Kody jednorazowe przy logowaniu do poczty i serwisu

[SPAP 0]

Znalezione na moderowanej grupie usenetowej pl.comp.security:

http://groups.google.com/group/pl.comp.sec...e95f1c5096b854d

 

Ostatnio dowiedziałem się o usłudze dodatkowego zabezpieczenia poczty

elektronicznej, która zasadą działania przypomina... bankowość. Chodzi o

listę haseł jednorazowych. Sprawa dotyczy oczywiście webmaila. Polega to na

tym, że przy założeniu konta system generuje listę, np. 200 numerów

9-cyfrowych. Użytkownik zapisuje sobie lub drukuje tę listę a następnie

chcąc się zalogować do swojej poczty na www podaje login i hasło a

następnie system go prosi o wpisanie jednorazowego kodu numer ileśtam (po

kolei). Jeśli nie poda poprawnego kodu, nie może się zalogować.

 

Oczywiście chodzi o uniemożliwienie dostępu do konta tym, którzy

podsłuchają login i hasło. Często w kawiarenkach internetowych, u kogoś na

komputerze czy w miejscach z publicznym dostępem do sieci zdarzają się tacy

hackerzy. Https nie wystarczy bo czasem fizycznie na komputerze jest

zainstalowany program rejestrujący wciśnięte klawisze. A taką listę kodów

można sobie wydrukować (np. tylko jej część), nosić przy sobie. Zakłada się

przy tym, że pierwszy raz konto zakłada się i pozyskuje tę listę haseł z

bezpiecznego, np. swojego komputera a dopiero później wykorzystuje się w

ryzykownych miejscach.

 

Czy ktoś słyszał o tym systemie? Ja o tym dowiedziałem się od znajomego

admina, który pracuje w Anglii w firmie zajmującej się ochroną danych

komercyjnych. Czy w Polsce są możliwości założenia takiego konta z listą

kodów? Moim zdaniem to bardza ciekawe rozwiązanie dla ludzi często

korzystających z różnych komputerów do przeglądania swojej poczty.

 

--

- Kucing -

 

W sumie pomysł ciekawy ale w życiu o tym nie słyszałem. Co o tym myślicie?

[p 3]

List haseł jednorazowych to głupi pomysł (w ogólności). W przypadku dostępu do kont e-mail takie rozwiązanie jest jeszcze głupsze

[Tomasz Fiedoruk 98]

Chyba by mnie szlag trafił jakbym miał te 100 razy dziennie wpisywać "hasełka"

[Gość N3T5kY]

Do tego dochodzą koszty takich kart

 

A zaraz wpadną ekolodzy że plastik rozkłada się xxx lat itp.

[Matjas 2]

Do tego dochodzą koszty takich kart

 

A zaraz wpadną ekolodzy że plastik rozkłada się xxx lat itp.

 

Przeczytaj jeszcze raz pierwszy post

[Gość N3T5kY]

A sorry

 

To wobec tego tusz do drukarki jest szkodliwy

[mr.suchy 0]

a puste tonery trzeba oddac do skupu. Pomysł może nei ejst zły jezeli będzie to wyglądało jak w ING (proces logowania) albo Inteligo czyli wpisujemy kody z karty kodów. Takie rozwiązanie może sie przyjąc tylko w biznesie

[Gość Pokuć]

Takie rozwiązanie jest dobre dla osób które mają bzika na punkcie prywatności.

[kafi 2425]

Buehehe dobre 

 

Rozwiązanie totalnie bez sensu. Nawet w bankach do logowania nie są potrzebne kody jednorazowe

 

A jeśli ktoś ma aż takie supertajne rzeczy, to po prostu niech sobie kupi własnegolaptopa z blueconnectem/innym everywherem, łączy się po wydzielonym VPNowym  kanale z serwerem i tam zagląda do poczty, a nie korzysta z otwartych kafejek internetowych...

