Сегодня 02 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → fido

Хакеры научились обходить многофакторную авторизацию FIDO

Киберпреступники нашли способ кражи учётных данных для авторизации на сайтах даже в тех случаях, когда такая авторизация первоначально предусматривает работу с физическими ключами. Для этого они подключают резервный механизм входа через QR-коды — он срабатывает лишь в определённых сценариях.

 Источник изображения: charlesdeluvio / unsplash.com

Источник изображения: charlesdeluvio / unsplash.com

Ключи FIDO представляют собой аппаратные или программные средства аутентификации, которые при помощи криптографических решений обеспечивают безопасный вход на сайты и в приложения. Они выступают в качестве инструментов многофакторной авторизации, не позволяющих хакерам получать доступ к целевым аккаунтам, даже если они завладели учётными данными. Чтобы использовать аутентификатор, в большинстве случаев его необходимо физически подключить; но в некоторых случаях предусмотрен механизм сканирования QR-кода — он подвержен взлому при помощи атаки типа «посредник-злоумышленник» (AitM).

Начальный этап атаки — фишинговое письмо, рассказали эксперты по кибербезопасности из компании Expel. Переход по ссылке из этого письма ведёт на целевую страницу, имитирующую внешний вид и функции стандартной процедуры авторизации. Обычно после ввода учётных данных требуется подключить физический ключ FIDO, но в сценарии хакеров потенциальной жертве выводится QR-код. Аварийное срабатывание резервного способа входа провоцируется искусственно — в фоновом режиме злоумышленники запрашивают «вход с нескольких устройств». Когда жертва сканирует QR-код, производится вход, и киберпреступники успешно входят в систему.

Лучший способ защититься от такой атаки — включить функцию проверки непосредственной близости через Bluetooth, чтобы QR-коды срабатывали только на смартфоне, который находится рядом с компьютером пользователя. Можно также обучить работников компании выявлять подозрительные страницы входа, например, по URL-адресу. Наконец, ещё одним индикатором взлома могут служить подозрительные авторизации с помощью QR-кодов и новые регистрации FIDO — их можно отследить силами профильного отдела в компании.

Для ключей доступа предложен защищённый механизм перемещения между платформами

В настоящее время технология ключей доступа (passkeys) ограничивает их присутствие в экосистеме ПО только одного разработчика — в результате пользователи вынуждены создавать их дубликаты для входа в одну систему.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

Ключи доступа — наиболее успешная на сегодняшний день попытка избавить человечество от традиционных паролей; и теперь технологическая индустрия стремится исправить один недостаток данного решения, обеспечив возможность экспорта и импорта ключей доступа при их переносе с одной платформы на другую. Ответственная за эту технологию организация FIDO Alliance объявила о новой инициативе по «безопасному перемещению ключей доступа» между поставщиками услуг и представила проект спецификаций обновлённого протокола и обмена данными ключей доступа.

«Безопасный обмен учётными данными является приоритетом для альянса, поскольку он способен улучшить работу пользователей, но безопасного способа передачи этой информации между поставщиками не было до сих пор», — говорится в заявлении организации. Сейчас пользователи могут создавать ключи доступа с помощью программных решений Apple, Google и Microsoft, а также платформ — менеджеров паролей. В идеале можно было бы синхронизировать один и тот же набор ключей на разных платформах, но пока они ограничены экосистемой ПО каждой компании, а значит, для входа в одну и ту же учётную запись приходится создавать дубликаты ключей.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Сейчас это ограничение обходится при помощи QR-кодов, но FIDO Alliance стремится обеспечить полноценную совместимость, «устранив любые технические барьеры», связанные с технологией ключей доступа. «Критически важно, чтобы пользователи могли выбирать предпочтительную платформу управления учётными данными и безопасно без ограничений менять поставщиков [систем] учётных данных», — говорится в заявлении организации. Проект спецификации обещает экспорт и импорт ключей доступа в зашифрованном виде, хотя в теперешнем виде для этого используется незащищённый файл CSV с открытым текстом; предполагается и развёртывание средств, которые пресекут злоупотребления механизмами переноса ключей доступа хакерами.

FIDO Alliance потребуется какое-то время, чтобы закрепить спецификации и впоследствии обеспечить их коммерческое развёртывание, но впоследствии они будут открыты и доступны для внедрения поставщиками систем учётных данных, чтобы пользователи имели возможность менять их безопасно и просто. Отзывы о проекте спецификаций ассоциация принимает на платформе GitHub — свой вклад в проект уже внесли 1Password, Bitwarden и Google.


window-new
Soft
Hard
Тренды 🔥
«Превращается в 8-й сезон "Игры престолов"»: экс-разработчик Skyblivion обвинил руководителей в истощении команды ради недостижимой цели 48 мин.
GeForce RTX 4060 стала самой популярной видеокартой в Steam, а доля Windows 11 впервые превысила 60 % 51 мин.
7 из 10 человек теперь заходят в интернет через Google Chrome — Edge и Safari сильно отстают 3 ч.
YouTube начал блокировать семейные Premium-подписки, если их участники не живут вместе 3 ч.
Capcom объяснила резкое падение продаж Monster Hunter Wilds дороговизной PS5 3 ч.
В стандартной клавиатуре для Android появилась настройка размера шрифта 4 ч.
«Абсолютная ложь»: Google прокомментировала слухи о серьёзной дыре в безопасности Gmail 4 ч.
Неудачные соблазнения, похороны и разводы: Paradox раскрыла статистику игроков Crusader Kings 3 за последний год 4 ч.
Google обновит аккаунты в Play Games — они станут похожими на профили в Steam 4 ч.
«Сделано ИИ»: DeepSeek добавила обязательную маркировку ИИ-контента и запретила её удалять 5 ч.