Végre rendbe teszik a kétfaktoros azonosítást

Az emberek véleményét és javaslatait ma már nem vitafórumokon jegyzik fel, a szabványügyi hivatal a GitHubon ötletel.

A kétlépcsős azonosítás alapértelmezésének térnyerése még mindig folyamatban van, a legelterjedtebb megoldás pedig a jelszó mellé generált, SMS-ben kiküldött, csak adott ideig felhasználható másodlagos kód. Ez a megoldás azonban nem tökéletes, és nem is eléggé körülhatárolt.

Hirdetés

Az, hogy mennyire biztonságos egy olyan technológiát használni a biztonság növelésére, amelyik köztudottan sebezhetőséget tartalmaz a hálózati protokollban, illetve a kanyarból már látszó mobilhálózati virtualizáció idején, foglalkoztatja az amerikai Országos Műszaki és Szabványügyi Intézet (National Institute of Standards and Technology, NIST) munkatársait is, akik egy tényleg modern eszközhöz nyúltak a kérdéskör körbejárására.

A javaslatcsomag megtekintésére és véleményezésére rendhagyó módon a GitHub felületét választotta a NIST, ahonnan már elérhető a publikus előzetes. Ez még közel sem végleges, erősen hiányos és a szöveg maga is tartalmaz belső kérdéseket, de a fő problémakörök és a gondolatiság megértésére, ötleteléshez kiváló, akár névtelenül is.


(forrás: Hot for Security) [+]

Az alapvető probléma legalább ilyen fontos: a kétfaktoros autentikáció lényege elvileg az egymástól független rendszerekből érkező megerősítés lenne, de hogyan lehet mindez biztonságos, mégis gyors és egyszerűen használható egyszerre?

A NIST álláspontja szerint az SMS maradhat, míg a szolgáltatáshoz nem használnak virtuális mobilszámot, vagy alternatívaként rengeteg lehetőség adott, mint például a Google Hitelesítőhöz hasonló alkalmazás-megoldás, esetleg egy dedikált biztonsági eszköz, mondjuk USB kulcs. Viszont azt sem szabad elfelejteni, hogy a két lépcső valójában csak egy, ha ugyanarra az eszközön, azonos csatornán történik az azonosítás, ez nem több mint két egymást követő jelszó megadása, ami nem biztos, hogy elégséges.

A GitHubon elérhető dokumentációban számos újdonság szerepel, új a jelszótanácsadó, foglalkozik a tokenek kérdéskörével, a biomatikai azonosítókkal, a személyazonosítás kérdéseivel és használhatósági, illetve személyiségi jogi kérdésekkel is, bár ezek még kidolgozás alatt állnak.

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

Előzmények