Одноразовые пароли и “защищённость” от взломов
Снова спрашивают про одноразовые пароли, которые сейчас можно без особых проблем прикрутить к авторизационной системе CMS, при этом пароль генерируется специальным брелоком. Почему-то многие считают, что использование такого брелка и одноразовых паролей выводит защищённость “от взлома” всей системы авторизации на уровень, требующий физически украсть брелок – а это очень сложно и, поэтому, надёжно: типа, такой “сейф” получается (сейфы, как известно, дистанционно обычно не взламывают, нужно персонально выезжать на место). А про “токены”, выдающие пароли, говорят, мол, даже если и скопировали пароль от сайта, всё равно он – одноразовый.
Вообще, известно, что это опасное заблуждение. Так, пароли от хостингов, сайтов, и CMS, как показывает статистика работы саппорта, обычно крадут не удалённым сетевым снифером, а с помощью троянской программы, внедрённой непосредственно на ПК жертвы. Понятно, что модифицировать троянскую программу, наделив её возможностями по перехвату (до использования) одноразового пароля, – не такая уж сложная для профессионального взломщика задача. (Задача, судя по всему, много раз решена теми спецами, которые работают в направлении систем интернет-банкинга.) Конечно, механизм поддаётся полной автоматизации.
Более того, если предположить, что “многоразовый” пароль крадётся из открытой сети – обычно в пример приводят общедоступный Wi-Fi, – то в этом случае атакующий может вмешаться в трафик, перенаправить атакуемого на другой ресурс и там запросить у него хоть бы и сразу пять-десять одноразовых паролей впрок (тоже схема не новая). Есть и другие способы борьбы с “одноразовыми”.
Да, конечно, брелок-генератор одноразовых паролей – вещь полезная. Если правильно встроен в процесс пользования системой авторизации (SSL никто не отменяет!), то защищённость повышает, но сводить всё к необходимости кражи брелка – это большая ошибка. Система с таким брелком не надёжнее, чем защита компьютера, который используется для ввода одноразовых кодов-паролей.
Адрес записки: https://dxdt.ru/2010/01/21/2906/
Похожие записки:
- Квантовая криптография и стойкость
- FTC про "неправильные" QR-коды
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
- Техническое: занимательный пример из практики DNS в Интернете
- Квантовая криптография и криптосистемы электронной подписи
- ИИ с превышением
- Совпадения тегов ключей DNSSEC и парадокс дней рождения
- DNS как база данных
- Подстановки и определение понятия бита
- Архитектура микропроцессоров и изоляция уровней исполнения
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
Комментарии читателей блога: 7
1. 21st January 2010, 02:36 // Читатель sashket написал:
Система e-num, которую использует WebMoney, вроде тоже по такому принципу работает?
2. 21st January 2010, 06:26 // Читатель Brakhma написал:
2 sashket: Да.
3. 21st January 2010, 14:50 // Читатель Igor написал:
Так как один из тегов заметки “безопасность”, то оставлю комментарий тут.
Очень бы хотелось заметки про аппаратные и програмные продукты, реализующие функиции шифрования (крипто) и взаимодействие производителей, продавцов этих устройств и ПО с органами безопасности.
Если задать вопрос предельно просто, то правда ли, что все легально продающееся криптооборудование и ПО обязательно должно иметь “черный ход” для спецслужб? И как обстоят дела с этим, например, в США и РФ.
4. 21st January 2010, 19:25 // Читатель Vadim написал:
2Igor: неправда, ни в США, ни в РФ.
5. 22nd January 2010, 17:29 // Читатель Viktor написал:
Хоть брелок-генератор одноразовых паролей – вещь полезная, но все же не сильно надежная, так что не вижу смысла использовать его. Надеюсь вскоре все же произведут какую – то надежную штуку!
6. 22nd January 2010, 17:36 // Александр Венедюхин:
На мой взгляд, тут просто сложилось некоторое искажение. Действительно, стандарты сертификации могут предусматривать передачу некого секрета спецслужбам, чтобы конкретная защищённая сеть связи в целом была принята в эксплуатацию (скажем, для каких-нибудь государственных задач). Точно так же есть законодательно определённая практика предоставления каналов для прослушивания (и в США, и в России), отсюда, как я понимаю, и идёт история с обязательными “чёрными ходами”. Ограничения же на продажу касаются в основном используемых алгоритмов, “чёрные ходы” – их сложно было бы стандартизовать.
7. 26th January 2010, 10:31 // Читатель dign написал:
Работая в инете, нужно всегда учитывать, что определенный круг людей может иметь доступ к вашей информации. Поэтому, если есть, что скрывать, то самим шифровать, защищать, а не надеяться на кого-то другого.
P.S.
В privat24 сейчас тоже используется одноразовый пароль на вход в систему. Защита только от случайных людей. Некоторым работникам банка ненужен никакой пароль для этого. Заходи и смотри, где и какие у тебя движения средств. Но для перечисления денег нужен ключ. Главное, чтоб этот ключ не украли.