PassWindow - mam opory — Paweł Goleń, blog

PassWindow – mam opory

Wczoraj Tomasz Kasprzak dał znać o systemie uwierzytelniania PassWindow. Muszę przyznać, że temat nieco mnie zaintrygował, w szczególności to, czy metoda jest rzeczywiście tak bezpieczna, jak twierdzi producent/wynalazca. Oczywiście nie byłbym sobą, gdybym w takim przypadku nie zastanawiał się nad tym, jak taką metodę uwierzytelniania zaatakować.

Szczególnie intryguje mnie kwestia ile prób uwierzytelnienia trzeba podsłuchać (screen obrazka wyświetlonego przez system i wpisane przez użytkownika hasło), by odtworzyć układ kresek na karcie użytkownika. Zagadnienie podobne do tego, czym zajmowałem się dla haseł maskowanych oraz Personal Identification Pattern. Na razie mam kilka pomysłów jak się do tematu zabrać, ale jeszcze tego nie uskuteczniłem.

Patrząc na to, jak ta metoda uwierzytelnienia działa, mam wrażenie, że jej twórca tak skupił się na keyloggerach , że zapomniał o innych zagrożeniach, a przynajmniej trochę je zbagatelizował. Zobrazuję to dwoma screenami:

Powyższy obrazek przedstawia typowy(?) przypadek użycia. Użytkownik logując się do aplikacji przykłada do ekranu komputera swoją kartę i poprzez złożenie tego, co jest wyświetlane na stronie w postaci obrazka oraz kresek umieszczonych na posiadanej przez siebie karcie, uzyskiwane jest hasło jednorazowe.

A poniżej sama karta...

Jak to było? Osły warstw nie mają. My swoje lęki nosimy jak odzież wierzchnią. W tym wypadku karta dumnie prezentuje swój tajny układ kresek... To trochę tak jakby na karcie bankomatowej wyskrobać PIN (by nie zapomnieć), albo seed tokenu lub klucz prywatny wyskakiwał na każde skinienie palcem.

Co prawda w PassWindow Core Security temat ten jest poruszony w sekcji Personal key protection , ale mimo wszystko mam wątpliwości, czy prezentowane zabezpieczenie jest skuteczne. To znów zależy w dużej mierze od scenariusza wykorzystania samego nośnika, czyli w tym przypadku karty.

W Bankomat, PIN, covert channel zwracałem uwagę, że klient może utracić “wyłączność” na PIN do swojej karty a dane z paska na niej mogą zostać skopiowane, a użytkownik nie będzie o tym wiedział. Tu mamy dokładnie taką samą sytuację, nie wiadomo, czy ktoś nie zdążył już podejrzeć/skopiować układu kresek. Użytkownik/ofiara może żyć w nieświadomości do czasu, aż intruz postanowi wykorzystać swoją zdobycz.

Z przytoczonych wyżej powodów ten mechanizm uwierzytelnienia nie przemawia do mnie koncepcyjnie. Nad bardziej praktycznymi atakami powoli się zastanawiam.

Oryginał tego wpisu dostępny jest pod adresem PassWindow – mam opory

Autor: Paweł Goleń