Slo-Tech - O nezaščitenosti mobilnih omrežij in enostavnosti prestrezanja sporočil sms smo že večkrat pisali, zato je v resnici presenetljivo, da se je Google šele sedaj odločil, da smsi ne bodo več zadostovali za preverjanje istovetnosti. Google trenutno uporablja smse v dveh primerih: za preveritev prijave v račun z nove lokacije in za preprečevanje množičnega odpiranja novih računov.
To je resda varneje kot uporabljati zgolj uporabniško ime in geslo, a zelo varno v resnici ni. Smsi po omrežjih potujejo brez šifriranja, napadi z zamenjavo SIM pa so zelo preprosti. Zato se je Google odločil, da se od smsov poslovi. Po novem bo uporabljal kode QR, ki jih bomo poskenirali s telefonom. Dodani element varnosti bo tudi zmanjšana možnost socialnega inženiringa, saj je precej enostavno ljudi prepričati, da komu posredujejo šestmestno številko, precej teže pa bo to s kodami QR.
Ob tem so dodali, da želijo sčasoma opustiti tudi gesla. Varnejši pristop so passkeyi. Kdaj bo Google dokončno upokojil smse, niso povedali. Dejali so le, da se bo to zgodilo v naslednjih mesecih. Kdor že danes uporablja dvostopenjsko preverjanje pristnosti, na primer z aplikacijo, spremembe ne bo opazil.
Sam že vrsto let za Google uporabljam dvostopenjsko avtentikacijo z hardwarskim avtentikatorjem YubiKey. Tam, kjer bi si pa res želel tak nivo zaščite, na primer pri spletnem bančništvu, pa na žalost trmasto vztrajajo, da je sms najbolj varen in edini dovoljen način preverjanja...
dvostopenjsko avtentikacijo z hardwarskim avtentikatorjem YubiKey. Tam, kjer bi si pa res želel tak nivo zaščite, na primer pri spletnem bančništvu
SKB, ko je obstajala, je imela HW kalkulatorje
Z združitvijo v OTP se je pa šlo na NKBM platformo (ki je sicer, roko na srce, res boljša od SKB-jevih aplikacij) vključno z SMS-i za potrjevanje...
'Plus' je vsaj to, da app na telefonu bere SMSe in sam izpolni potrditveno kodo. To s kalkulatorjem (oz. z uporabo telefona za potrjevanje, kar je bila kasneje opcija pri SKB) ni možno :)
Sam že vrsto let za Google uporabljam dvostopenjsko avtentikacijo z hardwarskim avtentikatorjem YubiKey. Tam, kjer bi si pa res želel tak nivo zaščite, na primer pri spletnem bančništvu, pa na žalost trmasto vztrajajo, da je sms najbolj varen in edini dovoljen način preverjanja...
Katere banke uporabljajo SMS?
NLB: ne Sparkasse: ne
(pišem za osebni račun)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Sam že vrsto let za Google uporabljam dvostopenjsko avtentikacijo z hardwarskim avtentikatorjem YubiKey. Tam, kjer bi si pa res želel tak nivo zaščite, na primer pri spletnem bančništvu, pa na žalost trmasto vztrajajo, da je sms najbolj varen in edini dovoljen način preverjanja...
Katere banke uporabljajo SMS?
NLB: ne Sparkasse: ne
(pišem za osebni račun)
OTP, v katero so me "prisilili" kot komintenta SKB, prodaja SMSje kot zadnji krik varnosti. Že jeseni sem jim dal par mesecev, da uvedejo tudi kaj varnejšega in ker se ni zgodilo nič, sem v fazi menjave banke.
Sam že vrsto let za Google uporabljam dvostopenjsko avtentikacijo z hardwarskim avtentikatorjem YubiKey. Tam, kjer bi si pa res želel tak nivo zaščite, na primer pri spletnem bančništvu, pa na žalost trmasto vztrajajo, da je sms najbolj varen in edini dovoljen način preverjanja...
Sam že vrsto let za Google uporabljam dvostopenjsko avtentikacijo z hardwarskim avtentikatorjem YubiKey. Tam, kjer bi si pa res želel tak nivo zaščite, na primer pri spletnem bančništvu, pa na žalost trmasto vztrajajo, da je sms najbolj varen in edini dovoljen način preverjanja...
Katere banke uporabljajo SMS?
NLB: ne Sparkasse: ne
(pišem za osebni račun)
OTP, v katero so me "prisilili" kot komintenta SKB, prodaja SMSje kot zadnji krik varnosti. Že jeseni sem jim dal par mesecev, da uvedejo tudi kaj varnejšega in ker se ni zgodilo nič, sem v fazi menjave banke.
Za katero pa, če ni skrivnost? Ker pri slovenskih bankah je vse skupaj fakin minsko polje - nekatere (Gorenjska sploh, kakor slišim) imajo elektronsko poslovanje še bistveno slabše od OTP-ja, hkrati pa so delovni časi poslovalnic popolnoma nekompatibilni s kakršnimkoli normalnim delovnim časom. Da bom pa zaradi banke jemal dopust oz. rihtal delo od doma (ki mi ne diši preveč in se ga poslužujem čim manj) mi pa tudi ni :)
OTP, v katero so me "prisilili" kot komintenta SKB, prodaja SMSje kot zadnji krik varnosti. Že jeseni sem jim dal par mesecev, da uvedejo tudi kaj varnejšega in ker se ni zgodilo nič, sem v fazi menjave banke.
