Найдена замена ПИН-кодам и паролям

Найдена замена ПИН-кодам и паролям

Британская фирма PinPlus представила еще одну любопытную технологию проверки подлинности с помощью графического кода. Создатели технологии надеются, что их методика будет настолько надежной, что полностью заменит двухфакторную авторизацию.

Кратко технологию PinPlus можно описать как ввод контрольного кода из четырех цифр из четырех разноцветных квадратов – по одному символу на каждый квадрат, содержащий 3x3 клетки с числами от 1 до 0. Итоговая матрица для ввода контрольного кода имеет размер 6x6 клеток.

Одним из примечательных фактов в связи с анонсом технологии PinPlus является то, что основателем новой компании стал тот же Джонатан Креймер (Jonathan Craymer), что несколько лет назад запустил компанию GrIDsure, которая разрабатывала близкую по форме технологию графической авторизации. Его новая компания PinPlus уходит от традиционной технологии с паролями и ПИН-кодами. Вместо этого предлагается уникальный подход с безопасной доставкой одноразового кода к пользователю, а постоянный секретный код хранится на отдельном сервере в облаке, передает soft.mail.ru.

Если в обычной ситуации пользователям надо запоминать уязвимый пароль, в технологии PinPlus нужно запомнить расположение выделенных ячеек на небольшой (6 X 6) матрице из цифр. Это расположение (создаваемое однократно при первой регистрации) помогает пользователю считывать постоянно изменяемый набор чисел в матрице. Каждое следующее считывание создает уникальный код для каждого конкретного входа. Сохраненное сочетание ячеек («узор») кодируется, делится на части, а потом записывается во множество отдельных структур данных, которые потом проходят окончательное шифрование.

Разница между технологией PinPlus и остальными методиками авторизации заключается в исключительной стойкости к дешифровке, как считают разработчики. Главная идея заключается в том, что даже в случае, когда машина скомпрометирована из-за вредоносной программы или кто-то подглядел вводимый код у уполномоченного пользователя, взломщику все равно будет недостаточно информации для определения следующего одноразового кода.

Технологию хранения исходного кода защищают целых три патентных заявки. Отдельные сегменты кода индексируются с помощью ссылок на данные, которые лишь указывают на правильные данные, если введен правильный одноразовый код. Шифрование сегментов выполняется с помощью алгоритмов необратимого хэширования SHA-256 со стойкой «солью» (затравкой шифра).

Технология PinPlus (или «pin+») позиционируется, как альтернатива все более популярным системам двухфакторной авторизации, которые обычно состоят из текстовых сообщений, отправляемых на зарегистрированный номер мобильного телефона, либо из более традиционных ключей, генерирующих одноразовые пароли, от компаний вроде RSA Security. В системе PinPlus пользователю не нужно носить с собой ни телефон, ни жетон, ни какую-либо карточку с одноразовыми паролями. Кроме того, новый подход делает невозможным массовое похищение паролей или хэшей, как это недавно происходило, например, с сайтами LinkedIn (социальная сеть для поиска работы, единомышленников в профессиональной сфере и специалистов на вакантные должности) и eHarmony (служба знакомств). 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая уязвимость в Forminator грозит захватом 600 000 сайтов WordPress

Недавно пропатченная уязвимость в WordPress-плагине Forminator позволяет без аутентификации удалять любые файлы на сервере, в том числе wp-config.php, что может привести к потере контроля над сайтом.

Названное расширение CMS предназначено для создания веб-форм. В настоящее время на его счету свыше 600 тыс. активных установок.

Отчет об уязвимости, которой был присвоен идентификатор CVE-2025-6463, был подан в Wordfence в рамках ее программы Bug Bounty; автор опасной находки получил вознаграждение в размере $8100.

Согласно описанию, в появлении проблемы повинна функция entry_delete_upload_files, которая некорректно проверяет пути к файлам, указанные при отправке форм (отсутствуют проверки типа полей, файловых расширений, ограничений на загрузку в директории).

Из-за этого возникла возможность включения массива файлов в любое поле формы. При последующем ее удалении (например, как спама, вручную админом либо автоматически в соответствии с настройками Forminator) все указанные в метаданных файлы тоже исчезнут.

Если в результате эксплойта удалить файл wp-config.php, целевой сайт перейдет в состояние установки, и злоумышленник сможет удаленно управлять им, связав с подконтрольной базой данных.

Эксперты особо отметили, что атака в данном случае проста в исполнении, к тому же ее можно автоматизировать. Степень опасности уязвимости оценена в 8,8 балла по CVSS.

Патч вышел 30 июня в составе сборки 1.44.3; админам рекомендуется обновить плагин в кратчайшие сроки. В профильной базе данных «Эшелона» эта уязвимость пока не числится.

В прошлом году в Forminator устранили сразу три уязвимости. Одна позволяла загружать произвольные файлы на сервер, другая — провести SQL-инъекцию, третья представляла собой XSS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru