Czasem nawet pod koniec roku można trafić na perełkę, która potrafi przyćmić osiągnięcia poprzednich 12 miesięcy. Co może być gorsze niż brak zabezpieczenia? Odpowiedź brzmi „popsute zabezpieczenie” – takie jak ten system resetu hasła.
Jednym z rodzajów zabezpieczenia przed nieautoryzowanym dostępem do informacji jest zapytanie użytkownika o coś, co wie tylko on (lub prawie tylko on). Może być to hasło, ale w przypadku mniej krytycznych informacji może też być to – dla ułatwienia – dobrze znana użytkownikowi informacja, której raczej nie zapomni. Czy da się takie zabezpieczenie zepsuć? Otóż da się, co właśnie udowodnił jeden z większych dostawców internetu w USA.
Jeden z użytkowników Reddita próbował zresetować swoje hasło dostępu do usługi Comcastu. Próbę wykonywał z komputera podłączonego do tejże sieci. System prawdopodobnie zidentyfikował go na podstawie adresu IP i poprosił o podanie adresu, na który otrzymuje rachunki. Czy miał wpisać ten adres? Nie, miał go wybrać spośród trzech propozycji. Czy może być zatem coś gorszego, niż prawdopodobieństwo równe 1/3 wybrania prawidłowej odpowiedzi? Tak! Otóż po naciśnięciu F5 zobaczył ponownie to samo pytanie, lecz tym razem oprócz swojego adresu… 2 inne niż poprzednio. Weryfikacja, która odpowiedź jest prawidłowa, wymaga zatem odświeżenia strony.
Skoro ta informacja dostępna jest tylko z komputera użytkownika podłączonego do sieci Comcast, możecie zapytać, na czym polega ryzyko ujawnienia jego adresu. Informacja ta może przydać się zarządzającemu botnetem, który zainfekuje komputer użytkownika Comcastu. Adres zamieszkania (tożsamy często z adresem, na który przychodzą rachunki) może być jednym z elementów weryfikowanych w przypadku telefonicznej identyfikacji klienta np. w banku, zatem jest to informacja cenna dla cyberprzestępców.
Jak można było wdrożyć to zabezpieczenie lepiej? Po pierwsze, jeśli już upieramy się przy weryfikacji adresu, warto podawać za każdym razem te same 3 opcje. Po drugie, warto zabezpieczyć się przed metodą prób i błędów, wymagając dodatkowo podania innej, znanej klientowi informacji (i lepiej, by nie był to kod pocztowy, skojarzony z adresem…). Można także wymagać podania informacji, a nie wybrania jej spośród dostępnych opcji, trzeba jednak wtedy pamiętać, by prosić o informacje o bardziej standardowym zapisie (np. imię i nazwisko, numer telefonu, identyfikator), w którym nie występuje wiele poprawnych form (jak w adresie).
