Двофакторна аутентифікація, Криптографія, Security & Hack, статті


Чим більше сайтів використовують парольний захист, тим винахідливішими стають методи крадіжки паролів, які застосовують хакери. Традиційна система “Логін-пароль”, очевидно, потребує вдосконалення.


Наприклад, шведський банк Nordea PLC роздає користувачам послуг онлайн-банкінгу спеціальні скретч-карти, на яких надруковано 50 кодів, згенерованих банківської криптосистемою. Щоб увійти в приватний розділ на сайті, користувач повинен ввести національний ID-номер (На кшталт нашого номера паспорта) іPIN-код з 4 символів, а також один з 50-ти кодів, віддрукованих на карті. Таким чином, карти вистачає на 50 сеансів зв’язку з банком. Як тільки останній код використаний – банк автоматично висилає клієнту нову картку з кодами.


Це лише один спосіб так званої двофакторної аутентифікації, яка все частіше
використовується в системах, де потрібна підвищена захист.


Звичайна зв’язка “Логін-пароль” не задовольняє сучасним вимогам до захисту транзакцій. Експерти все частіше висловлюють думку, що пароль – це конструкція з минулого, дуже недосконала і незручна у використанні. Людський мозок не пристосований до роботи з безліччю довгих паролів іPIN-кодів. На жаль, йому набагато простіше запам’ятати комбінацію “1234”, ніж “kR7bw1Eq2W”, хоча другий пароль набагато якісніше. Десятки паролів другого типу запам’ятати практично неможливо, і тому на ринку з’явилися навіть спеціальні програми, які зберігають безліч паролів в зашифрованому вигляді. Наприклад, Symantec Norton Password Manager. Але такі програми теж захищена одним-єдиним майстер-паролем, втрата якого стане катастрофою.


Дізнатися ж чужий пароль не складає ніяких труднощів. Для цього існує безліч методів: кейлоггери, які записують всі натискання клавіш (такі програми часто встановлюються вінтернет-кафе); програми для підбору нескладних паролів; спеціальні віруси; сайти, які пропонують користувачеві зареєструватися з однією метою – дізнатися його пароль і т.д.


Двофакторна аутентифікація позбавлена ​​всіх перерахованих вище недоліків, і втрата пароля не є критичною. Крім використання одноразових паролів. Є й інші варіанти для удосконалення парольного захисту. Наприклад, деякі компанії роздають своїм співробітникам спеціальні електронні пристрої або картки, які на основі базового пароля “на льоту” генерують тимчасові паролі в залежності від часу входу в систему. Таким чином, хакеру недостатньо знання пароля, щоб увійти в систему, та й втрата пристрою нічого йому не дасть, тому що він не знає пароль користувача, щоб ввести його в пристрій.


Наприклад, в даний час MasterCard тестує подібну систему в Великобританії, Німеччини і Бразилії. Користувач проводить смарт-картою за спеціальним кард-рідера і вводить свій PIN-код, після чого отримує одноразовий пароль, який приймають кількох десятків компаній, включаючи Office Max іBritish Airways.


Системи біометричної аутентифікації діють за тим же принципом, але тільки один або обидва пароля замінюються відбитком пальця або зображенням сітківки ока.


Незважаючи на очевидну ефективність двофакторної аутентифікації, вона до цих пір не отримала належного поширення навіть у банках. “Вони бояться зробити перший крок, тому що не хочуть, щоб клієнти пішли в інші банки, де сервіс простіше “, –
говорить Авіва Літан (Avivah Litan), аналітик Gartner.


Проблема ще й у тому, що впровадження систем двофакторної аутентифікації – це досить дороге задоволення, вартість якого поки що перевищує збиток від шахрайства навіть в банківській сфері. Крім того, користувач легко заплутається в десятках скретч-карток, якщо кожен сервіс введе подібну систему захисту. Тому ринок чекає, коли буде розроблений єдиний стандарт на двухфакторную аутентифікацію, і можна буде використовувати один і той же пристрій / картку для генерації паролів на всіх сайтах. Наприклад, Nordea та інші скандинавські банки вже почали співпрацювати з державними відомствами з метою розробки такої універсальної системи. Аналогічна робота ведеться в рамках міжнародного проекту
Liberty Alliance.


Рано чи пізно користувачі стануть більш серйозно ставитися до безпеки в інтернеті, у міру того як їх життя, робота і фінансові транзакції будуть все більше переміщатися в Мережу. “Чим більше добра в будинку, тим кращий замок ти поставиш на дверях “, – наводить аналогію Роберт Чезнат (Robert Chesnut), віце-президент з безпеки інтернет-компанії eBay.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*