A przynajmniej ja ich nie lubię. I mam ku temu konkretne powody...
Hasła maskowane są ZŁE!
Jeśli mówi się o hasłach maskowanych, to jako główną zaletę podaje się fakt, że ewentualny "podglądacz" (nie ważne, czy zaglądający przez ramię, czy keylogger) nie pozna całego hasła. Czy aby na pewno?
Odnośnie odporności haseł maskowanych na keyloggery już się wypowiadałem:
Stosowane w połączeniu z hasłami maskowanymi klawiatury wirtualne to również działanie pozorowane. Zwiększenie bezpieczeństwa wynikające z wykorzystania haseł maskowanych jest dość iluzoryczne. To tyle, jeśli chodzi o kwestie techniczne. A jest jeszcze wygoda wykorzystania...
Nie wiem, może są ludzie, którzy potrafią bez problemu zapamiętać ileś par pozycja -> litera. Ja nie potrafię, zresztą większość znajomych, z którymi na ten temat rozmawiałem, również mają z tym problem. W praktyce powoduje to, że ludzie często zapisują hasło w jakiejś formie, po to, by hasło prawidłowo wpisać. Zapisywanie haseł nie jest takie złe, tylko problem gdzie to hasło jest zapisane. Na karteczce w portfelu? Niby dobrze, tylko co, jeśli w trakcie wpisywania hasła ktoś rzuci na nią okiem? W komputerze? Cóż, jeśli tam jest jakieś malware, to hasło może zostać wykradzione. Tak, trochę to bardziej złożone, niż wykradnięcie klucza prywatnego, ale możliwe. Sam proces wpisywania jest pokraczny i dużo łatwiejszy do podglądnięcia komuś stojącemu za wpisującym...
Patrząc na problem globalnie mając po jednej stronie zyski (znikome) wynikające z zastosowania hasła maskowanego, a z drugiej "umiarkowaną" wygodę rozwiązania, nie uważam haseł maskowanych za coś wyjątkowo dobrego. Zysk nie uzasadnia kosztów. Rozumiem jednak banki, które takie rozwiązanie stosują, ponieważ "fachowe pisma" w "analizach bezpieczeństwa" bankowości elektronicznych za brak hasła maskowanego odejmują punkty. Znalezienie się wyżej w tabelce opracowywanej przez "fachowców" to dla banków walczących o klientów istotna kwestia. Sam z własnej woli z hasła maskowanego korzystać nie zamierzam, wolę już podawać pełne hasło, lub korzystać z kluczy (przy pełnej świadomości zagrożeń związanych z malware). Niestety, okazuje się, że będę zmuszony do skorzystania z tego cudownego rozwiązania, przynajmniej chwilowo... Kolejny "mały argumencik" do rezygnacji z usług pewnego banku...
EDIT 2010-11-28: Jeśli kogoś interesuje temat odporności mechanizmów bezpieczeństwa bankowości internetowych na typowe ataki, zapraszam do przeczytania wpisu Zamiast slajdów z SecDay.
Pisałem, że pewien bank wprowadza zmianę metody uwierzytelnienia i autoryzacji transakcji. Sprawa się rozwija, bank prowadzi akcję informacyjną dla klientów (dobrze), ale dalej jestem niedoinformowany (źle). No dobrze, jestem doinformowany, ale to
Przesłany: Apr 05, 12:16
Każdy bank twierdzi, że jego system bankowości internetowej jest bezpieczny. Użytkownik zwykle nie ma możliwości zweryfikowania tych twierdzeń. Można jednak popatrzeć na taki system krytycznym okiem. Tu kilka przykładów na co warto zwrócić uwagę. Certy
Przesłany: Jun 06, 20:31
Wczoraj Tomasz Kasprzak dał znać o systemie uwierzytelniania PassWindow. Muszę przyznać, że temat nieco mnie zaintrygował, w szczególności to, czy metoda jest rzeczywiście tak bezpieczna, jak twierdzi producent/wynalazca. Oczywiście nie byłbym sobą, gdyby
Przesłany: Sep 02, 16:23
We wpisie 6 mitów związanych z badaniami użyteczności można przeczytać, że już w badaniach z udziałem 5 użytkowników można zidentyfikować większość problemów z użytecznością aplikacji. Zapewne w większości przypadków jest to prawda, ale mimo wszystko mam
Przesłany: Jul 06, 17:52
Zamiast wystawiania slajdów (są dostępne tutaj), postanowiłem zrobić mały przegląd swoich starszych wpisów i zebrać je w jednym poście. Dzięki temu jeśli ktoś jest zainteresowany tematem, będzie mógł poczytać trochę więcej, niż z suchych slajdów.Ataki cel
Przesłany: Oct 05, 07:32