Ubuntu Suomen keskustelualueet

Muut alueet => Yleistä keskustelua => Aiheen aloitti: Sami Lehtinen - 09.10.13 - klo:17.15

Otsikko: SQRL vahva autentikoituminen mobiilisti
Kirjoitti: Sami Lehtinen - 09.10.13 - klo:17.15

https://www.grc.com/sqrl/sqrl.htm

Tuohon törmäsin ja sitä tiukasti tavasin. Täällä on varmasti sen luokan guruja, että jotain mielipidettä saattaisi herua. Mutta omat havaintoni olivat lähinnä seuraavat.

• Vain yksi identiteetti / domain, ongelma.
• Kameran käyttäminen ei aina sovellu, mm. tilanteissa jossa sivustoa käytetään jo puhelimella.
• Palveluntarjoajaa ei tunnisteta vahvasti, vain pelkän domain nimen perusteella. Ongelmallista, mielestäni myös palvelun tarjoaja tulisi tunnistaa vahvasti, PKI:tä käyttäen.
• Vaatii jonkinlaista pollauslogiikkaa selainfrontilta joka odottaa sisäänkirjautumista, koska sisäänkirjautumis pyyntö tulee vaihtoehtoista reittiä pitkin. Mutta koska vaihtoehtoinen reitti on edelleen internet, ei tämä mielestäni kuitenkaan täysin täytä out of band autentikoinnin määritelmää.
• Koska tiedot ovat tallessa mobiililaitteessa, on se hakkeroitavissa. Ei siis tarjoa myöskään sama turvaa mitä ns. footballit tai edes avainlukulistat tarjoavat.

Noita ongelmia lukuunottamatta kuitenkin ihan ok PKI autentikointiratkaisu? Vai mitä tuumaatte.

Perusteina käytetään kuitenkin ihan tunnettuja ratkaisuita, eikä niissä ole sinänsä mitään vikaa. Helpoiten voisin kuvitella että isoja ongelmia tulee mm. huonon satunnaislukugeneraattorin myötä, joka olennaisesti heikentää monien muuten niin yksinkertaiselta ja turvalliselta näyttävien ratkaisuiden turvallisuutta, joskus jopa aivan naurettavalle tasolle.

Tässä vielä jotain extra horinaa (http://www.sami-lehtinen.net/blog/sqrl-secure-qrcode-login-quick-analysis).