Ok, vooruit dan...
ROFL... Ik neem aan dat jij denkt dat SMS veilig is ofzo?
Neem aan dat je dit nieuws dan even gemist hebt:
'Telefoongesprekken en sms'jes gemakkelijk te onderscheppen door lek'
Ik heb het niet over de veiligheid van sms of telefoongesprekken. Het gaat over het concept 2-factor authentication. Geen enkele authenticatie methode is namelijk absoluut 100% veilig, vandaar dat 2-factor (of multi-factor) authenticatie ingezet. Daarmee 'tel' je als het ware de 'veiligheid' van beide methoden met elkaar op.
Het gaat er niet om dat sms niet 100% veilig is. Dat is de gebruikelijke gebruikersnaam/wachtwoord combinatie, e-mail bericht of PIN-code ook niet. Het gaat er om dat er 2 (of meerdere) systemen tegelijk worden gebruikt om het 'totaal aan veiligheid' wat extra omhoog te krijgen.
Kortom: e-mail, wachtwoorden, etc zijn niet 100% veilig en SMS evenmin. Maar daar gaat het hier dus niet om, dus de opmerking is totaal niet relevant. Inhoudelijke toegevoegde waarde dus 0.
Nog een ROLF moment:
"Je krijgt dan letterlijk de code te zien tijdens het inloggen"
Hoe wil jij inloggen ZONDER de code te zien?
En wat is het verschil tussen de code op je telefoon zien of op je desktop (of allebei)?
Goed, nog even het principe van 2-factor authenticatie: stel gebruiker gaat inloggen op een systeem. Laten we eens Google noemen. Google ontvangt een gebruikersnaam en wachtwoord (ingegeven door de gebruiker) en is er nu redelijk zeker van dat het dus de juiste gebruiker is. De kans dat iemand anders de gebruikersnaam/wachtwoord combinatie weet is namelijk klein (maar niet 0!). Om wat extra zekerheid te krijgen stuurt Google nu een SMS met een code naar de GSM van de gebruiker. De gebruiker moet deze code vervolgens ook invoeren. Dit geeft een toegevoegde veiligheid aangezien de kans dat de GSM op dit moment in handen is van een andere gebruiker ook klein is (maar niet 0!). Hoe je het ook went of keert, de kans dat beide authenticatiesystemen gecompromiteerd zijn is altijd kleiner dan dat 1tje gecompromiteerd is.
Nu even terug naar pushbullet.
Wat dat programma heel leuk doet is notificaties van je telefoon ook tonen op de desktop. Dat werkt erg goed en is in de praktijk ook erg praktisch; als je achter de pc zit hoef je niet voor ieder 'biepje' van je GSM het apparaat te pakken: je ziet op de desktop wat er binnen is gekomen.
Dit geldt voor alle notificaties (het is wel per app uit te zetten, maar standaard staat alles aan). Dus je ziet inhoud van SMSjes, e-mails, etc ook op je desktop voorbij komen.
Stel nu dat je een laptop hebt en daar staat Steam op. Je laptop wordt gejat en deze persoon probeert thuis in te loggen op Steam. Steam detecteert dat je probeert in te loggen van een andere locatie dan normaal en stuurt je daarom per e-mail even een code om er zeker van te zijn dat jij het bent (is ook een vorm van 2-factor authentication). Thuis heb je natuurlijk al lang het wachtwoord van je e-mail veranderd dus deze is niet meer door de dief in te zien via de laptop. Maar plots 'ziet' je GSM het mailtje van Steam (je GSM heb je al het nieuwe wachtwoord gegeven) en de mail met authenticatiecode van Steam wordt direct op het scherm van de laptop bij de dief getoond.
Dus ja, uiteraard moet je de code kunnen zien om in te kunnen loggen. Maar het is wel de bedoeling dat die code niet pontificaal getoond wordt op het systeem waarmee je probeert in te loggen. Het hele nut van 2-factor authentication wordt op deze manier omzeilt. Dus wederom: je vraagt hoe ik wil inloggen ZONDER een code te zien. Daar gaat het dus compleet niet om. Zoals je nu weet is het wel zeer relevant WAAR je die code zit, en daarmee is meteen je 2e vraag beantwoord.
Daarnaast: de codes zijn tijd gebonden. Het is een theoretisch risico dat maximaal één minuut bestaat. Daarna kan je niks meer met de code.,
Two/multi-factor authentication codes zijn inderdaad tijd gebonden. In de praktijk vaak wel iets langer (maar niet veel) dan 1 minuut. Dit om ook langzame gebruikers de tijd te geven. De doorgave van pushbullet is echter vrijwel direct: de tijd die beschikbaar is voor een normale gebruiker is zo goed als gelijk aan de tijd die beschikbaar is voor 'de dief' in bovenstaand voorbeeld.
Dat de code dus tijdgebonden is, is dus ook weer totaal niet relevant voor het hele punt wat ik probeerde te maken.
Tot slot heb ik nog een mailtje van Andre von Houck (co-founder) die ook aangeeft dat het een issue zou kunnen zijn en dat ze er een oplossing voor proberen te verzinnen.