Одноразовые пароли и “защищённость” от взломов

Снова спрашивают про одноразовые пароли, которые сейчас можно без особых проблем прикрутить к авторизационной системе CMS, при этом пароль генерируется специальным брелоком. Почему-то многие считают, что использование такого брелка и одноразовых паролей выводит защищённость “от взлома” всей системы авторизации на уровень, требующий физически украсть брелок – а это очень сложно и, поэтому, надёжно: типа, такой “сейф” получается (сейфы, как известно, дистанционно обычно не взламывают, нужно персонально выезжать на место). А про “токены”, выдающие пароли, говорят, мол, даже если и скопировали пароль от сайта, всё равно он – одноразовый.

Вообще, известно, что это опасное заблуждение. Так, пароли от хостингов, сайтов, и CMS, как показывает статистика работы саппорта, обычно крадут не удалённым сетевым снифером, а с помощью троянской программы, внедрённой непосредственно на ПК жертвы. Понятно, что модифицировать троянскую программу, наделив её возможностями по перехвату (до использования) одноразового пароля, – не такая уж сложная для профессионального взломщика задача. (Задача, судя по всему, много раз решена теми спецами, которые работают в направлении систем интернет-банкинга.) Конечно, механизм поддаётся полной автоматизации.

Более того, если предположить, что “многоразовый” пароль крадётся из открытой сети – обычно в пример приводят общедоступный Wi-Fi, – то в этом случае атакующий может вмешаться в трафик, перенаправить атакуемого на другой ресурс и там запросить у него хоть бы и сразу пять-десять одноразовых паролей впрок (тоже схема не новая). Есть и другие способы борьбы с “одноразовыми”.

Да, конечно, брелок-генератор одноразовых паролей – вещь полезная. Если правильно встроен в процесс пользования системой авторизации (SSL никто не отменяет!), то защищённость повышает, но сводить всё к необходимости кражи брелка – это большая ошибка. Система с таким брелком не надёжнее, чем защита компьютера, который используется для ввода одноразовых кодов-паролей.

Адрес записки: https://dxdt.ru/2010/01/21/2906/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 7

  • 1. 21st January 2010, 02:36 // Читатель sashket написал:

    Система e-num, которую использует WebMoney, вроде тоже по такому принципу работает?

  • 2. 21st January 2010, 06:26 // Читатель Brakhma написал:

    2 sashket: Да.

  • 3. 21st January 2010, 14:50 // Читатель Igor написал:

    Так как один из тегов заметки “безопасность”, то оставлю комментарий тут.

    Очень бы хотелось заметки про аппаратные и програмные продукты, реализующие функиции шифрования (крипто) и взаимодействие производителей, продавцов этих устройств и ПО с органами безопасности.
    Если задать вопрос предельно просто, то правда ли, что все легально продающееся криптооборудование и ПО обязательно должно иметь “черный ход” для спецслужб? И как обстоят дела с этим, например, в США и РФ.

  • 4. 21st January 2010, 19:25 // Читатель Vadim написал:

    2Igor: неправда, ни в США, ни в РФ.

  • 5. 22nd January 2010, 17:29 // Читатель Viktor написал:

    Хоть брелок-генератор одноразовых паролей – вещь полезная, но все же не сильно надежная, так что не вижу смысла использовать его. Надеюсь вскоре все же произведут какую – то надежную штуку!

  • 6. 22nd January 2010, 17:36 // Александр Венедюхин:

    обязательно должно иметь “черный ход” для спецслужб?

    На мой взгляд, тут просто сложилось некоторое искажение. Действительно, стандарты сертификации могут предусматривать передачу некого секрета спецслужбам, чтобы конкретная защищённая сеть связи в целом была принята в эксплуатацию (скажем, для каких-нибудь государственных задач). Точно так же есть законодательно определённая практика предоставления каналов для прослушивания (и в США, и в России), отсюда, как я понимаю, и идёт история с обязательными “чёрными ходами”. Ограничения же на продажу касаются в основном используемых алгоритмов, “чёрные ходы” – их сложно было бы стандартизовать.

  • 7. 26th January 2010, 10:31 // Читатель dign написал:

    Работая в инете, нужно всегда учитывать, что определенный круг людей может иметь доступ к вашей информации. Поэтому, если есть, что скрывать, то самим шифровать, защищать, а не надеяться на кого-то другого.

    P.S.
    В privat24 сейчас тоже используется одноразовый пароль на вход в систему. Защита только от случайных людей. Некоторым работникам банка ненужен никакой пароль для этого. Заходи и смотри, где и какие у тебя движения средств. Но для перечисления денег нужен ключ. Главное, чтоб этот ключ не украли.