Paweł Goleń, blog

A przynajmniej ja ich nie lubię. I mam ku temu konkretne powody...

Jeśli mówi się o hasłach maskowanych, to jako główną zaletę podaje się fakt, że ewentualny “podglądacz” (nie ważne, czy zaglądający przez ramię, czy keylogger) nie pozna całego hasła. Czy aby na pewno?

Odnośnie odporności haseł maskowanych na keyloggery już się wypowiadałem:

• O hasłach maskowanych
• Maska II: atak kombinatoryka
• Maska III: wartość oczekiwana

Stosowane w połączeniu z hasłami maskowanymi klawiatury wirtualne to również działanie pozorowane. Zwiększenie bezpieczeństwa wynikające z wykorzystania haseł maskowanych jest dość iluzoryczne. To tyle, jeśli chodzi o kwestie techniczne. A jest jeszcze wygoda wykorzystania...

Nie wiem, może są ludzie, którzy potrafią bez problemu zapamiętać ileś par pozycja – > litera. Ja nie potrafię, zresztą większość znajomych, z którymi na ten temat rozmawiałem, również mają z tym problem. W praktyce powoduje to, że ludzie często zapisują hasło w jakiejś formie, po to, by hasło prawidłowo wpisać. Zapisywanie haseł nie jest takie złe, tylko problem gdzie to hasło jest zapisane. Na karteczce w portfelu? Niby dobrze, tylko co, jeśli w trakcie wpisywania hasła ktoś rzuci na nią okiem? W komputerze? Cóż, jeśli tam jest jakieś malware, to hasło może zostać wykradzione. Tak, trochę to bardziej złożone, niż wykradnięcie klucza prywatnego, ale możliwe. Sam proces wpisywania jest pokraczny i dużo łatwiejszy do podglądnięcia komuś stojącemu za wpisującym...

Patrząc na problem globalnie mając po jednej stronie zyski (znikome) wynikające z zastosowania hasła maskowanego, a z drugiej “umiarkowaną” wygodę rozwiązania, nie uważam haseł maskowanych za coś wyjątkowo dobrego. Zysk nie uzasadnia kosztów. Rozumiem jednak banki, które takie rozwiązanie stosują, ponieważ “fachowe pisma” w “analizach bezpieczeństwa” bankowości elektronicznych za brak hasła maskowanego odejmują punkty. Znalezienie się wyżej w tabelce opracowywanej przez “fachowców” to dla banków walczących o klientów istotna kwestia. Sam z własnej woli z hasła maskowanego korzystać nie zamierzam, wolę już podawać pełne hasło, lub korzystać z kluczy (przy pełnej świadomości zagrożeń związanych z malware). Niestety, okazuje się, że będę zmuszony do skorzystania z tego cudownego rozwiązania, przynajmniej chwilowo... Kolejny “mały argumencik” do rezygnacji z usług pewnego banku...

EDIT 2010-11-28: Jeśli kogoś interesuje temat odporności mechanizmów bezpieczeństwa bankowości internetowych na typowe ataki, zapraszam do przeczytania wpisu Zamiast slajdów z SecDay.

Oryginał tego wpisu dostępny jest pod adresem Hasła maskowane są ZŁE!

Autor: Paweł Goleń