Porady

Polityka haseł w systemach alarmowych. Norma PN-EN50131-1

Systemy alarmowe - SSWINFREE
Montersi.pl - Polityka haseł na przykładzie centrali INTEGRA
Znajdź nas na facebooku

Powiązane tagi

Kontakt

Zobacz również

Podłączenie centrali alarmowej do stacji monitorowania. Przykłady rozwiązań.

Podłączenie centrali alarmowej do stacji monitorowania. Przykłady rozwiązań.
Własna aplikacja do INTEGRY – odbieramy dane z centrali (część 3)

Własna aplikacja do INTEGRY – odbieramy dane z centrali (część 3)
Aplikacje mobilne do central Satel – co jest potrzebne?

Aplikacje mobilne do central Satel – co jest potrzebne?
Rozpoznawanie tablic rejestracyjnych w kamerach BCS Line

Rozpoznawanie tablic rejestracyjnych w kamerach BCS Line
Sekwencyjne wyświetlanie obrazu na rejestratorach BCS Line

Sekwencyjne wyświetlanie obrazu na rejestratorach BCS Line

Nikt nie zaprzeczy, że hasło do systemu alarmowego powinno być niepowtarzalne w ramach danej instalacji. Nikt też nie zaprzeczy, że swoje hasło powinien znać tylko właściciel tego hasła. A jednak nawet tutaj widać wyjątki, które zdarzają się zbyt często.

Hasła, kody użytkowników okiem naszym oraz okiem normy PN-EN50131. Zapraszam do lektury.

Złożony system to złożone hasło

Im wyższy stopień zabezpieczenia systemu alarmowego (stopień od 1 do 4), tym więcej kombinacji powinien mieć klucz. Celowo napisałem „klucz”, ponieważ norma w tym zakresie posługuje się pojęciem tzw. klucza logicznego. Możemy więc przyjąć na potrzeby tego artykułu, że kod, hasło i klucz logiczny to te same zasoby.

Niektórzy producenci systemów alarmowych podają, że dla stopnia 2 (grade 2 wg normy PN-EN50131-1), kod powinien mieć długość minimum 5 cyfr. W rzeczywistości norma jednak nie podaje ilości cyfr w haśle, a liczbę wariacji. Poniższa tabela przedstawia te ilości, w zależności od stopnia zabezpieczenia.

Stopień zabezpieczenia (PN-EN50131-1): 1 2 3 4
Liczba wariacji klucza (np. hasła): 1000 10 000 100 000 1 000 000

 

Z tabeli wynika, że dla stopnia 2, hasło powinno mieć 10 000 wariacji. Taka liczba wariacji mieści się w przedziale liczb 0000-9999. Są to 4 cyfry, jednak niektórzy producenci z różnych powodów zwiększają tę liczbę do 5 cyfr.

Analogicznie sprawa wygląda dla stopnia 3, gdzie według tabeli hasło powinno mieć 100 000 wariacji. Producenci często podają liczbę 6 cyfr dla hasła.

Programy do konfiguracji central alarmowych często wspomagają tutaj instalatora. Jeżeli tylko zaznaczymy opcje związane ze stopniem Grade 2, to centrala nie umożliwi tworzenie kodów użytkowników, których długość jest mniejsza niż 5 cyfr.

Powyższa ilość wariacji dotyczy tzw. klucza logicznego. Warto zaznaczyć, że norma „podpina” pod klucz logiczny również takie zasoby jak np. breloki i karty zbliżeniowe (ogólnie – transpondery pasywne).

Mamy już wyjaśnioną długość haseł/kodów, które narzuca na nas norma. Ale długość hasła to nie wszystko, na co każdy z nas powinien zwrócić uwagę.

Zasady tworzenia nowych kodów użytkowników

Muszę być uczciwy i niestety – nie ma zasad. To jednak nie oznacza, że warto ignorować zdrowy rozsądek. Proponuję przyjąć jedną własną zasadę: nie idziemy na łatwiznę. Zaraz na przykładach pokażę, dlaczego pójście na łatwiznę jest tak ryzykowne.

Eksperyment myślowy…

Na warsztat bierzemy dowolną centralę serii Integra. Podczas procedury dodawania użytkowników, program DloadX domyślnie proponuje ustawienie haseł, które odpowiadają numerom poszczególnych użytkowników. Np. użytkownik 1 dostaje hasło 0001 a użytkownik 2 dostaje hasło 0002 itd. Są to domyślne hasła, które użytkownik powinien jak najszybciej zmienić.

dloadx integra password
Dodawanie użytkowników z domyślnymi hasłami. Bardzo przewidywalna opcja. Hasła są generowane tak jak kolejność użytkowników. Łatwe do zapamiętania na początku, ale za duże ryzyko (brak gwarancji zmiany takiego hasła „na czas”).

