193. hiba: titkosírás feladvány kétfaktoros hitelesítésként

Kaptam egy képernyőképet róla, és nem hittem el azt, amit láttam a Diákhitel bejelentkezése kapcsán. Mutatom, hogy milyen titkosírási feladványt kell megfejteni belépéshez.

Mi az a kétfaktoros hitelesítés?

Leegyszerűsítve: A hagyományos név+ jelszó kombináció mellett egy másik azonosítási mód. Ez nem azt jelenti, hogy ahol kétfaktoros hitelesítés van, ott nem kell név+jelszó, hanem azt, hogy ezek felett, ezeket kiegészítve szükséges a belépéshez még egy módon azonosítani magunkat. További részletek a másik blogomon: Kétfaktoros hitelesítés WordPress belépéshez.

Milyen a titkosírásos kétfaktoros hitelesítés?

Mutatom azt, hogy a Diákhitel oldalon a név + jelszó beírása után mi történik:

És valóban küldenek egy ilyen levelet is:

Miért írtam, hogy titkosírásos hitelesítés ez?

Amikor megláttam először, kapásból a gyerekkoromban a SICC-ban olvasott, és agyamba égett PA-LE-RI-NO-FU-KÖ-TÉ-SÜ titkosírás jutott eszembe, ahol úgy titkosítunk egy szót, hogy a PA-LE-RI-NO-FU-KÖ-TÉ-SÜ betűpárok előfordulásait cseréljük, a többi betűt érintetlenül hagyjuk. Pl. a Szűcs Ádám így néz ki ezzel a kezdetleges titkosírással: ÜZSCÜ PDPD.

Ehhez kerestem illusztrációt, amikor a Szegedi Tudományegyetem Természettudományi és Informatikai Karának matematikai tanszékcsoportjának (Bolyai Intézet) weboldalán egy “Titkosírások” dokumentumban bukkantam rá, ahol a fenti belépőfeladványhoz hasonló (kicsit más logikával) példa is szerepel:

A kép forrása:
http://www.math.u-szeged.hu/~madera/202021/el1_7.pdf

Miért rossz megoldás ez?

Feleslegesen van irreálisan elbonyolítva a rendszer. Hiszen aki hozzáfér ahhoz az e-mail címhez, amire megy a kódfejtő kulcs, annak nem fog gondot okozni a betűk behelyettesítése a számok helyére.

Ezen felül lesznek olyanok, akik a saját fiókjukba sem fognak tudni belépni, mert egyszerűen nem értik meg a feladványt. Valljuk be, kell azért egy kis reál beállítottság, hogy bevegye az ember nyomra, és meg is tudja oldani.

Mi a jó megoldás?

Olyan kétfaktoros hitelesítés megoldás alkalmazása, ahol a felhasználó egy olyan kódot kap egy alternatív csatornán (e-mail, sms, stb.), amelyet csak be kell gépelnie.

Az OTP remek kétfaktoros hitelesítést alkalmaz. Küld egy 6 jegyű számot, amely:

  • A limitált idő és próbálkozási lehetőség miatt feltörhetetlen.
  • Egyszerű beírni.
  • És mégis kétfaktoros a hitelesítés.

Apró kiegészítés:
Nem gondoltam volna, hogy a Google Captcha-ja (ahol pl. be kell jelölni, hogy melyik képeken látok jelzőlámpát/zebrát, de soha nem egyértelmű, hogyha csak egy kis része lóg át a másik kockába, akkor azt jelölni kell-e) után látok idegesítőbb azonosítási módot.

Szólj hozzá!

A honlap cookie-kat használ. Részletek

A hatályos jogszabályok alapján kötelező tájékoztatni a látogatókat, hogy a weboldal ún. cookie-kat használ és tárol a számítógépén. Ha ezt nem szeretné, akkor a böngészője megfelelő beállításait használva tiltsa le a cookie-k tárolását, vagy zárja be a weboldalt. Mik azok a cookie-k? Hogyan tudja tiltani a tárolásukat? Hogyan kezelem a személyes adatokat? Mindenre választ ad a részletes adatvédelmi és cookie tájékoztatóm.

Bezárás