Når to-faktor-sikkerhed er overkill: Svar på spørgsmålene for at logge på

TEMA: Et par ekstra sikkerhedsspørgsmål og en profil af browseren kan bruges i stedet for kodeord på sms til at højne sikkerheden, når en bruger logger sig på virksomhedens systemer udefra, mener RSA.

En kombination af brugerens viden og pc'ens profil kan være nok til at højne sikkerheden på samme måde som hardwaretokens eller sms-beskeder med engangskoder. Det mener i hvert fald sikkerhedsfirmaet RSA, som nu lancerer en ny metode til autentifikation beregnet til mindre virksomheder, der ikke ønsker at benytte systemer med engangskoder.

RSA's nye metode bygger på en teknologi, der har været anvendt i nogle år hos blandt andet flere store amerikanske banker til at højne sikkerheden på netbankerne.

Udover brugerens login med brugernavn og kodeord har systemet også en profil af brugeren. Den omfatter eksempelvis oplysninger fra browseren om IP-adresse, styresystem, skærmopløsning og sprog, som alt sammen er med til at danne et fingeraftryk af selve pc'en.

Hvis brugeren logger på fra en ny IP-adresse eller der er sket andre ændringer i profilen, så kan systemet kræve ekstra identifikation fra brugeren.

»Hvis brugeren logger på fra en anden type pc eller en anden IP-adresse, så giver det en ændret risikoværdi. Hvis værdien er lav, så kan brugeren måske få lov til at logge på med blot brugernavn og adgangskode. Ellers skal han bevise sin identitet,« forklarer sales engineer Mikkel Bossen fra RSA Danmark til Version2.

Den ekstra identifikation kan være en bekræftelse via e-mail eller sms, men det kan også være et antal sikkerhedsspørgsmål, der skal besvares.

Som standard har systemet 20 spørgsmål på engelsk. Administratoren kan dertil lave oversættelser eller nye specifikke spørgsmål. For hver gruppe brugere kan man opstille krav om, hvor mange spørgsmål de skal udfylde ved oprettelsen, og hvor mange de skal svare på ved login.

Det skal højne kvaliteten af spørgsmålene, for med tjenester som Facebook er det blevet lettere at indsamle oplysninger på typiske spørgsmål som fødeby, kæledyr eller yndlingslærer. Ved at kræve korrekt svar på flere spørgsmål kan man mindske risikoen for, at en uvedkommende kan logge på ved hjælp af frit tilgængelig information.

»Vi har to millioner kunder på Adaptive Authentification, som bruges af banker, og det nye produkt bruger dele derfra. Så teknologien kommer fra en yderst velafprøvet løsning,« siger Mikkel Bossen.

Den ekstra sikkerhed kommer i kraft af, at risikoen ved at give en bruger adgang i en bestemt situation afhænger af flere faktorer. Eksempelvis kan brugeren også vælge en pc som sin standard-pc til login på systemerne, hvorefter der bliver lagt et Flash-objekt og en cookie, som skal være til stede ved login.

RSA's system er beregnet til at arbejde sammen med SSL-gateways, så login-processen viderestilles til RSA's system, når brugeren prøver at logge på et system via en browser. I øjeblikket understøtter systemet login via Citrix, Cisco, Juniper og Checkpoints gateways, men RSA er også på vej med understøttelse af Apache Webserver og Microsoft IIS.

Artiklen er en del af Version2's tema om it-sikkerhed i uge 7 og 8.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Fordsmand

Ja det kan vi vist kun blive enige om. Og så bruger de det til banker.

Problemet er selvfølgelig at man stadig er ekstremt afhængig af sikkerheden på kundens device (PC/iPhoney/Android eller whatever)

Og når nu terminalen er ens telefon hvor meget 2-faktor er der så i SMS-engangskoder?

  • 0
  • 0
Baldur Norddahl

Ja vi husker ham der hackede Facebook brugere ved at svare på de såkaldte sikkerhedsspørgsmål med oplysninger han fandt i brugernes egne profiler.

Selv før Facebook var det en dårlig ide at bruge min mors pigenavn som kode. Det giver jo minimum hele min familie og en hel del bekendte adgang til min konto. For ikke at nævne hvor få bit entropi der er i det spørgsmål selv helt uden kendskab til personen. Hvad tænker de på?

Og nu sidestilles det pludselig med two factor. Helt ærligt.

  • 0
  • 0
Baldur Norddahl

Og når nu terminalen er ens telefon hvor meget 2-faktor er der så i SMS-engangskoder?

Faktisk en hel del.

2-faktor: Noget du ved (koden) og noget du har (telefonen).

Det er irrelevant at telefonen også er terminal. Det vigtige her er at du ikke kan komme på med en anden telefon selvom du kender koden.

Naturligvis er der svagheder, for eksempel kan man forestille sig en hacket telefon der logger koden, for derefter i baggrunden selv at logge ind inklusiv at programmet kan modtage SMS beskeden.

Det er analogt til nøglefiler som vi kender fra de gamle netbanker dog en lille tand sikre. En nøglefil kan hackeren kopiere over på hans egen PC. Med SMS løsningen er det nødvendigt at køre det hele via telefonen. Dertil kommer at malware til PC er meget almindeligt men stadig sjældent på telefonerne.

  • 0
  • 0
Tom Paamand

Kodeord direkte på SMS eller via en mobil applikation er vel ikke meget sikrere, bare fordi koden bliver leveret i en anden æske. Det svarer kun til at sende den via to forskellige email-konti. Min udenlandske netbank bruger princippet, og her kører jeg et fake mobilnummer i en browser, afhenter SMSen fra min pc og kører java-applikationen via en emulator. "Sikkerhed" er nem at overliste, og fra min i øvrigt sikrede hjemme pc foretrækker jeg bekvemmelighed...

  • 0
  • 0
Baldur Norddahl

Kodeord direkte på SMS eller via en mobil applikation er vel ikke meget sikrere, bare fordi koden bliver leveret i en anden æske

Koden bliver leveret på en alternativ kanal. Det er et gammelt princip i sikkerhed.

Jeg ved ikke hvad du mener med et fake mobilnummer. Under alle omstændigheder er der mange måder du kan ødelægge sikkerheden for dig selv, og en hel del af måderne vil være ansvarspådrivende hvis der sker misbrug. Men det er op til dig.

Når nogen tilbyder mig sikkerhed forsøger jeg at bruge den korrekt. Fordi identitetstyveri af enhver art er noget af det værste man kan komme ud for.

  • 0
  • 0
Tom Paamand

Koden bliver jo netop ikke leveret på en alternativ kanal til mig, men gennem min browser. Jeg gør det af bekvemmelighed, men når jeg så nemt kan finde en omvej, kan den klogere tyv endnu nemmere automatisere sit angreb.
Mit kunstige mobilnummer var nødvendigt, da systemet ikke kunne bruge de korte danske numre. Et sådant nummer kan oprettes på internettet uden ID, og er altså ikke et ekstra lag sikkerhed.
Egentlig er det jo ikke mig, der undergraver sikkerheden her - det er systemet, der tilbyder mig falsk sikkerhed.

  • 0
  • 0
Baldur Norddahl

Hvordan har du tænkt dig at få adgang til min kode, som jo altså ikke bliver sendt til et såkaldt kunstigt nummer?

Det er som om du forsøger at argumentere at når du kan snyde med din egen sikkerhed, så kan tyven på en eller anden måde også gøre det. Men det er jo ikke tilfældet.

Systemet tilbyder dig god sikkerhed. Det er netop dig der vælger at undergrave det ved at benytte en tjeneste der omgår sikkerheden, men heldigvis går det kun ud over din egen sikkerhedssituation. Os andre der vælger at bruge systemet rigtigt har stadig god sikkerhed.

  • 0
  • 0
Tom Paamand

Hvad jeg skrev var at kodeord via en mobil ikke er sikrere, bare fordi koden bliver leveret i en anden æske. Det svarer til at sende den via to forskellige email-konti, som jeg ganske rigtigt begge skulle kende og bryde ind i for at få adgang. Mobil-kodeordet giver dig blot en øget illusion om sikkerhed, men kunne lige så godt og sikkert erstattes af to emailkonti. Og det er illusionen, jeg beklager mig over.

  • 0
  • 0
Baldur Norddahl

Det svarer til at sende den via to forskellige email-konti

Nej det gør ej. Email-konti kan du tilgå fra en vilkårlig maskine. Det kan godt være at du har fundet en måde at snyde på, så du kan læse SMS på en vilkårlig maskine, men det normale er altså at man skal have adgang til telefonen for at læse SMS beskeden.

Meningen med SMS beskeden er at checke at du er i fysisk besiddelse af telefonen.

  • 0
  • 0
Tom Paamand

Baldur, vi kommer vist ikke længere. Jeg "snyder" ikke, jeg bruger blot på legal vis og for nemheds skyld de samme muligheder, som tyvene har. Og to email-konti ville give en lignende to-faktor-sikkerhed.
De SMS-beskeder jeg modtager, tjekker ikke for IMEI eller SIM-kort, og er altså ligeglade med en fysisk mobil. Begge dele kan i øvrigt emuleres og indstilles fra computerens "mobil", så den sikkerhed ville også være hul.
Pointen er fortsat, at når jeg så nemt kan omgå dette, er det særlige ved at inddrage mobilen blot en illusion. Så skal vi ikke stoppe her...

  • 0
  • 0
Baldur Norddahl

jeg bruger blot på legal vis og for nemheds skyld de samme muligheder, som tyvene har.

Det passer jo ikke. Tyve har ingen muligheder for at stjæle SMS beskeder til min telefon.

Hvis du kender en metode, så du uden min accept kan læse med på mine SMS beskeder, så er jeg da vældig nysgerrig for at høre om det. Det tror jeg også andre er. Så fortæl endelig.

Du slipper lidt for nemt uden om disse vilde påstande hvis du "stopper her".

  • 0
  • 0
Eskild Nielsen

Pointen er fortsat, at når jeg så nemt kan omgå dette, er det særlige ved at inddrage mobilen blot en illusion. Så skal vi ikke stoppe her...

Tom - som jeg forstår dit set-up, så har du bevidst fravalgt 'noget' som måske og måske ikke forøger din sikkerhed.

Lad os antage at du ikke havde gjort det. Hvordan ville modpaten få oplysningen om hvilken destination sikkerhedsbeskeden ville blive sendt til?

  • 0
  • 0
Eskild Nielsen

Jeg antager at hver af disse SMS beskeder er unik, kun gyldig til en transaktion eller login

Hvis du kender en metode, så du uden min accept kan læse med på mine SMS beskeder, så er jeg da vældig nysgerrig for at høre om det. Det tror jeg også andre er. Så fortæl endelig.

Hvis ikke du skal opdage temmelig hurtigt at der er noget galt, så skal det vel også forhindres at du modtager beskeden?

Hvis beskeden også indeholder et løbenummer, så vil der vel også være et spor der til at udløse mistænksomhed hos den opmærksomme bruger

  • 0
  • 0
Tom Paamand

Jeg tror du hidser dig op over noget helt andet, end jeg skriver. Selvfølgelig kan tyve læse dine SMSer - hvis de har hugget din mobil. Personalet hos dit mobilfirma kan læse med, politiet gør det også ved mistanker - og jeg kunne teknisk set også gøre det. Det ville dog kræve et minuts tid sammen med din mobil, hvor jeg uset kopierer dit SIM-kort - mens du er på lokum og har efterladt mobilen på bordet. Spørg tyvene, hvis du vil kende andre metoder - jeg er mere interesseret i sikkerheden.

Jeg er blot et legebarn, der afprøver de tekniske muligheder for at finde sjove løsninger. Jeg oprettede selv et fiktivt "mobilselskab" på min computer, et relativt simpelt hjemmeskrevet program, der modtog MMSer fra de ægte selskaber. Denne mekanik gjorde det muligt at sende live-tv på nettet fra enhver mobil, lang tid før den slags blev mere moderne. Og jeg var den første, der bandt computer og mobil sammen med den teknik, det i dag hedder Twitter. Men jeg er langt fra nogen ekspert - jeg ved bare, at der er kriminelle derude med langt større viden, og at mulighederne er store for dem.

Og nej, jeg hverken kan eller vil bryde ind i din webbank. Og jeg sætter faktisk pris på, at min kortudbyder har tilføjet et ekstra kodeord til webbetalinger. Ind til videre er også dette mest en illusion, da det endnu ikke er gjort obligatorisk.

  • 0
  • 0
Baldur Norddahl

Personalet hos dit mobilfirma kan læse med, politiet gør det også ved mistanker

Personalet hos teleselskabet samt personalet hos Google har muligheder som andre ikke har. Politiet kan altid komme ind med dommerkendelse. Det er ikke dem vi beskytter imod.

Forklar mig hvordan en kineser får fat i SMS beskeden. Han er i Kina og det er jeg ikke, så hvordan kopierer han lige mit SIM kort? (hvis vi en kort stund ignorerer problemerne der er ved at kopiere SIM kort)

Kineseren har hacket min computer og har afluret mit kodeord. Men to-faktor systemet beskytter mig så at det stadig er umuligt for denne tænkte kinesiske hacker at opnå adgang til min email.

  • 0
  • 0
Tom Paamand

Jeg bad dig ellers spørge tyvene for yderligere tips, men her er alligevel et eksempel.
Du har just fået dig en fin ny Iphone, og går til deres appstore. Her køber du et nyt spændende spil, der tilfældigvis indeholder en trojansk hest. Og hesten sender alle relevante data hjem til kineseren, når du fx henter mail og går på netbank. Kineseren har tusindvis af automatiske angreb kørende, og skal blot vente på det tidspunkt, hvor hans programmer fortæller ham, at der er nok oplysninger hentet til et angreb på lige netop dig.
Det er også andre gode grunde til at ikke kun undertegnede, men også Datatilsynet ikke opfatter SMS som sikre - og nu logger jeg selv ud af denne tråd for i dag.

  • 0
  • 0
Baldur Norddahl

Forstår du ikke at kineseren så skal installere en trojansk hest på både min PC og min telefon (*)? Det er i sagens natur meget sværere end at nøjes med at hacke en af mine enheder.

Se i øvrigt mit oprindelige indlæg under svagheder ved systemet. Det er ikke et usårligt system, men det er en hel del sikre.

(*) ja, hvis du bruger telefonen som terminal kan han bryde systemet ved kun at hacke telefonen. Det er beskrevet tidligere i tråden. Det er reelt kun bedre hvis man bruger en PC til login og telefonen kun til at læse SMS beskeden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere