Vlákno názorů k článku Google Authenticator: bezpečněji s jednorázovými hesly od Jenda - „Je tedy potřeba se ptát, jak jsou tajné...
-
Jenda (neregistrovaný)
„Je tedy potřeba se ptát, jak jsou tajné klíče chráněny proti odcizení. Odpověď je možná trochu překvapivá: Nijak zvlášť chráněny nejsou. V případě Google Authenticatoru pro Android jsou klíče uloženy v SQLite databázi, do které mají přístup přinejmenším všechny procesy s oprávněním roota:“
Jak lépe by šel klíč v telefonu zabezpečit? Když útočník získá roota, už nepomůže ani svěcená voda.
-
Protože to nijak nepomůže proti scénáři „někdo získal roota“. Když si to nevyčte z databáze, tak si to vyzobne z paměti. Neexistuje způsob, jak se taková aplikace může rootovi bránit.
Navíc, jak bylo zdůrazněno, jde o doplněk bezpečnosti. Pokud máte někoho cizího v počítači i v telefonu, tak máte větší problém, než jen vycucnutý vektor autentizátoru.
-
Petr (neregistrovaný)
Pomůže. Pokud se potřebuji připojit např. v cizině v kavárně, bude tam keylogger a ještě mi pak ukradnou rootnutý telefon, mám smůlu. Pokud musím zadat další heslo pro přístup do aplikace autentifikátoru (podobně jako do keepass), ukradený telefon jim nepomůže (že by to zrovna bylo v paměti a uměli to z ní dostat je už dost scifi).
-
Snadno překonatelné v tomhle případě znamená „ukradnu ti telefon a ještě heslo“. Je to cílené proti dnes nejrozšířenějšímu útoku na dálku. Tedy proti úniku hesla. V takové situaci je mobil neprůstřelné řešení.
Pokud ztratíte mobil, není to riziko. Pokud vám někdo na internetu odcizí heslo, není to riziko. Takže je to velmi dobrá metoda. Proti cílenému fyzickému útoku na konkrétní osobu se brání obecně velmi špatně.
-
Tak urcite, ale proc to delat utocnikovi zbytecne lehke, kdyby se ty data do DB ukladali zasifrovane, tak by si krome precteni DB musel utocnik jeste dekodovat i aplikaci aby ho umel odkodovat. (mirne to zuzi skupinu lidi kteri se k tomu dostanou, i kdyz uprimne, kdo se dostane k cizimu rootu, tak uz asi zvladne i RE javovske aplikace, to neni jako v dobach 8bitu a odstranovani protikopirovacich ochran kde strojovy kod pouzival vsechny mozne HW triky aby rozpoznal pripadne pokusy o trasovani a u nekterych to slo rozumne prolomit jen na papire simulovanim s tuzkou v ruce a pocitanim taktu... :D, proti tomu je prohlizeni Javovskych .class skoro jako komentovany zdrojak :) )
