Киберпреступники нашли способ кражи учётных данных для авторизации на сайтах даже в тех случаях, когда такая авторизация первоначально предусматривает работу с физическими ключами. Для этого они подключают резервный механизм входа через QR-коды — он срабатывает лишь в определённых сценариях.

Пять причин полюбить HONOR Pad V9

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Почему ИИ никак не сесть на безматричную диету

Фитнес-браслет HUAWEI Band 10: настоящий металл

Пять причин полюбить HONOR Magic7 Pro

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

Пять причин полюбить HONOR X8c

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Источник изображения: charlesdeluvio / unsplash.com

Ключи FIDO представляют собой аппаратные или программные средства аутентификации, которые при помощи криптографических решений обеспечивают безопасный вход на сайты и в приложения. Они выступают в качестве инструментов многофакторной авторизации, не позволяющих хакерам получать доступ к целевым аккаунтам, даже если они завладели учётными данными. Чтобы использовать аутентификатор, в большинстве случаев его необходимо физически подключить; но в некоторых случаях предусмотрен механизм сканирования QR-кода — он подвержен взлому при помощи атаки типа «посредник-злоумышленник» (AitM).

Начальный этап атаки — фишинговое письмо, рассказали эксперты по кибербезопасности из компании Expel. Переход по ссылке из этого письма ведёт на целевую страницу, имитирующую внешний вид и функции стандартной процедуры авторизации. Обычно после ввода учётных данных требуется подключить физический ключ FIDO, но в сценарии хакеров потенциальной жертве выводится QR-код. Аварийное срабатывание резервного способа входа провоцируется искусственно — в фоновом режиме злоумышленники запрашивают «вход с нескольких устройств». Когда жертва сканирует QR-код, производится вход, и киберпреступники успешно входят в систему.

Лучший способ защититься от такой атаки — включить функцию проверки непосредственной близости через Bluetooth, чтобы QR-коды срабатывали только на смартфоне, который находится рядом с компьютером пользователя. Можно также обучить работников компании выявлять подозрительные страницы входа, например, по URL-адресу. Наконец, ещё одним индикатором взлома могут служить подозрительные авторизации с помощью QR-кодов и новые регистрации FIDO — их можно отследить силами профильного отдела в компании.

В настоящее время технология ключей доступа (passkeys) ограничивает их присутствие в экосистеме ПО только одного разработчика — в результате пользователи вынуждены создавать их дубликаты для входа в одну систему.

Пять причин полюбить HONOR X8c

Пять причин полюбить HONOR Pad V9

Почему ИИ никак не сесть на безматричную диету

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Фитнес-браслет HUAWEI Band 10: настоящий металл

Пять причин полюбить HONOR Magic7 Pro

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

Источник изображения: Pete Linforth / pixabay.com

Ключи доступа — наиболее успешная на сегодняшний день попытка избавить человечество от традиционных паролей; и теперь технологическая индустрия стремится исправить один недостаток данного решения, обеспечив возможность экспорта и импорта ключей доступа при их переносе с одной платформы на другую. Ответственная за эту технологию организация FIDO Alliance объявила о новой инициативе по «безопасному перемещению ключей доступа» между поставщиками услуг и представила проект спецификаций обновлённого протокола и обмена данными ключей доступа.

«Безопасный обмен учётными данными является приоритетом для альянса, поскольку он способен улучшить работу пользователей, но безопасного способа передачи этой информации между поставщиками не было до сих пор», — говорится в заявлении организации. Сейчас пользователи могут создавать ключи доступа с помощью программных решений Apple, Google и Microsoft, а также платформ — менеджеров паролей. В идеале можно было бы синхронизировать один и тот же набор ключей на разных платформах, но пока они ограничены экосистемой ПО каждой компании, а значит, для входа в одну и ту же учётную запись приходится создавать дубликаты ключей.

Источник изображения: Gerd Altmann / pixabay.com

Сейчас это ограничение обходится при помощи QR-кодов, но FIDO Alliance стремится обеспечить полноценную совместимость, «устранив любые технические барьеры», связанные с технологией ключей доступа. «Критически важно, чтобы пользователи могли выбирать предпочтительную платформу управления учётными данными и безопасно без ограничений менять поставщиков [систем] учётных данных», — говорится в заявлении организации. Проект спецификации обещает экспорт и импорт ключей доступа в зашифрованном виде, хотя в теперешнем виде для этого используется незащищённый файл CSV с открытым текстом; предполагается и развёртывание средств, которые пресекут злоупотребления механизмами переноса ключей доступа хакерами.

FIDO Alliance потребуется какое-то время, чтобы закрепить спецификации и впоследствии обеспечить их коммерческое развёртывание, но впоследствии они будут открыты и доступны для внедрения поставщиками систем учётных данных, чтобы пользователи имели возможность менять их безопасно и просто. Отзывы о проекте спецификаций ассоциация принимает на платформе GitHub — свой вклад в проект уже внесли 1Password, Bitwarden и Google.