Hlavní navigace

Názor k článku Do datových schránek se nově můžete přihlásit mobilním klíčem. Jak to funguje? od Filip Jirsák - Jednorázová hesla, která podporuje Google Authenticator, fungují offline,...

  • 22. 6. 2019 7:59

    Filip Jirsák

    Jednorázová hesla, která podporuje Google Authenticator, fungují offline, není tam potřeba žádná komunikace – zařízení generující heslo musí mít uloženo klíč, a podle typu ověření potřebuje buď čítač ověření nebo přesný čas. Např. ještě před érou chytrých telefonů měla takhle eBanka řešené zabezpečení účtů, měl jste k účtu něco, co vypadalo jako klasická kapesní kalkulačka, a to počítalo příslušné kódy – a připojení k internetu to samozřejmě nemělo.

    V tomhle případě by ale Google Authenticator použít nešlo, protože přihlášení funguje trochu jinak – princip je podobný, jako třeba mobilní platby s MasterPass. Z obrazovky v okamžiku potvrzování naskenujete QR kód (to Google Authenticator neumí, tam se používá buď ten čítač nebo aktuální čas) a aplikace pak přes internet odešle odpověď (takže nikam žádný kód neopisujete – to opět Google Authenticator neumí).

    Google Authenticator se používá jako druhý faktor, takže ověřovací klíče mohou být krátké – typicky je to šest číslic. V datových schránkách ten kód funguje jako jediný faktor pro přihlášení, takže rozhodně nemůže být takhle krátký – na šest číslic je snadné útočit hrubou silou. Při použití času pro synchronizaci je sice interval platnosti obvykle půl minuty, ale kvůli možnosti nepřesného času na zařízení se testuje i několik sousedních časů. Na vyzkoušení milionu kombinací je minuta a půl dost času. Navíc je ani nemusím zkoušet všechny, nemusím se přece trefit hned za minutu a půl, můžu zkoušet třeba 1 % možných kódů celý den.