cogito, ergo incognito

szabadságot a macskás jelszavaknak!

2017. január 12. - gordiuszblog


Ugyan azt az egyszerű jelszót használnád mindenhová? Semmi gond, majd megoldjuk: ahhoz, hogy második lépcsős biztonsági réteg lehessen a jelszó, mint az SMS-faktor - részlegesen azonosítani kell a számítógépet, amiről bejelentkezünk.

kockas-pif_es_herkules-1.png

Persze, majd megjegyzek több jelszót, sőt megtanulom a krikszkraksz kis karaktereket, amiknek még nevük sincs és a billentyűn sincsenek rajta..
Gondolod, hogy 16 jegyűt, hát hogyne!

Olvastad te gobriusz-tól a 22-es csapdát? Na, ott van, már kapható is - Ázsiából rendeltem. Küldtek egy flopit, persze a posta nem sietett, de bedugtam, megcsinálta magát, azóta nincs gondom. Jelszó ügyben nincs, mindenhová a macska nevével lépek be - a flopi, hát az nem jött ki többet, de belefér nekem.

Volt hozzá ákombákomos használati leírás, de hirtelen összekrumplihéjazódott.
Viszont a ketyere rögtön megnyitotta a magyart - nekem internetes gépem van:

o. üdvözöljük a jövőben!
1. helyezze be a floppy lemezt a számítógépébe
2. az installálást követően vegye ki
3. jó szórakozást kívánunk

mi történt Cirmossal?

A Google, Baidu legújabb fejlesztése a felhasználók békén hagyását elősegítő innováció, akár a jelszavak túlbonyolítási kényszerét is mellőző megoldás lehetne.

Egy applikáció, mely a felhasználó fő eszközein kommunikál azokkal a webes szolgáltatásokkal, melyeket például a kínai Baidu nyújt. Hasonlóak ezek, mint a Google kiterjedt portfóliója.

Mindezt oly módon, hogy a titkainkat használja fel, melyeket mások nem feltétlenül tudnak, de a számítógép tudja - az adatainkat gyűjtő és elemző webes alkalmazások tudják a titkainkat, illetve sok részinformációból össze képesek sakkozni azt, hogy ki és honnan akar belépni a szolgáltatásba.

Egy átlagember 2-3 eszközt használ a belépést, azonosítást igénylő szolgáltatások esetében. A felhasználói szokások változása azt mutatja, hogy a nem túl távoli jövőben 1 db. eszközünk lesz, a telefon és applikációk - így egyszerűbbé válik a hitelesítés kezelése.

Hiszen, egy átlagos [a legtöbb] internethasználó nem hamisít böngésző ujjlenyomatot, nem szörföl óránként más kontinensről, váltogatva operációs rendszert, node-ot, címtartományt és a MAC-címe sem a bináris számrendszerből gazdálkodik.
A legtöbb embernek azonosítható a számítógépe, eszköze és összekapcsolható a személyével böngészésnél, egy bejelentkezésnél, akár a közösségi médiumba, akár üzenetküldésnél, felhőben, ügyintézés során, vásárlásnál..

Ez például a facebook.com nevű weboldalon, illetve a Google bejelentkezések esetében tetten érhető. Ha máshonnan akarunk belépni, mint szoktunk, akkor a szolgáltató bizalmatlanná válik. Ismerősöket kell azonosítanunk, kérdésekre kell válaszolnunk.
Vajon honnan tudják, hogy nem otthonról vagy az irodából próbálkozunk?
Metaadatok és cookie-k alapján, mint például az IP-címünk.
Most ugyanennek a fonákjáról van szó.

kockas-pif_es_herkules-2.png
Nem vagyunk túlságosan bonyolultak, ugyanis a gépek [internetböngésző a szerver felé] több azonosításra alkalmas egyedi információt cserélnek egy-egy internetezéskor, mint amennyi adatot mi esetenként begépelünk egy hónapban.

most tegye fel a kezét, az aki találkozott már olyan lánnyal, akinek ugyan az volt a canvas fingerprint hash-e, mint az övé

Ha a nagyon titkos jelszavunk mindenhová az, hogy: cirmos, akkor már csak türelemmel kell lennünk, míg szabványos protokoll lesz az, hogy a digitális közmű szolgáltatók, különböző információ morzsák együttállása esetén részlegesen validálják a személyünket és e két faktorral beengedjenek a szervereikre.
Ha ellopják, kitalálják a jelszavunkat, csak akkor leszünk veszélybe, ha betörtek hozzánk vagy megharagszik ránk a hacker feleségünk. De ezek már az internetes adatvédelmen túlmutató lépcsőfokok. A fizikai hozzáférés egy számítógéphez hatványozza a lehetőségeket.

mikor válik második faktoros azonosítóvá a jelszó?

- ha például közbeékelődik egy API, ami a „cirmos”-t, mint hash adja tovább a hitelesítést igénylő webapplikáció bejelentkezési felületének:

cirmos = 7a4d8209a312a44de9b858fa23241c60ad5a0159f8aa8c8369680e6a27
c66d10e029d1f10de5c2dfd14aa1726a4cb97971ed46e7b125c3ed

Nekünk elég annyit tudni, hogy cirmos, a többit oldja meg a Gép.

