Лаборатория Касперского запатентовала технологию защиты от перехвата пароля

Для кражи конфиденциальных данных киберпреступники используют все доступные средства, в том числе специальные вредоносные программы, осуществляющие перехват паролей во время их ввода пользователем. В активе «Лаборатории Касперского» уже есть несколько эффективных технологий, обеспечивающих безопасность конфиденциальной информации, а в сентябре 2012 года компания запатентовала в России новую технологию, защищающую пароли от перехвата во время ввода. Новинка дает пользователю возможность применять нестандартные способы ввода и может быть использована для защиты вводимых данных при использовании различных программ и электронных устройств.

Пароль является одним из основных инструментов защиты информации от несанкционированного доступа. Хотя по-настоящему надежными можно считать только сложные пароли, состоящие не менее чем из десяти различных букв и цифр, на практике 34% пользователей не уделяют защите должного внимания и выбирают простые варианты, например «12345», «password» и другие. Однако сложный пароль еще не гарантирует полную неприкосновенность информации – используя средства перехвата данных во время ввода, например, кейлоггеры, злоумышленники могут узнать пароль любой длины и сложности. Чтобы предотвратить подобные инциденты, необходимо обеспечить пользователя современными технологиями защиты данных от перехвата.

Описанная в патенте № 2461869 технология, разработанная «Лабораторией Касперского», использует нестандартные способы ввода, такие как увеличенная временная задержка между вводом двух определенных символов пароля, нажатие клавиши мыши в определенный момент ввода, перекрытие нажимаемых клавиш на клавиатуре (когда последующая клавиша нажимается при неотпущенной предыдущей) и другие. При использовании таких нестандартных способов ввода в пароль вставляется предопределенная комбинация символов. Например, если пароль состоит из десяти символов, то можно сделать так, что четыре из них будут появляться автоматически при нажатии на левую кнопку мыши в определенный момент ввода. В этом случае пользователь набирает первые три символа, нажимает левую кнопку мыши (появляются четыре следующих) и затем вводит оставшиеся три символа. В такой ситуации установленный злоумышленниками кейлоггер перехватит только три первых и три последних символа, и в результате введенный пользователем пароль останется в безопасности.

Технология предусматривает добавление модуля управления нестандартными способами ввода пароля. С его помощью пользователь сможет самостоятельно настраивать желаемые способы ввода и определять, какие именно символы в пароле они будут заменять. Таким образом, пользователь получает возможность самостоятельно выстраивать систему защиты своих паролей от киберпреступников. При этом запатентованная технология совместима с любой программой, в которой есть окно ввода пароля – от окна приветствия ОС Windows до браузера и популярных веб-сервисов. Также технологию «Лабораторией Касперского» можно использовать для защиты электронных устройств, например, для безопасного ввода PIN-кода в банкомате или мобильном телефоне.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru