Potvrzení přihlášení do webové aplikace jen pouhým dotykem displeje smartphonu?
S odstupem času můžeme prohlásit, že předpověď ohledně vývoje autentizace se nám v podstatě naplnila.
Nelze si však nevšimnout, že v některých případech byl onen druhý faktor v podobě „něco mám“, implementován trochu nešťastně.
Dvoufaktorová autentizace založená na stisknutí tlačítka na mobilním telefonu v okamžiku, kdy dojde k zadání jména a hesla ve webové aplikaci, je sice dobrý nápad, ovšem jedná se o řešení, které nás neochrání v okamžiku, kdy dojde ke kompromitaci zařízení, ze kterého se právě přihlašujete.
Neřešme teď, jak se oběť může nakazit, ty vektory útoku jsou stále stejné a za těch pár let se v podstatě nic nezměnilo. V okamžiku, kdy je útočník schopen odchytit jméno a heslo oběti, tak už jen potřebuje, aby legitimní uživatel autentizaci potvrdil.
A jelikož budeme předpokládat, že útočník smartphone oběti pod kontrolou nemá, tak potom musí malware na počítači oběti kontrolovat, že se uživatel snaží přihlásit, a akci zastavit po kliknutí na tlačítko odeslat a namísto toho zahájit autentizaci ať už na svém počítači nebo přímo na počítači oběti.
Podstatné ani není, jestli k potvrzení autentizace je nutné stisknout jen nějaké tlačítko, zadat nějaký kód anebo kamerou sejmout QR kód, který se zobrazuje na koncovém zařízení. Toto bezpečnost v zásadě nijak nezvyšuje, tedy nepočítáme-li, že smartphone někdo ukradne a znalost kódu mu zabrání ve zneužití.
Aplikace v mobilu by musela, aby to mělo nějaký smysl, zobrazovat počet současně připojených uživatelů, a z jaké adresy onen požadavek na autentizaci přišel. Jedině tak by měl uživatel šanci si všimnout, že se něco děje. V opačném případě autentizaci potvrdí, protože se chce přihlásit.
Když se mu pak na obrazovce zobrazí hlášení, že se autentizace nezdařila, např. proto, že je server přetížen, a ať to zkusí znovu, tak jen nejspíš znovu potvrdí v aplikaci na svém smartphone, že se skutečně chce do dané webové aplikace přihlásit, a pokud aplikace povoluje možnost přihlášení z více zařízení, tak pak přihlášení skutečně proběhne.
A jestli aplikace zobrazuje počet současně připojených uživatelů a rovněž i odkud k přihlášení došlo, tak to je sice chvályhodné, ale nezapomínejme na to, že i tuto informaci může malware na koncovém zařízení pozměnit. Určitou ochranou před tímto typem útoku by bylo rovněž nasazení nějakého FDS, ovšem to ještě nebývá úplně běžné.
Štítky: autentizace, dvoufaktorová autentizace
K článku “Potvrzení přihlášení do webové aplikace jen pouhým dotykem displeje smartphonu?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.