WRÓĆ DO STRONY
GŁÓWNEJ
Technowinki

Uwierzytelnianie dwupoziomowe stanie się łatwiejsze

Sama nazwa ‚uwierzytelnianie dwupoziomowe’ już brzmi groźnie. Jest to system w którym chcąc potwierdzić swoją tożsamość podać musimy dwa niezależne hasła – jedno z nich zwykle związane jest bezpośrednio z jakimś posiadanym przez nas urządzeniem i działa jednorazowo. Taką technikę często wykorzystują banki – najpierw logujemy się używając hasła, a później, żeby potwierdzić wykonanie przelewu podać musimy kod który otrzymamy SMS-em albo kod wygenerowany przez noszone przez nas specjalne urządzenie wielkości pendrive’a.

Uczeni z Politechniki Federalnej w Zurychu postanowili uprościć ten system. Nowość nazywa się Sound-Proof. Etap przepisywania kodu z telefonu Szwajcarzy postanowili zastąpić w niej krótkim nasłuchem. Telefon, którego karta SIM przypisana jest do twojego konta, włącza na chwilę mikrofon i nasłuchuje dźwięków otoczenia jednocześnie z komputerem z którego się logujesz. W ten sposób, podobnie jak w przypadku metody z kodem wysyłanym SMS-em udowadniamy, że jedna osoba jednocześnie dysponuje zarówno twoim hasłem do serwisu jak i telefonem, więc prawdopodobnie jest Tobą.

Z metodą porównującą ze sobą nagrania w celu sprawdzenia, czy powstały w tym samym miejscu, wiążą się co najmniej dwa problemy. Pierwszy to ochrona prywatności. Twórcy systemu twierdzą jednak, że urządzenia nie przesyłają do weryfikacji samego nagranego dźwięku, ale stworzoną przez specjalny algorytm jego „sygnaturę”. Można to porównać do działania wyszukiwarek muzyki, takich jak Shazam, które nie porównują nagrań w całości, ale na podstawie pewnych cech charakterystycznych.

Drugi problem natomiast wydaje się poważniejszy. Jako że włączenie weryfikacji nie wymaga interakcji użytkownika (byłoby to przecież niemal równie niewygodne jak przepisywanie kodu), istnieje obawa, że weryfikację bez naszej wiedzy przejść będzie mogła każda osoba logująca się na nasze konto z tego samego pomieszczenia w którym przebywamy ze swoim telefonem. Oczywiście osoba taka i tak musi znać nasz login i hasło, jednak weryfikację wieloetapową wymyślono właśnie po to, żeby znajomość czyjegoś hasła do serwisu nie wystarczała żeby się za niego podać. Czy więc na rzecz ułatwienia życia zrezygnujemy z części bezpieczeństwa?

[źródło i grafika: eteknix.com]