CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) je Turingův test, který slouží k odlišení člověka od stroje.

Obvykle má podobu obrázku, na kterém se nachází deformovaný text, který má uživatel správně přepsat do formulářového pole, ale nemusí tomu tak být vždy. Ostatně způsob, jakým ten Completely Automated Public Turing test to tell Computers and Humans Apart provedete, je zcela na vás. Pro člověka obvykle nepředstavuje vyřešení CAPTCHA problém, ovšem pro počítač je to velice obtížně řešitelná úloha, neboť není obdařen potřebnou inteligencí.

V příspěvku „Mnoho hesel uživatelova smrt“ jsme psali o tom, že běžný uživatel si mnohdy musí pamatovat i deset a více různých uživatelských jmen a silných hesel, která navíc musí pravidelně měnit a zároveň si je nesmí nikam zapisovat, neboť by jednal v rozporu s bezpečnostní politikou, kterou většina organizací přijala, a kterou je on povinen dodržovat. Otázce smysluplnosti těchto požadavků jsme se pak věnovali v příspěvku „Plno pravidel a k čemu“.

V jednom starším příspěvku o autentizaci jsme psali, že uživatel by měl heslo zadávat tak, aby nemohlo dojít k jeho odpozorování.

Ovšem v okamžiku, kdy zdáváte heslo do svého smartphonu nebo tabletu na veřejnosti, tak nemáte jistotu, že vaše heslo někdo neodpozoroval. Aby to případný útočník neměl tak snadné, tak se místo znaků, které uživatel zadává na klávesnici, zobrazují v políčku pro heslo zástupné symboly. S nástupem smartphonů a tabletů, které nejsou vybaveny HW klávesnicí, je nutné veškerá hesla zadávat prostřednictvím virtuální klávesnice, která se zobrazí na dotykovém displeji daného zařízení.

Organizace, které dříve používaly autentizaci založenou na zadávání jen vybraných znaků z hesla, tento koncept z mnoha důvodů pomalu opouštějí a přecházejí na skutečnou vícefaktorovou autentizaci.

Vzhledem k tomu, že systém, který tuto formu autentizace používá, musí být schopen ověřit, zda uživatel zadal na jeho výzvu ty správné znaky, tak v databázi nemůže být heslo uživatele uloženo jako hash, neboť z hashe není možné zpětně zjistit původní hodnotu a tudíž by systém nemohl ověřit, zda znaky zadané uživatelem byly ty správné.

FFIEC (Federal Financial Institutions Examination Council) vydal dodatek ke své příručce Authentication in an Internet Banking Environment.

V dodatku je uvedeno několik opatření, jako je hodnocení rizik (risk assessments), budování vícevrstvé bezpečnosti (layered security), nasazení systému na detekci podvodů (Fraud Detection System), identifikace zařízení klienta (client device identification), autorizace transakcí (authorization), používání kontrolních otázek (challenge questions) a poučení klientů o možných rizicích (awareness).

Je bezpečné přistupovat k bankovnímu účtu ze smartphonu? Sejde na tom, jakým způsobem svůj smartphone používáte.

Klienti bank mohli doposud přistupovat ke svým účtům přes internet ze svého počítače. S rozmachem mobilních telefonů mnozí z nich začali používat GSM banking, kde komunikace mezi klientem a bankou probíhá prostřednictvím textových zpráv. S nástupem smartphonů a poklesem ceny datových tarifů začali mnozí z nich přistupovat do internetového bankovnictví přímo ze svého smartphonu.

Pracovníci Max Planck Institute for the Physics of Complex Systems in Dresden tvrdí, že vymysleli zcela nový způsob autentizace a nazývají ho heslem-chráněná CAPTCHA (password-protected Captcha, zkr. p-CAPTCHA).

Poznámka: CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) je Turingův test, který slouží k odlišení člověka a stroje.