Autentizace životem

Koncept ochrany přístupu k webové aplikaci měl být založen spíše na činnosti jednotlivce než na faktech (která lze zjistit). Doporučenou kontrolní otázkou není místo narození, ale např. Kdy jste naposledy odeslali e-mail?


Průlomy do webových účtů se mnohdy realizují přes otázku, která je uživateli položena při zapomenutí hesla.

Velký problém je, zda se pak nově vygenerované heslo zašle e-mailem na adresu zadanou při založení účtu, nebo se rovnou zveřejní ve webovém dialogu. První varianta je bezpečná, ale vyžaduje po uživateli pamatovat si alespoň heslo ke staršímu (a mnohdy již nepoužívanému) účtu. Pokud dojde k druhé variantě, pak je ovšem otázka, na co se ptát. Jméno matky za svobodna nebo místo narození už dnes představuje jen velmi omezený stupeň ochrany, mnohé lze dohledat.

Čili, tvrdí výzkumníci, by koncept ochrany měl být založen spíše na činnosti jednotlivce než na faktech (která lze zjistit). S tím alespoň přišla Danfeng Yao z Rutgers School of Arts and Sciences v New Yersey. Jako příklad uvádí kontrolní otázky: Kdy jste naposledy odeslali e-mail nebo Co jste dělali včera v poledne? Na takovéto otázky by útočník mohl obtížněji získat odpověď. Z výsledku odolnosti jednotlivých otázek vůči dohledání či uhádnutí navíc vyšlo, že nejhůře prolomitelné jsou dotazy vztahující se ke konkrétnímu času (Kdy jste odeslali poslední e-mail? oproti Komu jste odeslali poslední e-mail?).

 

Zdroj: ScienceDaily

 

Poznámky:

- Paměť se v některých koncepcích rozlišuje na epizodickou (zážitky, osobní) a sémantickou (fakta). Z tohoto pohledu je rozlišení logické: někdo může zjistit dejme tomu rodné číslo, ukrást občanský průkaz, ale neví, co dotyčný včera večeřel. Jenže vzhledem k fenoménu sociálních sítí tyto informace poněkud splývají.

Viz také článek Paměť osobní a neosobní na ScienceWorldu.

- Jak by vůbec systém měl poznat správnou odpověď na takovou otázku, to by to člověk měl zadávat každý večer před usnutím do systému znovu? Z výše uvedených otázek dává smysl ta na poslední odeslání e-mailu, zde by systém znal odpověď automaticky. On-line banka by se mohla podobně ptát na poslední přístup k účtu. Jenže -jak přesná by odpověď musela být? Navíc odpověď připouští jen několik možností, vesměs vyjádřitelných číslem – byl by takový systém bezpečný před útokem hrubou silou?

Čili zdá se, že funkčnost nesouvisí ani tak se samotným konceptem, ale s konkrétní implementací.

 











Komentáře