Библибоба

Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

Старший брат следит за тобой. Как защитить себя в цифровом мире

Михаил Анатольевич Райтман

Дополнительный (одноразовый) код может генерироваться специальным приложением-аутентификатором (типа Google Authenticator или Microsoft Authentificator), не требующим подключения к интернету. Приложение генерирует на основе первичного ключа (обычно в виде QR-кода) одноразовый код с ограниченным сроком действия (30–60 секунд). По истечении времени создается новый код. Если злоумышленнику и удастся перехватить один или даже несколько кодов, невозможно предугадать, какой код будет следующим.

Более универсальное и комфортное решение – разработка Authy (https://authy.com). Эта программа может не только генерировать одноразовые коды, но и умеет сохранять полученные сертификаты в облачном хранилище и позволяет копировать их на другие устройства (смартфоны, компьютеры, планшеты и даже «умные» часы). Если одно из устройств будет похищено, вы не потеряете контроль над аккаунтом. Аутентификация в приложении требует ввода ПИН-кода, а ключ, находящийся на скомпрометированном устройстве, можно отозвать[67]

.

К недостаткам приложений-аутентификаторов можно отнести риск того, что если злоумышленник получит доступ к первичному ключу или взломает сервер, то, зная алгоритмы вычислений, он сможет генерировать пароли самостоятельно. К тому же не всегда можно быть уверенным, что данные из такого приложения не передаются на удаленный сервер, если девайс заражен вредоносным граббером, копирующим изображение на экране (проблема решается запуском аутентификатора на устройстве без доступа к интернету). И, как и в случае с SMS-сообщениями, если для аутентификации и генерации кодов используется одно и то же устройство, защита перестает быть двухфакторной.

Кроме того, если приложение-аутентификатор недоступно, многие сервисы предлагают альтернативные варианты передачи одноразового кода: звонок автоинформатора, отправку кода с помощью SMS-сообщения или даже электронной почты. В таком случае преимущества приложения-аутентификатора теряют весь смысл. Если приложение не работает, а код отправляется в SMS-сообщении, то злоумышленник может получить доступ к телефону жертвы, к примеру, клонировав SIM-карту.

КЕЙС

В 2018–2020 гг. в Казани были отмечены многочисленные случаи мошенничества: у абонентов оператора сотовой связи «Мегафон» было похищено свыше 200 000 рублей. Преступления совершались с использованием виртуальных дубликатов SIM-карт и поддельной базовой станции. Проблема заключается в уязвимостях системы безопасности оператора; кроме того, услуга «Мобильные платежи» подключается без согласия абонента[68],[69],[70]
.

С помощью мобильных приложений

Данный способ объединяет два предыдущих: вы не вводите одноразовый код, а подтверждаете вход с вашего мобильного устройства с установленным приложением службы, к которой вы получаете доступ. На устройстве хранится приватный ключ, который проверяется при каждом входе. Недостатки те же, что и у приложений-аутентификаторов.

С помощью аппаратных устройств

Токены безопасности

Для достижения максимального уровня защиты вместо программных инструментов аутентификации применяются аппаратные – специальные магнитные карты или USB-токены (похожи на flash-накопители без возможности записи данных пользователем). В этом случае помимо пароля преступнику необходим физический доступ к токену. Внутри такого токена находится специальный процессор, генерирующий криптографические ключи. Аутентификация осуществляется автоматически при подключении токена к устройству. Существуют версии токенов как для компьютеров, так и для мобильных устройств, например YubiKey (https://thekernel.com/ru/compare-yubikeys/).

В качестве примера можно рассмотреть систему аутентификации SecurID американской компании RSA. При запросе доступа к системе (сайту или устройству) пользователь вводит свой логин и 4-цифровой ПИН-код (который он помнит), а также токен-код, генерируемый аппаратным устройством (или программным токеном-приложением) и меняющийся каждую минуту (отображается на экране устройства и содержит 6 цифр). Введенная информация в зашифрованном виде передается на сервер, где сравнивается с записями в базе данных всех пользователей. При всей кажущейся безопасности система тем не менее подвержена атакам типа MiTM (Man in the middle – «человек посередине»): злоумышленник может заблокировать для пользователя доступ и подключиться к серверу, пока не будет сгенерирован следующий токен-пароль.

Перейти на страницу:
Читать далее

Похожие книги

Где твоя волшебная кнопка? Как развивать эмоциональный интеллект
Где твоя волшебная кнопка? Как развивать эмоциональный интеллект

Понимание эмоций и управление эмоциями играют ведущую роль в нашей жизни и успешности. А влияние на эмоции коллег и партнеров определяет достижения в бизнесе. Эмоциональный интеллект начинает занимать лидирующее положение в ряду навыков, которыми должен обладать и которые развивает любой человек, стремящийся получить высокие результаты. В книге используется множество приемов, упражнений и заданий, применив которые вы сможете направить силу эмоций на достижение успеха в своих делах.Из книги вы узнаете:– почему интерес и страх – главные эмоции в жизни человека;– что в рекламе видят женщины, а что мужчины;– на какие эмоции опираются успешные люди;– как эмоции направляют финансовые потоки.Авторы книги утверждают, что в современном мире успешный человек должен уметь развивать и поддерживать свой эмоциональный интеллект. Книга предназначена для бизнес-тренеров, студентов старших курсов, а также заинтересованных лиц.

Елена Анатольевна Хлевная , Л. Южанинова

Психология и психотерапия / Прочая компьютерная литература / Книги по IT
Читать бесплатно
Главный рубильник. Расцвет и гибель информационных империй от радио до интернета
Главный рубильник. Расцвет и гибель информационных империй от радио до интернета

Превратится ли всемирная паутина в «традиционное СМИ», содержание которого строго контролируется в интересах максимизации прибыли? В чьих руках сейчас находится Рубильник интернет-истории и, по сути, — развития общества? Исследуя развитие телефонии, радио, кино и телевидения, автор показывает, как эти индустрии прошли путь от хобби — к крупному бизнесу, от открытости и гибкости — к закрытой и жесткой системе. Какое будущее ожидает всемирную Сеть?Пролить свет на прошлое, чтобы предвидеть будущее — главная задача этой книги.Эта книга для тех, кто считает интернет не просто средством общения, но и инструментом познания мира, способом самовыражения. Для думающих и неравнодушных интернет-пользователей. Для студентов и преподавателей, особенно — экономических, телекоммуникационных и гуманитарных специальностей.

Тим Ву

Карьера, кадры / Интернет / Прочая компьютерная литература / О бизнесе популярно / Финансы и бизнес / Книги по IT
Без регистрации
Большие данные. Революция, которая изменит то, как мы живем, работаем и мыслим
Большие данные. Революция, которая изменит то, как мы живем, работаем и мыслим

С появлением новой науки открылась удивительная возможность с точностью предсказывать, что произойдет в будущем в самых разных областях жизни. Большие данные — это наша растущая способность обрабатывать огромные массивы информации, мгновенно их анализировать и получать порой совершенно неожиданные выводы. По какому цвету покраски можно судить, что подержанный автомобиль находится в отличном состоянии? Как чиновники Нью-Йорка определяют наиболее опасные люки, прежде чем они взорвутся? И как с помощью поисковой системы Google удалось предсказать распространение вспышки гриппа H1N1? Ключ к ответу на эти и многие другие вопросы лежит в больших данных, которые в ближайшие годы в корне изменят наше представление о бизнесе, здоровье, политике, образовании и инновациях.

Виктор Майер-Шенбергер , Кеннет Кукьер

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Полная версия
Цифровой журнал «Компьютерра» № 9
Цифровой журнал «Компьютерра» № 9

ОглавлениеБольшие новостиTorrents.ru: продолжение Автор: Алексей СтародымовПолмиллиона статей в Википедии — это много или мало? Автор: Юрий РевичGoogle: покупки в Рунете Автор: Алексей СтародымовЧто мы знаем об iPhone 4G? Автор: Алексей СтародымовТерралабToshiba Qosmio X500-110 — 18" игровой ноутбук на базе Core i7 Автор: Игорь ОсколковComodo Dragon — защищённый клон Google Chrome Автор: Андрей КрупинМышиные бега Автор: Константин ИвановWindows 7: тактика защиты Автор: Андрей КрупинASRock M3A785GXH/128M: Монстр в бюджетном обличье Автор: Константин ИвановМобильное ТВ от «Билайн» — дождались! Автор: Игорь ОсколковОбзор коммуникатора RoverPC Pro G8 Автор: Алексей СтародымовMicrosoft Security Essentials: остерегайтесь подделок Автор: Андрей КрупинСвоя играВасилий Щепетнёв: Первый Большой Гонорар Автор: Василий ЩепетневMass Effect 2 и не только Автор: Михаил КарповКафедра Ваннаха: Стимул к модернизации Автор: Ваннах МихаилRise of Flight, Crucial и Genius Автор: Сергей ВильяновВасилий Щепетнёв: Запланированные потери  Автор: Василий ЩепетневКивино гнездо: Война как бизнес Автор: БЕРД КИВИВасилий Щепетнёв: Учитель Добреску Автор: Василий ЩепетневКивино гнездо: Назначены виноватыми Автор: БЕРД КИВИИнтерактивMobile World Congress 2010. День четвертый, итоги Автор: Ольга ТопроверMobile World Congress 2010 — неподробные заметки Автор: Фадеев МихаилДомашний Интернет сегодня и завтра Автор: Марина ПелепецАнна Артамонова (Mail.ru): Любое продуманное приложение обречено на успех Автор: Марина ПелепецReaDitorialО двух успешных стартапах Автор: Алексей БабинГолубятня-ОнлайнГолубятня: Сидр № 2 Автор: Сергей ГолубицкийГолубятня: Что почем? Автор: Сергей ГолубицкийГолубятня: Racine du mal Автор: Сергей ГолубицкийНаука и жизнь"Возможно, следующий Google родится в России" Автор: Алла АршиноваЗагорская ГАЭС — фоторепортаж Автор: Юрий Ревич

Журнал «Компьютерра» , Компютерра

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Читать Онлайн
Избранное