Одноразовые пароли и “защищённость” от взломов
Снова спрашивают про одноразовые пароли, которые сейчас можно без особых проблем прикрутить к авторизационной системе CMS, при этом пароль генерируется специальным брелоком. Почему-то многие считают, что использование такого брелка и одноразовых паролей выводит защищённость “от взлома” всей системы авторизации на уровень, требующий физически украсть брелок – а это очень сложно и, поэтому, надёжно: типа, такой “сейф” получается (сейфы, как известно, дистанционно обычно не взламывают, нужно персонально выезжать на место). А про “токены”, выдающие пароли, говорят, мол, даже если и скопировали пароль от сайта, всё равно он – одноразовый.
Вообще, известно, что это опасное заблуждение. Так, пароли от хостингов, сайтов, и CMS, как показывает статистика работы саппорта, обычно крадут не удалённым сетевым снифером, а с помощью троянской программы, внедрённой непосредственно на ПК жертвы. Понятно, что модифицировать троянскую программу, наделив её возможностями по перехвату (до использования) одноразового пароля, – не такая уж сложная для профессионального взломщика задача. (Задача, судя по всему, много раз решена теми спецами, которые работают в направлении систем интернет-банкинга.) Конечно, механизм поддаётся полной автоматизации.
Более того, если предположить, что “многоразовый” пароль крадётся из открытой сети – обычно в пример приводят общедоступный Wi-Fi, – то в этом случае атакующий может вмешаться в трафик, перенаправить атакуемого на другой ресурс и там запросить у него хоть бы и сразу пять-десять одноразовых паролей впрок (тоже схема не новая). Есть и другие способы борьбы с “одноразовыми”.
Да, конечно, брелок-генератор одноразовых паролей – вещь полезная. Если правильно встроен в процесс пользования системой авторизации (SSL никто не отменяет!), то защищённость повышает, но сводить всё к необходимости кражи брелка – это большая ошибка. Система с таким брелком не надёжнее, чем защита компьютера, который используется для ввода одноразовых кодов-паролей.
Адрес записки: https://dxdt.ru/2010/01/21/2906/
Похожие записки:
- "Пасхалка" в экспериментальном сервере TLS
- Несколько комментариев "около 3d-печати"
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Постквантовые криптосистемы и квантовые компьютеры
- HTTPS-запись в DNS для dxdt.ru
- Шифр "Кузнечик" на языке Go: ассемблер и оптимизация
- Статья про защиту DNS-доступа
- Обновление описания TLS
- "Краткий пересказ" новой возможности "Яндекс.Браузера"
- Microsoft и DNS-over-HTTPS
- Техническое: экзотические настройки в SPF
Комментарии читателей блога: 7
1. 21st January 2010, 02:36 // Читатель sashket написал:
Система e-num, которую использует WebMoney, вроде тоже по такому принципу работает?
2. 21st January 2010, 06:26 // Читатель Brakhma написал:
2 sashket: Да.
3. 21st January 2010, 14:50 // Читатель Igor написал:
Так как один из тегов заметки “безопасность”, то оставлю комментарий тут.
Очень бы хотелось заметки про аппаратные и програмные продукты, реализующие функиции шифрования (крипто) и взаимодействие производителей, продавцов этих устройств и ПО с органами безопасности.
Если задать вопрос предельно просто, то правда ли, что все легально продающееся криптооборудование и ПО обязательно должно иметь “черный ход” для спецслужб? И как обстоят дела с этим, например, в США и РФ.
4. 21st January 2010, 19:25 // Читатель Vadim написал:
2Igor: неправда, ни в США, ни в РФ.
5. 22nd January 2010, 17:29 // Читатель Viktor написал:
Хоть брелок-генератор одноразовых паролей – вещь полезная, но все же не сильно надежная, так что не вижу смысла использовать его. Надеюсь вскоре все же произведут какую – то надежную штуку!
6. 22nd January 2010, 17:36 // Александр Венедюхин ответил:
На мой взгляд, тут просто сложилось некоторое искажение. Действительно, стандарты сертификации могут предусматривать передачу некого секрета спецслужбам, чтобы конкретная защищённая сеть связи в целом была принята в эксплуатацию (скажем, для каких-нибудь государственных задач). Точно так же есть законодательно определённая практика предоставления каналов для прослушивания (и в США, и в России), отсюда, как я понимаю, и идёт история с обязательными “чёрными ходами”. Ограничения же на продажу касаются в основном используемых алгоритмов, “чёрные ходы” – их сложно было бы стандартизовать.
7. 26th January 2010, 10:31 // Читатель dign написал:
Работая в инете, нужно всегда учитывать, что определенный круг людей может иметь доступ к вашей информации. Поэтому, если есть, что скрывать, то самим шифровать, защищать, а не надеяться на кого-то другого.
P.S.
В privat24 сейчас тоже используется одноразовый пароль на вход в систему. Защита только от случайных людей. Некоторым работникам банка ненужен никакой пароль для этого. Заходи и смотри, где и какие у тебя движения средств. Но для перечисления денег нужен ключ. Главное, чтоб этот ключ не украли.