Zadnji krik šparavnosti. Včasih so imeli RSA ključke, pa niso bili dovolj dobri, SMS pa očitno je. Za poslovne imajo svoj 2FA app.
Se oproščam za nadaljevanje OT.. Tudi mene že od prevzema Abanke s strani NKBM zelo moti njihova varnostna politika. Kateri imbecil omeji kakovost gesla na 6 numeričnih znakov?
O 2FA preko SMSa pa škoda izgubljati besede. Poleg omenjenih slabosti izgubi svoj namen na napravi, kjer se prijavljaš s "prvim" faktorjem - kar pa večina uporabnikov počne. Še korak dlje grejo, da "olajšajo" uporabniku 2FA in iz SMS-a preberejo kodo..
Sam že vrsto let za Google uporabljam dvostopenjsko avtentikacijo z hardwarskim avtentikatorjem YubiKey. Tam, kjer bi si pa res želel tak nivo zaščite, na primer pri spletnem bančništvu, pa na žalost trmasto vztrajajo, da je sms najbolj varen in edini dovoljen način preverjanja...
Katere banke uporabljajo SMS?
NLB: ne Sparkasse: ne
(pišem za osebni račun)
OTP, v katero so me "prisilili" kot komintenta SKB, prodaja SMSje kot zadnji krik varnosti. Že jeseni sem jim dal par mesecev, da uvedejo tudi kaj varnejšega in ker se ni zgodilo nič, sem v fazi menjave banke.
Za katero pa, če ni skrivnost? Ker pri slovenskih bankah je vse skupaj fakin minsko polje - nekatere (Gorenjska sploh, kakor slišim) imajo elektronsko poslovanje še bistveno slabše od OTP-ja, hkrati pa so delovni časi poslovalnic popolnoma nekompatibilni s kakršnimkoli normalnim delovnim časom. Da bom pa zaradi banke jemal dopust oz. rihtal delo od doma (ki mi ne diši preveč in se ga poslužujem čim manj) mi pa tudi ni :)
V bistvu sem v fazi "raziskave tržišča", tako da še ne vem. Ena varianta je DH, odkar je Rekono podprl Yubija, hkrati pa še raziskujem, kako dobra rešitev v bistvu je Rekono. Je pa vsekakor boljša od OTP 6-mestnega numeričnega gesla + SMS. Slabše od tega v bistvu ni nič.
Ni ravno certifikat, ampak tak, pogovorno je dovolj blizu.
Je neke vrste osebni CA, če primerjamo z digitalnimi potrdili x509 .
Ja, imaš prav. Javni del ključa sem napačno označil za certifikat. Postopek bi bil tak: - pri registraciji pri ponudniku storitev se na uporabnikovi napravi generira privatni del ključa, ki se zapiše v TPM ali HSM (torej je potreben hardver, tudi novejši telefon je ok) in javni del ključa, ki se pošlje ponudniku storitve - pri logiranju gre potem takole - ko se želi uporabnik prijaviti, strežnik pošlje uporabniku izziv (naključno generiran niz podatkov) - uporabnik na napravi odklene zasebni ključ, običajno z uporabo biometrije (prstni odtis, prepoznavanje obraza) ali PIN-a - naprava uporabi zasebni ključ za podpis prejetega izziva - podpisan izziv se pošlje strežniku - strežnik prejme podpisan izziv in preveri podpis z uporabo javnega ključa, ki je bil shranjen med registracijo - če podpis ustreza, strežnik potrdi da -- uporabnik nadzoruje zasebni ključ -- uporabnik je avtentičen - če je torej avtentikacija uspešna, strežnik uporabniku omogoči dostop do storitve
Kako to poteka v praksi? Primer prijave v Gmail na PC, kjer je privatni ključ shranjen v HSM na telefonu in še dodatno na Yubikeyu: - greš na Gmail in vneseš mail naslov - izbereš način avtentikacije Phone - brskalnik pokaže QR kodo (vsebuje ponudnika in naključno generiran niz podatkov), ki jo poskeniraš - HSM na telefonu podpiše podatke - telefon odpre BT (Bluetooth) povezavo do PCja in brskalniku pošlje podpisane podatke (s tem je apliciran tudi drugi faktor, torej tvoja prisotnost) - brskalnik pošlje podpisane podatke na Gmail, ki jih preveri z javnim ključem in če je vse ok, prideš do mailboxa - za backup imam tudi Yubikey, kjer je zadeva podobna - namesto QR kode za telefon izbereš Hardware key kot način avtentikacije - vtakneš YK v USB in vpišeš pin - dotakneš še senzorja na YK, da potrdiš prisotnost - prideš do mailboxa - izkušnje so po par mesecih uporabe zelo pozitivne, nobenega tipkanja niti password managerjev
