Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Stowarzyszenie FIDO chce zrewolucjonizować uwierzytelnianie w Internecie

exti 17 Feb 2013 11:57 6204 22
  • Stowarzyszenie FIDO chce zrewolucjonizować uwierzytelnianie w InternecieLenovo, PayPal i cztery inne firmy powołały do życia Stowarzyszenie FIDO (Fast Identity Online), mające na celu zrewolucjonizowanie uwierzytelniania w Internecie. Według nich, obecne systemy uwierzytelniania bazujące na hasłach mają wiele słabych punktów wykorzystywanych przez złośliwe oprogramowanie i techniki phishingowe, a nierzadko też te same hasła są stosowane na różnych serwisach.

    FIDO natomiast proponuje podejście oparte o opracowany przez siebie standard. W momencie, gdy zachodzi potrzeba ustanowienia nowego hasła, automatycznie jest wykrywane urządzenie zgodne ze standardem FIDO i użytkownik dostaje możliwość zastąpienia hasła bezpieczniejszą metodą uwierzytelniania. Takim urządzeniem może być na przykład skaner linii papilarnych lub sprzęt do rozpoznawania twarzy czy głosu. Ostatecznym celem FIDO jest przeforsowanie jednolitego, uniwersalnego sposobu uwierzytelniania. Wspomniany standard skonstruowano tak, aby było możliwe wykorzystanie przyszłych innowacji w dziedzinie bezpieczeństwa oraz dostosowanie procesu uwierzytelniania do specyficznych potrzeb różnych organizacji.

    Źródło:
    http://www.itproportal.com/2013/02/14/paypal-...words-with-more-secure-online-authentication/

    Cool! Ranking DIY
    Trendy 2021 w branży Internetu rzeczy [Webinar 02.07.2021, g.12.00]. Zarejestruj się za darmo
    About Author
    exti
    Level 32  
    Offline 
    exti wrote 2385 posts with rating 127, helped 6 times. Live in city Gliwice. Been with us since 2008 year.
  • Farnell IoTFarnell IoT
  • #2
    elektryku5
    Level 38  
    Ojj, czy to czytnik czy coś innego, to i tak prędzej czy później ktoś znajdzie sposób, żeby to obejść.

    Rozpoznawanie głosu w tym wszystkim wydaje się najmniej bezpieczne, można kogoś "nagrać", troszeczkę powycinać pozmieniać, itd i po zabezpieczeniu...
  • Farnell IoTFarnell IoT
  • #3
    daavid117
    Level 42  
    Gdyby ludzie korzystali z bezpiecznych haseł, to nie byłoby problemu. Jak kto głupi to i czytnik linii papilarnych w parze ze skanerem siatkówki nie pomoże.
  • #4
    darmodziej
    Level 10  
    Można nagrać, owszem, ale jeżeli rozpoznawana osoba ma przeczytać to, co się wyświetli na ekranie i na dodatek w określonym, krótkim czasie, to nagranie już nie przejdzie.
  • #5
    Matyk
    Level 11  
    Ten system uwierzytelniania zdaje się mieć tylko jeden słaby punkt. Mianowicie gdy przychodzi do uwierzytelniania przestępca "emuluje" spreparowane urządzenie zgodne ze standardem FIDO które zawsze potwierdza tożsamość. Żeby się przed tym zabezpieczyć dane tożsamości musiały by być zapisywane na serwerach, a tu pojawia się kolejny problem. Przy rejestracji musiał bym mieć dostęp do x rodzajów urządzeń (czytnik linii papilarnych, mikrofon, rozpoznawanie twarzy, skaner siatkówki itp.) żeby potem móc skorzystać do zalogowania się z tego urządzenia FIDO które akurat będzie dostępne.
    Moja konkluzja jest taka, standaryzacja urządzeń do autoryzacji i wyposażenie ich w spójny interfejs, jak najbardziej tak. Ale proponowane wykorzystanie już nie do końca.
  • #6
    hki
    Level 20  
    nie ma lepszej metody uwierzytelniania niz zwrotny sms. NIE da sie w pelni zabezpieczyc uwierzytelniania przy uzyciu jednego urzadzenia (np komputera). Czy to bedzie loger wpiety w klawiature, czy logger wpiety w urzadzenie fido...

    i jesli nawet w tych urzadzeniach byloby kodowanie danych to i tak mozna podmienic urzadzenie i skopiowac sygnal zrodlowy.
  • #7
    adam1987
    Level 18  
    Nie zgodzę się z Waszymi obawami. Tym zajmują się specjaliści od bezpieczeństwa, a nie politycy ;-)
  • #8
    Xaveri
    Level 17  
    Najfajniejsze to są hasła jednorazowe wysyłane SMSem na z góry ustawiony numer telefonu i regularne sprawdzanie użytkownika czy nadal do niego ten numer należy / czy mu phona nie skroili/ i tyle.
  • #9
    soki
    Level 17  
    Również, jak przedmówcy uważam że najlepsze byłoby uwierzytelnianie za pomocą dwóch urządzeń. Tak jak komputer z zapisanymi w przeglądarce hasłami to pierwsze słabe ogniwo, to drugie urządzenie (telefon, tablet, token - które użytkownik zwykł posiadać przy sobie) sprawę włamania znacznie komplikuje. A wymyślanie identyfikacji za pomocą głosu, skanowania siatkówki czy czytnika linii papilarnych to nie jest wg. mojej opinii zbyt dobry pomysł.
  • #10
    manekinen
    Level 29  
    No tak, bo przecież złośliwe oprogramowanie nie potrafi ingerować w oprogramowanie np takiego skanera linii papilarnych albo nawet go emulować :D Wszystkie lokalne zabezpieczenia jakie powstają są na bieżąco łamane. Chyba że skaner taki będzie miał moduł ethernetowy i będzie wysyłał informacje szyfrowanym kanałem bezpośrednio do strony na której chcemy się uwierzytelnić, ale to przerost formy nad treścią bo wyżej wspomniana komórka i hasło sms dają już spory poziom bezpieczeństwa, atakujący musiałby przejąć naszą komórkę lub ją zainfekować.
  • #11
    daavid117
    Level 42  
    manekinen wrote:
    atakujący musiałby przejąć naszą komórkę lub ją zainfekować.
    Co w dobie rozbudowanych systemów operacyjnych w dzisiejszych smartphone jest całkiem wykonalne... Fakt, trudne, ale gdy chodzi o wykradanie danych dotyczących sporych sum, to nie ma rzeczy niemożliwych i ludzi, którzy by się tego nie podjęli.

    Nie ma cudownych zabezpieczeń, ale o tym koledzy już zapewne wiecie.
  • #13
    koczis_ws
    Level 27  
    Z długimi hasłami jest taki problem, że trudno je zapamiętać, a jeśli się kojarzą z jakimiś danymi użytkownika to można je odgadnąć. Natomiast hasło typu : "nkjbasjfcsa6569887asdcvgb" na 100 % trzeba by gdzieś zapisać a to zmniejsza jego bezpieczeństwo.
    Ale co z tego, że mamy skomplikowane hasło skoro na wyjściu urządzenia jest tylko tak lub nie. :)
  • #14
    hki
    Level 20  
    Jedynym rozwiazaniem ktory przychodzi mi do glowy i zdaloby egzamin jest gardwarowe niezalezne urzadzenie w laptopie do autoryzacji. Czyli mamy nizalezny uklad odpowiadajacy za autoryzacje ktory jest odseparowany od oprogramowania itp. czyli np tak jak kolega wyzej napisal dodatkowe urzadzenie ethernetowe.

    nie zmienia to faktu, ze przy takim rozwiazaniu wystarczylyby same hasla bo haslo same w sobie ciezko zlamac poprzez bruteforce, problem zabezpieczen polega na ich przechwytywaniu.

    czyli laptop ma hardware do autoryzacji np na virtualnym adresie ip, soft pyta o autoryzacje i ja otrzymuje lub nie.

    co do przechwycenia nie trzeba sie obawiac bo mozna to tak przeliczyc ze mala jest szansa na podrobienie...

    zobaczcie np system seca w telewizjach satelitarnych, latami podsluchiwali, wiedzieli co leci miedzy karta a dekoderem i dopiero gdy wyciekly dane udalo sie zlamac..

    uklady hardware maja to do siebie ze mozna zapisac program w scalaku tak ze przy probie odczytu ulega on uszkodzeniu.

