Найдена замена ПИН-кодам и паролям

Найдена замена ПИН-кодам и паролям

Британская фирма PinPlus представила еще одну любопытную технологию проверки подлинности с помощью графического кода. Создатели технологии надеются, что их методика будет настолько надежной, что полностью заменит двухфакторную авторизацию.

Кратко технологию PinPlus можно описать как ввод контрольного кода из четырех цифр из четырех разноцветных квадратов – по одному символу на каждый квадрат, содержащий 3x3 клетки с числами от 1 до 0. Итоговая матрица для ввода контрольного кода имеет размер 6x6 клеток.

Одним из примечательных фактов в связи с анонсом технологии PinPlus является то, что основателем новой компании стал тот же Джонатан Креймер (Jonathan Craymer), что несколько лет назад запустил компанию GrIDsure, которая разрабатывала близкую по форме технологию графической авторизации. Его новая компания PinPlus уходит от традиционной технологии с паролями и ПИН-кодами. Вместо этого предлагается уникальный подход с безопасной доставкой одноразового кода к пользователю, а постоянный секретный код хранится на отдельном сервере в облаке, передает soft.mail.ru.

Если в обычной ситуации пользователям надо запоминать уязвимый пароль, в технологии PinPlus нужно запомнить расположение выделенных ячеек на небольшой (6 X 6) матрице из цифр. Это расположение (создаваемое однократно при первой регистрации) помогает пользователю считывать постоянно изменяемый набор чисел в матрице. Каждое следующее считывание создает уникальный код для каждого конкретного входа. Сохраненное сочетание ячеек («узор») кодируется, делится на части, а потом записывается во множество отдельных структур данных, которые потом проходят окончательное шифрование.

Разница между технологией PinPlus и остальными методиками авторизации заключается в исключительной стойкости к дешифровке, как считают разработчики. Главная идея заключается в том, что даже в случае, когда машина скомпрометирована из-за вредоносной программы или кто-то подглядел вводимый код у уполномоченного пользователя, взломщику все равно будет недостаточно информации для определения следующего одноразового кода.

Технологию хранения исходного кода защищают целых три патентных заявки. Отдельные сегменты кода индексируются с помощью ссылок на данные, которые лишь указывают на правильные данные, если введен правильный одноразовый код. Шифрование сегментов выполняется с помощью алгоритмов необратимого хэширования SHA-256 со стойкой «солью» (затравкой шифра).

Технология PinPlus (или «pin+») позиционируется, как альтернатива все более популярным системам двухфакторной авторизации, которые обычно состоят из текстовых сообщений, отправляемых на зарегистрированный номер мобильного телефона, либо из более традиционных ключей, генерирующих одноразовые пароли, от компаний вроде RSA Security. В системе PinPlus пользователю не нужно носить с собой ни телефон, ни жетон, ни какую-либо карточку с одноразовыми паролями. Кроме того, новый подход делает невозможным массовое похищение паролей или хэшей, как это недавно происходило, например, с сайтами LinkedIn (социальная сеть для поиска работы, единомышленников в профессиональной сфере и специалистов на вакантные должности) и eHarmony (служба знакомств). 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

CICADA8 запустила платформу VM для управления уязвимостями в сети

CICADA8 объявила о запуске CICADA8 VM — платформы для управления уязвимостями внутри корпоративной сети. По словам компании, решение ориентировано на крупные организации с филиальной сетью и призвано помочь с автоматическим контролем уязвимостей во внутреннем периметре.

Пара конкретных цифр, которые приводят разработчики: развёртывание в продуктивной среде занимает около 12 минут, сканирование подсети /24 — от 9 минут.

Платформа, по их данным, выдерживает одновременную проверку до 40 тысяч хостов и поддерживает мультитенантность, что должно облегчать масштабирование и снижать нагрузку на сеть заказчика.

CICADA8 VM предлагает гибкие настройки рабочего процесса: можно выстраивать собственные этапы и логику обработки уязвимостей, распределять роли в команде и тонко настраивать схемы сканирования под конкретные задачи бизнеса. Это даёт администраторам возможность адаптировать процесс под внутренние политики и риски.

Платформа интегрируется с CICADA8 ETM и формирует единую экосистему для управления внешними и внутренними рисками. Из единого интерфейса, как утверждают в компании, доступны инструменты для мониторинга уязвимостей, поиска фишинговых сайтов с упоминанием бренда, обнаружения утечек исходного кода и корпоративных данных, а также отслеживания упоминаний об инцидентах в СМИ, соцсетях и даркнете.

Руководитель продуктового портфеля CICADA8 Кирилл Селезнев отмечает, что в будущем в платформу планируют внедрять инструменты на базе искусственного интеллекта для улучшения верификации и приоритизации уязвимостей. По его словам, это должно помочь сократить объём ручной работы и повысить точность оценки рисков.

В сухом остатке — на рынке появилась ещё одна платформа для управления уязвимостями, рассчитанная на большие и распределённые инфраструктуры; насколько она пригодна в реальных условиях, покажут внедрения и независимые тесты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru