Sikker brukerautentisering med mobil

[espman]

En sikkerhetsløsning som bruker en standard mobiltelefon for sikker 2-faktors brukerautentisering med SMS kommer nå til Norge.

Les mer

[wsp]

Denne autentiseringen er billigere enn tradisjonell to-faktor-autentisering. Likevel må det vel og legges til at den ikke er like sikker. GSM er ikke en uknekkbar standard og SMS-meldinger kan også knekkes gitt at man har utstyret i orden.

 

 

Lars

[StianK]

Denne autentiseringen er billigere enn tradisjonell to-faktor-autentisering. Likevel må det vel og legges til at den ikke er like sikker. GSM er ikke en uknekkbar standard og SMS-meldinger kan også knekkes gitt at man har utstyret i orden.

 

 

Lars

6769586[/snapback]

 

Men SMS-meldingen i seg selv har ingen nytte uten brukernavn og passord, det å kunne lese SMS-koden har samme nytte som å stjele en token.

 

Som en ondsinnet hacker kan man da hvis man skaffer seg brukernavn og passord på forhånd og rekker og snappe opp og lese av SMSen før brukeren er logget inn få tilgang til systemet, men ved å ha brukernavn, passord og en stjålet token vil hackeren ha helt fram til itavdelingen blokker den token fra løsningen.

 

Seff kan nevnt hacker stjele mobilen også, men jeg tror jeg at en stjålet mobil blir stengt fortere enn en token.

 

EDIT: vil nevne at jeg ikke har lest annet en denne artikkelen, så det kan være ting jeg ikke vet om denne løsningen som gjør den mer usikker. Men tanken er da like sikker...

Endret 30. august 2006 av StianK

[eseim]

Seff kan nevnt hacker stjele mobilen også, men jeg tror jeg at en stjålet mobil blir stengt fortere enn en token.

6769801[/snapback]

 

Er man frekk nok holder det å låne mobilen, enten det minuttet du lot den ligge uten tilsyn på arbeidsplassen eller ved å "tilfeldig" spørre eieren på gaten om du får låne til å "sende en melding" den fordi du har glemt din egen. Med mindre du ser ut som et medlem av B-gjengen er gjerne ikke laptopen under armen så veldig mistenkelig heller.

 

Jeg har enda tilgode å høre "unnskyld, får jeg låne SecureID-brikken din?" på gaten ihvertfall...

[StianK]

Jeg har enda tilgode å høre "unnskyld, får jeg låne SecureID-brikken din?" på gaten ihvertfall...

6769906[/snapback]

Er det faktisk folk som låner bort mobilen sin til fremmede?

 

Seff, allt kan skje, og vha smart bluetooth hacking kan det sikkert gjøres uten at brukeren merker det også...men nå blir vi veldig teoretiske, men jeg kan ikke se at dette er mer usikkert enn hvis vi går helt teoretisk til verks på f.eks. SecureID.

[wsp]

[..]

...men nå blir vi veldig teoretiske, men jeg kan ikke se at dette er mer usikkert enn hvis vi går helt teoretisk til verks på f.eks. SecureID.

6770684[/snapback]

 

Mobiltelefoner er heller ikke det de engang var. De nærmer seg stadig nærmere funksjonaliteten til en datamaskin og mer til. Det har vært tilfeller av virus, sikkerhetshull gjennom blåtann, WiFi, SMS osv for flere typer mobiltelefoner.

 

Har *du* kontroll med mobiltelefonene til alle i konsernet? At alle er riktig satt opp, har antivirus som fungerer osv. Slike problemstillinger eksisterer ikke hvis man bruker SecurID/Digipass/etc.

 

Hensikten med to-faktorautentisering er å få til sterk autentisering basert på noe du vet (pin kode/passord) og noe du har (hardware token) eller er (iris/fingeravtrykk etc). Dette vil da gi følgende situasjon:

1) Det skal ikke ha noen hensikt å brute force passord fordi passordet ikke finnes i noen ordbok og endrer seg fra gang til gang. Selv om man knekker et passord vil det ikke gå an å logge seg på en gang til med dette.

2) Sniffing av passord er meningsløst da man aldri bruker samme passord.

 

Når man vet at GSM ikke er en uknekkbar transportmetode så sier det vel seg selv om hva som er mest sikkert. Grunnen til å bruke to-faktorautentisering er gjerne for å eliminere at noen bruker passord som er sniffet.

 

Ja, dette er teoretisk. Sikkerhet dreier seg ofte om det teoretiske. Såvidt vi vet er det ikke spesielt utbredt med GSM-dekrypteringsbokser her pr idag(bortsett fra hos teleoperatørene og sannsynligvis diverse hysj-opplegg). For noen år siden var det enkelte som hadde teorier om at en ny internett-orm eller to kunne komme også. Enkelte mente at trojanere var noe teoretisk som aldri ville bli særlig utbredt. Epostvirus?

 

Den enkleste og sikreste måten å komme seg inn på et nettverk på er ved å ha kredentialene. Slike bokser er sannsynligvis oppnåelig for de som virkelig er ute etter dine forretningshemmeligheter.

 

Alt i alt kommer det ned til hvilket nivå din bedrift skal legge seg på og hvilke midler man har til rådighet. Det dyreste er gjerne det beste. Noen ganger er kanskje det beste for dyrt og det nest beste godt nok. Det kommer an på verdien av dine hemmeligheter. Vi har jo hatt eksempler (ja, i Norge) der de fysisk har stjålet utstyr også.

 

Lars

[StianK]

...

6773601[/snapback]

 

Jeg vet ikke helt hva du svarte på, men regner med at du ville få fram fordeler ved SecurID/Digipass/etc.

 

Jeg vil si at å bruke mobilen til 2-faktor autentisering er noe som er like sikkert som de tradisjonelle metodene, man har de samme fordelene som du lister opp.

 

Hvis vi nå tenker teoretisk, på hva for måte er det enklere å skaffe seg ulovling tilgang til et system som bruker 2-faktor auth. med mobil i forhold til 2-faktor auth. med f.eks. SecurID.

 

Det problemet som jeg ser er at det er avhengig av at mobilen er operativ, men dette er mer et praktisk problem enn sikkerhetshull.

 

Disclaimer: Fant akkurat ut at min arbeidsgiver er forhandler av produkter fra trygg-data, men mitt svar her er som privatperson og jeg som person har ingen koblinger til dette produktet. Så lenge jeg snakker om teknologien og ikke produktet regner jeg med at det er ok.

[wsp]

Hei!

Nå skal vi ikke fortsette å slå ihjel den der hesten....

 

Bakgrunnen for å bruke to-faktorautentisering er beskyttelse mot gjenbruk av passord. Passord kan man enten gjette, eller sniffe og evt knekke.

 

To-faktorautentisering brukes gjerne sammen med et fast brukernavn og passord/pin. Hvis man klarer å sniffe autentiseringen av dette vil det likevel være ubrukelig.

 

Med overføring av PIN-kode over SMS vil det ikke være umulig å fange opp denne. Hvis man i tillegg har sniffet en tidligere autentisering så har man også brukernavn. Dagens mobiltelefoner blitt såpass rik på funksjoner at også sikkerhetshull og virus har forekommet. Det begynner å komme løsninger med firewall, kryptering, antivirus, automatisk sletting/overskriving av data osv for telefoer/PDAer, men mobiltelefoner/PDAer er fortsatt finnes i mange ulike varianter med ulike OS Symbian/Windows Mobile XX/Proprietært og krever da god standardisering på dette området. Evt telefoner uten noen nye ting (bluetooth, gprs, osv. Finnes det?). Likevel forhindrer dette ikke at noen kan sniffe opp samtaler og SMSer. Med SecurID/Digipass/osv overføres aldri de nye passordene over noe som helst nettverk og kan da heller ikke fanges opp på samme måte. Da må man prøve å knekke dem basert på tidligere autentiseringer osv, noe som er en tilnærmet umulig oppgave.

 

Disclaimer:

Jeg var for 4 år siden med på å utvikle en fungerende prototype på et tilsvarende produkt som aldri så dagens lys.