Małe podsumowanie komentarzy do wpisu Jak badać wygodę mechanizmów bezpieczeństwa? Komentarzy nie ma za wiele, więc nie chcę na ich podstawie wyciągać jakichś fundamentalnych wniosków.
Komentarzy do wygody małe podsumowanie
W komentarzach tylko jedna osoba napisała, że z hasłami maskowanymi nie ma problemu, nawet w przypadku długich haseł (Brii). Dalej zastanawiam się, czy rzeczywiście tylko tak niewielki odsetek użytkowników nie ma z nimi problemu, czy raczej takie osoby nie czytają mojego bloga, a nawet jak czytają, to im się nie chce komentować. To jest ten sam problem (wątpliwość), który podnosiłem w zakresie wiarygodności wyników zebranych w formie ankiety.
Mariusz do problemów z hasłami maskowanymi się przyznaje. Ciekawy jestem w jakim zakresie niewygodna metoda uwierzytelnienia przyczyniła się do decyzji o zmianie banku. Jaki wpływ na wybór nowego banku miała niechęć do hasła maskowanego?
Z Marcinem zgadzam się, że zysk stosowania haseł maskowanych jest zamglony. Byłbym tu nawet bardziej dosadny - zysk ze stosowania haseł maskowanych jest pomijalny. Hasła maskowane mogły i mieć jakąś wartość dodaną kilka lat temu, gdy problemem było sporadyczne skorzystanie z niezaufanego i zainfekowanego "niespodziankami" komputera. W sytuacji, gdy do wyprowadzania pieniędzy wykorzystywany jest malware, w dodatku dość dobrze dostosowany do konkretnej atakowanej bankowości, hasło maskowane nie niesie żadnej wartości dodanej. W dodatku ilość prób uwierzytelnienia, które trzeba podsłuchać by poznać całe hasło, nie jest specjalnie duża. Wyniki moich symulacji pokazałem tutaj: Maska III: wartość oczekiwana. Przy każdej okazji weryfikuję wyniki swojej symulacji z rzeczywistą implementacją i jak na razie są one zgodne z rzeczywistością.
Niestety nie zrozumiałem części komentarza Marcina, być może ta myśl zostanie jednak rozwinięta.
W dwóch komentarzach (JS oraz Kravietz) pojawiło się uwierzytelnienie dwuskładnikowe, czyli hasło statyczne oraz hasło jednorazowe. To jest rozwiązanie, które również i ja bym wskazał. Konkretnie uwierzytelnienie dwuskładnikowe, na temat jak konkretnie je implementować można dyskutować dalej. A potencjalnych możliwości jest trochę. Tym drugim składnikiem może być na przykład:
- lista kodów jednorazowych,
- kod SMS,
- token sprzętowy,
- token GSM,
Jak słusznie zauważył JS lista kodów jednorazowych szybko by się skończyła, więc lepsze może być korzystanie z kodów SMS. Co ciekawe można zauważyć pewną akcję przeciwko kodom SMS. W wątpliwość poddawane jest ich bezpieczeństwo (możliwość przejęcia u brokera, operatora lub w trakcie transmisji). Rozwiązaniem tego problemu ma być token GSM. Potraficie dostrzec tu drugie dno?
Przy okazji: kilka myśli odnośnie (nie)bezpieczeństwa tokenów GSM w kontekście autoryzacji transakcji, a konkretnie niektórych implementacji tokenów GSM, pojawiło się w dyskusji dotyczącej kryteriów oceny bezpieczeństwa bankowości internetowej na liście OWASP.
1. uruchom notatnik,
2. ponumeruj pola (123456789012345678...)
3. uruchom KeePass,
4. wklej hasło w drugiej linii,
5. przepisz odpowiednie znaki z hasła do formatki,
6. zaloguj się (w końcu!)
Prawda, że proste?