PassWindow: a kihívás-válasz alapú hitelesítésre új koncepció
|
|
2009.09.01. 17:08:47
Gulyás Gábor
Vissza Manapság ha hitelesíteni akarunk valakit, jelszót kérünk tőle. Ezt azonban könnyen le is lehet másolni. Hogy ha nem csak hitelesíteni szeretnénk aki a gép előtt ül, hanem arról is meg akarunk győződni, hogy rendelkezik valami nehezen megszerezhető fizikai eszközzel, akkor jönnek a képbe a hardver tokenek (pl. TrueCrypt esetén), vagy akár el is küldhetünk a telefononjára sms-ben egy kódot, amit később majd bekérünk.
A PassWindow ezekhez hasonlóan a kihívás-válasz elvén működik: a szolgáltatás küld egy kihívást, a felhasználó pedig a saját kulcsán és ezen végrehajt egy műveletet, aminek eredményét visszaküldi. A PassWindow esetén ez a következőképpen néz ki: a szolgáltatás megjelenít egy zajszerű szöveget (~ kihívás), ami fölé tartja (~ művelet) a felhasználó az egyedi mintát tartalmazó fóliaszerű kártyáját (~ kulcs), majd megjelenik előtte a válaszként megadandó rövid számsor. Vizuálisan ezt könnyebb megérteni, ezért íme egy videó:
Bár tény, hogy így megspóroljuk a kártyaolvasót, de ugye nem mindegyik TFT-n ugyanakkorák a pixelek, így könnyen lehet, hogy csak bizonyos monitorokon fog működni az "ablakunk". No meg – így elsőre – nem tűnik olyan bonyolultnak a kártya másolása, reprodukálása. A legnagyobb problémát pedig valószínűleg az jelentheti, hogy néhány kihívás-válasz pár lehallgatása után könnyen rekonstruálhatjuk a felhasználó kulcsát.
Hozzászólások
Összesen 0 hozzászólás látható.
Nincsenek hozzászólások.
Új hozzászólás beküldése
Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.
Új jelszó 
Regisztráció 
