nekem az a véleményem, hogy az internet nem biztonságos. eleve nem is volt célja, hogy az legyen. de aztán úgy is alakult, hogy nem lett az. arra gondolok, hogy egyik helyről egy másik helyre egy információt titkosan eljuttatni internet segitségével nem lehet.
ami miatt mégis használhatjuk, hogy a kutyának sem kell az az infó amit itt olvasol ezen a blogon például. tehát hogy maga az információ, amit valamiféle titkosítással védünk, az eleve annyira értéktelen, hogy nem érdemes azzal törődni, hogy megtörjük a titkositást. ebben az esetben a tartalom publikus volta miatt. viszont elképzelhető lenne olyan eset ha valamilyen izgalmas témát védett területen osztanék meg az előfizetőimmel.
itt is mérlegelni kell, hogy a megszerezhető információ csak egy mikrohullámú hűtő elvi ötlete, vagy egy usa-t és kinát egyszerre a porba alázó hadititok. előbbi esetben ismét az értéktelenség miatt nem lenne érdemes feltörni. utóbbi esetben meg lehet hogy érdemes lenne. most foglalkozzunk kicsit ezzel az esettel.
tehát van egy értékes védett tartalom. ezt név/jelszó párossal védem, aztán az egyszeri hacker bruteforce módszerrel vagy ddos-olja a szervert (ami ne feledjük, egy kimustrált mikrohullámú sütő, szóval elég egyszerű lenne) vagy simán csak bejut pár nap/óra/perc/másodperc alatt. valójában csak teljesitménytől függ, hogy bejut vagy sem és mennyi idő alatt.
na igen ám, de jön a kétfaktoros authentikáció, amihez nem elég hogy ismerje a titkos usernevet (admin) és a jelszót (admin). még sms-t is el kell kapnia, ami szintén hálózaton keresztül közlekedik, szóval nem lehetetlen.
akkor legyen háromfaktoros authentikáció, név/jelszó + sms + biometrikus azonosítás. ez természetesen ugyanúgy hálózaton át történik, szóval veszett fejsze.
végülis ott járunk, hogy 19 faktoros authentikációt követően még mindig csak "kicsit" megnehezitettük a hacker dolgát, de nem tettük lehetetlenné. pont ezért teljesen értelmetlen, és ha nem is felesleges, de egy felesleges időpocsékolás, macska-egér harc. és ebben a harcban valójában sak a user experience fog sérülni minden esetben.
az igazi kérdés valójában az, hogy miként bizonyosodhatok meg arról, hogy akivel beszélek (akár személyesen is) az nem egy imposztor. egy olyan olcsó kópia, aki csak nagyon hasonlit, és amúgy nem ő az.
sőt! tovább megyek, számit ez egyáltalán? tehát ha valaki 100%-ban ugyanolyan mint én, és hozzá akar férni a pénzemhez, akkor miért ne tehetné? persze, azért mert az enyém és nem az övé. de ha mondjuk ő egy klón. ennyire nagyon hasonlit. sőt, a vágyai, elképzelései is ugyanazok mint az enyémek, és ugyanarra is szeretné használni a pénzem, akkor miért ne tehetné meg? ekkor persze talán megengedőbb lennék.
viszont ha nem pont ugyanarra szeretné használni, hanem mondjuk valami gonosz dolgot akar ebből a kevéske (leginkább minuszos) pénzből finanszírozni, akkor már nem a válasz. azt már inkább ne tegye, bármennyire is hasonlit rám. és végül marad a 19 faktoros, béltükrözést is magában foglaló authentikáció. egy darabig. majd jöhet a 20 faktor...