Новостная лента

Селфи-аутентификация – модное веяние или повышение надежности защиты данных?

Опубликовано Anna 15:20 в Новости Индустрии | нет комментариев

Не секрет, что уже продолжительное время компания Mastercard занимается решением проблемы аутентификации в банковской системе и тестирует приложение, с помощью которого традиционная двухфакторная аутентификация позволит производить авторизацию клиента и совершать покупки онлайн на основе технологии распознавания черт лица, а не с помощью числовых кодов. Другими словами, чтобы расплатиться кредитной карточкой в Интернете, вместо пин-кода владельцу нужно будет лишь сделать селфи. Давайте разберемся, откуда берет истоки это новое веяние под названием селфи-аутентификация. Селфи – разновидность фотографического автопортрета, где фотографирующий снимает себя на камеру самостоятельно с расстояния вытянутой руки, иногда используя для этого зеркало или же столь популярную нынче палку для селфи. Особую популярность этот вид фотографии начал приобретать после 2005 года с появлением социальных сетей и онлайн ресурсов для общения, где пользователи с удовольствием делятся последними событиями со своей жизни и свеженькими фото. С выходом в свет телефонов с фронтальными камерами и мобильного приложения Instagram просторы Интернета буквально взорвали миллионы оригинальных, а порою даже экстремальных селфи. Звезды шоу-биза и кино, политические деятели и даже папа римский Франциск выкладывают в сеть собственные фото. Все ресурсы буквально кричат о популярности такого направления в фотоиндустрии, а само слово «selfie» было признано самым используемым в 2013 году и было включено в Оксфордский онлайн-словарь английского языка. Как видим, популярность селфи-фото просто безумна, но прежде, чем внедрить это нововведение в жизнь, стоит серьезно усомниться в надежности такого метода аутентификации, в особенности для доступа к проведению операций онлайн-банкинга. Причин для сомнений может быть несколько, и далее в статье мы детально рассмотрим каждую из них. Биометрия как альтернативная форма аутентификации пользователя Прежде чем перейти к более детальному рассмотрению альтернативных форм двухэтапной аутентификации, вспомним, что подразумевает собою классическая двухфакторная аутентификация. Причина необходимости внедрения такого типа авторизации обусловлена одними из основных рисков информационной безопасности – слабыми паролями. По статистике, у 61% пользователей один пароль используется на всех сервисах и сайтах, а 44% — меняют пароль доступа от силы раз в год. Такие данные свидетельствуют о том, что скомпрометировать компьютер или другой используемый гаджет достаточно легко. Именно в таком случае необходимо обратиться к двухслойной защите своего аккаунта от несанкционированного проникновения злоумышленников – двойной аутентификации Protectimus. Такая система подразумевает под собой два рубежа: Логин и пароль, Специальный код, передающийся по SMS, электронной почте или сгенерированный с помощью токена. Для более надежной защиты используются также биометрические данные юзера – аутентификация пользователя проводится с помощью распознавания голоса или лица, сканирования сетчатки глаза или отпечатка пальца, по «рисунку» сердцебиения. Идея с селфи, кстати, также принадлежит к биометрической аутентификации. Надежны ли эксперименты с альтернативной селфи-аутентификацией Сперва, рассмотрим плюсы, которыми может похвастаться селфи-аутентификация. Планируется, что банковское приложение создаст цифровую карту лица каждого клиента и преобразует его в хэш, который будет храниться на сервере и служить образцом для последующего сопоставления с новыми фото. К преимуществам отнесем также такие факты: Фото делается мгновенно, Не нужно ждать sms-подтвердения и вводить код, Нет необходимости запоминать пароли и/или носить с собой токены, которые могут сломаться или потеряться в самый неожиданный момент, Это модно. На этом позитивные стороны иссякли. Обратимся теперь к обратной стороне медали такого нововведения. Для проведения операции необходимо хорошее качество фото, а для этого соответственно нужна камера с большим разрешением, хорошее освещение, статическая обстановка, Есть вероятность того, что если после регистрации у клиента появились значительные видимые повреждения или изменения лица, он может столкнуться с трудностями при авторизации в системе, Если мошенник захватил данные логина и пароля клиента, и при этом...