 

A co do samej autoryzacji - to IMO najbezpieczniejsze i najprostsze zarazem było by zaszycie klienckiego klucza SSL na jakimś usb-tokenie i wymuszenie na serwerze weryfikacji certyfikatu klienta. Wtedy tylko wetknięcie klucza USB i podanie PINu załatwiało by całą sprawę

[SPAP 0]

Mnie (jak napisałem) pomysł się spodobał z jednego powodu, który autor opisał zresztą. Po pierwsze, to prawda, że jak ktoś ma mega-, super-, hiper- tajne dane to raczej nie będzie uzyskiwał do nich dostępu z kawiarenki internetowej, ale jednocześnie statystyka i zdrowy rozsądek uczą nas, że największa (procentowo) liczba kradzieży danych dotyczy zwykłych użytkowników, ich haseł do poczty, komunikatorów itp. Wspomniane kawiarenki internetowe, otwarte sieci wi-fi, praca, akademiki a czasem nawet własny dom, w przypadku średnio zorientowanych użytkowników (a takich jest większość) to wszystko miejsca niebezpieczne z punktu widzenia ich danych. Często takie sprawy nawet nie są zgłaszane policji. I na ile zrozumiałem przytoczoną wiadomość, tu chodzi właśnie o zwykłych użytkowników a nie o biznes (ten sobie poradzi). Krótko mówiąc student "Jan Kowalski", który nie ma notebooka idzie do publicznego punktu dostępu do internetu, loguje się na swoją pocztę i poza loginem i hasłem daje jedno z haseł jednorazowych wygenerowanych przy zakładaniu konta (zakładając konto powinien to zrobić w miejscu bezpiecznym, żeby i te hasła nie wyciekły). Te hasła to byłaby opcja a nie przymus - czyli jak ktoś nie chce to nie stosuje. Ale nie upieram się przy swoim zdaniu, rozumiem argumentację przeciwników i widzę jej mocne strony.

[kafi 2425]

Taak. 3/4 użytkowników, którzy by to uaktywnili, to listę haseł to by miało w Wordzie i po prostu kopiowało odpowiednie.

[ahes 83]

W sumie pomysł ciekawy ale w życiu o tym nie słyszałem. Co o tym myślicie?

 

Jest lepszy i dość prosty w implementacji.

Każdy user ma przypisany do swojego konta numer telefonu komórkowego. Klika w webmailu 'token' i na telefon przychodzi mu sms z hasłem jednorazowym, które obowiązuje od momentu wygenerowania do momentu pierwszego zalogowania.

 

Oczywiście hasło jest zmieniane tymczasowo, a na stałe zapisane jest hasło użytkownika tak, aby z haseł jednorazowych korzystać tylko w niepewnych środowiskach, a na codzień logować się swoim hasłem.

 

Jeszcze lepszą metodą jest taki token smsowy w połączeniu z VPNem, ale to już tylko w momencie gdy korzysta się z własnego laptopa i niepewnego hotspota.

[p 3]

Jest lepszy i dość prosty w implementacji.

A także o wiele droższy

[marczak 0]

dlatego można ten sposób wykorzystać do usługi odpłatnej... Jak ktoś bedzie potrzebował, to i zapłaci.

[ahes 83]

A także o wiele droższy

A to dlaczego?

Po kliknieciu 'token' generujesz odpowiedni appointment w google calendar zawierajacy w sobie haslo do webmaila i wysyla ci bezplatnego smsa w ciagu minuty. Powered by Google

[kafi 2425]

A to dlaczego?

Po kliknieciu 'token' generujesz odpowiedni appointment w google calendar zawierajacy w sobie haslo do webmaila i wysyla ci bezplatnego smsa w ciagu minuty. Powered by Google

Chcesz to dawać "komercyjnie" użytkownikom w ten sposób?

Bo prywatnie, to jeszcze ujdzie (chociaż jeśli ktoś będzie potrafił oskryptować sobie to, to pewnie będzie umiał zestawić sobie gdzieś tunel PPPtP lub OpenVPN i wtedy też nici ani ze sniffowania sieci, ani nawet połączenia z hostem obsługującym maile. Ofc. logowanie certyfikatem zaszytym na smartcardzie.)

 

 

Pytanie tylko, po co?

