Blog

PassWindow: a kihívás-válasz alapú hitelesítésre új koncepció

2009.09.01. 17:08:47, Gulyás Gábor

Manapság ha hitelesíteni akarunk valakit, jelszót kérünk tőle. Ezt azonban könnyen le is lehet másolni. Hogy ha nem csak hitelesíteni szeretnénk aki a gép előtt ül, hanem arról is meg akarunk győződni, hogy rendelkezik valami nehezen megszerezhető fizikai eszközzel, akkor jönnek a képbe a hardver tokenek (pl. TrueCrypt esetén), vagy akár el is küldhetünk a telefononjára sms-ben egy kódot, amit később majd bekérünk.

A PassWindow ezekhez hasonlóan a kihívás-válasz elvén működik: a szolgáltatás küld egy kihívást, a felhasználó pedig a saját kulcsán és ezen végrehajt egy műveletet, aminek eredményét visszaküldi. A PassWindow esetén ez a következőképpen néz ki: a szolgáltatás megjelenít egy zajszerű szöveget (~ kihívás), ami fölé tartja (~ művelet) a felhasználó az egyedi mintát tartalmazó fóliaszerű kártyáját (~ kulcs), majd megjelenik előtte a válaszként megadandó rövid számsor. Vizuálisan ezt könnyebb megérteni, ezért íme egy videó:

Bár tény, hogy így megspóroljuk a kártyaolvasót, de ugye nem mindegyik TFT-n ugyanakkorák a pixelek, így könnyen lehet, hogy csak bizonyos monitorokon fog működni az "ablakunk". No meg – így elsőre – nem tűnik olyan bonyolultnak a kártya másolása, reprodukálása. A legnagyobb problémát pedig valószínűleg az jelentheti, hogy néhány kihívás-válasz pár lehallgatása után könnyen rekonstruálhatjuk a felhasználó kulcsát.

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat