Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Vít Šesták - Tak jsem věnoval čas sepsání srovnávací tabulky: https://docs.google.com/spreadsheets/d/17XXbY5w618CZSdiq8ovcpLrifqLRI3O8DPsXqp9ETZM/edit?usp=drivesdk * Váš...
-
Tak jsem věnoval čas sepsání srovnávací tabulky:
* Váš způsob přihlašování jsem nazval „FJ SCRAM“. Vaše iniciály jsem tam přidal, protože samotný SCRAM nepopisuje všechno podstatné.
* Plus jsem tam přidal i přihlašování asymetrickou kryptografií (ve stylu SSH klíčů).
* Snažil jsem se nejlepší variantu pro daný řádek obarvit nazeleno. Těch nejlepších variant v dané kategorii může být více.
* Protože jsme se o přihlašování asymetrickou kryptografií původně moc nebavili a protože v některých kategoriích vyšla jako suverénně nejlepší (byla by jediná zelená), označil jsem zde druhé místo jiným odstínem zelené.Srovnání z hlediska bezpečnosti předpokládá, že se řešení podaří prosadit a uživatelé jej pochopí. (Naplnění těchto předpokladů je řešeno níže):
* Asymetrická kryptografie je jednoznačný vítěz.
* Úplně jednoznačného poraženého (tzn. ve všech kategoriích) nemáme, ale pro většinu situací se asi shodneme, že znovupoužitá hesla s plain autentizací jsou nejhorší varianta.
* Nelze jednoznačně určit vítěze mezi password managery a FJ SCRAM. Za mě to jsou password managery.
* Password managery + FJ SCRAM vycházejí jednoznačně lépe než FJ SCRAM samotný, nevycházejí jednoznačně lépe než password managery samotné.V dokonalém světě bychom prostě vybrali to nejlepší řešení z hlediska bezpečnosti (tj. asymetrickou kryptografii) a bylo by. Jenže otázkou je, jak náročné to bude nasadit a vysvětlit všem, jak to správně použít:
* Tady už nemáme úplně jednoznačné (tj. ve všech parametrech) vítěze ani poražené.
* Nicméně password managery mají ve většině věcí navrch.
* FJ SCRAM naopak ve většině věcí propadá a vychází jednoznačně hůře než samotné password managery.
* Asymetrická kryptografie IMHO v obou kategoriích vychází celkově lépe než FJ SCRAM.
* Asymetrické kryptografii mohou cestu uhladit právě password managery, ze kterých by se staly obecnější access managery.
* Za mě tedy bych viděl cestu 1. password managery (=nedokonalé, ale praktické řešení) a 2. asymetrická kryptografie.Máte k tomu nějaké námitky? Případné námitky by asi šlo rozdělit do třech kategorií:
a. Nesouhlas s tím, co v tabulce je.
b. V tabulce chybí podstatný údaj.
c. Nesouhlas s celkovým hodnocením.
