Paweł Goleń, blog

Małe podsumowanie komentarzy do wpisu Jak badać wygodę mechanizmów bezpieczeństwa? Komentarzy nie ma za wiele, więc nie chcę na ich podstawie wyciągać jakichś fundamentalnych wniosków.

W komentarzach tylko jedna osoba napisała, że z hasłami maskowanymi nie ma problemu , nawet w przypadku długich haseł (Brii). Dalej zastanawiam się, czy rzeczywiście tylko tak niewielki odsetek użytkowników nie ma z nimi problemu, czy raczej takie osoby nie czytają mojego bloga, a nawet jak czytają, to im się nie chce komentować. To jest ten sam problem (wątpliwość), który podnosiłem w zakresie wiarygodności wyników zebranych w formie ankiety.

Mariusz do problemów z hasłami maskowanymi się przyznaje. Ciekawy jestem w jakim zakresie niewygodna metoda uwierzytelnienia przyczyniła się do decyzji o zmianie banku. Jaki wpływ na wybór nowego banku miała niechęć do hasła maskowanego?

Z Marcinem zgadzam się, że zysk stosowania haseł maskowanych jest zamglony. Byłbym tu nawet bardziej dosadny – zysk ze stosowania haseł maskowanych jest pomijalny. Hasła maskowane mogły i mieć jakąś wartość dodaną kilka lat temu, gdy problemem było sporadyczne skorzystanie z niezaufanego i zainfekowanego “niespodziankami” komputera. W sytuacji, gdy do wyprowadzania pieniędzy wykorzystywany jest malware, w dodatku dość dobrze dostosowany do konkretnej atakowanej bankowości, hasło maskowane nie niesie żadnej wartości dodanej. W dodatku ilość prób uwierzytelnienia, które trzeba podsłuchać by poznać całe hasło, nie jest specjalnie duża. Wyniki moich symulacji pokazałem tutaj: Maska III: wartość oczekiwana. Przy każdej okazji weryfikuję wyniki swojej symulacji z rzeczywistą implementacją i jak na razie są one zgodne z rzeczywistością.

Niestety nie zrozumiałem części komentarza Marcina, być może ta myśl zostanie jednak rozwinięta.

W dwóch komentarzach (JS oraz Kravietz) pojawiło się uwierzytelnienie dwuskładnikowe, czyli hasło statyczne oraz hasło jednorazowe. To jest rozwiązanie, które również i ja bym wskazał. Konkretnie uwierzytelnienie dwuskładnikowe, na temat jak konkretnie je implementować można dyskutować dalej. A potencjalnych możliwości jest trochę. Tym drugim składnikiem może być na przykład:

• lista kodów jednorazowych,
• kod SMS,
• token sprzętowy,
• token GSM,

Jak słusznie zauważył JS lista kodów jednorazowych szybko by się skończyła, więc lepsze może być korzystanie z kodów SMS. Co ciekawe można zauważyć pewną akcję przeciwko kodom SMS. W wątpliwość poddawane jest ich bezpieczeństwo (możliwość przejęcia u brokera, operatora lub w trakcie transmisji). Rozwiązaniem tego problemu ma być token GSM. Potraficie dostrzec tu drugie dno?

Przy okazji: kilka myśli odnośnie (nie)bezpieczeństwa tokenów GSM w kontekście autoryzacji transakcji, a konkretnie niektórych implementacji tokenów GSM, pojawiło się w dyskusji dotyczącej kryteriów oceny bezpieczeństwa bankowości internetowej na liście OWASP.

Oryginał tego wpisu dostępny jest pod adresem Komentarzy do wygody małe podsumowanie

Autor: Paweł Goleń