Фінансові новини
- |
- 23.12.24
- |
- 18:31
- |
- RSS
- |
- мапа сайту
Авторизация
Хакеры и пароли: кто кого?
10:12 04.06.2004 |
По мере того, как человечество все больше погружается в виртуальную среду, растет степень уязвимости пользователей интернета от компьютерных злоумышленников. Неугомонность хакеров вынуждает создавать все более сложные системы аутентификации для доступа к онлайновым ресурсам, в особенности банковским и электронным платежным система. Они постепенно отказываются от использования статических паролей, на смену которым приходит двухфакторная аутентификация.
"Концепция пароля - родом из прошлого, и в наши дни она уже исчерпала свои возможности, - полагает Джозеф Атик (Joseph Atick), главный управляющий Identix Inc. - Человеческий мозг неспособен иметь дело с множеством различных паролей и большим количеством различных PIN - кодов".
Хотя паролей требуется все больше и больше, не совсем ясно, как обеспечить их хранение. Запомнить их - не каждому дано. Записывать пароли на бумажках и лепить их на монитор - очевидно, тоже не выход. Ряд фирм предлагают продукты, позволяющие хранить список паролей в файле, защищенном паролем, однако стоит хакеру завладеть этим, главным, паролем - и вся "коллекция" тут как тут. Эксперты по безопасности рекомендуют пользователям придумывать комбинируемые цифро - буквенные пароли и всячески избегать таких легко запоминаемых решений, как пароли вида "1234". Некоторые пользователи нашли собственное Соломоново решение: использовать один и тот же пароль для авторизации во всех ресурсах Сети. Только этого хакеры и ждали: стоит "выудить" всего один пароль - и появляется уникальная возможность парализовать всю сетевую деятельность жертвы вообще.
Двухфакторная аутентификация, подразумевающая, что часть кода доступа генерируется каждый раз заново, представляется оптимальным на данный момент решением. Бельгийская компания Vasco Data Security International для генерации второй половины кода разработала устройство размером с брелок для ключей. На его клавиатуре пользователь вводит свой личный пароль, а устройство генерирует вторую компоненту кода. Кража устройства или кража пароля сами по себе ничего не дадут злоумышленнику. Аналогичную систему тестирует компания MasterCard International. Для генерации пароля пользователь должен вставить оснащенную микрочипом кредитную карточку в специальное устройство и ввести свой PIN. Устройство сгенерирует пароль "одноразового" действия.
Признанные лидеры в области изощренных систем аутентификации - скандинавские банки. Для удаленного доступа к своему банковскому счету клиентам шведского банка Nordea PLC приходится при каждой трансакции выполнять весьма непростую процедуру. Сначала пользователь вводит свой национальный идентификационный номер, затем - пароль из четырех символов. После этого он должен ввести специальный код со скретч - карты, которую всем пользователям выдают в банке - на каждой такой карте содержится 50 кодов. Коды вводятся при каждой трансакции, один за другим; когда запас их подойдет к концу, банк вышлет клиенту новую карту.
Тем не менее, новый способ аутентификации вряд ли можно назвать панацеей. На данный момент отсутствуют единые стандарты, да и необходимость держать, к примеру, множество скретч - карт или устройств для генерации паролей вряд ли придется многим по вкусу. В Соединенных Штатах, например, двухфакторная аутентификация получила пока что ограниченное распространение - никто не хочет "перегибать палку" и нарушать баланс между безопасностью и простотой пользования системой. Вместо этого американские банки и системы электронной коммерции работают над тем, чтобы повысить защищенность обычных паролей. На интернет - аукционе eBay, к примеру, система уже не позволит ввести пароль типа "eBay".
Холодная война между хакерами и электронными паролями продолжается.