Jak bezpečné jsou nové formy zabezpečení?

Dvoufázové ověřování není nový koncept, i když je velcí provozovatelé služeb v poslední době neustále prezentují jako nejmodernější přírůstek v balíčku zabezpečení, který nabízejí uživatelům i jejich datům. V poslední době to například byl Google a Microsoft, ale jako vždy nasazování podobných technologie probíhá nejprve na důležitých trzích a my menší přijdeme na řadu až později.

Dvoufázové ověřování typicky spoléhá na dva faktory: něco, co uživatel ví a něco, co uživatel vlastní. V případě platební karty je to tedy (v daném pořadí) znalost PINu a fyzické držení karty. Při příkazech prováděných přes počítač je potom přítomnost fyzického faktoru možno otestovat například na připojení zařízení USB/tokenu.

Jakákoli bezpečnost navíc nemůže uškodit, ale dvoufázové přihlášení téměř vůbec nepomáhá v tom nejtypičtějším případě útoku, kdy je kompromitován počítač uživatele. V takovém popřípadě škodlivý software vidí vše, co se na počítači děje, a přinejmenším se může dostat k informacím v bankovních příkazech.

Biometrie budí dojem skutečně sofistikované technologie, ale tuhle její pověst buduje především filmový průmysl. Čím komplikovanější biometrický prvek je snímán, tím komplikovanější je snímací zařízení. Cesta k oklamání bývá přitom velmi primitivní. U prvních optických snímačů otisků prstů stačila fotografie prstu, pozdě vodivý roztok, který „oživil“ mastný pozůstatek předchozího otisku. Podobně úspěšné jsou fotografie oční sítnice.

Mnohem znepokojivější je fakt, že zatímco zneužitou platební kartu si prostě necháme vyměnit, u vlastních částí těla se nám to (většinou) nepodaří. A raději nemyslet na neustále rostoucí agresivitu útočníku v reálném životě, někteří by nepochybně neměli žádné morální dilema při rozhodování, jestli si váš prst nevzít s sebou a neobejít s ním pár bankomatů.

Heuristika je metoda hledání problémů na základě pozorování chování daného děje, aniž bychom měli detailnější znalosti a chápání procesů za tímto dějem. Svého času byla považována za záchranu antivirového průmyslu. Stále pokročilejší metody virů se ale dokázaly účinně ukrývat před objevením na základě kontrolních součtů či celých instrukčních bloků. Tentýž exemplář malwaru mohl díky polymorfním technikám vypadat pokaždé jinak.

Bohužel, sledování podezřelého chování vede k mnoha falešným poplachům a popravdě řečeno, heuristické metody tu s námi jsou téměř dvacet let bez jakéhokoli pozorovatelného vlivu na svět malwaru. O těch biometrických lze říci totéž a dvoufázové metody se kupodivu prosazují až v poslední době, možná proto, že provozovatel má potíže s ověřením nezávislého fyzického faktoru. Například proto, že ho poslání SMS na uživatelem vlastněný telefon stojí peníze.