Jeśli ktoś chciał by sobie zerknąć, co my tam dostajemy, to po prostu przechwyci pakiecik w locie między serwerami pośredniczącymi.

 

 

Jeszcze raz powtarzam - nawet w bankach logowanie nie wymaga hasła/tokena.

[ahes 83]

Chcesz to dawać "komercyjnie" użytkownikom w ten sposób?

Bo prywatnie, to jeszcze ujdzie (chociaż jeśli ktoś będzie potrafił oskryptować sobie to, to pewnie będzie umiał zestawić sobie gdzieś tunel PPPtP lub OpenVPN i wtedy też nici ani ze sniffowania sieci, ani nawet połączenia z hostem obsługującym maile. Ofc. logowanie certyfikatem zaszytym na smartcardzie.)

 

Pytanie tylko, po co?

Jeśli ktoś chciał by sobie zerknąć, co my tam dostajemy, to po prostu przechwyci pakiecik w locie między serwerami pośredniczącymi.

 

Jeszcze raz powtarzam - nawet w bankach logowanie nie wymaga hasła/tokena.

Komercyjnie to sobie wykupisz pakiet dla bramki sms za 100zl/mc i wystarczy. Albo napiszesz skrypt w curlu na orange sms max, czy dla kazdego operatora z osobna. Obojetne.

 

W kafejce internetowej lepiej nie zestawiaj tunelow VPN, bo musisz wlozyc pendrive ze swoim kluczem

prywatnym.

 

Co do sniffowania ruchu to webmail leci po https, wiec zobaczysz jedynie zaszyfrowane pakiety i nic wiecej. Moglby byc co prawda Man in the Middle zrobiony, ale to juz zupelnie inna jazda.

 

A zabezpieczenie tokenem polega glownie na tym, ze na kompach w kafejkach czesto jest zainstalowany soft do przechwytywania klawiatury i wszystkie hasla od razu do wymiany. Często także w postaci hardwarowej (mała kosteczka) między złączem ps2/usb a wtyczka z klawiatury. Wlasciwie caly ekran tez mozna przechytywac, wiec najlepiej nie korzystac z kafejek w ogole. Chociaz przechywtywanie obrazu pozeraloby sporo zasobow dyskowych i ktos musialby specjalnie czekac, az sie pojawisz w kafejce wiec nie jest to bardzo realne zagrozenie.

 

Co do bankow to u mnie token wymagany jest do wykonania przelewu. A ze ktos zobaczy moje grube miliony na koncie to juz sie tym nie przejmuje.

[kafi 2425]

W kafejce internetowej lepiej nie zestawiaj tunelow VPN, bo musisz wlozyc pendrive ze swoim kluczem prywatnym.

 

Nie pendrive tylko token-usb-smartcard z zablokowanym eksportem certyfikatów ;]

Bo ja tylko o takim rozwiązaniu mówię .

 

 

A co do sniffowania - jeśli na prawdę komuś by zależało na twoich mailach, to po prostu wepnie się pomiędzy hosty SMTP przekazujące twą wiadomość, już plaintextem

[ahes 83]

A co do sniffowania - jeśli na prawdę komuś by zależało na twoich mailach, to po prostu wepnie się pomiędzy hosty SMTP przekazujące twą wiadomość, już plaintextem

Heh, gdyby to bylo takie proste.

Poza tym PGP i po sprawie

[PlusHost 0]

Hm, a mi się wydaje, że jeśli komuś tak maksymalnie zależy na prywatności, to na pewno nie będzie odczytywał poczty/logował się do banku w kawiarence.

[Sebak 298]

Dokładnie jak napisał PlusHost, czy Fiercio. Jeśli ktoś wymaga aż takich zabezpieczeń, to korzysta z PDA / laptopa i innych rozwiązań mobilnych. Nikt kto potrzebuje wysokich zabezpieczeń przy dostępnie do poczty nie korzysta z kawiarenek internetowych... Pomijając już fakt, że kawiarenki internetowe w ogóle wyszły z mody. Większość osób która siedzi w branży i potrzebuje dostępu do internetu i swojej korespondencji stać na wydatek 60 zł miesięcznie ma np. iPlusa .