Náměty na vylepšení 4smart

Poradna při řešení nejrůznějších problémů spojených s provozem virtuálních serverů.
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Náměty na vylepšení 4smart

Příspěvek od mobilemanic »

Ještě poslední offtopic :) :: Mě šlo o to, že jak k heslu tak i k SMS je v dnešní době možné celkem jednodušše přistoupit digitálně. Neberu v potaz případy zkoušení hesla, tam je mi jasné, že po pár pokusech se to blokne. Myslel jsem případ, kdy jdu na jistotou - heslo jednoduše vykradu z prohlížeče/password manageru, SMS se dnes začínají synchronizovat přes cloudy a třeba u iPhonů je dnes už naprosto běžné, že SMS je dostupná z toho samého zařízení, kde je uloženo heslo. A tohle už se bude jenom zhoršovat, tuším že Android na synchronizaci SMS zpráv s PC taky něco chystá. Tím se z SMS stává nevhodný prostředek, protože už se nejedná o dvoufaktor, ale pouze o dvakrát zadání hesla ovšem z jednoho zařízení (už nemusím mít telefon u sebe, není to tedy že něco vím a něco mám, spíše 2x vím...)

A uživatel si tohle nebezpečí obvykle ani neuvědomí (že má zaplý někde nějaký sync) a připadá si bezpečně - přitom ke zneužití např. i int. bankovnictví a podobně v tu chvíli stačí jednoduchý vzdálený přístup na PC (plus si ještě připočítejte kolik lidí má celé PC přístupné bez jakéhokoliv hesla - nebude jich málo). To je důvod, proč v dnešní době smartphonů již SMS token označuji za parodii, dříve se to jako fyzický token chovalo, dnes už ne. Proto si myslím, že OTP token je lepší řešení - vrací to ten stav, že ten telefon nebo opravdový fyz. token prostě musím mít v ruce. Odborník si tohle pohlídá, ale obecně pro běžné uživatele už SMS opravdu není bezpečná, i když je nejjednodušší na použití i instalaci u uživatele...

(A to ještě nezapočítávám možné cílené útoky na smartphone, kdy pak nepomůže ani svěcená voda nebo ten OTP token - a že u Androidu to při cíleném útoku asi nebude nějaký zásadní problém se tam dostat.)
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Náměty na vylepšení 4smart

Příspěvek od xsouku04 »

Souhlasím s mobilemanic, že zvýšené zabezpečení pomocí SMS přestává nyní fungovat. Navíc zaslání SMS není zdarma.
Tedy chtělo by to jiné řešení.
blue4world píše:Zdravím,
když už se tady objevilo vlákno diskutující možná vylepšení 4smart, tak bych také rád přispěl.
Velice bych ocenil, kdyby se pro přihlášení do admin rozhraní dala zapnout dvoufaktorová autentizace.
S mod-authn-otp - https://github.com/archiecobbs/mod-authn-otp by to snad neměl být problém implementovat.
Snažil jsem se dočíst na tom githubu, jak to v praxi funguje, tedy jak je to pohodlné a praktické.
Ale po praktické stránce toho tam až tak není. Má to už někdo nasazené? Prostě jakási aplikace v mobilu generuje jednorázová hesla, které musím zadat spolu se stálým heslem, abych se přihlásil. Aplikace gereuje hesla podle jakéhosi klíče, který musím na začátku vložit a též podle pořadového čísla nebo aktuálního času.

Já to řeším tak, že z jiného než svého počítače/notebooku prostě nepracuji. Na cizím nebo špatně chráněném počítači vždy může být keyloger. Pokud někdo potřebuje občas pracovat na potenciálně nebezpečných počítačích, možná by bylo nejednodušší, kdyby si na papír vytiskl jednorázová hesla, které by si postupně odškrktával, jak je použije. Kromě jednorázového hesla by si ještě musel pamatovat jiné heslo, které by zadal spolu s jednorázovým.

Aby se někdo mohl nabourat, musel by mít odposlechnuté stálé heslo (to druhé kategorie) + papír s jednorázovými hesly. Papír s předgenerovanými hesly mi přijde lepší, než nějaká aplikace pro android. Ostatně jednorázová hesla bych si mohl uložit jako textovou poznámku do mobilu (klidně chráněné dalším heslem), nebo si ji poslat jako SMS.

Jo a z bezpečného počítače bych se mohl připojit bez této kašpařiny pomocí jiného silného hesla, které nebudu nikdy na nebezpečných počítačích používat - tedy jednorázové heslo nebude nutné.
Zamčeno