Kto z Was słyszał przynajmniej raz o złośliwym oprogramowaniu na telefony komórkowe, przechwytującym SMSy autoryzujące przelewy ręka w górę! Dobra, możecie opuścić - zasłaniacie widnokrąg. Nosić ze sobą fizyczny token też nie za dobrze - można zgubić albo zapomnieć. Może fajnie by było używać do przelewów czegoś w rodzaju Google Authenticator ale to z wielu względów też nie jest do końca idealne...
Tymczasem dzisiaj przeglądając odmęty sieci wpadłem na fajną aplikację do uwierzytelniania dwuskładnikowego. To takie trochę połączenie wspomnianego GA z fizycznym tokenem i trochę z używaną przeze mnie "technologią karteczki" (o tym na końcu). PINgrid, bo tak nazywa się ta aplikacja, nie generuje jednak ciągu cyfr, ale ich siatkę (ów "Grid", 6x6 lub 8x8, w zależności od tego, jak ustawimy), zmieniającą się co 60 sekund. Najważniejsze pozostaje w naszej głowie - klucz, w jakiej kolejności pukać w które kwadraciki.
I co w tej sytuacji złodziejowi/cyber-przestępcy z naszego telefonu? Nie zduplikuje hasła (bo po pierwsze de facto go nie wpisujemy tylko pukamy we fragmenty ekranu - a nie w klawiaturę;
a po drugie za 60 sekund i tak cyfry będą inne). Jeśli zainstaluje oprogramowanie przechwytujące SMSy to może je sobie wsadzić w... buty, bo żadne SMSy nie będą wysyłane. Czy raczej nie byłyby, bo o ile oprogramowanie klienckie na wszystkie systemy mobilne można sobie ściągnąć (oczywiście za darmo), o tyle nie spotkałem się jeszcze z jego komercyjnym wykorzystaniem.
Jak Wam się to podoba? Ja akurat mam obsesję na punkcie bezpieczeństwa mojej komórki, ale myślę, że na tego typu rozwiązanie skusiłbym się chętniej, niż na SMSy autoryzacyjne. Wzorek łatwo zapamiętać, ilość cyfr nie musiałaby być limitowana do 6 jak w Authenticatorze, a aplikacja po prostu uruchamiałaby się w momencie, gdy trzeba by było potwierdzić przelew. Eat this, cyber-thieves, że się tak z obcego wyrażę :)
Więcej o rozwiązaniu przeczytacie na stronie producenta.
PS: A o co chodziło z "technologią karteczki"? Na moim biurku w pracy mam przyklejoną taką siatkę 8x8, tylko, że tam są wielkie i małe litery, cyfry i znaki specjalne, rozsiane kompletnie losowo po całej kartce. W przeciwieństwie do PINgrid'a, tam znaki się nie zmieniają, co miesiąc zmieniam za to klucz do rozszyfrowania hasła. W efekcie więc hasło mogę bez ryzyka trzymać przyklejone do monitora :)