Názory k článku Prokaž se, kdo přicházíš

Rad bych poznamenal, ze omezeni jednoho https na jednu ip adresu neplati, jsou technologie ktere to umeji resit.

Vážený autore, váš popis možných variant autentizace/i­dentifikace je špatný.

Tři faktory, kterými lze prokázat, že jste ten, za koho se vydáváte, jsou tyto tři:
1. Znáte tajemství (tajné heslo: "Sova houká pouze o úplňku")
2. Vlastníte vzácný předmět (klíč od zámku)
3. Nacházíte se na vzácném místě (nacházíte-li se na úřednické straně přepážky, pak jste zřejmě úředník)

"Něco být" je jen jiný příklad vlastnictví vzácného předmětu (v tomto případě oční bulvy či prstu s daným otiskem - v kolika filmech bylo, že někdo vypíchl oko nebo uřízl ruku, aby jimi obelstil scanner?), respektive schopnost podepsat je variantou tajné vědomosti ("napodobení podpisu")

Ke třetí variantě ("Někde být") se používají například MAC adresy počítačů -- viz relativně nedávno do provozu uvedený Steam Guard, chránící účty hráčů na síti Steam -- zkusíte-li se přihlásit z nového počítače, musíte prokázat znalost, a pokud se vám to podaří dostatečně rychle, tak je ten počítač zaevidován jako další místo, na kterém se můžete vyskytovat (a tudíž v budoucnu už stačí pro tento počítač znalost hesla).

=========
Je dobré tyto principy vysvětlovat na klasických příkladech (zbojníci v lese (tajné heslo), šlechtic (pečetní prsten), král (sedí na trůně), což je pro lidi podstatně pochopitelnější než na značně pokročilých matematických principech založené asymetrické šifry atd.

Čech -> čeština -> NEROZUMĚL
Čecha by tu pohledal

Tak, tak. Kryptoanalýza gumovou hadicí je takřka 100% účinná.

a co když to heslo je jen ve fyzické formě (USB klíč) na něm 1024bitů informace, kterou si nemám šanci zapamatovat a toto jsem fyzicky destruoval dříve, než jste mě chytil? pak je vám vašich 50V k ničemu. prostě to nevím.

Drahý Lojzo, bavíme se o šifrovaných datech na disku. Tam to funguje trochu jinak než u autentizace prostřednictvím čipových karet - například skutečně jde "vytáhnout klíč". Právě proto píšu, že to je nevhodný příklad. Takže ne, neumím udělat duplikát, ani to umět nepotřebuju, a ano, vím jak čipovka funguje.

Je to český básník. Básníkům nebývá rozumět.

Tak pokud zadržíte čipovku, tak se se jen přesune do vašeho vlastnictví a žádná znalost se z toho nestane. Pokud jí nezadržíte, tak buď umíte udělat její duplikát, nebo nevíte jak čipovka funguje (není to fleška kde by byl nahrán nějaký soubor s klíčem, jak si možná myslíte)

ze neexistuje neco jako statistika úrovně zabezpečení ve vazbe na hodnotu informaci. To by se rozevrelo jako nůžky krejčího Bilaka.

clovece jste cech? pokud ne pak se omlouvam, ale nerozumnel jsem vam.

Ak chcem ziskat pristup k informaciam ozajstnej hodnoty, odchitim si majitela pocitaca, o ktorom viem ze ma pristuo k informaciam aj s jeho strojom a 50 v striedavých správí svoje, vyspieva aj heslo ktoré nevie. Holt to je nevýhoda ludského faktoru.

nebudu sy vyjadrovat s odborneho hlediska jak byl napsan clanek, ale mne se vcera stala vec, mel jsem na fb jmeno a prijmeni podobne mu jen, a protoze prispivam do diskuzi kde zpravodajsky server zavedl fb, tak asi proto nekdo mne nahlasil a fb chtel po mne abych zadal znova sve jmeno, no mohl jsem zas opakovat co uz jsem mel, a asi to prijalo, nevim na jakem principu to funguje, jestli si meli jen overit jestli jsem si jistej jmenem a budu to dal tvrdit nebo velky bratr mel tip odnekud.

Ano -- keylogery na odchycení loginu a hesla. Doplním se sám... :-)

Mám pocit, že to co se tu v tomto vláknu řeší bylo již řečeno v článku. Ano, klíč lze v určitých případech ukrást (pokud jsou prostředky na jeho zkopírování) a lze ukrást i heslo s loginem pokud je někde uloženo v otevřené - nešifrované podobě (což by se stát nemělo). Pak se lze nabourat do asymetrického systému s ukradenou identitou. Samotný proces vstupu a práce v asymetrickém systému je založen na třech krocích.
1. Identifikace (jsem to já - Franta Novák) - login
2. Autentizace (jsem to opravdu já - ověř si to) Heslo (+ ověřovací SMS atp. až po použití šifrovacího klíče tj. el. podpisu v asymetrických systémech)
3. Autorizace (dostanu přístup k objektům ke kterým mám dle své role právo přistupovat)

Pro přístup se obvykle kombinuje několik metod ochrany, jak bylo řečeno v článku, a čím více metod tím menší míra potenciálního rizika.

ted víte, že budete-li chtít Valáškovi ukrást notebook, máte se schánět i po USB tokenu, kde má šifrovací klíč (tiše předpokládám Bitlocker) :) ale plně souhlasím s ideou, že vezmete-li mu jako neznalý "jen" notebook, je vám k ničemu.

Stačí mi ho jednou zachytit a hned se z vlastnictví přesouvá do znalosti.

1. klíč může být na čipovce/tokenu a pak vaše výhrada neplatí

Pokud se mi tedy například budete chtít dostat k datům uloženým na disku mého notebooku, pak vězte, že musíte něco mít (šifrovací klíč, kterým jsou data zašifrována), něco znát (heslo) a něco být (musíte projít biometrickou autentizací).

Chápu motivaci, ale tohle je hodně špatně zvolený příklad:

1) Šifrovací klíč i heslo jsou oboje příznakem jednoho a toho samého autentizačního mechanismu (něco znát). Navíc mi v obvyklém případě stačí znát jen jedno z toho (pokud znám klíč, nepotřebuji heslo, pokud znám heslo, dokážu z jeho znalosti získat klíč).

2) Obecně pro zabezpečení dat před lokálním útočníkem lze dobře použít faktor znalosti a s výhradami faktor vlastnictví (má to smysl to jen v případě, že se jeho výstup v čase nemění, a pak ten výstup útočníkovi stačí zachytit jednou a příště ho použít přímo), ale nelze použít faktor "co jsem" (protože to je jen porovnání někde v databázi a útočník vždycky může přepsat porovnávací podmínku z IF (co_jsem = uložený_co_jsem) THEN na IF (pravda) THEN.