ב"עולם" של וורדפרס נתקלתי בתוסף PhoneFactor שמציע שלב נוסף בכניסה לוורדפרס – אחרי שליחת שם המשתמש והסיסמא, האתר שולח לפלאפון SMS עם סיסמא נוספת שצריך להכניס בכדי ממש להכנס לאתר.
כמובן שהשימוש בדבר כזה הינו מופרך עבור 99.99% מהבלוגים, אבל נראה לי שמאחר שרוב הזמן הפלאפון שלנו נמצא איתנו ,זו דרך מצוינת לשלוח סיסמאות חד פעמיות לכניסה או אישור פעולות ספציפיות.
זה יכול להיות פיתרון מצוין לאבטחת הגלישה לחשבונות הבנק דרך האינטרנט. נכון להיום הבנקים הישראלים מסתפקים בשימוש בSSL כדרך למניעת גניבת שם המשתמש והסיסמא על ידי אנשים המאזינים ברשת, אבל למעשה זו לא ממש המטרה שעבורה נוצר פרוטוקול ה*SSL וכל פעם שאנחנו משתמשים ברשת שנמצאת בינינו לבין הISP (למשל בעבודה, בבית הקפה, או במלון) אינו לנו שום דרך להבטיח שאיש הרשת של המקום לא מקליט את הסיסמאות הנשלחות. בעזרת שליחת סיסמאות לאישור פעולות בSMS הבנקים יכולים לשמור את המצב הקיים עבור בירור מצב החשבון גם כאשר שכחנו או איבדנו את הפלאפון, ולקבל אבטחה יותר חזקה בשביל ביצוע פעולות.
*הפרוטוקול נועד להזדהות של השרת בפני הדפדפן. מאחר שהדפדפן לא חייב להזדהות מול השרת, אדם שמאזין באמצע יכול להתחזות לשרת מצד אחד עבור הגולש, וכדפדפן עבור השרת של הבנק ולהיות מסוגל לפענח את כל התעבורה המוצפנת.
כדי לבצע Man in the middle ב-SSL כפי שאתה מציע, אתה צריך שתהיה לך נגישות למפתח הפרטי של אתר הבנק, שאם לא כן הדפדפן יתריע על אי התאמה בתהליך. סביר יותר מצב בו תייצר אתר פיקטיבי שיתחזה לאתר הבנק – אלא שזה כמובן כשל בצד המשתמש ולא של ה-SSL (פישינג למיניהם).
ספציפית לגבי עניין הסיסמא ב-SMS: הדבר נבדק לפחות על ידי בנק אחד שאני יודע והתברר שלא כל ספקי הסלולר מסוגלים להתחייב לזמן דיוור של הודעת SMS. תאר לך שאתה צריך להעביר כסף עכשיו אבל בגלל עומס על הרשת תוכל לעשות זאת רק מחר…
כעיקרון זה פתרון לא רע שמיושם באתרי בנקאות בעיקר באוסטרליה וניו זילנד לדעתי (אבל הרבה זמן לא התעסקתי עם זה).
עומר, זה לא חייב להיות פיתרון של או/או… יש לקוחות כמוני שיהיו מוכנים לחכות עוד חמש דקות בשביל לקבל רמת אבטחה גבוהה יותר או שיגשו לסניף הבנק, ובשביל האחרים שנוח להם במצב האבטחה של היום לא חייב לשנות כלום.
מרק – בהתחשב בעובדה שהשבוע כששלחתי הודעה מרשת אורנג' לפלאפון עברו חמישה ימים עד שקיבלתי את דוח המסירה (מכשיר היעד היה פעיל במשך כל הזמן הזה!), אני לא בטוח עד כמה זה אמין.
טוב, שכנעתם אותי. מצידי, מאחר שמה שחשוב הוא שהסיסמא תישלח על תווך תקשורת אחר מזה שבו נעשית הגלישה לאתר, שישלחו לי את הסיסמא החד פעמית בדואל, הרי ממילא אני ליד מחשב.
שתי הערות:
חברות הסלולר הן חבורה של חובבנים. SMS צריך להגיע ליעדם למעט במקרים חריגים ביותר, ועל המקרים האלה המשתמש צריך לדעת. הם לא עושים את זה כי אז הם יצטרכו לא-לגבות כסף על SMSים שלא הגיעו ליעדם.
בהולנד, הבנקים (ABN Amro ו-Rabo Bank משתמשים במין פרוטוקול חביב של אתגר-תגובה. אתה נכנס לאתר, מכניס את פרטי חשבון הבנק ומקבל קוד מספרי ארוך. אתה מכניס את כרטיס הבנק שלך לתוך מכשיר קטן שקיבלת מהר, מכניס את מספר החשבון שלך, הקוד הסודי, הקוד שקיבלת מהאתר ומקבל בתמורה קוד נוסף. את הקוד הנוסף אתה מקליד לאתר ונכנס פנימה. כל זה נעשה ב-SSL.
בנק הדואר ההולנדי עובד עם SSL+שיטת הסיסמא הזמנית ב-SMS, ולדעתי זה קצת פחות מאובטח אבל הרבה יותר נוח למשתמשים.