Как заработать на защите данных

Опубликовано Cyber Max 15:36 в Продукты Протектимус | нет комментариев

В средние века были очень популярны туры из Европы в Азию. Называлось это явление крестовыми походами. Святая Церковь даровала крестоносцам прощение грехов в обмен на освобождение Палестины от турок-сельджуков. При этом все полученные в боях трофеи оставались в обозах рыцарей. Это была первая партнерская программа b2b с выгодными условиями для обеих сторон. В просвещенный 21-й век впору объявлять новый крестовый поход, против кибер-преступников. Для наших палестин в последнее время расхожей стала следующая махинация. Мошенники звонят с телефона, очень похожего по номеру на кол-центр банка, и просят назвать свои данные, якобы с целью проверки. Иногда требуют повторить присланный в смс код доступа. Психологически человек склонен давать ответы на простые вопросы. В качестве доказательства проведите такой эксперимент: зайдите в комнату, полную людей, и громко спросите: «Как будет по-английски «Не курить?»» Вам наверняка ответят, и не единожды, хотя совершенно понятно, что взрослый человек всерьёз таких вопросов задавать не может. И в случае с мошенниками — ответить на простой вопрос очень хочется, но делать этого не нужно: у банка есть все данные клиента и уточнять их не нужно. Но вопрос в другом — откуда у мошенников ваш телефон и информация о том, что вы являетесь клиентом именного этого банка? Наверняка постарался «человек посередине». Избежать этих и других проблем с защитой данных позволяет двухфакторная аутентификация. Факторов действительно два: «то, что я знаю» (многоразовый пароль) и «то, чем я владею» (токен, который генерирует одноразовый пароль). Если первый пароль злоумышленник может получить “четырьмястами сравнительно честных” способов, то OTP (one-time password) действителен лишь несколько минут, и до поры до времени его не знает сам владелец гаджета. То есть, мошеннические звонки, описанные выше, теряют смысл за бесполезностью. Как и в случае крестовых походов, рыцарей, которые пошли на бой с кибернетическими преступниками, неплохо бы поощрить. Мир заработков в интернете пестр и разнообразен. Например, в Японии, США и Великобритании есть специальные люди-обниматели, которые выезжают к заказчику и за денежное вознаграждение предоставят дружеские объятия. Дескать, ученые доказали, что обнимание снимает стресс и вообще положительно влияет на психическое здоровье. В этом бизнесе можно заработать примерно 350 долларов в день. Правда, есть проблемка: многие путают обнимание с интимными услугами. Что касается партнерских программ, то и среди них есть необычные. Так одна хостинг-компания предлагает партнерам самим устанавливает цены на продукты (при желании — ниже цен производителя). Создатели системы защиты «Protectimus» предлагает более консервативные, но не менее выгодные условия «партнерки». Они касаются разработчиков, реселлеров, интеграторов и просто людей, знакомых с потенциальным клиентом, которого интересует новая система двухфакторной аутентификации. После регистрации клиента и подтверждения им ваших полномочий , вы будете получать 20% от всех платежей за услуги приведенного клиента. Если же рекомендатель — обладатель продукта «Protectimus», то заработанные от приведенных клиентов средства поступят на его счет, после чего их можно перевести на любой зарегистрированный аккаунт. При выборе этого варианта, разработчики увеличат ваши средства на 25%. Конечно, полученную сумму можно будет и просто обналичить, но деловые люди прекрасно знают, что деньги должны работать. А защита личной информации в наше время — одна из самых полезных работ в IT-сфере. Кроме того, счастливые обладатели «Protectimus» имеют возможность минимизировать оплату за услуги, размещая баннеры используемого сервиса на своем сайте. В случае перехода с него на сайт системы двухфакторной аутентификации и регистрации приведенного клиента в течение недели, процент с обслуживания этого клиента — ваш. Другими словами, возможен такой случай, когда партнер, защищая персональные данные, не только не платит за эту защиту,...

Хакерские атаки угрожают современным автомобилям: ищем способ защиты от хакеров

Опубликовано Cyber Max 14:50 в Новости Индустрии | нет комментариев

Дискуссии о том, что есть прогресс науки — добро или зло — ведутся со времен Аристотеля (IV век до н. э.). Средневековая инквизиция решала этот вопрос радикально, деятели новейшей истории более лояльны к ученым. В 1868-м году Альфред Нобель получил патент на динамит — смесь нитроглицерина с его абсорбентами. Предполагалось, что так будет лучше взрывать горные породы. Оказалось, применений новшеству можно найти больше. А что, было бы лучше, если бы в арсенале горных инженеров остались кирка и заступ? Недавно сеть, как говорят в таких случаях, взорвалась новостью о том, что два хакера — Чарли Миллер и Крис Валасек — взяли под виртуальный контроль автомобиль «Jeep Cherokee» 2014-го года выпуска. Взломав бортовую систему «UConnect», они на расстоянии делали звук радиоприемника невыносимо громким, включали «дворники», крутили руль, отключали тормозную систему и глушили двигатель. Хорошо, что акция была согласована с хозяином автомобиля. Будь такая машина, например, у президента Джона Кеннеди, никакого Ли Освальда в Далласе не потребовалось бы. Кстати, вина морского пехотинца доподлинно не доказана. А в случае «радиоуправляемой» машины и доказывать было бы нечего. Почему трюк Миллера и Валасека стал возможным? Войдя в состав итальянского концерна Fiat, американская компания «Chrysler» получила доступ к системе «UConnect», которая обеспечивает интерактивные функции бортового компьютера. Какие именно — хакеры показали во всей красе. Наука привела «железного коня на смену крестьянской лошадке». В современных автомобилях органы управления физически не связаны с исполняющими устройствами. Например, вращение руля обрабатывается системой стабилизации с учётом скорости, качества покрытия и давления в шинах. Всем командует бортовой компьютер, а «UConnect» через сотовую сеть обеспечивает удалённое управление. Беда в том, что права доступа в такие сети не проверяются никак. То есть — никакой авторизации. Для удаленного подключения к автомобилю достаточно знать только IP-адрес. При этом «UConnect» управляет машиной гораздо «больше», чем водитель — во всяком случае, имеет для этого больше возможностей. Но любая авария, спровоцированная хакерской атакой, будет на совести как раз водителя, потому что будет выглядеть, как его ошибка. Другими словами — давайте откажемся от удобств ради безопасности? Вернем в салон кассетные магнитолы и рычаги переключения передач с розочкой в прозрачном стекле на ручке? Чуть выше было сказано, что для входа в мобильную сеть управления авто не нужна авторизация. Это не совсем так. Минимальная авторизация в наличии — ключ от машины. И это первый фактор аутентификации — «то, что у меня есть». А виртуальная составляющая оставляет, мягко говоря, желать лучшего. Бортовой софт производители сделали как дань моде, совершенно не озаботившись его защитой. На кону, между прочим, жизни водителя и пассажиров, ведь всегда может найтись «шутник», которому они станут не угодны. Для повышения защиты на порядок нужно не так много — хотя бы второй фактор аутентификации: «то, что я знаю». В современном мире это делается просто — с помощью токена (гаджета, генерирующего одноразовый пароль). Компаниями , основной специализацией которых является двухфакторная аутентификация, к числу которых принадлежит и Protectimus, были разработаны самые разнообразные типы токенов — от аппаратных в форме брелока до программных в виде приложений на смартфоны, планшеты, часы. А теперь представьте, что токен — это автомобиль. Точнее — его бортовой компьютер, конечно. Смена пароля происходит в течение нескольких минут, этого достаточно, чтобы открыть машину (образно — применить многоразовый пароль в виде автомобильного ключа) и запустить двигатель. Причем панель ввода одноразового пароля (он появляется после открытия двери) может отображаться на отдельном индикаторе, рядом с кнопкой «старт». Вводим пароль через дисплей в бортовой...

Двухфакторная аутентификация — выбор экспертов по безопасности

Опубликовано Cyber Max 13:48 в Исследования, Новости Индустрии | нет комментариев

Восточные религии богаты на притчи, и вот одна из них. Как водится, неофит приходит в тибетский монастырь и просит мастера научить его. Учитель отвечает, что взять ученика можно, но при одном условии: он не станет последователем мастера. — За кем же тогда следовать? — резонно вопрошает ученик — Ни за кем, — отвечает учитель. — Когда за кем-то следуешь, сбиваешься с истинного пути. Недавно компания «Google» провела исследование с целью выяснить, каковы предпочтения в сфере компьютерной безопасности у простых пользователей и экспертов в этой области. 294 респондента с одной стороны и 231 — с другой. В результате получилась таблица, в которой отображены пять главных параметров, необходимых для безопасности данных. Частота упоминаний меняется сверху вниз — от большей к меньшей. Не эксперты Эксперты Антивирус Установка обновлений программ Сложный пароль Уникальный пароль Частая смена пароля Двухфакторная аутентификация Посещение только проверенных сайтов Сложный пароль Не публиковать личную информацию Менеджер паролей Перед тем, как анализировать результаты опроса, давайте оценим его объективность. Строго говоря, ответы в левом и правом столбцах даны на разные вопросы. Обычный пользователь и эксперт по-разному относятся к предмету опроса. Ожидания рядового юзера от безопасности ограничиваются категориями, вроде «не цепануть вирус на сайте для взрослых» или «чтобы жена не увидела переписку с секретаршей». В распоряжении эксперта, как правило, находится целая сеть корпоративных машин, каждая из которых если не приносит деньги, то хранит информацию о них. Естественно, что его подходы к безопасности и понимание сути процесса — качественно иные. Это все равно, что спросить у музыкальных критиков и обывателей: «Кто такой Фредди Меркьюри?». Для первых — это неординарная личность, бесподобный вокалист с широким диапазоном голоса, а также потрясающий мелодист и аранжировщик. Для вторых он просто гей. Поскольку мы уважаем мнение экспертов и прислушиваемся к нему, давайте внимательно посмотрим на правую часть таблицы. Если, подобно восточным мудрецам, мы сосредоточим взгляд и сконцентрируем внимание, то обнаружим ровно в середине списка надпись «двухфакторная аутентификация». Отлично. А что есть остальные четыре параметра? Немного подумав, придем к выводу, что они — суть тоже двухфакторная аутентификация. Посудите сами, на примере технологии «Protectimus». Токен генерирует уникальный и сложный пароль, причем действителен он на протяжении определенного времени. То есть, выступает и как менеджер паролей, и как регулярное (раз в минуту) обновление защитной программы. Вводя этот пароль, а также многоразовый пароль пользователя, собственно, и получаем двухфакторную аутентификацию. Другими словами, в правой части таблицы достаточно было написать только то, что сейчас находится ровно посередине. А теперь возьмем на себя смелость озвучить «в лоб» то, к чему авторы опроса подводят читателей исподволь. Как известно, компания «Google» давно дружит с двухфакторной аутентификацией и широко использует эту технология в своих продуктах. Результаты указанного выше опроса, на первый взгляд, выглядят так: обычные пользователи мыслят примитивней экспертов. Дескать, прислушайтесь к специалистам, они дело говорят. Да, но для полноты решения этой задачи не хватает ровно одного действия. Просто нужно сказать, что двухфакторная аутентификация — это такой микроскоп, с рукояткой и бойком. Им можно и атомы рассматривать, и гвозди забивать. В нашем случае — и персональный компьютер защищать от посторонних глаз соцсетевой «личке», и беречь многомиллионные данные в банках и других финансовых корпорациях. Да, на это нужно потратиться, но не более чем на стандартный пакет антивирусной программы. А в некоторых случаях можно даже заработать на двухфакторной аутентификации. Конечно, тибетский монах прав: у каждого своя дорога. Но если два независимо выбранных пути сходятся в один, что же — не...

Двухфакторная аутентификация повсюду. Уже и в Windows 10!

Опубликовано Cyber Max 17:54 в Новости Индустрии | нет комментариев

Результат хорошей работы — явление закономерное, а его признание — случайность. Иначе не было бы гениев, проведших жизнь в бедности и признанных только после смерти. Человек — существо консервативное, и новое он чаще признает желудком, чем головой. Двухфакторная аутентификация в банковской сфере — пусть; в технологиях Google — в порядке вещей; в новой операционной системе Windows 10 — вот это новость! Новая операционная система оснащена двухэтапной аутентификацией. Причем, в этом смысле «десятка» — вещь в себе: дополнительного оборудования нет, для проверки личности используются внутренние устройства. Во-первых, пользователю нужно зарегистрировать хотя бы одно устройство (компьютер, ноутбук, телефон или планшет) в качестве доверенного для аутентификации. Затем — ввести пин-код или настроить вход по отпечатку пальца, если клавиатура «большого брата» или гаджет обладают сенсором. То есть, украденный пин бесполезен без доверенного устройства, а ворованное устройство бестолково без пина или отпечатка. По поводу датчика отпечатков иронизировать не стоит. Айфонный проект 2013-го года не был совершенным, но и наука не стоит на месте. В Калифорнийском университете разработали ультразвуковую дактилоскопию. Микросхема размещена на двух полупроводниковых пластинах. На первой — система, обеспечивающая передачу сигнала, вторая отвечает за его обработку. Преобразователи излучают ультразвуковые импульсы, а затем «рисуют» поверхность пальца в 3D. Использование двухфакторной аутентификации в популярнейшей операционной системе — прежде всего, кивок в сторону корпоративных клиентов. Большие организации располагают большими деньгами и огромным количеством «дорогой» информации, которую нужно бережно хранить и контролировать. Кстати, и корпоративные и частные клиенты пользовались двухуровневой защитой и ранее, но реализована она была по-другому, с помощью смарт-карт. Чаще всего это — устройство, которое генерирует одноразовый пароль. Теперь вместо него — телефон/планшет одного и того же владельца компьютера/ноутбука. Раньше требовалось еще и устанавливать дополнительный софт для смарт-карты. В новой «винде» программа аутентификации зашита изначально. К тому же эти программы были платными: на уровне трех долларов, но тем не менее. При ближайшем рассмотрении выяснилось, что медаль имеет обратную сторону. Windows 10 отслеживает историю просмотров, переписку, календарь и данные из контактов. Но и это не все. Никто же не читает лицензионное соглашение, а в нем написано электронным по белому: «Microsoft оставляет за собой право доступа, хранения и раскрытия персональной информации. Этим правом мы обещаем пользоваться только в случае необходимости». Но самое интересное — «десятка» присваивает уникальный идентификатор, предназначенный для показа рекламы на основе собранной информации. А вы думали, новая операционка просто так бесплатная? Двухфакторная аутентификация в Windows — безусловно, шаг вперед. Но у медали есть не только обратная сторона, а еще и ребро. Исследователи из университета Бен-Гуриона (Израиль) доказали, что взломать можно и выключенный компьютер. Таким образом вирус Stuxnet чуть не сорвал работу завода по обогащению урана в Иране в январе 2015 года. Вирус отслеживает обмен сигналами между процессором и памятью и создает радиоволны в частотах GSM, UMTS и LTE. Их принимает любое мобильное устройство, находящееся на расстоянии до пяти метров. Новая «десятка» — как стакан, который для пессимиста наполовину пуст, для оптимиста — наполовину полон. Сбор информации о владельце нарушает права потребителя, но его можно опционно отключить. Тогда и никакой двухфакторной аутентификации, но и никакой рекламы. «Каждый выбирает для себя», как писал Юрий Левитанский. Но то, что двухфакторная аутентификация отныне доступна в операционной системе, которой пользуются все современные «homo sapiens», — это, без сомнений, высокое признание метода защиты...

Команда Protectimus на Startup Crash Test #2

Опубликовано Anna 15:47 в Пресса и События | нет комментариев

4 сентября в Харькове прошло некоммерческое мероприятие Startup Crash Test #2, целью которого было тестирование стартапов на прочность. Команды стартаперов смогли рассказать о своих идеях и планах их реализации широкой публике, услышать конструктивную критику со стороны профессионалов в сфере IT, а также получить полезные советы, которые помогут им добиться большего успеха в будущем. Одним из участников Startup Crash Test #2 стала и компания Protectimus. Руководитель R&D отдела Protectimus Денис Шокотько анонсировал новую программу поддержки стартапов «Let Your Startup Be Secure». В рамках данной программы команда Protectimus готова абсолютно бесплатно предоставить свое решение двухфакторной аутентификации любому стартапу, который заботится о безопасности своих пользователей и сможет продемонстрировать конкретный план развития проекта. Узнать больше о программе «Let Your Startup Be Secure» и задать все интересующие вас вопросы можно по этому адресу – [email protected]. А сейчас предлагаем вашему вниманию небольшой фотоотчет: Источник фото —...

Хранение паролей в онлайн-сервисах — безопасно или нет?

