Fimmtudagur, 15. febrúar 2007
(Ó)öryggi auðkennislykla
Auðkennislyklarnir bæta öryggi heimabankanotenda að nokkru leyti, en því fer þó fjarri að öryggið sé fullkomið.
Skoðum aðeins hvernig reynt er að stela af heimabankanotendum og hvaða vandamál auðkennislyklarnir leysa.
- Vörn gegn njósnaforritum á tölvum notenda. Það er til ótrúlegur fjöldi forrita sem reyna að stela aðgangsupplýsingum að heimabönkum, kreditkortaupplýsingum og ýmsum lykilorðum. Fjöldi slíkra forrita í umferð er sennilega á bilinu 100.000-200.000. Það hafa komið upp tilvik hér á landi þar sem slík forrit virðast hafa verið notuð til að nalgast aðgangsupplýsingar fyrir heimabanka.
Fljótt á litið mætti halda að auðkennislyklarnir myndu koma að öllu leyti í veg fyrir notkun slíkra forrita, en svo er ekki, enda er tölva sem hefur slíkt njósnaforrit áfram galopin fyrir svokölluðum "man in the middle" árásum. Það væri ekki mikið verk að breyta njósnaforritunum þannig að þau megi áfram nota til innbrota í heimilisbanka, en Púkinn vill af augljósum ástæðum ekki lýsa því hvernig það mætti gera.
- Vörn gegn þjófnaði aðgangsupplýsinga. Þeir eru margir sem eiga erfitt með að muna stafa- og talnarunur og skrifa þær gjarnan á blöð - til dæmis litla gula "Post-it" miða sem eru jafnvel festir á hornin á tölvuskjánum.
Auðkennislykillinn veitir mjög góða vörn í þessum tilvikum. Jafnvel þótt einhver steli upplýsingum um reikningsnúmer og aðgangsorð, eru þær upplýsingar einskis nýtar nema auðkennislyklinum sé stolið líka. Fáir eru líklegir til að geyma hann á sama stað og blað með niðurskrifuðum aðgangsupplýsingum.
- Vörn hegn heimsku og trúgirni. Þær upphæðir sem er stolið á beinan hátt út heimabönkum eru hverfandi miðað við þær upphæðir sem fólk tapar þegar það lætur gabbast til að eyða peningum í Nígeríusvindl, pýramída/keðjubréf eða hvað svo sem byggir á því að narra peninga út úr fáfróðum eða trúgjörnum einstaklingum.
Auðkennislykillinn veitir augljóslega enga vörn í þessum tilvikum....því miður.
Flokkur: Tölvur og tækni | Breytt s.d. kl. 15:03 | Facebook
Athugasemdir
Sæll púki!
Mig langar að deila sögu um "Man in the middle attack" sem útskýrir
hugmyndina vel, finnst mér.
Kona auglýsti eftir barnapössun, fékk umsóknir og meðmælabréf frá þeim
sem sóttu um starf, svaraði engum en geymdi bréfin.
Næst þegar hún sá ríkt fólk auglýsa eftir barnapössun sendi hún umsókn
og meðmælabréf sem hún hafði fengið sent á sínum tíma.
Fólkið sem hafði auglýsti hringdi í meðmælendurna og fékk staðfest að
þarna færi frábær barnfóstra.
Konan mætti svo á nýja vinnustaðinn undir fölsku nafni, lét greipar
sópa og lét sig svo hverfa.
Kveðja, Kári
Kári Harðarson, 15.2.2007 kl. 15:53
Ég rakst eitt sinn á áhugavert forrit; Key Scrambler:
http://www.qfxsoftware.com/
Þetta er forrit sem keyrir á lágu leveli í stýrikerfinu og á að brengla allar þær upplýsingar um lyklaborðsinnslátt sem óværur húkka sig inn á. Því miður virtist þetta ekki virka með íslensku stöfunum, alla vega þegar ég prófaði þetta, en þetta er engu að síður áhugaverð hugmynd.
Þarfagreinir, 16.2.2007 kl. 18:18
Hmm - nú sé ég að þarna er frétt:
November 22, 2006
KeyScrambler 1.1.6 is released and available for download. This release fixed an error on accent keys on international keyboards.
Forritið virðist því í stöðugri og jákvæðri framþróun. Kannski maður prófi þetta aftur.
Þarfagreinir, 16.2.2007 kl. 18:20
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.