S odstupem času můžeme prohlásit, že předpověď ohledně vývoje autentizace se nám v podstatě naplnila.
Nelze si však nevšimnout, že v některých případech byl onen druhý faktor v podobě „něco mám“, implementován trochu nešťastně.
S odstupem času můžeme prohlásit, že předpověď ohledně vývoje autentizace se nám v podstatě naplnila.
Nelze si však nevšimnout, že v některých případech byl onen druhý faktor v podobě „něco mám“, implementován trochu nešťastně.
V tomto příspěvku se zamyslíme nad tím, zda by bylo možné tento bezpečný, levný a uživatelsky přívětivý způsob dvoufaktorové autentizace zavést pro přihlašování do jakékoliv webové aplikace, aniž bychom ji museli upravovat.
Je zřejmé, že pokud bychom chtěli tento způsob autentizace, spoléhající na smartphone jako na druhý faktor, použít pro přihlášení do jakékoliv webové aplikace, bez toho aniž bychom v ní museli provádět nějakou úpravu, což často ani není možné, museli bychom na počítač, ze kterého se chceme autentizovat, nainstalovat nějaký plugin, který by heslo v podstatě zadával za nás.
V minulém příspěvku jsme se zamýšleli nad tím, jak by mohla vypadat bezpečná, levná a uživatelsky přívětivá dvoufaktorová autentizace, dnes se budeme věnovat zabezpečení privátního klíče.
Největší slabinou celého řešení je zcela jistě samotný smartphone, na kterém je privátní klíč uložen. Smartphone skutečně nelze považovat za důvěryhodnou platformu, která by poskytovala stejnou úroveň bezpečnosti jako HW token, který např. splňuje FIPS 140-2 Level 4. V případě smartphonu není nijak zajištěno, že ho privátní klíč nikdy neopustí, nebo že po určitém počtu chybně zadaných PIN dojde k jeho zablokování nebo smazání.
Cílem tohoto příspěvku je stručně popsat, jakým způsobem je možné realizovat bezpečnou a uživatelsky přívětivou dvoufaktorovou autentizaci a autorizaci transakce nezávislým kanálem s minimálními náklady.
Jedním z možných řešení je využití smartphonu, který většina lidí nosí stále u sebe a na rozdíl od nejrůznějších HW tokenů se pro něj, v okamžiku, kdy ho zapomene, vrátí. Do smartphonu stačí nainstalovat aplikaci, která bude schopna přijmout výzvu vygenerovanou vzdáleným systémem, zobrazit ji uživateli a po jejím odsouhlasení vygenerovat odpověď.