AntitalentumUgye a jogosultság beazonosítása azon múlik, hogy az user birtokában van e a kulcs, vagy ha több lépcsős azonosításról beszélünk: kulcsok. A kulcsok lehetnek: felhasználónév-jelszó páros, SMS-kód, private/public-key .. stb.
Egy illetéktelen számára ezek megszerzése különböző nehézségi fokozatokkal bír. Azt lehet mondani, hogy minél több lépcsős az azonosítás (minél több kulcs kell), annál nehezebb a jogosulatlan belépés elérése.
Tehát a kért kulcsokat meg kell szerezni. SMS tekintetében a telefon pontosabban a telefonszám birtoklása. Token vagy private/public key esetében is az eszköz döntő fontosságú lehet. Felhasználónév/jelszó páros esetében az a sima szöveges fájl amiben eltároltad a jelszavaidat. :)
Ezeket el is lehet lopni. Persze mindet más nehézségi fokozatban.
Felhasználói oldalon is sokat lehet tenni péld egy ellopott telefon esetében: ujjlenyomat, vagy képernyőzárral védjük a telefont.
PC tekintetében mellőzzük az automatikus bejelentkezést. Böngészővel ne jegyeztessük meg a jelszavakat.
Összességében persze, viszonylag kényelmesnek kel lennie, az azonosítási folyamatnak is. Elismerem. A böngészős megoldás is lehet biztonságos, de sok múlik itt a felhasználón is. Banki oldalról minimum a https. Ezzel megelőzzük/megnehezítjük azt, hogy ha valaki ráül a hálózati adatfolyamra azt könnyen olvassa mit kinek küldünk. De elvárható az is, hogy ne korlátozza be a jelszavak hosszát. Lefelé igen, de felfelé ne.
Ebben az esetben feltehetjük a kérdést: Miért max 14 karakter hosszú lehet a jelszó? Ekkora helyet hagytak neki az adatbázisban?
Ez azt jelenti, hogy sima szövegként tárolják a jelszavainkat? Kurva jó. A jelszavakat csak titkosítva szabad tárolni. Egy rendes titkosítás asszem 56 karakter hosszú. Ez azt jelenti hogy ha Te beírsz egy 1 karakteres jelszót, akkor abból úgyis 56 hosszú karakter lánc lesz. Mire föl a 14 hossz? Ráadásul még azt is elárulják, hogy milyen karakterek nem szerepelhetnek a jelszavakban. Ez megint csak a lehetőségek számát csökkentik. Hagyjuk. Én törvényben hoznám le, a biztonságos jelszó tárolás minimum követelményeit.
Visszatérve: Böngészőben, de az oprendszeren is csücsülhetnek adatlopó vackok. A legegyszerűbb egy keylogger. Ilyenkor tökmindegy a https, meg a szerver oldalon a full biztonság.
Egyelőre ennyi.