Как сделать кражу паролей бесполезной
Для повышения безопасности различных электронных сервисов альянс FIDO предлагает переход на двухфакторную систему аутентификации пользователей.
Схема работы системы безопасности FIDO (иллюстрация FIDO Alliance).
Участники альянса, в число которых входят такие компании, как Infineon, PayPal и Lenovo, отмечают, что сегодня киберпреступники используют пароли как одно из наиболее уязвимых мест электронных систем. Для их получения применяется фишинг, взлом баз данных, различные инструменты подбора и пр.
FIDO предлагает применять для идентификации пользователей не только (и не столько) пароли, но и уникальные данные, получаемые от аппаратного обеспечения. Это может быть, скажем, информация от криптопроцессора TMP, встроенного в компьютер, или показатели подключённого к устройству дактилоскопического сенсора. То есть в этом случае, даже получив пароль, злоумышленники не смогут войти в аккаунт жертвы.
Для работы системы потребуется специализированное программное обеспечение на клиентской и серверной сторонах. При этом на сервер будет отсылаться не сам пароль или идентификационные сведения, а сгенерированные на их основе криптографические последовательности.
Впрочем, критики полагают, что из-за увеличения сложности всей системы идентификации у злоумышленников появятся новые возможности для обхода защиты, выявления уязвимостей и потенциально слабых мест.
Источник - Компьюлента
Схема работы системы безопасности FIDO (иллюстрация FIDO Alliance).
Участники альянса, в число которых входят такие компании, как Infineon, PayPal и Lenovo, отмечают, что сегодня киберпреступники используют пароли как одно из наиболее уязвимых мест электронных систем. Для их получения применяется фишинг, взлом баз данных, различные инструменты подбора и пр.
FIDO предлагает применять для идентификации пользователей не только (и не столько) пароли, но и уникальные данные, получаемые от аппаратного обеспечения. Это может быть, скажем, информация от криптопроцессора TMP, встроенного в компьютер, или показатели подключённого к устройству дактилоскопического сенсора. То есть в этом случае, даже получив пароль, злоумышленники не смогут войти в аккаунт жертвы.
Для работы системы потребуется специализированное программное обеспечение на клиентской и серверной сторонах. При этом на сервер будет отсылаться не сам пароль или идентификационные сведения, а сгенерированные на их основе криптографические последовательности.
Впрочем, критики полагают, что из-за увеличения сложности всей системы идентификации у злоумышленников появятся новые возможности для обхода защиты, выявления уязвимостей и потенциально слабых мест.
Источник - Компьюлента