Традиционните логини и пароли са ненадеждно средство за ИТ сигурност и скоро ще бъдат изместени от други технологии
Над 70% от компаниите в сферата на информационните технологии възнамеряват напълно да се откажат от идентификацията с помощта на логини и пароли, сочи проучване на Wakefield Research сред ИТ фирми в САЩ и Европа.
Повечето анкетирани планират отказ от паролите в близките пет години и преминаване към по-надеждни методи за идентификация на потребителите. Решението им за това е продиктувано от зачестилите пробиви в сигурността на големи компании, съпроводени с кражба на пароли и други лични данни.
Ярък пример е големият взлом на Yahoo, при който хакерите откраднаха информация за 500 милиона потребители на интернет гиганта.
Освен пряка заплаха за потребителите, паролите и логините застрашават сигурността и на самите услуги. Много хора не си правят труда да въвеждат сложни пароли, в резултат на което създават слабо място в защитата, през което хакерите могат лесно да проникнат в системата.
В други случаи потребителите ползват една сложна парола навсякъде, където се регистрират, вкл. корпоративни сайтове. Ако тя бъде разгадана от хакерите, уязвими стават всички акаунти на потребителя и съответно някои от услугите.
Тези проблеми показват, че паролите като средство за защита отдавна са остарели и изискват ако не замяна, то поне усъвършенстване. Компанията за ИТ сигурност SecureAuth вярва, че ключът към решението на проблема с паролите са еднократните ключове, изпращани на потребителя по телефона или електронната поща при опит за логване в един или друг сайт.
С други думи, специалистите препоръчват двуфакторна авторизация, която вече е доказала своята надеждност, например при онлайн банкирането.
Като максимално надеждни методи за идентификация се считат също сканирането на ириса на очите и отпечатъците от пръсти. Според специалистите по ИТ сигурност, именно тези два метода напълно ще заменят традиционните пароли и логини.
нямакак 10 милярда сме и трябва да има контрол, ина4е това взлом влизане на Яхуу не е само при тях а е навсякаде само 4е не се казва, колко хаквания имат и Азур облака и подобните но не го съобщават нали се сещате 4е става дума за много пари а и се опитват да набутат облака всяк4ески, само влезте в търса4ката на грамс ( търса4ката на дълбокия тъмен нет) и вижте колко хакнати датабейси се продават, с кредитни карти, мейли имена егн=та, в битсхакинг.ком също има постоянно някой който продажа датабеси … та с пароли или без пак ще се намери на4ин както колегата по долу каза с експлойти, които ве4е и 16 годи6ните пишат…. просто такова нещо като перфектен код (програма) не съществува и винаги се намира как да се кракне или експлойтни…
“Големият взлом” в Yahoo беше поредното планирано събитие, което е и поредната предпоставка за събиране на още и още информация от потребилтелите. Но корпорациите и правителствата никога няма го кажат в прав текст, защото това ще е поредният голям взлом в личното пространство на обикновения човек, за сметка на свободата ни.
Как толкова години паролите са вършили работа и изведнъж спряха?
Не знам за вас, ама тоя свят като гледам върви към нещо много зло.
Добър анализ. Дано авторът на статията да го прочете.
Мързелът ще надделее.
Болшинството потребители без да мислят ще предпочетат биометрична парола.
Просто защото е по лесно. Проблемите ще се появят в последствие.
256 кб парола си е класика в жанра,биометричните данни са просто улеснение, но веднъж компрометирани си остават така за цял живот и не могат да се сменят.Пръстовите отпечатаци дори няма да коментирам колко смешно лесно е да се откраднат.Най удачно за максимална сигурност би било парола + сканиране на ириса.
Много се пише на тази тема, но никой не споменава, че правилната имплементация на биометрична автентикация е многократно по-сложна от обикновена парола.
Без да задълбаваме в технически детайли (хеш функции, инициализиращи вектори и други), обикновената парола е тайна, от която математически се извлича криптографски ключ. Този модел работи, защото потребителят всеки път въвежда паролата със 100% точност (или достъпът е отказан).
Този модел позволява на устройството да не се пази никаква информация, която да подскаже какъв би могъл да е криптографският ключ.
При биометричната автентикация има сериозен проблем – няма как криптографският ключ да бъде извлечен от биометричните маркери. Причината е, че самата автентикация представлява извличане на съществена информация и сравняване с шабон.
Проблемните стъпки са:
1. Процес на извличане на особени детайли от изображението, което не е 100% точен процес.
Елементарен пример – порязан пръст. Или още по-прост пример – опитайте се да направите две абсолютно еднакви снимки с фотоапарат, но да кажем през 3 секунди – винаги има някакво разминаване, 100% точност не е възможна.
2. Сравняване с шаблон, при което се гони максимална точност, но тя никога не е 100%.
Оттук и проблемът, че няма как криптографските ключове за устройството да се извличат (derive) в процеса на автентикация, за разлика от използването на пароли.
Това води до изключително голям проблем – налага се криптографските ключове да бъдат съхранявани на самото устройство, практически в явен вид.
Единственото ефективно техническо решение е наличието на хардуерен криптографски модул – интегрална схема, която е добре защитена* от физическо разчитане. Тази схема съхранява криптографските ключове и ги прави достъпни при успешна автентикация.
В случая на iPhone 5s и по-новите (secure enclave), самата пръстова автентикация се прави от този secure enclave, което прави невъзможно директното разчитане на ключовете.
Без подобна хардуерна защита, криптографските ключове ще са на flash storage или подобно лесно достъпно място, т.е. по един или друг начин ще са достъпни в явен вид. Това практически обезсмисля цялата биометрична автентикация.
* Естествено, че дори хардуерен модул може да бъде хакнат, но апаратурата за разчитане на интегрални схеми, особено защитени такива, е изключително трудно достъпна и много скъпа, а и процесът е достатъчно бавен и сложен, за да не може да се прави в индустриални мащаби.
Има един вариант без хардуерен модул, при който потребителска парола осигурява защитата на ключовете. Веднъж като се въведе, операционната система се грижи да запише криптографските ключове в защитена част от паметта (изцяло софтуерно решение) и позволява бързо отключване на устройството посредством биометрична автентикация.
Този вариант е приемлив, но реално не решава проблема с паролите. А и все още излизат достатъчно exploits за всяка OS, т.е. злонамерен софтуер би могъл да докопа ключовете.