Найдена замена ПИН-кодам и паролям

Найдена замена ПИН-кодам и паролям

Британская фирма PinPlus представила еще одну любопытную технологию проверки подлинности с помощью графического кода. Создатели технологии надеются, что их методика будет настолько надежной, что полностью заменит двухфакторную авторизацию.

Кратко технологию PinPlus можно описать как ввод контрольного кода из четырех цифр из четырех разноцветных квадратов – по одному символу на каждый квадрат, содержащий 3x3 клетки с числами от 1 до 0. Итоговая матрица для ввода контрольного кода имеет размер 6x6 клеток.

Одним из примечательных фактов в связи с анонсом технологии PinPlus является то, что основателем новой компании стал тот же Джонатан Креймер (Jonathan Craymer), что несколько лет назад запустил компанию GrIDsure, которая разрабатывала близкую по форме технологию графической авторизации. Его новая компания PinPlus уходит от традиционной технологии с паролями и ПИН-кодами. Вместо этого предлагается уникальный подход с безопасной доставкой одноразового кода к пользователю, а постоянный секретный код хранится на отдельном сервере в облаке, передает soft.mail.ru.

Если в обычной ситуации пользователям надо запоминать уязвимый пароль, в технологии PinPlus нужно запомнить расположение выделенных ячеек на небольшой (6 X 6) матрице из цифр. Это расположение (создаваемое однократно при первой регистрации) помогает пользователю считывать постоянно изменяемый набор чисел в матрице. Каждое следующее считывание создает уникальный код для каждого конкретного входа. Сохраненное сочетание ячеек («узор») кодируется, делится на части, а потом записывается во множество отдельных структур данных, которые потом проходят окончательное шифрование.

Разница между технологией PinPlus и остальными методиками авторизации заключается в исключительной стойкости к дешифровке, как считают разработчики. Главная идея заключается в том, что даже в случае, когда машина скомпрометирована из-за вредоносной программы или кто-то подглядел вводимый код у уполномоченного пользователя, взломщику все равно будет недостаточно информации для определения следующего одноразового кода.

Технологию хранения исходного кода защищают целых три патентных заявки. Отдельные сегменты кода индексируются с помощью ссылок на данные, которые лишь указывают на правильные данные, если введен правильный одноразовый код. Шифрование сегментов выполняется с помощью алгоритмов необратимого хэширования SHA-256 со стойкой «солью» (затравкой шифра).

Технология PinPlus (или «pin+») позиционируется, как альтернатива все более популярным системам двухфакторной авторизации, которые обычно состоят из текстовых сообщений, отправляемых на зарегистрированный номер мобильного телефона, либо из более традиционных ключей, генерирующих одноразовые пароли, от компаний вроде RSA Security. В системе PinPlus пользователю не нужно носить с собой ни телефон, ни жетон, ни какую-либо карточку с одноразовыми паролями. Кроме того, новый подход делает невозможным массовое похищение паролей или хэшей, как это недавно происходило, например, с сайтами LinkedIn (социальная сеть для поиска работы, единомышленников в профессиональной сфере и специалистов на вакантные должности) и eHarmony (служба знакомств). 

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru