SAT – Safe Authorization Tool

bezpieczne logowanie

Bezpieczne logowanie

Wiele portali i aplikacji wymaga logowania. Najczęściej robimy to wpisując nazwę użytkownika i hasło. Wiąże się z tym pewne ryzyko. Dane logowania mogą zostać odczytane przez osobę postronną lub też przejęte przez cyberprzestępcę. Nawet jeśli strona używa szyfrowania SSL, co zasadniczo zwiększa bezpieczeństwo, nie ochroni nas to przed złośliwym oprogramowaniem (keyloggery, trojany). Ryzyko znacznie wzrasta, gdy korzystamy z publicznie dostępnego komputera (np. w punkcie ksero). Niektóre aplikacje proszą tylko o losowo wybrany fragment hasła. Zapobiega to odczytaniu pełnych danych z panelu logowania, ale niesie za sobą inne niebezpieczeństwo. Większość osób nie potrafi wpisać powiedzmy trzeciego, piątego i siódmego znaku hasła z pamięci. Zapisują więc najpierw hasło na kartce. A stąd już łatwa droga do jego ujawnienia. Ponadto, nawet jeśli haker przejmie niepełne dane, odgadnięcie całości nie zajmie mu dużo czasu. Ilość dostępnych kombinacji jest znacznie ograniczona.

Biorąc pod uwagę wszystkie te problemy, przedstawiamy Państwu SAT – narzędzie do bezpiecznej autoryzacji. SAT to szybkie i proste logowanie bez wpisywania hasła. Aplikacja potwierdza tożsamość użytkownika, jednak forma autoryzacji uniemożliwia przejęcie danych logowania. Rozwiązanie może zostać wykorzystane również jako drugi etap potwierdzenia transakcji w autoryzacji dwuskładnikowej.

Jak to działa?

Podczas tworzenia konta, wewnątrz aplikacji mobilnej powstaje para kluczy prywatno-publicznych. Użytkownik łączy uzyskany klucz publiczny ze swoim profilem skanując kod QR wygenerowany przez stronę internetową.

Kod QR na stronie logowania zawiera token związany z sesją użytkownika na przeglądarce. Skanując kod przy pomocy aplikacji mobilnej, użytkownik podpisuje zawarty w nim token kluczem prywatnym. Token wraz z podpisem są wysyłane na serwer, który weryfikuje poprawność danych przy pomocy klucza publicznego i loguje użytkownika do sesji.

Przykładowy scenariusz

bezpieczne logowanie

Użytkownik loguje się do aplikacji zintegrowanej z SAT. Na stronie logowania zamiast formularza znajduje się kod QR. Użytkownik skanuje kod przy pomocy aplikacji zainstalowanej na swoim smartfonie. Kilka sekund później strona w przeglądarce odświeża się. Użytkownik jest zalogowany.

Zalety rozwiązania

  • DOSTĘP DO SYSTEMU BEZ LOGINU I HASŁA
    Nie musisz zapamiętywać loginu ani skomplikowanych haseł. Logujesz się szybko i bezpiecznie. Aplikacja omija słabe punkty logowania, chroniąc twoje dane przed dostępem osób trzecich. Teraz możesz korzystać z publicznie dostępnego sprzętu bez obaw. SAT zachowuje wszystkie zalety OTP (hasło jednorazowe). Kod QR jest unikalny i inny dla każdej sesji, więc nie jest wrażliwy na powtarzające się ataki.
  • STOP ATAKOM PHISHINGOWYM
    Znacznik w kodzie QR może być podpisany odpowiednim certyfikatem co da nam pewność, że użytkownik jest tym za kogo się podaje. jest to prostsze i bezpieczniejszy niż certyfikat SSL.
  • CHRONIMY ADMINISTRATORÓW
    Użytkownik nie może zaprzeczyć, że wykonywał jakieś działania w systemie. Są one zapisane w systemie i podpisane jego kluczem prywatnym. Przy odpowiedniej strukturze zleceń (zawierającej znacznik czasowy, token, dane użytkownika) mogą one stanowić dowód w sądzie.
  • KONIEC Z PRZEPISYWANIEM JEDNORAZOWYCH KODÓW SMS
    Rozwiązanie może zostać wykorzystane również jako drugi etap potwierdzenia transakcji w autoryzacji dwuskładnikowej.
  • JEDNA APLIKACJA – WIELE ZASTOSOWAŃ
    Za pomocą SAT możemy logować się do wielu systemów. W każdym przypadku zostanie wygenerowana osobna para kluczy publiczno-prywatnych. Aplikacja może zostać także wykorzystana do potwierdzenie działań w systemie (np. przelewy, zmiana limitu karty).

Kwestie bezpieczeństwa – nasze rozwiązania

  • DZIAŁANIE OSÓB TRZECICH
    Czy ktoś może stanąć za użytkownikiem podczas logowania i zeskanować kod QR swoim telefonem? Każdy użytkownik posiada inny klucz prywatny na swojej aplikacji. Jeśli ktoś zeskanuje kod QR podczas logowania innej osoby, zostanie zalogowany na własne konto, o ile je posiada. Jeżeli nie, pojawi się błąd logowania. W przypadku wykorzystania SAT jako drugiego etapu w autoryzacji dwuskładnikowej, szyfruje się token przy użyciu klucza publicznego. W ten sposób możliwość zalogowania się przez osobę trzecią zostaje wyeliminowana.
  • POWTARZALNOŚĆ TOKENU
    Czy token znajdujący się w kodzie QR jest odporny na powtarzalne ataki? Długość tokenu jest dobrana w taki sposób, aby nie powtórzył się przez długi czas. Jednym z możliwych sposobów jest skorzystanie z funkcji haszującej (z losowego ciągu liter) powiązanej np. ze znacznikiem czasu. Wtedy prawdopodobieństwo powtórzenia się tokenu jest bardzo niskie.
  • PRZEJĘCIE URZĄDZENIA MOBILNEGO
    Czy jeśli ktoś ukradnie naszego smartfona, może zalogować się do systemu? Aby zapobiec takiej sytuacji można zabezpieczyć klucz prywatny użytkownika kodem PIN. Jest on krótszy niż standardowe hasło do systemu i przez to łatwiejszy do zapamiętania. Poza tym, obecnie coraz więcej urządzeń ma możliwość zabezpieczania danych przy pomocy odcisku palca.
  • SŁABOŚĆ SYSTEMU OPERACYJNEGO
    Czy wykorzystując słabość systemu operacyjnego można przejąć klucz prywatny i zalogować się bez wiedzy użytkownika? Zabezpieczenie klucza prywatnego przy użyciu kodu PIN zmniejsza to ryzyko. Ponadto użytkownik może sprawdzić swoją historię logowania. Istnieje także możliwość wysłania wiadomości e-mail lub sms podczas logowania.