Серьезная уязвимость обнаружена в криптографическом протоколе ANSI X9.31

Серьезная уязвимость обнаружена в криптографическом протоколе ANSI X9.31

Серьезная уязвимость обнаружена в криптографическом протоколе ANSI X9.31

Исследователи Университета Пенсильвании, работающие с криптографом из Университет Джонса Хопкинса Мэтью Грином обнаружили серьезную проблему безопасности в старом протоколе для генерации псевдослучайных чисел (PRNG).

Речь идет о протоколе ANSI X9.31, несмотря на то, что он устарел, он все еще присутствует во многих продуктах. До 2016 года он был одобрен совместной американской и канадской программой аккредитации безопасности для шифровальных модулей Cryptographic Module Validation Program (CMVP).

«Скажем, если приложение использует генератор ANSI для создания случайного nonce (обычно отправляемого  в протокол в виде чистого текста), а также использует генератор для создания секретных ключей, злоумышленник может потенциально восстановить эти секретные ключи и полностью нарушить протокол», - утверждает Мэтью Грин.

Вендоров, использующих X9.31 можно разделить на две категории:

  • Те, кто предложили исправления: BeCrypt, Cisco (продукты Aironet), MRV Communications LX-4000T/LX-8020S, Neopost Technologies и Vocera Communications;
  • Те, кто пока не смог выпустить обновления: Deltacrypt Technologies, Neoscale Systems, Renesas Technology, TechGuard Security, Tendyron и ViaSat.

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru