Jeg går meget op i IT sikkerhed og prøver at holde mig opdateret på dette felt - i hvert fald så meget jeg nu kan nå. Et af de enmer der er meget oppe i tiden er Two-factor/way authentication. For læsere der ikke ved hvad dette er, så er det tanken om at “udvide” et alm login, eksempelvis på en hjemmeside med endnu en sikkerhedsfaktor. Autorisation kan deles op i 3 dele :
1. Noget du er. (Fingeraftryk, stemme, retina, Iris osv)
2. Noget du ved. (Et password, en pinkode olign)
3. Noget du har. (Hardware, dit kreditkort, en token)
Essensen er så, at man kombinerer to af disse “muligheder” - og netop denne kombination kaldes two-way authentication. Sikkerheden er dermed meget bedre, for det faktum, at du kan kombinere to af disse ting gør, at sikkerheden for det er den rigtige person der logger ind, er meget større.
Nå, hvor vil jeg så hen med dette, jo jeg læste her til aften en artikel skrevet af Bruce Schneier der netop omhandler dette enme. Nu er det ikke hver dag jeg tør at bevæge mig ud i, at kritisere en af verdens mest anerkendte mennesker inden for sit område, men jeg mener Bruce er forkert i sin opfattelse af, at sikkerheden ikke øges ved brug af denne teknik. Bruce mener at denne teknik allerede er forældet. Teknikken har været kendt i årevis men er først i de senere år taget i brug hos masserne, og han mener, at Trojaner og Man in the middle attack gør, at denne sikkerhed ikke er nok.
At komme med en sådan udtagelse er den samme som den fattige mand der siger, at man ikke bliver lykkeligere af penge - og somregel siger den fattige bagefter “Jeg vil da hellere have mit gode helbred” - Ja, men sådan kan man ikke stille tingene op mod hinanden. Der er jo ingen der siger, at bare fordi man er rig skal man nødvendigvis også have dødelig kræft. Derfor er der jo nødvendigvis heller ikke en virus, trojan eller bagdør i din computer bare fordi du bruger et login, password og dine fingeraftryk for at få adgang til et system
Bevares, man kan jo gøre mange ting hvis det lykkes at installere software på sit “offers” computer, men i det tilfælde er intet jo godt nok da hackeren jo så alligevel “ejer” din computer, så man må prøve at finde et valg som er “godt nok”.
Man skal efter min mening huske på, at brugere selv er den største trussel mod sin egen sikkerhed. Man KAN ikke gardere sig imod brugerfejl, men man kan altså godt gøre sit bedste til at hjælpe brugeren på vej til sikker brug af sin computer, bank eller opkoblingen til sit arbejde.
Jeg kan godt forstå hvor Bruce vil hen med denne artikel, jeg mener bare der er mere at tage højde for. Jeg bruger selv denne teknik med hjælp af en såkaldt token som hver 30. sekund laver en kode til mig som jeg skal indtaste sammen med en pinkode og mit login/password for at komme på vort system på mit arbejde. Jo du kan godt ved hjælp af en trojan hest eller “man in the middle” hoppe “på toget” og se hvad jeg laver, men fakta er bare, at derfra til hackeren kan hijacke min session med mit arbejde uden jeg opdager det er meget lille. Ydermere kan hackeren jo ikke gøre mere når jeg vælger at disconnecte min session. Han kan ikke connecte tilbage for han har ikke min token.
Det er muligt jeg overser noget her, men er der nogen der kan komme med et input på hvad det kan være?
Hvis sikkerheden skal være 100%, ja så sluk din computer, kvas den og brænd hardwaren.
The world is secure!
