Bezpieczeństwo aplikacji z wykorzystaniem tokena sprzętowego

Ostatnio głośno się mówi o włamaniach na konta gmail lub facebook. Większość osób nie dba o bezpieczeństwo swoich haseł, korzystają z tego samego hasła w różnych miejscach lub korzystają z haseł słownikowych. Aby utrudnić ewentualne włamanie coraz więcej portali wprowadza dwuskładnikowe uwierzytelnienie (np. w formie wiadomości sms lub jednorazowych tokenów).

Co to jest token?

Token to zwykle losowy ciąg cyfr, które generowane są automatycznie w pewnych odstępach czasu, a które wymagane są podczas logowania do aplikacji. Stosuje je coraz więcej serwisów począwszy od google (token w formie aplikacji mobilnej), przez partypoker (token sprzętowy) na paypal.com (token sprzętowy w formie karty kredytowej) kończąc.

Google i paypal.com są znane prawie każdemu, kto korzysta z internetu, skupię się więc na pl.partypoker.com i postaram się opisać proces rejestracji i ogólne wrażenia z korzystania z serwisu.

Rejestracja odbywa się poprzez aplikację – klienta. Na uwagę zasługuje tutaj wybór hasła, a raczej test siły nowego hasła.
Hasło powinno spełniać następujące warunki:

  • co najmniej 5 znaków
  • maksymalnie 20 znaków
  • jedna cyfra
  • jedna litera
  • brak znaków interpunkcyjnych
  • nie może zawierać adresu email i nazwy użytkownika

Niestety wprowadzono limit długości hasła i zablokowano możliwość skorzystania ze znaków specjalnych co znacznie wpływa na jakość hasła. Test przechodzą bardzo proste hasła w formie 123456q co w bezpiecznej aplikacji nie powinno mieć miejsca.

Całą sytuację poprawia możliwość zamówienia tokena (niestety dostępny dla kont VIP), który dodaje drugi składnik logowania.
Od momentu aktywacji tokena mamy dwie możliwości – logować się dodając na końcu hasła aktualny token lub standardowe logowanie plus dodatkowy formularz, w którym wpisujemy nasz token.

Bezpieczeństwo w miejscach, gdzie operujemy prawdziwymi pieniędzmi jest priorytetem, pl.partypoker.com z opcją tokena wydaje się optymalnym rozwiązaniem. Gdyby dodać do tego zmianę polityki dotyczącej jakości hasła można by brać z nich przykład.