Potvrzení přihlášení do webové aplikace jen pouhým dotykem displeje smartphonu?

smartphoneS odstupem času můžeme prohlásit, že předpověď ohledně vývoje autentizace se nám v podstatě naplnila.

Nelze si však nevšimnout, že v některých případech byl onen druhý faktor v podobě „něco mám“, implementován trochu nešťastně.

Dvoufaktorová autentizace založená na stisknutí tlačítka na mobilním telefonu v okamžiku, kdy dojde k zadání jména a hesla ve webové aplikaci, je sice dobrý nápad, ovšem jedná se o řešení, které nás neochrání v okamžiku, kdy dojde ke kompromitaci zařízení, ze kterého se právě přihlašujete.

Neřešme teď, jak se oběť může nakazit, ty vektory útoku jsou stále stejné a za těch pár let se v podstatě nic nezměnilo. V okamžiku, kdy je útočník schopen odchytit jméno a heslo oběti, tak už jen potřebuje, aby legitimní uživatel autentizaci potvrdil.

A jelikož budeme předpokládat, že útočník smartphone oběti pod kontrolou nemá, tak potom musí malware na počítači oběti kontrolovat, že se uživatel snaží přihlásit, a akci zastavit po kliknutí na tlačítko odeslat a namísto toho zahájit autentizaci ať už na svém počítači nebo přímo na počítači oběti.

Podstatné ani není, jestli k potvrzení autentizace je nutné stisknout jen nějaké tlačítko, zadat nějaký kód anebo kamerou sejmout QR kód, který se zobrazuje na koncovém zařízení. Toto bezpečnost v zásadě nijak nezvyšuje, tedy nepočítáme-li, že smartphone někdo ukradne a znalost kódu mu zabrání ve zneužití.

Aplikace v mobilu by musela, aby to mělo nějaký smysl, zobrazovat počet současně připojených uživatelů, a z jaké adresy onen požadavek na autentizaci přišel. Jedině tak by měl uživatel šanci si všimnout, že se něco děje. V opačném případě autentizaci potvrdí, protože se chce přihlásit.

Když se mu pak na obrazovce zobrazí hlášení, že se autentizace nezdařila, např. proto, že je server přetížen, a ať to zkusí znovu, tak jen nejspíš znovu potvrdí v aplikaci na svém smartphone, že se skutečně chce do dané webové aplikace přihlásit, a pokud aplikace povoluje možnost přihlášení z více zařízení, tak pak přihlášení skutečně proběhne.

A jestli aplikace zobrazuje počet současně připojených uživatelů a rovněž i odkud k přihlášení došlo, tak to je sice chvályhodné, ale nezapomínejme na to, že i tuto informaci může malware na koncovém zařízení pozměnit. Určitou ochranou před tímto typem útoku by bylo rovněž nasazení nějakého FDS, ovšem to ještě nebývá úplně běžné.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Potvrzení přihlášení do webové aplikace jen pouhým dotykem displeje smartphonu?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: