Kaptam egy képernyőképet róla, és nem hittem el azt, amit láttam a Diákhitel bejelentkezése kapcsán. Mutatom, hogy milyen titkosírási feladványt kell megfejteni belépéshez.
Mi az a kétfaktoros hitelesítés?
Leegyszerűsítve: A hagyományos név+ jelszó kombináció mellett egy másik azonosítási mód. Ez nem azt jelenti, hogy ahol kétfaktoros hitelesítés van, ott nem kell név+jelszó, hanem azt, hogy ezek felett, ezeket kiegészítve szükséges a belépéshez még egy módon azonosítani magunkat. További részletek a másik blogomon: Kétfaktoros hitelesítés WordPress belépéshez.
Milyen a titkosírásos kétfaktoros hitelesítés?
Mutatom azt, hogy a Diákhitel oldalon a név + jelszó beírása után mi történik:
És valóban küldenek egy ilyen levelet is:
Miért írtam, hogy titkosírásos hitelesítés ez?
Amikor megláttam először, kapásból a gyerekkoromban a SICC-ban olvasott, és agyamba égett PA-LE-RI-NO-FU-KÖ-TÉ-SÜ titkosírás jutott eszembe, ahol úgy titkosítunk egy szót, hogy a PA-LE-RI-NO-FU-KÖ-TÉ-SÜ betűpárok előfordulásait cseréljük, a többi betűt érintetlenül hagyjuk. Pl. a Szűcs Ádám így néz ki ezzel a kezdetleges titkosírással: ÜZSCÜ PDPD.
Ehhez kerestem illusztrációt, amikor a Szegedi Tudományegyetem Természettudományi és Informatikai Karának matematikai tanszékcsoportjának (Bolyai Intézet) weboldalán egy „Titkosírások” dokumentumban bukkantam rá, ahol a fenti belépőfeladványhoz hasonló (kicsit más logikával) példa is szerepel:
A kép forrása:
http://www.math.u-szeged.hu/~madera/202021/el1_7.pdf
Miért rossz megoldás ez?
Feleslegesen van irreálisan elbonyolítva a rendszer. Hiszen aki hozzáfér ahhoz az e-mail címhez, amire megy a kódfejtő kulcs, annak nem fog gondot okozni a betűk behelyettesítése a számok helyére.
Ezen felül lesznek olyanok, akik a saját fiókjukba sem fognak tudni belépni, mert egyszerűen nem értik meg a feladványt. Valljuk be, kell azért egy kis reál beállítottság, hogy bevegye az ember nyomra, és meg is tudja oldani.
Mi a jó megoldás?
Olyan kétfaktoros hitelesítés megoldás alkalmazása, ahol a felhasználó egy olyan kódot kap egy alternatív csatornán (e-mail, sms, stb.), amelyet csak be kell gépelnie.
Az OTP remek kétfaktoros hitelesítést alkalmaz. Küld egy 6 jegyű számot, amely:
- A limitált idő és próbálkozási lehetőség miatt feltörhetetlen.
- Egyszerű beírni.
- És mégis kétfaktoros a hitelesítés.
Apró kiegészítés:
Nem gondoltam volna, hogy a Google Captcha-ja (ahol pl. be kell jelölni, hogy melyik képeken látok jelzőlámpát/zebrát, de soha nem egyértelmű, hogyha csak egy kis része lóg át a másik kockába, akkor azt jelölni kell-e) után látok idegesítőbb azonosítási módot.