Droša autentifikācija

[l27]

Sveiki!

 

Internetbankām lieto kodu kalkulatorus, viedkartes. Lattelekom piedāvā Mobilo ID.

To laikam var nosaukt par dubulto autentifikāciju.

 

Šie varianti ir ļoti droši, bet dārgi:

- viedkartes/ kalkulatori - 10-20Ls uz lietotāju

- Lattelekom Mobilais ID - viena autentifikācija 0.10 Ls

 

 

Vai ir kaut kas līdzīgs, bet ekonomiskāks?

[Aleksejs]

Neviens Tev neliedz uzģenerēt pie reģistrēšanās lietotājam "kodu karti". (~: Problēma ir tieši ar šīs kodu kartes drošu nodošanu.

Vēl vari izmantot tādu lietu kā S/Key - http://en.wikipedia.org/wiki/Skey vai OTPW http://en.wikipedia.org/wiki/OTPW

[l27]

Neviens Tev neliedz uzģenerēt pie reģistrēšanās lietotājam "kodu karti". (~: Problēma ir tieši ar šīs kodu kartes drošu nodošanu.

Vēl vari izmantot tādu lietu kā S/Key - http://en.wikipedia.org/wiki/Skey vai OTPW http://en.wikipedia.org/wiki/OTPW

 

Paldies!

 

Ļoti labs padoms!

[codez]

sliktākais gadījums drošvien ir, kad ir inficēts lietotāja dators, šādos gadījumos varētu:

Kodu karti var nosūtīt pa pastu vai ar īsziņu, bet kodu karte ar ierobežotu izmēru aizsargā tikai īslaicīgi.

Var piemēram uzbūvēt java aplikācju, kuru var uzlikt uz telefona un kura strādā kā kodu kalkulātors.

Kaut kur esmu redzējis variantu, ka dators saslēgts (usb, bluetooth, wifi) ar aplikāciju uz telefona un katra kritiskā darbība jāapstiprina telefonā, šijā variantā viss ir diezgan droši un nav jāvada neskaitāmi kodi pie katras darbības.

Edited November 2, 2010 by codez

[Aleksejs]

Nu, man telefonā kā reiz ir javisks SKEY kodu kalkulators.

Ja grib vispār ūberdrošu - tad, teiksim IBM tagad ir izstrādājis ztic (Zone Trusted Information Channel).

Nodošanu var padarīt drošāku izmantojot vairākus informācijas pārraides kanālus (vienu daļu no kodu ģeneratora atslēgas parāda lietotājam uz ekrāna pašā lapā, otru daļu aizsūta pa e-pastu (kā bildīti), trešo daļu aizsūta pa SMS).

Galā iegūto kodu ģenerēšanas atslēgu var, piemēram, iebarot http://www.passwordchart.com līdzīgai aplikācijai: Ja galā iegūtā atslēga ir: SuperParole, tad rezultējošā kodu kartīte būtu (ja ieslēdz gan ciparus, gan pieturzīmes):

A: x		B: &n		C: 7p		D: %4
E: ^im		F: e8		G: $		H: x6
I: sH6		J: Cwm		K: T7		L: q&J
M: x@_		N: u^		O: 8_		P: K
Q: JU		R: sm8		S: %		T: 6
U: 96		V: ^+		W: NP6		X: y7N
Y: AG_		Z: 66		0: 78		1: $q!
2: ^		3: &		4: q		5: x3M
6: i$^		7: sVG		8: 76		9: 9?

Tālāk serveris lūdz ievadīt teiksim kodu: ZAMBEZI

Lietotājs ievada: 66xx@_&n^im66sH6

Pārlūks izrēķina hmac no šī koda un nosūta serverim (pašu kodu nebūtu labi sūtīt, jo tomēr vairākus kodus noskatoties, var noskaidrot kuram burtam atbilst, kura kombinācija)

[codez]

Principā tās ZTIC ir tieši tas variants, ko es domāju, tikai ar JAVA aplikāciju uz telefona. Sanāk lētāk, jo nav jāpērk jauna iekārta, pietiek tikai uzlikt aplikāciju uz telefona. Protams tādā gadījumā pastāv arī telefona inficēšnas risks, kurš specializētai iekārtai varētu nebūt, bet inficēt vienlaikus lietotāja datoru un telefonu ir samērā sarežģitāk.

[Vecteevs]

tādas aplikcijas uz telefona var kur lejupielādēt?

[Aleksejs]

http://marcin.studio4plus.com/en/otpgen/

http://www.getjar.com/mobile/2432/mobileotp/