Найдена замена ПИН-кодам и паролям

Найдена замена ПИН-кодам и паролям

Британская фирма PinPlus представила еще одну любопытную технологию проверки подлинности с помощью графического кода. Создатели технологии надеются, что их методика будет настолько надежной, что полностью заменит двухфакторную авторизацию.

Кратко технологию PinPlus можно описать как ввод контрольного кода из четырех цифр из четырех разноцветных квадратов – по одному символу на каждый квадрат, содержащий 3x3 клетки с числами от 1 до 0. Итоговая матрица для ввода контрольного кода имеет размер 6x6 клеток.

Одним из примечательных фактов в связи с анонсом технологии PinPlus является то, что основателем новой компании стал тот же Джонатан Креймер (Jonathan Craymer), что несколько лет назад запустил компанию GrIDsure, которая разрабатывала близкую по форме технологию графической авторизации. Его новая компания PinPlus уходит от традиционной технологии с паролями и ПИН-кодами. Вместо этого предлагается уникальный подход с безопасной доставкой одноразового кода к пользователю, а постоянный секретный код хранится на отдельном сервере в облаке, передает soft.mail.ru.

Если в обычной ситуации пользователям надо запоминать уязвимый пароль, в технологии PinPlus нужно запомнить расположение выделенных ячеек на небольшой (6 X 6) матрице из цифр. Это расположение (создаваемое однократно при первой регистрации) помогает пользователю считывать постоянно изменяемый набор чисел в матрице. Каждое следующее считывание создает уникальный код для каждого конкретного входа. Сохраненное сочетание ячеек («узор») кодируется, делится на части, а потом записывается во множество отдельных структур данных, которые потом проходят окончательное шифрование.

Разница между технологией PinPlus и остальными методиками авторизации заключается в исключительной стойкости к дешифровке, как считают разработчики. Главная идея заключается в том, что даже в случае, когда машина скомпрометирована из-за вредоносной программы или кто-то подглядел вводимый код у уполномоченного пользователя, взломщику все равно будет недостаточно информации для определения следующего одноразового кода.

Технологию хранения исходного кода защищают целых три патентных заявки. Отдельные сегменты кода индексируются с помощью ссылок на данные, которые лишь указывают на правильные данные, если введен правильный одноразовый код. Шифрование сегментов выполняется с помощью алгоритмов необратимого хэширования SHA-256 со стойкой «солью» (затравкой шифра).

Технология PinPlus (или «pin+») позиционируется, как альтернатива все более популярным системам двухфакторной авторизации, которые обычно состоят из текстовых сообщений, отправляемых на зарегистрированный номер мобильного телефона, либо из более традиционных ключей, генерирующих одноразовые пароли, от компаний вроде RSA Security. В системе PinPlus пользователю не нужно носить с собой ни телефон, ни жетон, ни какую-либо карточку с одноразовыми паролями. Кроме того, новый подход делает невозможным массовое похищение паролей или хэшей, как это недавно происходило, например, с сайтами LinkedIn (социальная сеть для поиска работы, единомышленников в профессиональной сфере и специалистов на вакантные должности) и eHarmony (служба знакомств). 

В ИИ-приложениях почти каждая третья уязвимость оказалась высокорисковой

ИИ-приложения снова напоминают: если к обычному веб-сервису прикрутить большую языковую модель, магия появляется не только в презентации, но и в списке уязвимостей. По данным «Информзащиты», в 2026 году 32% уязвимостей, найденных при пентестах ИИ- и LLM-приложений, относятся к высокорисковым.

Для сравнения: по всем классам активов этот показатель составляет около 12%. То есть риск-профиль ИИ-приложений оказался в 2,7 раза выше среднего.

За второй год наблюдений пропорция не изменилась. Более того, медианный срок устранения серьёзных находок вырос с 19 дней в 2025 году до 36 дней в 2026-м.

Проблема в том, что ИИ-системы тащат за собой сразу два слоя риска. Первый — классика веба и API: аутентификация, авторизация, инъекции, секреты, обработка пользовательского ввода.

Второй — уже нейросетевой зоопарк: инъекции в промпт, утечки системного промпта, ошибки RAG-контуров, отравление данных, небезопасная обработка ответов LLM, проблемы в векторных хранилищах и отказ в обслуживании на уровне модели.

Особенно весело становится, когда модель подключают к корпоративным данным, CRM, базе знаний, API или инструментам автоматизации. В этот момент чат-бот перестаёт быть просто болталкой и получает возможность влиять на процессы. А ошибка в правах или логике вызовов превращает его в аккуратную дверь во внутренние системы.

Автоматическими сканерами всё это ловится плохо. По данным исследования, 78% команд сталкивались с тем, что такие средства пропускали критические уязвимости. Поэтому готовность полностью доверить пентесты автономным инструментам за год упала с 29% до 9%.

С устранением тоже не праздник. В 2026 году компании закрывали только 38,4% высокорисковых находок в ИИ / LLM-приложениях — это самый низкий показатель среди типов тестирования. Для API, например, он составил 77,3%.

RSS: Новости на портале Anti-Malware.ru