MtGox a Yubikey v praxi

MtGox po červnové aféře s únikem databáze uživatelů včetně hesel přišel s dvoufázovou autentizací, kterou zajišťuje generátor jednorázových hesel yubikey. Pojďme se na něj podívat zblízka.

Yubiklíč

Yubiklíč

Někteří uživatelé burzy měli možnost objednat si ho zdarma, ti ostatní si ho mohou objednat rovněž, a to za cenu 29,99 $ včetně poštovného (z Japonska dorazí přibližně za 4–5 dnů). Pokud někdo obchoduje na MtGoxu větší objemy, jistě to pro něj je zajímavá nabídka.

Jakmile zadáte ze svého účtu objednávku (zaplacena bude z prostředků na účtu – z dolarů či bitcoinů), budete po každém přihlášení postaveni před další přihlašovací formulář – dokud do něj nevložíte platné jednorázové heslo z yubiklíče, můžete ho přejít bez povšimnutí. Jakmile však jednou použijete svůj yubiklíč, odeslání prázdného formuláře vás vrátí zpět na základní přihlášení.

Yubiklíč z aktivní strany

Yubiklíč z aktivní strany

Samotný yubiklíč je velmi jednoduchý na používání. Stačí se lehce dotknout dotykové plošky (stačí méně než půl vteřiny) a vygeneruje se jednorázové heslo. Yubiklíč se technicky maskuje za USB klávesnici, proto je kompatibilní s mnoha operačními systémy (včetně GNU/Linuxu), aniž by potřeboval zvláštní ovladače. Delší dotyk (cca 3 vteřiny) generuje jiné heslo, tzv. „withdraw password“ – to se používá pro autorizaci výběru prostředků z MtGox účtu.

Podle všeho se nedá od používání yubiklíče nijak upustit. V případě ztráty stačí se několik dní nepřihlásit a s pomocí uživatelského jména a hesla objednat nový (ten bude opět uhrazen z prostředků na účtu).

Yubiklíč v počítači

Yubiklíč v počítači

Zdálo by se, že je to perfektní věc zvyšující bezpečnost. Jenže je tu jedno ale… Přestože je u účtu aktivovaný yubiklíč a nejde se přihlásit bez jeho jednorázového hesla, tak je tu přinejmenším jedna cesta, jak přihlašování s yubiklíčem obejít. A to přes API. Stačí zadat pouze jméno a heslo a máte přístup k zůstatkům, k pokynům – můžete prohlížet stávající, můžete zadávat nové, můžete zadat i výběr prostředků. Zkrátka vše, co API dovoluje.

Yubiklíč už u MtGoxu nějaký měsíc je, takže bych to na počáteční nedostatky nesváděl. Je pravda, že by se API s yubiklíčem používalo velmi obtížně, takže to svým způsobem chápu, ale tím pádem bohužel ztrácí celý yubiklíč smysl. Záleží však na konkrétní situaci – dovedu si představit, že používání yubiklíče někomu hodně pomůže zvýšit bezpečnost jeho účtu, nicméně proti znalému útočníkovi stejně nemá šanci…

Aktualizace 1. 9. 2011: O výše popisované zranitelnosti byl MtGox informován a reagoval následujícím sdělením: Thank you for contacting Mt.Gox and notifying us of this security issue. This information has been escalated to the Support Delivery Group for detailed investigation.

Aktualizace: MtGox v současnosti používá novou techniku přihlašování k API, kdy je nutné používat předem vytvořené klíče s definovanými oprávněními. Podrobnosti se můžete dočíst v dokumentaci.

[author_donate 1F6myLGmTGiJGenCdA1CZuFWGpMRzUPZ84]

Share Button
0 comments

Post Navigation