    Dodano po 1 [minuty]:

    reasumujac, proste, tanie, sprawne...
  • #15
    gbd.reg
    Level 21  
    Myślę, że twórcy tego standardu nie są aż tak głupi, żeby po prostu czytnik przesyłał informację tak/nie lub inną łatwą do podrobienia. Prostym już mechanizmem zabezpieczenia będzie algorytm generowania kluczy jednorazowych przez urządzenie autoryzacyjne, oparty na wykrytym użytkowniku, gdzie te klucze będą ważne przez określony czas (popatrzcie np. na aplikację Google Authenticator). Hacker, aby emulować teraz takie urządzenie musiałby złamać ten algorytm i dodatkowo zdobyć dane o użytkowniku potrzebne do wygenerowania klucza. System prosty i skuteczny :)
  • #16
    adam1987
    Level 18  
    koczis_ws wrote:
    Ale co z tego, że mamy skomplikowane hasło skoro na wyjściu urządzenia jest tylko tak lub nie.
    No widzisz, tak jak kolega wyżej napisał, ludzie którzy to robią nie są idiotami ani ignorantami. Jak sama nazwa wskazuje, system ma służyć do uwierzytelniania, a nie autoryzacji - różnica polega na tym, że użytkownik się uwierzytelnia (identyfikacja + weryfikacja), a serwer autoryzuje dostęp do usługi (odpowiedź tak/nie).
  • #17
    manekinen
    Level 29  
    daavid117 wrote:
    manekinen wrote:
    atakujący musiałby przejąć naszą komórkę lub ją zainfekować.
    Co w dobie rozbudowanych systemów operacyjnych w dzisiejszych smartphone jest całkiem wykonalne...

    Tak, pisałem to z taką świadomością, jednak atak musiałby być skierowany na konkretną osobę której trzeba będzie zainfekować i komputer i telefon co wymaga trochę pracy - głównie socjotechniki - choć ostatnie udane ataki na tłiterki i fejsbuczki pokazują że wszystko się da zrobić :)

    Co do haseł:
    Stowarzyszenie FIDO chce zrewolucjonizować uwierzytelnianie w Internecie

    Do tego dowalić jakieś cyfry w połowie któregoś wyrazu, żaden brutforce tego nie ugryzie, a zapamiętać się da.
  • #18
    REVISOR
    Level 25  
    Hehe , hasła sms tez już są do bani. Wyobraźcie sobie posiadaczy smartphonów, wchodzisz na stronę banku na swoim smartfoniku, chcesz zrobić przelew i bank wysyła hasło jednorazowe zgadnijcie gdzie?? Na ten sam smartfon. Sam tak kiedyś robiłem zanim zdałem sobie z ryzyka jakie z tym się wiąże. Gość kroi telefon i ma dostęp do wykonywania przelewów, jak zna ofiarę to załatwienie sobie loginu i hasła do konta bankowego to bułka z masłem i wystarczy juź tylko przechwycić telefon choćby na parę minut.
  • #19
    krru
    Level 33  
    Bruteforce jest mocno przereklamowany. To może ma sens w sytuacji gdy np. posiadamy zaszyfrowany plik haseł i probujemy go złamać na własnym komputerze. Przy dostępie zdalnym, gdy jedynie wysyłamy próbę i otrzymujemy odpowiedź dość oczywistym zabezpieczeniem jest limit prób zalogowania się na jedno konto do np. 1 na sekundę. Dodatkowo można zastosować (taki mechanizm działał np. w systemie VMS ze 20 lat temu) blokadę konta na jakiś czas po kilku nieudanych próbach zalogowania się - ale blokadę niewidoczną dla uźytkownika.
    Długie hasła, 'human readable' , mają tę wadę, że trudno je wklepać bez błędu, a przecież hasła wpisuje się na ślepo. Krótkie hasła pamięta się 'w palcach' - wtedy nie jest ważne, czy ono jest czytelne, czy nie.
  • #20
    Tommy82
    Level 40  
    adam1987
    Problem jest obiektywny.
    Jak będziesz się autoryzował palcem to jest ryzyko ze go Ci ktoś obetnie.
    Z jednej strony powinieneś mieć system autoryzacji pod ręką z drugiej pod kontrolą.
    System powinien być rozproszony ale wymagać czynnego udziału wyobraź sobie sytuacje ze autoryzujesz się przez zewnętrzny serwer. Jak ktoś go skompromituje jest się w stanie autoryzować jako Ty.
    Wiele technologi kiedyś uważanych za bezpieczne dziś takie z różnych względów nie są.

