Zkuste se soustředit:
1. běžně se používá jednofaktorová autentizace heslem, které si uživatel musí pamatovat a je otravné ho zadávat
2. myslím, že tenhle faktor „něco vím“ by se klidně mohl nahradit faktorem „něco mám“. Bezpečnost se moc nezvyšuje, ale zvyšuje se komfort uživatele.
3. jestliže je to něco kompromitováno, v případě tokenu to vím, můžu tedy včas zasáhnout (revokovat certifikát). V případě hesla to nevím, čili útočník si heslo vesele užívá dokud náhodou vše nevyjde najevo.
Ano, jenze klicem od neceho, napr. od toho trezoru, obvykle neodemknete
jeste napr. byt, auto, chatu a v bance s nim nevyberete svoje konto. Jestli
vam ten rozdil unikl, to je opravdu smutne.
Pokud bych měl černou skříňku, která by
1.obsahovala různé certifikáty
2.uměla pokaždé použít ten správný
3.žádný certifikát by ji nemohl opustit
4.vždy by žádala potvrzení, že nějaký z certifikátů může použít
tak by útočník i v případě, že by cracknul můj počítač, mohl získat jenom JEDEN neoprávněný přístup k nějakému zdroji (ano, přístup, ne klíč). Pokud by totiž požádal blackbox o response na challenge záhy před nebo potom, co bych to chtěl já (to je jediný útok, který by mohl provést, protože jinak bych poznal, že žádost pochází od crackera), tak by se to okamžitě provalilo. Jednoduše bych se pak blackboxu zeptal, který certifikát použil jako poslední a ten bych okamžitě revokoval, odřízl přístup k danému zdroji a zjišťoval, odkud byl zneužit.
Nic víc by útočník nemohl zvládnout. Nemohl by ani ukrást všechny certifikáty, ani by nemohl získat přístup k něčemu tak, abych o tom nevěděl. Přesto bych měl bezheslový přístup ke všem zdrojům – jenom na stisknutí tlačítka.
Už si rozumíme?
