(Tipstack till Jakob.)
Computer Sweden skriver om Phonekey, ett svenskt företag som har en ny säkerhetslösning.
Enligt artikeln fungerar Phonekeys säkerhetslösning så här:
Tekniken innebär att du måste ringa ett speciellt nummer från din telefon innan det går att använda ditt betalkort, logga in på ditt konto på den sociala nätverkssajten eller komma åt någon annan tjänst som använder sig av det hänglås Phonekey innebär.
– Tekniken säkrar enkelt all korthantering och inloggning, säger Tonie Söderström, mannen bakom tekniken och en av grundarna.
Det företag som vill använda säkerhetsmekanismen installerar Phonekeys mjukvara på en server, låter användarna registrera sina telefonnummer och ger sedan användarna varsitt speciellt nummer att ringa när de vill använda företagets tjänster.
Användaren ringer två signaler till det anvisade numret och lägger på. Ett tidsfönster öppnas och användaren kan logga in eller använda sitt betalkort.
Enligt artikeln kan tekniken användas som en extra säkerhetsfunktion, eller som ersättning för lösenord eller pin-koder.
Visst låter det bra? Eller kanske inte. Låt oss göra en analys. (Jag vill poängtera att jag inte sett Phonekeys patent, utan bara det som står i artikeln.)
Vid en säkerhetsanalys gäller det att identifiera vilka premisser, förutsättningar och (ofta implicita) antaganden säkerheten bygger på. Och sedan funderar man på vad som händer om dessa premisser inte gäller – när det skiter sig (för att tala Dalsländska.)
Om vi tolkar artikeln rätt skall man innan man använder en tjänst som skyddas av Phonekeys lösning första gången, först registrera ett visst telefonnummer, exempelvis din mobil. Du får även ett speciellt telefonnummer att ringa upp med ditt registrerade telefonnummer för att aktivera den tjänst du vill använda när du vill använda den.
Man kan se denna mekanism som en separat autenticeringskanal för tjänsten. Att tjänsten inte är aktiv för en given användare om den först inte autenticerat sig via den separata kanalen är det som skall ge den extra säkerheten. Den som vill attackera en sådan tjänst behöver alltså både kunna ringa upp med det korrekta numret till den speciella numret innan det går att komma åt tjänsten (som i sin tur kanske skyddas av en identitetskod tillsammans med PIN-kod eller lösenord).
Pudelns kärna är att man litar på att det telefonnummer som ringer upp ett givet annat telefonnummer går att lita på. Tyvärr är det kanske inte något som är skrivet i sten. I USA är det relativt enkelt att utföra Caller ID Spoofing, dvs förfalska det uppringande numret. I Sverige är det svårare, men att det finns folk (som jobbar hos teleoperatörer) med kunskap, förmåga och möjlighet att förfalska ett uppringande nummer är nog inget falskt påstående.
Vidare, det nummer man får att ringa upp kan man knappast utgå ifrån att det är en hemlighet. Även om det är så att alla användare får ett eget, unikt nummer, vilket låter otroligt, är det svårt att se att det numret skulle kunna betraktas som en hemlighet att lita på.
Men det mest bekymmersamma med hela systemet är att det (att döma av artikeln) blir svårt att hantera säkerhetsproblem. Vad skall man göra om något så trivialt som att en användares mobil vars nummer har registrerats för en tjänst blir stulen? Att en användares mobil någon gång blir stulen är inte bara ett mer troligt scenario än att någon fejkar caller-ID, det är antagligen något som kommer att vara relativt vanligt.
Jag anser att bra säkerhet bygger på så få hemligheter som möjligt – och att dessa hemligheter är så lätta att byta ut som möjligt. En PIN-kod eller ett lösenord är bara en sekvens av tecken. Kan du inte lita på dom är det relativt lätt att byta ut dom. Att byta telefonnummer för att du inte kan lita på den längre för att logga in på din tjänst är inte alls lika enkelt.
Det vore intressant att veta hur Phonekey tänkt lösa dessa problem – hur spärrar man, byter nummer. Kan någon annan enkelt skicka in ett meddelande om att telefonen blivit snodd och att nu gäller ett annat nummer? Kan man säga att en given telefon blivit stulen och därmed orsaka ett DoS-problem för en användare?
Phonekeys mekanism kan ses som ett sätt att försöka krångla till accessen till en given tjänst genom att införa ett extra moment. Men att ersätta en PIN-kod med detta förfarande är fel. Det är snarare så att för att Phonekeys teknik över huvud taget skall ge en ökad säkerhet skulle dom behöva införa en PIN-kod som kopplar ett givet nummer (något du ev har) till kunskap om något (något du vet). Detta blir en så kallad tvåfaktors säkerhetslösning.
Och om det nu skulle visa sig gå fel – att caller-ID inte går att lita på, kommer Phonekey att täcka upp – vilka garantier lämnar dom?
Så tyvärr, jag tror inte på Phonekeys säkerhetslösning. Att dom får patent på den är ok, det finns många dumheter som patenterats. Det som vore tråkigt är om Phonekeys lösning används istället för bra, väl fungerande säkerhetsmekanismer. Att Fredrik Åhgren, VD för säkerhetsföretaget SE46 inte kan göra en vettig bedömning av Phonekeys hemmasnickrade säkerhetslösning är tyvärr lite skrämmande.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
Hej Jakob!
Det som är tråkigt, och inte framkommer i Artikeln är att där det idag inte över huvud taget inte finns någon säkerhet t ex vid Internethandel där du lämnar ut alla siffror inkl CVV-kod, mikrobetalningar med kort, RFID med mobil eller kort, vid alla inloggningar där du skriver användarnamn och lösenord, kommer detta system att ge en bra säkerhet. Vidare så framgår det inte tydligt nog att detta är en kombination av två vitt skilda system.
Vad det gäller när man tappar eller får mobilen “snodd”, vill jag gärna vända på detta och fråga: Vad märker du först!
1. Att du förlorat mobilen.
2. Eller om du fått ditt kort skimmat, memorerat etc.
3. Om du har något spionprogram i datorn som läser av ditt användarnamn och lösenord.
Om du förlorar mobilen till en bedragare måste denne i alla fall ha tillgång kortnummer, användarnamn, lösenord för att över huvud taget kunna göra ngt. Därmed har du tid att spärra de konton som är aktuella, till skillnad mot punkt 2 och 3 som du inte har en susning om.
Jag är övertygad om att Du/NI är överlägsna mig i sakfrågor, teknik, system, men när det gäller logiskt beteende är det uppenbart tvärtom, men det är klart jag är ju en “gubbe”
Slutligen kan jag tala om för Dig/Er i patentansökan finns ända upp till 5-faktors säkerhetslösning och allt är beroende på vad man vill ha.
Mvh/Tonie
Aloha!
Tack för svaret. Jag kollade även på den preso som finns på er webbplats:
http://www.phone-key.com/phonekey.pdf
Jag håller dock inte med när du säger att det inte finns någon säkerhet över huvud taget vid ex handel med kort på nätet, speciellt inte när man infört Secure3D som gör transaktionen till en tvåfaktors transaktion. Den har också sina vårtor, men att säga att det inte finns säkerhet är att överdriva. Och själva kärnpunkten här är att du/ni utgår ifrån att ett uppringande nummer är att lita på, när det inte finns garantier för att det är från rätt telefon, eller att det är användaren/ägaren av telefonen som i ett givet läge ringer upp numret.
Och du får gärna förklara närmare vad du menar med femfaktors-autenticering.
Tjenare, problemet tror jag ligger på ett annat plan. Att inte veta att ens profil(-er) kommit i orätta händer är väl det som allt handlar om.
Nog låter det bra att samtliga konton är stängda som default, hellre det än att alla konton är öppna som default.
Jag vet inte om det här med speciella telefonnummer till varje mobilenhet är särskilt bra, det räcker nog med ett centralt nummer till varje site, kortutfärdare etc. Helt enkelt ett växelnummer som aldrig svarar utan bara registrerar uppringarens nummer för kontroll mot det interna registret i servern, som skall stämma mot det användarnamn som skrivs in( internet ). En annan sak är det förstås om själva mobilens simkort är konfigurerat att hantera dessa nummer på ett visst sätt, det kan ju vara så att det inknappade telefonnumret inte är det nummer som telefonen ringer till.
Användarnamn för att öppna profilen under tidsfönstrets tid ger naturligtvis ett skydd och det utesluts väl knapast att varje person kan ha fler användarnamn. Ett för autentisering, ett annat för hotbild, som iofs skulle kunna orsaka ett driftstopp i profilen just pga hotbilden som ju signaleras via ” fel” användarnamn.
Sedan kan man kanske tänka sig att servern som tar emot samtalen registrerar och listar dessa med tanke på hacknings risk för det fall det uppstår, eller?
Har sammanställt lite annan info från 2006 & 2009 om än kortfattat
googlat
Enheter, t.ex. en telefon, är kopplade till varandra så att de kan nås med minst en första identitet. Varje enhet är programmerbar att endast släppa igenom identiteter som finns lagrade. Till exempel skulle det kunna innebära att en av många enheter tillåts att gå igenom. På detta sätt tillåts kontaktförsök att gå igenom för vissa enheter i en grupp av enheter som alla har minst en gemensam identitet. Systemet kan användas för att ringa, IP-kommunikation och andra digitala signaler säkerhetslösningar.
Enheten omfattar en jämförare som jämför ett identifikationsnummer med innehållet i ett primärregister och tillåter kommunikation med identifikationsnumret endast om överensstämmelse erhållits. Identifikationsnumret utgörs av ett identifikationsnummer för en mottagande eller en sändade enhet och kommunikation utgående från respektive inkommande enhet tillåts endast om överensstämmelse erhållits. Primär- eller sekundärregister kan omfatta tidsdata och kommunikation är då möjlig endast om tidpunkten överensstämmer med tidsdatan.