Názory k článku Postřehy z bezpečnosti: ohlédnutí za rokem 2020
-
Ohľadom authentifikácie vidím veľmi špatný trend v tom, že zákazník (prostý user, používateľ) je otravovaný neviem koľkými faktormi authentifikácie a musí prepisovať číslo z mobilu, z mailu, a neviem čo. Pri tom reálne u 95% jeho účtov stačí obyčajné heslo. Ale poskytovateľ služby degraduje authentifikáciu sám spôsobmi, ktoré by nenapadli žiadny zdraví rozum. Tak o čom to je? Keď poskytovateľ služby zabezpečí svoj systém, tak používateľ tej služby môže mať aj heslo "Baklažán627!" a nikto sa mu k účtu nedostane. Ale čo z toho že niekto má heslo: "8pK_4#cE?16pO" keď je to uložené v databáze v plaintexte a heslo k databáze je "admin123"? A rovnako u 2FA, čo z toho keď operátorovi stačí nadiktovať dátum narodenia (čož každý, kto s Vami oslavoval narodeniny vie), a operátor dá útočníkovi prístup k citlivým veciam. Čo z toho že máš supersilné heslo, keď v Tatrabanke ho diktujem na hlas tej pipke za okienkom pri zakladaní účtu, takže hocikto s diktafónom vo vačku to heslo vie tiež? Čo z toho keď na VISA karte je číslo karty, expirácia aj ten ochranný kód priamo napísaný, a pomocou týchto info sa dá rovno čokoľvek zaplatiť? Ako osobne vidím že najslabšie zabezpečenie je dnes u väčšiny poskytovateľov služieb a nie u userov. Osobne si myslím že 1 faktor úplne v pohodičke stačí v 95% prípadov. Žiaľ niektoré stránky 2FA vnucujú, a aj keď vypneš tak "overte zariadenie" ti príde mailom odpisovať 6 čísel čo ťa otravuje a berie ti čas, pri čom ten účet máš na účeli, kde skoro vôbec authentifikáciu nepotrebuješ, ale tam kde ju potrebuješ, tam buď není, alebo je, ale je úplne zbytočná lebo ju poskytovateľ služby maximálne degradoval. Také 2FA len zbytočne otravuje používateľa. Osobne som za momentálnej situácie skôr proti 2FA, kedy to fakt nie je worth v porovnaní s tým ako otravné a pomalé to je. Teda až na výnimku, kedy jediné rozumné 2FA riešenie vidím že je YubiKey/FIDOkey. Inak fakt nemám rád keď webstránka vnucuje 2FA alebo "device verification" ako napr. Github, u ktorého keď som to písal, tak ma ostatný skoro zabili za takýto názor.
