SG.hu·2013. december 17.

A Microsoft is a jelszavak alternatíváit keresi

A redmondi konszern csatlakozott a Fast IDentity Online (FIDO) szövetséghez, amely a jelszavas azonosítás alternatíváinak megtalálásán dolgozik.

A FIDO tagja többek között a Blackberry, a CrucialTec, a Google, a Lenovo, a MasterCard, az NXP Semiconductors, a PayPal, az Infineon és az LG Electronics, hozzájuk csatlakozott most a Microsoft. Michael Barrett, a FIDO szövetség elnöke - érthetően - kitörő örömmel fogadta a hírt. A szervezetet az év elején alapították és feladata, hogy megfelelő alternatívákat keressen napjaink legnépszerűbb azonosítási megoldásához, a jelszavakhoz. A további cél egy kapcsolódó ipari szabvány kidolgozása. A célok között szerepel az úgynevezett kétutas azonosítási eljárások, az egyszer használatos jelszavak és a biometriai használat továbbfejlesztése. Az ellenőrzési funkcióra is kiemelt figyelmet fordítanának, többek között így akadályoznák meg a túl sok különböző rendszer elterjedése miatt biztonsági problémák jelentkezzenek.

David Treadwell, a Microsoft alelnöke elmondta, hogy a szövetség támogatása logikus lépés volt a részükről és arra számítanak, hogy a következő generációs megoldások előmozdítják az innovációt a személyazonosítás területén. Heather Adkins, a Google információbiztonságért felelős menedzsere szeptemberben azt nyilatkozta, hogy a vállalkozásoknak a jövőben nem szabadna csak a jelszavakra hagyatkozniuk, mert nem nyújtanak megfelelő védelmet. A véleménye egyértelmű volt: "A jelszavak halottak".

Kapcsolódó cikkek és linkek

Szabványosítanák az elfogadható jelszavakat Kiütötte a hangazonosítást a mesterséges intelligencia A jelszóval védett .zip fájlokba is belenéz a Microsoft vírusírtója Hőképek segítségével feltörhetők a jelszavak Mindenki le akarja váltani a jelszavakat Hatékonyabbak a három szóból készített jelszavak Radikálisan változtat árazásán a LastPass Elavultnak érzi a jelszavakat az amerikai idősek többsége

Hozzászólások

Jelentkezz be a hozzászóláshoz.

Ott a smart card. E-token. VPN-hez, belépéshez kb. mindenhez jó. Van USB token formában is, szal. nem kell hozzá kártyaolvasó, ha azzal akar spórolni egy cég. Van rajta egy jó kis privát tanúsítvány (szabvány x-509, 1024bites RSA kulcsok, bár én benti alkalmazásoknál már 2048bitet használok évek óta), nem leszedhetõ, nem módosítható csak központban. Plusz ehhez is van durva, szükség szerint változtatandó safe jelszó, de az a tokené. Ha ezt kombinálod a one time password-ökkel (ehhez is van szoft és hard token is), akkor az pont untig elégséges nem katonai applikációkhoz.

Ezen felül persze lehet még kulcsfájlokat bevonni stb., mint a TrueCrypt-nél, de aztán ott a vége, ennél nagyobb biztonság már kezdi használhatatlanná tenni a rendszert. Sokan már erre is hánynak (még infósok is).

Nomeg lehet (és néha kell is) jelszó tároló rendszereket is használni, de ez is veszélyes lehet.

"Az NSA-tól gyanítom semmilyen védelmi módszer nem fogja megvédeni az adatokat."

Meg lehet. A lenyeg a megfelelo kulcsparok hasznalata, megfelelo algoritmusokkal generalva es sajat root ca szerverrel. Ha nem tudnak torest a gyengites es backdoor nelkuli open source pki rendszerekre, akkor onnantol suthetik.

"Minket meg aligha fognak megkérdezni arról, hogy akarjuk-e, hogy szuperfejlett biometriai azonosítók vegyenek körül."

A biometria hasznalhatatlan, mivel ha egyszer lemasoljak a mintat, akkor nem lehet kicserelni. A FIDO rendszerben is csak egy lehetoseg, de a leiras szerint siman lehet a kulcsokat egy txt-ben is tarolni az ember gepen, kb. mint egy bongeszo jelszo tarolojaban. Szerintem egy open source implementacio mondjuk firefox ala osszehozhato viszonylag gyorsan. A kulcsok mozgatasara pedig kell egy import/export funkcio, hogy a login kulcsparokat ugyanugy le lehessen masolni mint a webes sutiket. Mondjuk ez sokkal nem lesz biztonsagosabb, sot, de legalabb lenne egy biometria es minden extra hardver nelkuli implementacio. (kb. akkora biztonsagi szinttel mint a desktop-on levo txt-ben tartolt jelszavak gyujtemenye)

Egyetlen problema ami felmerult bennem, hogy elegge megneheziti azt, hogy publikus gepet hasznaljon az ember, mert nehezebb atmozgatni egy kulcspart mint beirni egy jelszot es a geprol torolni is nehezebb, tovabba a regi bongeszoket es gepeket hasznalo emberek nem fogjak tudni elerni az uj pki-s oldalakat.

Az NSA-tól gyanítom semmilyen védelmi módszer nem fogja megvédeni az adatokat. De legalább gondolom drága lesz.

hmmm..."így akadályoznák meg a túl sok különbözõ rendszer elterjedése miatt biztonsági problémák jelentkezzenek"

Aha. Vagy inkább így akadályozzák meg, hogy túl sok konkurrensük legyen. Végülis õk nyilván nagy üzletet szimatolnak a dologban.

Minket meg aligha fognak megkérdezni arról, hogy akarjuk-e, hogy szuperfejlett biometriai azonosítók vegyenek körül. Egyszerûen le fogják nyomni a torkunkon, mint rengeteg más mocskot (csak példaként: beületett RFID-tõl az ál-szerzõi rablási jogon keresztül a fizetõparkolásig és az ingatalandóig)
ebben a baaaaazi nagy de(i)mokráciában

Elolvastam a mukodesi elvet. Ha tenyleg ezt implementaljak, akkor akar lehet is ertelme, ugyanis egyedi kulcsparokat hasznal azonositasra, mint az ssh login. Persze ilyenkor a problema fennall, hogy hogyan kerul at a kulcs az egyik keszulekrol a masikra. Erre majd valoszinuleg lesz valamilyen felho alapu megoldas egy kulso szolgaltatotol vagy a user-ek masolgatjak a keszulekek kozott a keyring-juk tartalmat. Mar amennyiben az implementaciok megengedik ezt. A megoldas hatalmas elonye, hogy elvileg minden kapcsolat titkositott, mivel a kulcscsere es utanna a kommunikacio mehet https-en is.

ps: Lehallgatni csak ugy lehet, ha az elso kulcscsere kozben man in the middle-lel beul valaki es utanna az osszes kommunikacio alkalmaval is ott ul, hogy ne deruljon ki. Ez ellen ugy lehet vedekezni, hogy az elso kulcscseret offline kell vegezni. (pl. a bankfiokban) Hasonlo megoldast hasznal pl. egy magyar allami fejlesztesu titkositott kommunikaciot biztosito program is, persze megbizhato hardverrel es os-sel kiegeszitve.