Hlavní navigace

Názor ke zprávičce Linux.org měl unesenou doménu od Miroslav Šilhavý - Riziko resetu hesla emailem se dá omezit správným...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 10. 12. 2018 13:30

    Miroslav Šilhavý

    Riziko resetu hesla emailem se dá omezit správným použitím 2FA. Samozřejmě se to dá taky obejít, ale MITM útok na email a současně i na druhý inf. kanál (nejlépe úplně oddělený od toho prvního) je vyšší liga.

    Pochopitelně, že 2FA toto riziko výrazně sníží. Pokud se jedná např. o SMS, pak to riziko zůstává např. ve vztahu zaměstnavatel (služební telefon) => zaměstnanec (přístup k registrátorovi, do banky, ...). Málokdo si uvědomuje, že SIM kartu lze u operátora vyměnit. V případě služebního telefonu to může udělat dost často asistentka firmy. V případě soukromého telefonu je potřeba podvést zaměstnance operátora (případně to spáchat společně s ním).

    Možná se zdá, že 2FA slabinu úplně vyřeší, ale není tomu tak. Nejbližší okolí má často velký zájem zabezpečení překonat (spory mezi společníky firem, spory mezi vedením a zaměstnancem, spory mezi kolegy, spory mezi (bývalými) partnery), ... Na to je bohužel ani 2FA neposkytuje úplnou ochranu.

    Ale zpět do reality. Podívejte se po českých registrátorech. Spočítejte, kolik z nich má 2FA (aspoň volitelně, když už ne vynuceně). Spočítejte, kolik z nich povoluje uložení kredencí v prohlížeči. Spočítejte, kolik z nich Vám pošle reset hesla e-mailem.