Internet palveluihin kirjautuminen turvalliseksi

[Marko1072]

Nykyisin on monessa palvelussa käytössä kaksivaiheinen tunnistautuminen. Eipä tämä tekniikka estä esim. feikkisivustoa kirjautumasta palveluun, kun asiakas antaa feikkisivustolle käyttäjätunnuksen ja salasanan, sekä itse hyväksyy kirjautumisen omalla mobiilisovelukksellaan. On ymmärtääkweni hyvin yksinkertaisia menetelmiä, joilla kirjautumista vaativa palvelin voi varmistua siitä, että kirjautuva kone on juuri se, jolla asiakas yrittää kirjautua. Eli jos välissä on "man in middle" tyyppinen sivusto tai palvelin, voidaan tämä havaita. Myös voidaan havaita jos välissä on kone joka on saanut haltuunsa palvelimen salaisen avaimen ja näin pystyy purkamaan ja uudelleen salaamaan asiakkaan ja palvelimen välisen liikenteen.

 

[FrontSchwein]

havaita. Myös voidaan havaita jos välissä on kone joka on saanut haltuunsa palvelimen salaisen avaimen ja näin pystyy purkamaan ja uudelleen salaamaan asiakkaan ja palvelimen välisen liikenteen.

Kerros tästä lisää.

 

[FrontSchwein]

itse hyväksyy kirjautumisen omalla mobiilisovelukksellaan. On ymmärtääkweni hyvin yksinkertaisia menetelmiä, joilla kirjautumista vaativa palvelin voi varmistua siitä, että kirjautuva kone on juuri se, jolla asiakas yrittää kirjautua.

sössön sössön

 

[Marko1072]

Siis tämä toimii tietenkin vain asymmetrisellä salauksella toteutettuihin yhteyksiin. Lisäksi palvelimen täytyy käyttää jotain mobiilivarmistusta (tähän tarvitaan uudenlainen mobiilivarmenne).
Asiakassovelluksen täytyy saada palvelinsovellukselta julkinen avain. Jos tämä avain on oikea, ei välissä oleva voi purkaa salausta tietämättä palvelimen salaista avainta. Eli tästä julkisesta avaimesta ja esim. sessioid:stä lasketaan tarkistuskoodi, jonka asiakas välittää palvelimelle mobiilivarmistuksen mukana. Lisäksi asiakas lähettää omasta IP osoitteesta lasketun tarkisteen. Jos koodi ei täsmää palvelimen laskeman koodin kanssa on asiakkaalla väärä avain, eli välissä on ehkä feikkisivusto. Jos koodi on oikein mutta IP osoitteesta laskettu koodi on väärä, on välissä taas ehkä feikkisivusto joka purkaa salauksen ja salaa sen uudelleen. Tietenkin välissä oleva kone voi myös välittää liikenteen sellaisenaan, mutta miksi kukaan näin tekisi.
Nämä tarkisteet voisi sovellus näyttää esim. QR koodina tietokoneen näytöllä joka skannataan mobiilivarmennus sovelluksella....
Tämän tyyppistä ajatelmaa olen miettinyt, olenko aivan hakoteillä?

 

[FrontSchwein]

Kerros tästä lisää.

havaita. Myös voidaan havaita jos välissä on kone joka on saanut haltuunsa palvelimen salaisen avaimen ja näin pystyy purkamaan ja uudelleen salaamaan asiakkaan ja palvelimen välisen liikenteen.

Niin tämä juttu jäi. Miten voidaan havaita? Ja mitä sitten kun on havaittu?