Budeme se k online službám přihlašovat šifrovacím USB donglem?

Karel Michal , 23. září 2013 10:00 0 komentářů
Rubriky: Cloud, Security, Internet
Budeme se k online službám přihlašovat šifrovacím USB donglem?

Ač to zní možná podivně, je to klidně možné. Dlouhodobý problém se slabým zabezpečením čím dál komplexnějších online služeb a hlavně uživatelská nezodpovědnost trápí nejednoho provozovatele. Je teď celkem jedno, zda li se jedná o do cloudu převedené klasické firemní aplikace, služby typu Google Apps, nebo přihlášení do vašeho oblíbeného e-shopu.

Teoretických řešení se již objevilo hodně, nejčastější formou jsou různé kanály dvoufaktorového přihlašování, jenže to někdy dost otravuje a tak se hledá dál.

Zatím většina skrze web dostupných služeb využívá jako dominantní způsob ověření pouhé přihlášení heslem. Tento způsob ověření má hned několik slabin, je nepohodlný a to svádí uživatele k používání slabých hesel, klade nároky na uživatelovu paměť, což se projevuje nejčastěji sdílením hesel skrze jednotlivé služby a tím vytváření zbytečně velkého rizika zranitelnosti. Obzvláště, pokud uživatel používá stejné heslo pro přístup do e-mailu, nebo na Facebook a zároveň do všech e-shopů a ke svému bankovnímu účtu. Hesla jsou vedle rizika uhodnutí zranitelná škálou útoků, které sahají od odcizení databáze hesel a jejich rozluštění hrubou silou až po odchycení během zadávání na klávesnici či během přenosu.

Některé služby řeší problém dvoufaktorovou autentizací, ale ta je vhodná pouze tam, kde se uživatel nepřihlašuje příliš často (typicky bankovní účet). Přesto dvoufaktorovou autentizaci podporují také některé nativní online služby, Google například již déle podporuje přihlášení skrze jednorázový kód podle standardu OATH, ten je většinou generován aplikací na Android telefonu, nebo klasicky zasílán přes SMS. Faktem zůstává, že komplikace ve formě mezikroku vede většinu uživatelů k ignoraci této možnosti.

Jistou alternativou je také používání programů na správu hesel, jenže ta díky vysoké koncentraci hesel do různých služeb představují riziko samo o sobě.

Jak z toho ven

Přihlašovací USB klíčů; foto:Google
Přihlašovací USB klíčů; foto:Google
Se zajímavým konceptem přišla americká internetová společnost Google, chce, aby se uživatelé začali přihlašovat k jejím službám prostřednictvím kryptografického USB klíče.

Google zatím otestoval službu, kterou by chtěl uživatelům zpřístupnit již v příštím roce, s USB klíči společnosti Yubico a to pouze na svých zaměstnancích. Yubico vyrábí klíče, které vytvářejí kryptograficky zabezpečené jednorázové tokeny, klíče z pohledu machine to machine tváří jako USB klávesnice, která po uživatelském impulzu vloží kód při dotazu na přihlášení.

Pouze pro Chrome?

Společnost podporu technologie zabudovala do experimentální verze prohlížeče Chrome, zatím není zřejmé, zda li po uvolnění pro veřejnost API otevře také dalším prohlížečům. Chrome s integrovanou technologií se chová tak, že dovolí přihlášení prostřednictvím klíče k uživatelovu Google účtu, teoreticky je prý ale možné jej bez složitějších zásahů využít také k přihlášení do dalších služeb třetích stran.


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 1 komentářů

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Starší zprávičky

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů

Rozšířená realita bude za pár let běžnou záležitostí

ČTK , 17. srpen 2017 12:58

Za pět, šest let bude běžné, že si turisté při návštěvě zahraničních metropolí nasadí speciální brýl...

Více 0 komentářů

Podíl internetových kurzových sázek v ČR loni vzrostl na 88 %

ČTK , 17. srpen 2017 10:00

Velký podíl na internetových sázkách tvoří live sázky, které lze uzavírat opakovaně v průběhu zápasu...

Více 0 komentářů