Опубликовано Cyber Max 17:52 в Новости Индустрии | нет комментариев

Из всех бессмертных в живых должен остаться только один. Так гласит народная шотландская мудрость применительно к “миру горцев”, показанному в одноименном фильме и сериале. Бессмертным не грозят ни болезни, ни травмы, убить их можно лишь путем отделения головы от туловища. Коннор, а потом и Дункан из рода МакЛаудов прилежно выполняли свою миссию в конце своих фильмов, ломая тем самым многофакторную защиту своих врагов. Каждый из персонажей, ведущих “бессмертную войну», свято верит в собственную неуязвимость. До недавнего времени столь же уверенными в защите своих паролей были пользователи специализированных онлайн-сервисов. Если хранение паролей миллионов людей — основная задача онлайн-сервиса, то его собственная защита должна быть максимально непробиваемой. Посмотрим, так ли это. Обозреватель сайта xakep.ru в сентябре прошлого года задался целью проверить безопасность менеджеров паролей. Для проверки использовались два способа: атака через вызов API SendMessage c параметром WM_GETTEXT (не распознается многими антивирусами как потенциально опасное действие); DLL Hijacking — загрузка вредоносной библиотеки. Из пяти проверенных сервисов два удостоились оценки «плохо», два — «удовлетворительно» и один — «хорошо». Особняком в списке менеджеров паролей находится браузерное приложение «LastPass», потому что хранит данные «на облаке». На начало 2015-го года в рейтинге популярного издания «Lifehacker» сервис занимал первое место среди себе подобных. Облачное хранение паролей действительно удобно для пользователей — через браузер пароли можно синхронизировать на всех компьютерах и девайсах. Но при этом гораздо сложнее защитить и контролировать удаленное хранилище, чем данные, записанные на локальный диск. И в середине июня 2015-го года злоумышленники этим воспользовались. Сама компания отрицает факт кражи зашифрованных данных из хранилищ паролей, но заявляет: «Стоит учесть, что атакующие смогли украсть адреса электронной почты и хеши аутентификации. В связи с этим рекомендуется всем, кто использует службу, установить новый мастер-пароль для своих хранилищ». Другой популярный сервис — файлообменник «Dropbox» взломали еще в 2012-м, и администрация в целях усиления безопасности предложила ввести двухфакторную аутентификацию — в дополнение к паролю предлагался временный код, отправляемый на телефон пользователя. Почему отправка кода на телефон — слишком простое решение для того чтобы быть сильным, читайте в отдельной статье по этому поводу. Но сама мысль о двухфакторной аутентификации — здравая. Конечно, три года назад еще не были столь популярными токены — гаджеты, которые генерируют одноразовый пароль, действующий на протяжении ограниченного отрезка время. Сегодня такое решение стало доступнее. Например, сервис двухфакторной аутентификации «Protectimus» предлагает недорогой, проверенный и надежный способ защиты любых данных. Это очень актуально, например, в банковской сфере, где информация равна определенной сумме денег, и это не метафора. В случае сервиса «Protectimus» доступен выбор: использовать софт на «облаке» или установить платформу в существующую инфраструктуру защиты данных. При выборе любого варианта в помощь желающим — гибкий интерфейс прикладного программирования. Гарантийный срок работы токена — 12 месяцев (на практике работает он пять лет), его стоимость — в районе десяти долларов, обслуживание (в зависимости от количества сотрудников в кампании, которым требуется защита) — менее доллара в месяц за токен. Более того, партнерская программа «Protectimus» позволяет не тратить, а зарабатывать деньги на использовании и распространении продукции. Во времена, когда слагались сказы о горцах, ни о чем подобном люди, конечно, не помышляли. С точки зрения безопасности информации времена меняются к лучшему, и сказка становится былью. Возможно, кому-то из современников, чахнущим над златом, двухфакторная аутентификация спасет...

Надежный пароль

Опубликовано Natalya 12:23 в Юмор | нет комментариев

— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый! — Розы. — Извините, в вашем новом пароле слишком мало символов! — Розовые розы. — Извините, надежный пароль должен содержать хотя бы одну цифру! — 1 розовая роза. — Извините, не допускается использование пробелов в пароле! — 1розоваяроза. — Извините, необходимо использовать, как минимум, 10 различных символов в пароле! — 1увядшаярозоваяроза. — Извините, необходимо использовать, как минимум, одну заглавную букву в пароле! — 1УВЯДШАЯрозоваяроза. — Извините, не допускается использовать несколько заглавных букв, следующих подряд! — 1УвядшаяРозоваяРоза. — Извините, пароль должен состоять более чем из 20 символов! — 1УвядшаяРозоваяРозаБудетТорчатьИзТвоейПятойТочкиЕслиТыНеДашьМнеДоступПрямоСейчас! — Извините, но этот пароль уже...