- ha például a cirmos jelszó csak az otthoni internetböngésző un. WebGL azonosítójával együtt kerül bele a hitelesítési folyamatba
Probléma: eladott, lopott gép - megoldás: változik a hálózati környezet, így azt is bele kell venni az azonosításba [telefonnál kiveszik a mobilnet SIM-et].

- ha van a gépünkön, eszközeinken egy fájl, amit a titkosított felhőkliensünkön szinkronizálgatunk vagy partíció - és a belépésnél ennek az állománynak megléte és szignatúra alapú azonosításával kiegészülve érvényes csak a cirmos jelszavunk

- példa lehet a megoldás kivitelezésére egy lokális jelszószéf, ami képes adatot átadni egy webes authentikációnak és grafikus felületen szóba állni a felhasználóval, de a kis számú piaci szereplő talán támadhatóbb, mintha minden szolgáltató egyedi variációval állna bele a szabványba. Valahogy így:

  • szolgáltató 1
    add-on, betűtípus, blokkolások/engedélyek, böngésző, böngészőbeállítás [pld.: about:config], canvas ujjlenyomat hash, címtartomány..
    + cirmos jelszó, mint második faktor
  • szolgáltató 2
    DNS, domstorage, eszközazonosító, fájl szignatúra, felhasználónév, host, időzóna, IMEI, lokáció, MAC, nyelv..
    + cirmos jelszó, mint második faktor
  • szolgáltató 3
    OS és verzió, plugin, processzor, buildID-k, felbontás, telefonszám, "SiteSecurityServiceState"-azonosítók, WebGL fingerprint, WebRTC..
    + cirmos..

kockas-pif_es_herkules-4.png
"add meg a császárnak, ami a császáré, Istennek pedig, ami az Istené"

Majdnem 4o-féle adatunkat adjuk át böngészés során, de a user|agent tovább is boncolgatható. Vannak azonban még azonosításra alkalmas elemek, olyanok, melyeket a szolgáltató tud rólunk és akár ellenőrizhet, rá is kérdezhet:

  • Captcha/PIN 1
    utolsó címzett, leggyakoribb címzett, cookie
  • Captcha/PIN 2
    gyerekek-, szobák-, kerekek-, aranyfogak-, helikopterek-, feleségek-, tetoválások száma, házszám
  • Captcha/PIN 3
    keresési előzmények, kedvenc film, -könyv, -kaja, -bár, -weboldal/könyvjelző..

A digitális lábnyomunkból szórakoztató kvíz állítható össze. És ezek az adatok, együtt vagy különböző variációkban felhasználhatóak az azonosításra. De fontos az elemek változásainak gördülékeny kezelhetősége.

egy biztonságos hitelesítés múlhat:

- emberen
- hárdveren
- szoftveren

Az ember szinte reménytelen, így valahogyan ki kell venni az egyenletből. Az oktatás nem éri el az ingerküszöböt: az átlagos internetező inkább áldozat az adatvédelem szempontjából, mint tudatos technokrata. Ha meg oktatásra kell mennünk, ez a téma annyira lehengerlő tud lenni, hogy inkább átalusszuk - az edukációból rekreáció lesz.
Hárdveres megoldás egészen régóta van. Míg például az IBM T43 a gép indulását/operációs rendszer betöltődését igyekezett védeni ujjlenyomat olvasóval, ezt a mechanizmust, a biometrikus azonosítást pld. az egér periféria is reprodukálja és a webes szolgáltatásokkal is összekapcsolható.
A biometrikus azonosítással történő belépés egy eszközbe c. funkcionalitás, akár átültethető, kombinálható a webes szolgáltatás hitelesítésével is.

Ebben a történetben mindenkinek igaza van:
- az információtechnológusnak, hogy igyekszik a fertőzéseket és adatszivárgásokat minimalizálni..
- és a felhasználónak is, akit ez az egész nem érdekel

kockas-pif_es_herkules-5.png
Olyan webes hitelesítési megoldás szükséges, amiben az ember tétlen, nem kell beleavatkoznia.
Épülhet ez a meglévő, internetböngészőn keresztül szivárgó rengeteg adatunkra és épülhet olyan lokális passzivitásokra, mint arcfelismerés, szemmozgás követés..

Ezek az adatok egyediek és/vagy egyéb környezeti változók együttállása esetén egyedivé tehetőek. Saját eszközhöz köthetőek a felhasználónevek, nem csak burkoltan, sötét fórumokon sejtetve, hanem nyilvánvalóvá téve azt, hogy azonosíthatóak vagyunk a weben. A magánélet védelme, az online privacy nem csak néhány hóbortos kocka közös érdeklődési területe, mintegy FRPG fantasy szerepjáték.
A webes szolgáltatásokba történő beléptetés, hitelesítés témájában fontos a diverzitás, de a legfontosabb, hogy az ember [a felhasználók ~9o%-a] ne rontsa el a bulit, ha van egy menő jelszava, amit havonta le kell cserélnie, akkor az ne legyen cirmos9, cirmos1o, cirmos11, c1rmo5lz.. - ne a sorszámozás legyen a policy eredménye.

kockas-1981.png

 

illusztráció: Pif és Herkules, „Nockás” 1981

A bejegyzés trackback címe:

http://gordiusz.blog.hu/api/trackback/id/tr4712117499

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.