Re: Náměty na vylepšení 4smart
Napsal: pát 20. lis 2015 7:40:05
Ještě poslední offtopic :: Mě šlo o to, že jak k heslu tak i k SMS je v dnešní době možné celkem jednodušše přistoupit digitálně. Neberu v potaz případy zkoušení hesla, tam je mi jasné, že po pár pokusech se to blokne. Myslel jsem případ, kdy jdu na jistotou - heslo jednoduše vykradu z prohlížeče/password manageru, SMS se dnes začínají synchronizovat přes cloudy a třeba u iPhonů je dnes už naprosto běžné, že SMS je dostupná z toho samého zařízení, kde je uloženo heslo. A tohle už se bude jenom zhoršovat, tuším že Android na synchronizaci SMS zpráv s PC taky něco chystá. Tím se z SMS stává nevhodný prostředek, protože už se nejedná o dvoufaktor, ale pouze o dvakrát zadání hesla ovšem z jednoho zařízení (už nemusím mít telefon u sebe, není to tedy že něco vím a něco mám, spíše 2x vím...)
A uživatel si tohle nebezpečí obvykle ani neuvědomí (že má zaplý někde nějaký sync) a připadá si bezpečně - přitom ke zneužití např. i int. bankovnictví a podobně v tu chvíli stačí jednoduchý vzdálený přístup na PC (plus si ještě připočítejte kolik lidí má celé PC přístupné bez jakéhokoliv hesla - nebude jich málo). To je důvod, proč v dnešní době smartphonů již SMS token označuji za parodii, dříve se to jako fyzický token chovalo, dnes už ne. Proto si myslím, že OTP token je lepší řešení - vrací to ten stav, že ten telefon nebo opravdový fyz. token prostě musím mít v ruce. Odborník si tohle pohlídá, ale obecně pro běžné uživatele už SMS opravdu není bezpečná, i když je nejjednodušší na použití i instalaci u uživatele...
(A to ještě nezapočítávám možné cílené útoky na smartphone, kdy pak nepomůže ani svěcená voda nebo ten OTP token - a že u Androidu to při cíleném útoku asi nebude nějaký zásadní problém se tam dostat.)
A uživatel si tohle nebezpečí obvykle ani neuvědomí (že má zaplý někde nějaký sync) a připadá si bezpečně - přitom ke zneužití např. i int. bankovnictví a podobně v tu chvíli stačí jednoduchý vzdálený přístup na PC (plus si ještě připočítejte kolik lidí má celé PC přístupné bez jakéhokoliv hesla - nebude jich málo). To je důvod, proč v dnešní době smartphonů již SMS token označuji za parodii, dříve se to jako fyzický token chovalo, dnes už ne. Proto si myslím, že OTP token je lepší řešení - vrací to ten stav, že ten telefon nebo opravdový fyz. token prostě musím mít v ruce. Odborník si tohle pohlídá, ale obecně pro běžné uživatele už SMS opravdu není bezpečná, i když je nejjednodušší na použití i instalaci u uživatele...
(A to ještě nezapočítávám možné cílené útoky na smartphone, kdy pak nepomůže ani svěcená voda nebo ten OTP token - a že u Androidu to při cíleném útoku asi nebude nějaký zásadní problém se tam dostat.)