Что скрывает SMS-аутентификация?

Опубликовано Cyber Max 18:04 в Новости Индустрии | нет комментариев

В нашей жизни за все приходится платить. Называйте это как угодно — закон сохранения энергии, карма, промысел божий, — но так есть и будет. В 19-м веке преданный сюзерену почтальон рисковал жизнью, чтобы доставить письмо по адресу за месяц, и уберечь послание от недоброжелателей. В 21-м веке обмен данными происходит мгновенно, но при этом «сломать печать» гораздо проще. Кибернетическая преступность постоянно растет. Только в США в 2013-м году хакерским атакам подверглись более 3000 компаний. Пострадали сорок миллионов человек, сумма хищений — 160 миллиардов долларов. Доля компьютерных преступлений в рунете в 2014-м году составила 41% (11 тысяч) от всех зарегистрированных правонарушений в информационной сфере. В начале 2015-го года взломы биткоин-бирж всколыхнули сообщество владельцев криптовалюты, которая из-за этого обесценилась вдвое. По тому же закону сохранения энергии (в нашем случае — денег), совершенствуются и методы онлайн-защиты. На смену простым паролям пришла двухфакторная аутентификация. С ней повсеместно сталкиваются клиенты банков, получая одноразовые коды доступа посредством sms. Конечно, это шаг вперед, но на нем просто споткнуться. После отправки из банка сообщение проходит через шлюз и GSM-сеть, состоящую из серверов и передающих вышек. Отсюда — относительно большая задержка между нажатием кнопки «подтвердить платеж» и приходом sms. Иногда — до пяти минут. Огромное для 21-го века время, в течение которого сообщение можно перехватить и перенаправить — то есть, воспользоваться в преступных целях. Современные хакеры применяют автоматизированные средства взлома, и паролем из sms они могут воспользоваться за доли секунд. Не говоря уже о том, что за некоторые из этапов транспортировки “short message” отвечают живые люди. А человек, как известно, слаб перед большими деньгами. Собственно, есть специальный термин, описывающий такую уязвимость — “человек посередине”. Это когда злоумышленник находится, в нашем случае, между банком и его клиентом. Как нейтрализовать побочные эффекты sms-аутентификации? Например, посредством системы двухфакторной аутентификации, которую предлагает компания Protectimus. Одноразовый пароль, сгенерированный на специальном устройстве — токене, — которым обладает клиент, передается на сервер и сравнивается с паролем, полученным по такому же алгоритму и с такими же входными параметрами. Таковых устройств компания предлагает четыре вида, плюс — поддержка sms- и email-токенов. Более того, пароли генерируются по трем алгоритмам: по событию (нажатие пользователя на кнопку токена); по времени (используются внутренние часы токена); по запрос-ответу (одним из входных параметров является запрос от сервера). Надежность системы подтверждается сертификатом The Initiative for Open Authentication, который подвергает любое соответствующее ему решение разнообразным проверкам. Кроме того, продукты «Protectimus» постоянно совершенствуются. Недавно разработана и уже применяется интеллектуальный анализ данных. Если коротко — это определение истинности пользователя по его «виртуальной среде». В планах — добавление фактора биометрической аутентификации. Почему это удобно для банка? Во-первых, решение можно выбрать из двух вариантов: использовать так называемое SaaS — программное обеспечение как услуга (пример — облачные сервисы Google — Docs, Drive); интегрировать платформу «Protectimus» в существующую систему безопасности (гибкий интерфейс прикладного программирования максимально упростит этот процесс). Во-вторых, интуитивно понятный пользовательский интерфейс адекватно отображается на устройствах разного типа (компьютер, смартфон, планшет). В-третьих, разработчики предоставляют клиенту полную документацию и техническую поддержку. Ну и в-четвертых, конечно, деньги. Относительно конкурентов цена владения системой «Protectimus» меньше в два раза. В абсолютном исчислении — в одном из вариантов токен стоит менее десяти долларов, обслуживание — стартует от доллара в месяц при использовании одного токена. При этом клиент получает системный подход в решении вопросов безопасности данных, полноценное управление аутентификацией, а также системами мониторинга событий и нотификации внештатных ситуаций. Все «фичи» доступны на сайте проекта в полноценном демо-режиме...