    Podobnie nasz nowy dowodzik biometryczny z kluczami. Jeśli ktoś mi zawinie taki dowodzik to dziki temu dowodzikowi będzie mną. Dla cyfrowego swiata to dowodzik de facto będzie mną nie ja.

    koczis_ws
    aLaMaKoTaAkOtMaGiWeReAbO5%
    Powodzenia w zgadywaniu ;)

    manekinen
    Jesli personalizuje się reklamę nic nie stoi na przeszkodzie żeby personalizować ataki.
    Albo inaczej nic nie stoi na przeszkodzie żeby zastosować strategie powiedzmy totalnego ataku na komputery i smartfony i łowienie z tych zbiorów powiązań. Do takiego ataku można podść od dupy strony. Liczy się sukces a nie to od której strony podchodzimy. Albo jeszcze inaczej można atakowac powiązania komputera ze smartfonem.
  • #21
    koczis_ws
    Level 27  
    Tommy82 wrote:
    adam1987
    ...

    koczis_ws
    aLaMaKoTaAkOtMaGiWeReAbO5%
    Powodzenia w zgadywaniu ;)

    ....


    Super, tylko nie takie skojarzenia miałem na myśli tylko raczej typu data ślubu czy urodzin albo tym podobne, a takich haseł jest niestety sporo. ;)
  • #22
    adam1987
    Level 18  
    Tommy82 wrote:
    wyobraź sobie sytuacje ze autoryzujesz się przez zewnętrzny serwer. Jak ktoś go skompromituje jest się w stanie autoryzować jako Ty.
    Tak działa OpenID. Owszem jest pewne ryzyko, ale w przypadku niezbyt krytycznych usług sprawdza się świetnie. Wszystko to opiera się na zaufaniu, musisz czemuś zaufać, żeby móc czemuś innemu nie ufać :) Jeśli logujesz się do banku, to musisz ufać bankowi, ale też swojemu komputerowi, systemowi i przeglądarce. Jeśli w(y)płacasz pieniądze do/z bankomatu, to też musisz mu ufać. Korzystając gdziekolwiek z cyfrowych certyfikatów też musisz ufać ich wydawcom, że dobrze pilnują prywatnych kluczy, itd.

    Tommy82 wrote:
    Podobnie nasz nowy dowodzik biometryczny z kluczami. Jeśli ktoś mi zawinie taki dowodzik to dziki temu dowodzikowi będzie mną. Dla cyfrowego swiata to dowodzik de facto będzie mną nie ja.
    To już zależy, jak będziemy tego dowodu używać. Jak sama nazwa wskazuje, dowód tożsamości służy do potwierdzania tożsamości, a nie do identyfikacji. Jeśli osobnik identyfikuje siebie jako Jan Kowalski, to dowód powinien służyć do weryfikacji tej tezy, do czego potrzebne są dane biometryczne (im więcej tym lepiej). Niestety często zakłada się, że posiadacz dowodu jest jego właścicielem (np. przesłanie do banku ksera dowodu osobistego). Dlatego jeśli dowód będzie miał możliwość składania podpisu elektronicznego, to powinien każdorazowo wymagać potwierdzenia tożsamości jego posiadacza - tak samo jak np. wybierając pieniądze z bankomatu trzeba podać PIN (rodzaj biometrii bazujący na naszej pamięci), a w nowszych maszynach już można potwierdzać skanem naczyń krwionośnych palca (palca nie można odciąć).
  • #23
    gsmline
    Level 24  
    A po dobrej imprezie ;] to i poczty nie przeczytasz ani przelewu nie zrobisz ;]