Szóval reggel kaptam a hírt, hogy az USÁban mostantól hivatalosan is két faktornak minősül két különböző jelszót bekérni a felhasználótól. Elsőre igen meredeknek tűnhet a dolog, de a történet hátterét megismerve rögtön világossá válik a leányzó fekvése.
Történt ugyanis, hogy a szerencsétlen ügyfél cirka 350.000 USD-t (és kamatait) vesztette el egy ZeuS fertőzés következtében. Természetesen, mivel a malware üzemeltetőjétől az ellopott összeget visszaszerezni nem igazán könnyen lehet, a bánatos ügyfél - más jó ötlete nem lévén - beperelte a pénzintézetet: miszerint a pénz eltulajdonításához a bank nem megfelelő biztonsági kontrolljai biztosították a hátteret.
Temészetesen az összeg megmozgatta a bank döntéshozóinak fantáziáját is, és rövid úton bebizonyították, hogy nem úgy van az, ahogy az ügyfél gondolja: a veszett pénzt nem lehet csak úgy visszaperelni a számlavezető banktól, főleg ha nem a bank a hibás, hanem az ügyfél rendszere komprommitálódott.
Az esetnek azonban lett egy nem várt mellékterméke is: bizonyítandó, hogy a bank biztonsági protokollja megfelelő volt, hivatalosan elfogadták a bank felhasználókezelési gyakorlatát, mint két faktoros azonosítást (amit a jelenlegi törvényi szabályozás megkövetel).
Az azonosítás módja azonban a következő:
1. lépés Felhasználónév + Jelszó
2. lépés Biztonsági kérdés + Válasz
Sajnos a fenti gyakorlat nem elégíti ki a valódi két faktoros azonosítást - hiszen mind a jelszó, mint a biztonsági kérdésre adott válasz azonosí típusú (ugyanazzal a módszerrel megszezhető). Azonban a bírósági határozat fényében tisztán látszik, hogy a döntéshozók az igazság érdekében könnyen beáldozzák a józan észt.
Részletek angolul itt.
