Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Vágd zsebre a jelszavad!

2009.09.02. 15:52 | buherator | 10 komment

(via sekurity_matters) Az RSA OTP token bizonyos körökben státusszimbólumnak számít. Matt Walker találmánya mögött nincs felsőbb matematika, nem merül le, nincs gond az óraszinkronnal, de a hülye is tudja használni, és akár nagy felhasználószám mellett is olcsó. A PassWindow nem más, mint egy kilyuggatott kártyalap, amely egyszerű de nagyszerű birtoklás-alapú védelmet biztosít alkalmazásai számára:

A kártyákon a hétszegmenses kijelzők LED-jeinek megfelelő lyukacskák vannak vágva bizonyos helyeken. A hitelesítést kérő szoftverek szintén ilyen személyre szóló, szegmensekből álló képeket generálnak beléptetéskor. A kártyát a generált kép elé helyezve előtűnik az egyszer használatos számsorozat, amivel beléphetünk. 

A PassWindow legnagyobb hibája talán az, hogy az "ablakok" könnyen és gyorsan lemásolhatók, ezért a komolyabb helyekről valószínűleg nem fogja kiütni a bevált eszközöket, de kisebb biztonságot igénylő alkalmazások esetén nagy fantáziát látok a megoldásban. 

Ez nem egy marketingposzt, egyszerűen tetszik az ötlet :)

PS: Aki nem látta volna, ezt a szokatlan, fapados jelszómenedzsment eszközt is mindenképpen érdemes szemügyre venni!

Címkék: passwindow

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Bit Rot 2009.09.02. 19:16:14

Gondolom az is számít, hogy 12", 15", 17"-es monitoron nézi az illető a webet.

Tehát kell egy 12"-es kártya, egy 15"-es kártya, egy a 16:9-es monitorokhoz, stb.

|Z| 2009.09.02. 21:41:04

Tény hogy a low tech voltához képest majdnem olyan jó mint RSA, de az is tény hogy az OTP tokenek önmagukban már kevesek egy mai fejlett malware ellen. Arra azért kiváncsi vagyok hány különböző kombinációt képes előállítani.

CtrlAltDelMedicoImre 2009.09.02. 22:30:41

ötletes, de csomó baja van. a sima jelszónál talán jobb, OTP tokennél sokkal kevesebb. az innovációt persze értékeljük.

egyébként meg tessék RSA helyett feleannyiért Gemaltot vagy Vascot venni, az előbbinek van vegyes OTP-certificate verziója is

buherator · http://buhera.blog.hu 2009.09.02. 23:44:13

@Bit Rot: Ez inkább felbontásfüggő, és sokkal egyszerűbb, ha a generált képet lehet nagyítani/kicsinyíteni szerintem.

@|Z|: Az egészet széthúzhatod akár két dimenzióra, kiírhatsz más karaktereket, szóval jól skálázható a kulcstér :)

Polemius 2009.09.03. 08:53:10

"Az RSA OTP token bizonyos körökben státusszimbólumnak számítanak."

vagy "tokenek" vagy "számít"

|Z| 2009.09.03. 09:54:45

Most olvasom a teljes speckót, ezek azért érdekes dolgok.

# A tinted or transreflective optical coating over the pattern obscures discrete third party photography of the key pattern.
# Excellent fallback protection for security questions, currently the weakest security link in many authentication systems.

Ezzel azért vitatkoznék :
Unlike sms based authentication your codes are delivered securely over SSL directly to your client, not over unreliable third party telecommunications networks.

Pont ez a baja ennek a Passwindowsnak is, hogy nincs független csatornád tranzakció adatok ellenőrzésére jóváhagyás előtt. Ha malware benne van a böngészőben, akkor eléggé game over ez a megoldás is - sajnos.

SMS-nél ok, hogy törhető meg rainbow table meg A5, de kevés támadó fér hozzá egyszerre vkinek a gépéhez meg SMS forgalmához. Szerintem. Mindenesetre tetszik, ötletes, és árához képest nagyon jó.

buherator · http://buhera.blog.hu 2009.09.03. 10:01:52

@|Z|: Miért, ha a malware hijack-eli a böngésződet, az SMS tokennel sem érsz sokat.

Az meg egyébként szerintem nem ér sokat, hogy lefóliázzák, mert így legfeljebb véletlenül nem adod ki a kódodat, de ha elcsenik a kártyát, csak egy fényforrás kell, hogy le tudják fotózni pl. A hivatalos site egyébként tényleg tele van bullshittel, de ár-érték arányban engem meggyőzött az elgondolás, főleg, hogy ezt kis ráfordítással bárki meg tudja csinálni magának.

r@ek (törölt) 2009.09.03. 10:04:40

@Polemius: Latom sikerult megragadnod a post lenyeget...

|Z| 2009.09.08. 16:50:25

Pontosítanám az előző posztomat:
1. Igen, másolható, 1-2 módszerrel nem másolható, másik 3-al igen.

2. SMS-nél megvan a lehetőség arra, hogy a tranzakció jóváhagyása előtt SMS-ben megkapd a tranzakció adatait, és ha megfelel (ergo ugyanaz mint szeretnél utalni), akkor hagyod jóvá az sms-ben kapott kóddal. Itt ha csak a malware van a böngésződben, de senki gonosz nincs a mobil forgalmadban/telefonodban, akkor minden rendben. Az a kód/akárki aki/ami egyszerre van a böngészőmben meg bank -> SMS kijelző forgalmamban, annak nagyobb hatalom van a kezében mint hogy lakossági netbankkal babráljon. Szerintem.

Gyakorlatilag az a rendszer, ahol nem látod egy "nem fertőzött" "rendszeren" keresztül a tranzakció adatokat jóváhagyás előtt, az nem sokat ér a mai malware ellen.

Hogy ne csak a levegő beszéljek:
www.owasp.org/index.php/Testing_Multiple_Factors_Authentication_%28OWASP-AT-009%29

Ár/érték arányban azonban továbbra is verhetetlen.

accipiter · http://www.pallas70.hu/tanfolyam/szemelyugyi-gazdalkodo-es-fejleszto-kepzes.php 2009.09.21. 12:13:53

Egyáltalán nem vagyok otthon a számítástechnikában, úgyhogy csak érdeklődő szintjén tudok hozzá szólni a témához és így azt kell mondanom, hogy ez roppant ötletes dolog. :) Nem a szokásos kaparós felület.