Autentizace: obskurní autentizační metody

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém PassFaces.

Pokud zavítáte na web, který používá tuto formu autentizace, tak se vám zobrazí fotografie třech lidí a vaším úkolem je si obličeje těchto lidí zapamatovat. Systémy tohoto typu disponují různě velkou databází a náhodně vám přidělí tři tváře, vy se je pak učíte najít mezi mnoha dalšími fotografiemi.

Štítky: ,
celý článek

Autentizace: politika účtů a hesel

Je možné nechat odpovědnost za kvalitu hesla zcela na uživateli nebo by to měl být systém, který by měl použití silného hesla vynucovat?

Jsme přesvědčeni, že na uživatele se nelze zcela spolehnout a že by systém sám měl kontrolovat, zda zadávané heslo obsahuje velká a malá písmena, čísla, speciální znaky a neobsahuje slova uvedená ve slovníku. Dále by měl systém kontrolovat, jakou má heslo délku, zda již nebylo uživatelem jednou použito nebo zda není jen drobnou obměnou hesla předchozího.

Štítky: ,
celý článek

Autentizace: Zařízení uživatele jako další faktor?

Je možné nahlížet na samotné zařízení, ze kterého uživatel přistupuje do aplikace, jako na autentizační faktor, kdy uživatel „něco má“?

Na internetu lze narazit na několik firem, které prosazují myšlenku využít samotného zařízení, ze kterého se uživatel hlásí, jako dalšího autentizačního faktoru. Bohužel většina z nich řešení, které nabízí, nazývá různě. Setkat se tak lze např. s pojmem Virtual token nebo CDI. Informace o tom, jak přesně jejich řešení fungují, však tyto firmy tají. Je zde patrný „security by obscurity“ přístup. Přitom princip, na jakém tato řešení fungují, je velice jednoduchý.

Štítky: ,
celý článek

Vícefaktorová autentizace

Co je to autentizace a jakými způsoby může proběhnout, jsme si uvedli již v prvním díle našeho seriálu.

Řekli jsme si, že autentizace může být založena na tom, že uživatel „něco ví“, „něco má“ nebo „něco je“. V dalších dílech jsme se pak věnovali jednotlivým autentizačním metodám. Dnes bychom mohli upřít svůj pohled směrem k vícefaktorové autentizaci.

Štítky: ,
celý článek

Autentizace v internetovém bankovnictví

Tento příspěvek se zabývá doporučením ohledně autentizace v internetovém bankovnictví, které před několika lety vydal FFIEC (Federal Financial Institutions Examination Council).

V dokumentu Guidance on Authentication in an Internet Banking Environment se uvádí, že finanční instituce by měly efektivně ověřovat identitu svých klientů a že finanční podvody a krádeže identit jsou často výsledkem používání jednofaktorové autentizace (ID a hesla), kterou FFIEC považuje za nevhodnou.

Štítky: , ,
celý článek

Autentizace: proč uživatelé volí slabá hesla

V tomto příspěvku se dozvíte, proč uživatelé tak rádi volí slabá hesla jako je 123456.

Tento příspěvek vznikl na základě hysterie, která se rozpoutala kolem úniku hesel ze serveru RockYou.com. V tomto příspěvku však nechci řešit, jak je možné, že se útočník k heslům dostal, zda byla či nebyla v DB uložena v otevřeném tvaru, kdo za to nese odpovědnost apod. Ne, chtěl bych se spíš věnovat tomu, jak byl tento incident mnohými bezpečnostními experty vyhodnocen a k jakým dospěli překvapujícím závěrům.

Štítky: ,
celý článek

Autentizace: mnoho hesel uživatelova smrt

Běžný uživatel se hlásí do mnoha různých systémů a tak není výjimkou, že si musí často pamatovat spoustu uživatelských jmen a hesel.

Dost často se jedná i o deset a více hesel. Málokdo je však schopen si všechna svá uživatelská jména a hesla zapamatovat, obzvlášť v případě, když je systémem nucen si volit bezpečná hesla a ta si navíc pravidelně měnit.

Štítky: ,
celý článek

Autentizace: Jak vybrat vhodnou autentizační metodu?

V tomto příspěvku se dozvíte, jak postupovat při výběru vhodné autentizační metody.

Vybrat vhodnou autentizační metodu není vůbec jednoduché. Vždy je třeba znát účel a podmínky, v jakých má být autentizace nasazena. Kromě toho se musíte rozhodnout, zda nasadíte autentizaci jednofaktorovou, dvoufaktorovou nebo vícefaktorovou. Začít můžete třeba tím, že provedete kvalitativní AR, kdy stanovíte hodnotu aktiva, pro přístup k němuž se máte autentizovat, míru hrozby a zranitelnosti a spočtete výsledné riziko.

Štítky: ,
celý článek

Autentizace: Jak vytvořit bezpečné heslo?

V tomto příspěvku se dozvíte, jak vytvořit silné heslo, které odolá i poměrně sofistikovaným útokům.

Obecně se za bezpečné považuje takové heslo, které obsahuje velká a malá písmena, čísla, speciální znaky, je dostatečně dlouhé a nemá vztah k uživateli nebo prostředí, ve kterém se používá. Za silné nelze považovat heslo obsahující opakující se znaky a posloupnosti, ať už číselné, abecední nebo posloupnosti odpovídající rozložení kláves na klávesnici.

Štítky: ,
celý článek

Autentizace: přilož prst

Cílem tohoto příspěvku je zamyslet se nad možnostmi autentizace prostřednictvím otisku prstu.

Naprostá většina lidí má na každé ruce 5 prstů. Pokud bude otisk prstu použit pro autentizaci, může být přiložen kterýkoliv z nich. Tuto biometrickou metodu můžeme ještě vylepšit tím, že můžeme po uživateli požadovat přiložení více prstů a navíc ve správném pořadí. Představte si, že by systém po vás mohl požadovat přiložení všech 10 prstů ve správném pořadí.

Štítky: ,
celý článek