(via sekurity_matters) Az RSA OTP token bizonyos körökben státusszimbólumnak számít. Matt Walker találmánya mögött nincs felsőbb matematika, nem merül le, nincs gond az óraszinkronnal, de a hülye is tudja használni, és akár nagy felhasználószám mellett is olcsó. A PassWindow nem más, mint egy kilyuggatott kártyalap, amely egyszerű de nagyszerű birtoklás-alapú védelmet biztosít alkalmazásai számára:
A kártyákon a hétszegmenses kijelzők LED-jeinek megfelelő lyukacskák vannak vágva bizonyos helyeken. A hitelesítést kérő szoftverek szintén ilyen személyre szóló, szegmensekből álló képeket generálnak beléptetéskor. A kártyát a generált kép elé helyezve előtűnik az egyszer használatos számsorozat, amivel beléphetünk.
A PassWindow legnagyobb hibája talán az, hogy az "ablakok" könnyen és gyorsan lemásolhatók, ezért a komolyabb helyekről valószínűleg nem fogja kiütni a bevált eszközöket, de kisebb biztonságot igénylő alkalmazások esetén nagy fantáziát látok a megoldásban.
Ez nem egy marketingposzt, egyszerűen tetszik az ötlet :)
PS: Aki nem látta volna, ezt a szokatlan, fapados jelszómenedzsment eszközt is mindenképpen érdemes szemügyre venni!
Bit Rot 2009.09.02. 19:16:14
Tehát kell egy 12"-es kártya, egy 15"-es kártya, egy a 16:9-es monitorokhoz, stb.
|Z| 2009.09.02. 21:41:04
CtrlAltDelMedicoImre 2009.09.02. 22:30:41
egyébként meg tessék RSA helyett feleannyiért Gemaltot vagy Vascot venni, az előbbinek van vegyes OTP-certificate verziója is
buherator · http://buhera.blog.hu 2009.09.02. 23:44:13
@|Z|: Az egészet széthúzhatod akár két dimenzióra, kiírhatsz más karaktereket, szóval jól skálázható a kulcstér :)
Polemius 2009.09.03. 08:53:10
vagy "tokenek" vagy "számít"
|Z| 2009.09.03. 09:54:45
# A tinted or transreflective optical coating over the pattern obscures discrete third party photography of the key pattern.
# Excellent fallback protection for security questions, currently the weakest security link in many authentication systems.
Ezzel azért vitatkoznék :
Unlike sms based authentication your codes are delivered securely over SSL directly to your client, not over unreliable third party telecommunications networks.
Pont ez a baja ennek a Passwindowsnak is, hogy nincs független csatornád tranzakció adatok ellenőrzésére jóváhagyás előtt. Ha malware benne van a böngészőben, akkor eléggé game over ez a megoldás is - sajnos.
SMS-nél ok, hogy törhető meg rainbow table meg A5, de kevés támadó fér hozzá egyszerre vkinek a gépéhez meg SMS forgalmához. Szerintem. Mindenesetre tetszik, ötletes, és árához képest nagyon jó.
buherator · http://buhera.blog.hu 2009.09.03. 10:01:52
Az meg egyébként szerintem nem ér sokat, hogy lefóliázzák, mert így legfeljebb véletlenül nem adod ki a kódodat, de ha elcsenik a kártyát, csak egy fényforrás kell, hogy le tudják fotózni pl. A hivatalos site egyébként tényleg tele van bullshittel, de ár-érték arányban engem meggyőzött az elgondolás, főleg, hogy ezt kis ráfordítással bárki meg tudja csinálni magának.
r@ek (törölt) 2009.09.03. 10:04:40
|Z| 2009.09.08. 16:50:25
1. Igen, másolható, 1-2 módszerrel nem másolható, másik 3-al igen.
2. SMS-nél megvan a lehetőség arra, hogy a tranzakció jóváhagyása előtt SMS-ben megkapd a tranzakció adatait, és ha megfelel (ergo ugyanaz mint szeretnél utalni), akkor hagyod jóvá az sms-ben kapott kóddal. Itt ha csak a malware van a böngésződben, de senki gonosz nincs a mobil forgalmadban/telefonodban, akkor minden rendben. Az a kód/akárki aki/ami egyszerre van a böngészőmben meg bank -> SMS kijelző forgalmamban, annak nagyobb hatalom van a kezében mint hogy lakossági netbankkal babráljon. Szerintem.
Gyakorlatilag az a rendszer, ahol nem látod egy "nem fertőzött" "rendszeren" keresztül a tranzakció adatokat jóváhagyás előtt, az nem sokat ér a mai malware ellen.
Hogy ne csak a levegő beszéljek:
www.owasp.org/index.php/Testing_Multiple_Factors_Authentication_%28OWASP-AT-009%29
Ár/érték arányban azonban továbbra is verhetetlen.
accipiter · http://www.pallas70.hu/tanfolyam/szemelyugyi-gazdalkodo-es-fejleszto-kepzes.php 2009.09.21. 12:13:53