Autentizace: obskurní autentizační metody – 4. díl

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém založený na kreslení obrázku.

Uživateli je zobrazena mřížka o velikosti 5×5 a je požádán, aby do ní zakreslil nějaký jednoduchý obrázek. Ve druhém kroku je požádán, aby obrázek nakreslil znovu. Tímto způsobem dojde k pořízení a uložení grafického hesla.

Štítky:
celý článek

Autentizace: obskurní autentizační metody – 3. díl

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém založený na rozpouznávání kategorií.

Autentizace v tomto případě funguje tak, že se vám na obrazovce zobrazí 12 obrázků, přičemž každý je z jiné kategorie. Vy si vyberete 3 obrázky. Na další obrazovce se vám zobrazí dalších 12 obrázků, opět každý z jiné kategorie.

Štítky:
celý článek

Autentizace: obskurní autentizační metody – 2. díl

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém PassClicks.

Pokud zavítáte na web, který používá tuto metodu autentizace, tak zjistíte, že klasické heslo je v tomto případě nahrazeno sekvencí kliknutí na vybraná místa na obrázku. Návštěvníkovi je zobrazen obrázek a je vyzván, aby kliknul na libovolná místa na obrázku a zapamatoval si, na co klikal.

Štítky:
celý článek

Lámání hesel

V tomto příspěvku se dozvíte, jak délka hesla a množina znaků ovlivňuje dobu potřebnou k prolomení hesla a jak tuto dobu výrazně zkrátit.

Útočník má v zásadě několik možností, jak přihlašovací údaje uživatele získat, a zpravidla volí tu nejjednodušší, nicméně my se zde budeme zabývat především útokem hrubou silou, protože u všech ostatních útoků je víceméně jedno, jak dlouhé a komplexní ono sdílené tajemství vlastně je. Je s podivem, že většina studií, které se zabývají odhadem doby potřebné na prolomení hesla, mylně předpokládá, že útočník ví, jaká dlouhé a komplexní dané sdílené tajemství vlastně je.

Štítky: ,
celý článek

Autentizace: Software token

Lze uvažovat o nahrazení klasického HW tokenu používaného v procesu vícefaktorové autentizace SW tokenem?

SW token má podobu aplikace, která se musí nainstalovat na zařízení, jehož hardware bude pro výpočty použit. Jsou tedy zpravidla uloženy na stejném zařízení, jako ze kterého probíhá autentizace. Úroveň bezpečnosti, kterou je SW token schopen poskytnout je tak přímo závislá na bezpečnosti hostitelského systému, kterým může být jak klasický počítač, tak i notebook nebo smartphone.

Štítky: ,
celý článek

Autentizace: obskurní autentizační metody

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém PassFaces.

Pokud zavítáte na web, který používá tuto formu autentizace, tak se vám zobrazí fotografie třech lidí a vaším úkolem je si obličeje těchto lidí zapamatovat. Systémy tohoto typu disponují různě velkou databází a náhodně vám přidělí tři tváře, vy se je pak učíte najít mezi mnoha dalšími fotografiemi.

Štítky: ,
celý článek

Vishing

Doufali jsme, že se našemu Karlovi od posledního maléru už nic nestane, ale bohužel se opět dostal do problému. Tentokrát se útočník rozhodl, že Karlovi vybere jeho bankovní účet, který ovládá přes internetové bankovnictví.

Je známo, že Karel využívá svůj počítač často, téměř každý den usedá ke své obstarožní stanici, aby prováděl transakce pomocí internetového bankovnictví, na internetu vyhledával novinky ze světa showbyznysu, vitamínové i jiné preparáty.

Štítky:
celý článek

Microsoft Security Essentials

Pokud používáte operační systém od společnosti Microsoft a řešíte jaký antivirový prostředek nasadit, mohu vám vřele doporučit Microsoft Security Essentials.

Microsoft ví, co většina jeho zákazníků od počítače očekává. Chce počítač okamžitě používat pro svoji práci a nechce trávit čas nějakou složitou konfigurací. A tento požadavek Microsoft Security Essentials splňuje. Nejlepší na tomto produktu ale je, že je zdarma a to nejen pro domácnosti, ale i pro malé firmy, které ho mohou nasadit až na deset počítačů.

Štítky: ,
celý článek

Autentizace: politika účtů a hesel

Je možné nechat odpovědnost za kvalitu hesla zcela na uživateli nebo by to měl být systém, který by měl použití silného hesla vynucovat?

Jsme přesvědčeni, že na uživatele se nelze zcela spolehnout a že by systém sám měl kontrolovat, zda zadávané heslo obsahuje velká a malá písmena, čísla, speciální znaky a neobsahuje slova uvedená ve slovníku. Dále by měl systém kontrolovat, jakou má heslo délku, zda již nebylo uživatelem jednou použito nebo zda není jen drobnou obměnou hesla předchozího.

Štítky: ,
celý článek

Autentizace: Zařízení uživatele jako další faktor?

Je možné nahlížet na samotné zařízení, ze kterého uživatel přistupuje do aplikace, jako na autentizační faktor, kdy uživatel „něco má“?

Na internetu lze narazit na několik firem, které prosazují myšlenku využít samotného zařízení, ze kterého se uživatel hlásí, jako dalšího autentizačního faktoru. Bohužel většina z nich řešení, které nabízí, nazývá různě. Setkat se tak lze např. s pojmem Virtual token nebo CDI. Informace o tom, jak přesně jejich řešení fungují, však tyto firmy tají. Je zde patrný „security by obscurity“ přístup. Přitom princip, na jakém tato řešení fungují, je velice jednoduchý.

Štítky: ,
celý článek