Doświadczenie w instalacji i konserwacji systemów alarmowych pokazuje jednak, że część użytkowników nie zmienia swoich haseł (pomimo tego, że po otrzymaniu wstępnego hasła przełożony kazał to hasło zmienić na swoje). W konsekwencji, do rozbrojenia systemu wystarczy proste hasło (np. 0003) – hasło użytkownika, który „nie zdążył” w ciągu kilku miesięcy podmienić swojego hasła.

Warto pamiętać, że w omawianej centrali istnieje domyślnie uruchomiony mechanizm, który po wprowadzeniu 3 błędnych haseł, blokuje kolejne próby na czas 90 sekund. Mało tego, opcja 3 błędnych haseł, która generuje alarm, domyślnie jest wyłączona (czyli tylko klawiatura blokuje się na 90 sekund, ale system nie generuje alarmu).

Z powyższych informacji, kształtuje się nam „przepis”, który przenosi nas na ciemną stronę mocy. Więcej chyba nie wypada napisać, ale musimy mieć świadomość konsekwencji, pozostawiając system z tak prostymi hasłami. Jest jednak sposób…

Hasła można generować losowo

Proponuję przyjrzeć się powyższej animacji raz jeszcze. W małym oknie pt. „Utwórz użytkowników” widać opcje związane ze sposobem utworzenia hasła. Dostępne są następujące sposoby:

  • numer użytkownika
  • wygeneruj losowo
  • ręcznie
  • bez hasła

Bardzo efektywną opcją jest wybranie wariantu z losowym generowaniem haseł. To tylko wstępne hasła i wciąż użytkownik powinien te hasła zmienić. Ale zmiana swojego hasła – poprawna zmiana – to temat na osobny akapit.

Instalator nie powinien znać haseł użytkowników

Hasła, które nadaje instalator, zawsze należy traktować jako hasła wstępne – na start. Teraz obowiązkiem użytkownika jest zmiana tego domyślnego hasła na inne, które będzie znał tylko on sam. To takie proste i oczywiste a jednocześnie tak trudno upilnować grupę 40 użytkowników, aby zmienili swoje domyślne hasła.

Jak można zmienić hasło?

  • poprosić instalatora, który jest przy centrali, aby od razu ustawił hasło takie, jakie chcemy docelowo mieć :(
  • poprosić instalatora, żeby udostępnił nam na chwilę komputer z DloadX i się odwrócił :(
  • podejść do manipulatora fizycznego i wykonać procedurę zmiany hasła :)

Pomijając kwestię tego, że dwie pierwsze opcje są absurdalne, to dodatkowo nie rozwiązują temat anonimowości hasła. Hasło zmieniane za pomocą komputera (DloadX) wciąż jest hasłem, które może podejrzeć instalator (opcja: Pokaż hasła). Tylko zmiana hasła z manipulatora fizycznego LCD (lub z aplikacji mobilnej np. Integra Control) jest gwarancją, że instalator nie będzie mógł podejrzeć czyjegoś hasła. Nawet kliknięcie w opcję: „Pokaż hasła” nie pokaże haseł, które użytkownicy zdążyli sobie zmienić. Poniższy zrzut to przedstawia

dloadx hasła integra
Tabela użytkowników w centrali INTEGRA. Hasła użytkowników, które zostały przez nich zmienione z manipulatora, nie są już widoczne dla instalatora (nawet po zaznaczeniu opcji „Pokaż hasła”).

Już nie raz spotkałem się z zarzutem, że instalator ma wgląd w hasła użytkowników. Jak widać, jeżeli jest to robione zgodnie ze sztuką, to instalator tych haseł nie zobaczy. To też jest w interesie instalatorów, aby nie znali haseł użytkowników. Dlatego warto pilnować tematu i wytłumaczyć inwestorowi jak ważne jest, aby jego pracownicy zmieniali swoje hasła.

Hasło serwisowe a możliwość rozbrajania strefy w systemie alarmowym

Nie pomylę się, jeżeli napiszę, że to dość kontrowersyjny temat. Nie każdy użytkownik systemu będzie zadowolony z tego, że serwisant może przyjechać podczas nieobecności domowników i wyłączyć dozór w ich domu. Jednak nasi praojcowie już zdążyli rozwiązać tę kwestię i nie ma czego się obawiać.

Na chwilę wracamy do zapisów normy PN-EN50131-1, która dotyczy tzw. wymagań systemowych. Norma ta określa cztery poziomy dostępu. W dużym uproszczeniu, użytkownik typu administrator to poziom dostępu nr 2, natomiast pracownik personelu firmy alarmowej to poziom dostępu nr 3.  I teraz najważniejsze:

Norma PN-EN 50131-1 określa, że użytkownicy z poziomem dostępu nr 3 nie mogą realizować swoich funkcji, jeżeli wcześniej nie uzyskają zezwolenia od użytkowników z poziomem dostępu nr 2.

Innymi słowy: administrator ma prawo blokować dostęp dla serwisanta. Bez programowej zgody administratora, hasło/kod serwisanta może nie działać. Najczęściej dokonuje się tego przez wejście do odpowiednich opcji w manipulatorze.

Generalnie norma PN-EN 50131-1 dzieli system na 4 stopnie (Grade). Oprócz podziału na stopnie, istnieje też tzw. podział na klasy środowiskowe (4 klasy) oraz podział na 4 poziomy dostępu. Te podziały są od siebie niezależne i nie należy ich wiązać.

Widać więc, że serwisant nie jest typem użytkownika systemowego, który może wszystko, zawsze i wszędzie. To administrator (główny użytkownik systemu alarmowego) ma ostateczne zdanie.

Kilka praktycznych wskazówek

  • W zależności od marki i modelu centrali, istnieje możliwość ustawienia haseł, które mają najczęściej długość od 4 do 8 cyfr.
  • Popularnym rozwiązaniem jest domyślnie włączony mechanizm, który blokuje możliwość używania hasła/kart/breloków, jeżeli wcześniej zarejestrowano kilka prób (np. 3) z użyciem nieprawidłowych kodów/kart itp. Taka blokada ma charakter czasowy.
  • Systemy umożliwiają wygenerowanie alarmu, kiedy system zarejestruje używanie błędnych kodów/kart itp.
  • Istnieje możliwość tworzenia kodów tymczasowych, tzn. można stworzyć kod dla użytkownika, który jest ważny np. 1 miesiąc.
  • Nie powinno używać się kodów prostych, np. składających się z tych samych cyfr (0000, 2222,3333) lub następujących po sobie cyfr (1234, 56789).

 

Oceń poradę:

Powiązane porady

Norma PN-EN 50131-1 – wybrane ciekawostki

Systemy alarmowe - SSWINPREMIUM
pn-en 50131
Ocena:

Tym razem nie o konfiguracji alarmów, ale o normach. Temat obowiązkowy dla każdego, kto chce zgłębić swoją wiedzę w branży systemów zabezpieczeń. Przedstawię tylko ciekawostki, w jasny, prosty sposób – bez posługiwania się zawiłymi paragrafami. Przejdźmy do konkretów. Stara norma VS nowa norma Stara norma PN-E-08390:1993, jak sam zapis wskazuje, została wprowadzona w Polsce w … Czytaj więcej »

Czy sygnalizator do alarmu jest konieczny? Norma PN-EN 50131-1

Systemy alarmowe - SSWINPREMIUM
Artykuł: Czy trzeba stosować sygnalizator do instalacji alarmowej?
Ocena:

Niejednokrotnie można spotkać się z debatami na temat tego, czy zawsze trzeba stosować sygnalizator akustyczny/optyczny do instalacji alarmowej (SSWiN). I prawie zawsze można spotkać różne opinie w tej sprawie. W tym artykule przedstawimy założenia normy PN-EN 50131-1, które dotyczą tej właśnie sprawy. Nie będziemy więc kierować się tzw. „zdrowym rozsądkiem” a tym, co mówi na … Czytaj więcej »

Prefiksy w centrali INTEGRA. Czym są?

Systemy alarmowe - SSWINPREMIUM
Ocena:

Czym są prefiksy stosowane w hasłach? Prefiks to ciąg liczb, który opcjonalnie należy podać przed właściwym hasłem. W ten sposób istnieje możliwość „wydłużenia” hasła do maksymalnie 16 cyfr i zwiększenia bezpieczeństwa w chronionym obiekcie. Mechanizm prefiksów przed hasłami jest dostępny tylko w centralach serii INTEGRA. Prefiks może mieć długość od 1 do 8 znaków (cyfr) … Czytaj więcej »