ zapisywane na nich dane są zawsze szyfrowane. Złożone uwierzytelnianie hasłem lub wyrażeniem hasłowym uniemożliwia dostęp do danych (nośniki Kingston IronKey obsługują wyrażenia hasłowe o długości do 64 znaków, a model D500S – do 128 znaków). Funkcja ochrony przed atakami metodą Brute Force przeciwdziała atakom penetracyjnym, a w przypadku próby złamania hasła może usunąć dane i przywrócić nośnik pamięci do stanu fabrycznego.

Odzyskiwanie danych

Osoba pisząca na laptopie. Nałożona grafika struktury pliku.

Sposób odzyskiwania danych to kolejny element odróżniający technologie szyfrowania sprzętowego i programowego. Rozwiązanie Microsoft BitLocker oferuje klucz odzyskiwania, który można wydrukować lub zapisać w celu późniejszego wykorzystania. Nośniki pamięci Kingston IronKey oferują opcję obsługi wielu haseł, dzięki czemu można uzyskać dostęp do danych w przypadku utraty jednego lub kilku haseł.

W obliczu rosnącej liczby ataków z wykorzystaniem oprogramowania ransomware regularne tworzenie kopii zapasowych ma kluczowe znaczenie dla możliwości odzyskania danych. Niezależnie od wybranej opcji szyfrowania najlepszym rozwiązaniem jest  a strategia tworzenia kopii zapasowych oparta na zasadzie 3-2-1.Polega ona na wykonaniu 3 kopii danych, wykorzystaniu w tym celu 2 różnych nośników lub dysków na wypadek awarii lub uszkodzenia jednego z dysków oraz przechowywaniu 1 dysku w innej lokalizacji. Dobrym rozwiązaniem do tworzenia kopii zapasowych jest dysk IronKey VP80ES o pojemności od 1TB do 8TB. Większość nośników pamięci USB IronKey ma pojemność do 512GB.

Niektórzy użytkownicy korzystają z opcji tworzenia kopii zapasowych w chmurze, jednak narażają się oni w ten sposób na naruszenia związane z mechanizmem przechowywania w chmurze i innymi kwestiami bezpieczeństwa. Przechowywanie danych w chmurze to w istocie przechowywanie ich na zewnętrznym komputerze. Jeśli w razie potrzeby dostęp do kopii zapasowej w chmurze będzie z jakiegoś powodu utrudniony, odzyskanie danych i wznowienie działalności biznesowej może się opóźnić. Dostawcy usług w chmurze także padają ofiarą ataków ransomware, co może skutkować utrudnieniami w dostępie użytkownika do danych.

Rozwiązania pamięci szyfrowanej sprzętowo oferują solidniejszą i bardziej kompleksową ochronę danych niż te oparte na oprogramowaniu, zapewniając rzeczywistą „ochronę hasłem” najważniejszych plików. Ostatecznie wszystko sprowadza się do tego, jaką wartość mają dla użytkownika przechowywane dokumenty oraz jakiego wymagają poziomu ochrony.

#KingstonIsWithYou #KingstonIronKey

Powiązane filmy

Powiązane artykuły