Сегодня 12 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → fido

Хакеры научились обходить многофакторную авторизацию FIDO

Киберпреступники нашли способ кражи учётных данных для авторизации на сайтах даже в тех случаях, когда такая авторизация первоначально предусматривает работу с физическими ключами. Для этого они подключают резервный механизм входа через QR-коды — он срабатывает лишь в определённых сценариях.

 Источник изображения: charlesdeluvio / unsplash.com

Источник изображения: charlesdeluvio / unsplash.com

Ключи FIDO представляют собой аппаратные или программные средства аутентификации, которые при помощи криптографических решений обеспечивают безопасный вход на сайты и в приложения. Они выступают в качестве инструментов многофакторной авторизации, не позволяющих хакерам получать доступ к целевым аккаунтам, даже если они завладели учётными данными. Чтобы использовать аутентификатор, в большинстве случаев его необходимо физически подключить; но в некоторых случаях предусмотрен механизм сканирования QR-кода — он подвержен взлому при помощи атаки типа «посредник-злоумышленник» (AitM).

Начальный этап атаки — фишинговое письмо, рассказали эксперты по кибербезопасности из компании Expel. Переход по ссылке из этого письма ведёт на целевую страницу, имитирующую внешний вид и функции стандартной процедуры авторизации. Обычно после ввода учётных данных требуется подключить физический ключ FIDO, но в сценарии хакеров потенциальной жертве выводится QR-код. Аварийное срабатывание резервного способа входа провоцируется искусственно — в фоновом режиме злоумышленники запрашивают «вход с нескольких устройств». Когда жертва сканирует QR-код, производится вход, и киберпреступники успешно входят в систему.

Лучший способ защититься от такой атаки — включить функцию проверки непосредственной близости через Bluetooth, чтобы QR-коды срабатывали только на смартфоне, который находится рядом с компьютером пользователя. Можно также обучить работников компании выявлять подозрительные страницы входа, например, по URL-адресу. Наконец, ещё одним индикатором взлома могут служить подозрительные авторизации с помощью QR-кодов и новые регистрации FIDO — их можно отследить силами профильного отдела в компании.

Для ключей доступа предложен защищённый механизм перемещения между платформами

В настоящее время технология ключей доступа (passkeys) ограничивает их присутствие в экосистеме ПО только одного разработчика — в результате пользователи вынуждены создавать их дубликаты для входа в одну систему.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

Ключи доступа — наиболее успешная на сегодняшний день попытка избавить человечество от традиционных паролей; и теперь технологическая индустрия стремится исправить один недостаток данного решения, обеспечив возможность экспорта и импорта ключей доступа при их переносе с одной платформы на другую. Ответственная за эту технологию организация FIDO Alliance объявила о новой инициативе по «безопасному перемещению ключей доступа» между поставщиками услуг и представила проект спецификаций обновлённого протокола и обмена данными ключей доступа.

«Безопасный обмен учётными данными является приоритетом для альянса, поскольку он способен улучшить работу пользователей, но безопасного способа передачи этой информации между поставщиками не было до сих пор», — говорится в заявлении организации. Сейчас пользователи могут создавать ключи доступа с помощью программных решений Apple, Google и Microsoft, а также платформ — менеджеров паролей. В идеале можно было бы синхронизировать один и тот же набор ключей на разных платформах, но пока они ограничены экосистемой ПО каждой компании, а значит, для входа в одну и ту же учётную запись приходится создавать дубликаты ключей.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Сейчас это ограничение обходится при помощи QR-кодов, но FIDO Alliance стремится обеспечить полноценную совместимость, «устранив любые технические барьеры», связанные с технологией ключей доступа. «Критически важно, чтобы пользователи могли выбирать предпочтительную платформу управления учётными данными и безопасно без ограничений менять поставщиков [систем] учётных данных», — говорится в заявлении организации. Проект спецификации обещает экспорт и импорт ключей доступа в зашифрованном виде, хотя в теперешнем виде для этого используется незащищённый файл CSV с открытым текстом; предполагается и развёртывание средств, которые пресекут злоупотребления механизмами переноса ключей доступа хакерами.

FIDO Alliance потребуется какое-то время, чтобы закрепить спецификации и впоследствии обеспечить их коммерческое развёртывание, но впоследствии они будут открыты и доступны для внедрения поставщиками систем учётных данных, чтобы пользователи имели возможность менять их безопасно и просто. Отзывы о проекте спецификаций ассоциация принимает на платформе GitHub — свой вклад в проект уже внесли 1Password, Bitwarden и Google.


window-new
Soft
Hard
Тренды 🔥
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание 4 ч.
Graphcore, спасённая SoftBank, воспрянула духом — штат в Великобритании удвоится, а в разработку в Индии инвестируют $1 млрд 4 ч.
В наши дни все высокопроизводительные вычисления связаны с ИИ, как считает глава AMD Лиза Су 11 ч.
Производство чипов в наши дни требует атомарной точности, как утверждает Applied Materials 12 ч.
Обострение между США и Китаем грозит серьёзным ударом по мировой индустрии чипов 13 ч.
Китай грозит отправить США в рецессию — новые санкции на редкоземельные металлы ударят по ИИ 20 ч.
Акции китайских чипмейкеров взлетели, но инвесторы опасаются перегрева рынка 20 ч.
Представлен складной смартфон Samsung W26 — особенная версия Galaxy Z Fold7 для Китая за $2390–2670 23 ч.
MSI создала видеокарту GeForce RTX 5080 Gaming Trio в стиле Battlefield 6, и отдаст её кому-то бесплатно 11-10 15:54
Edifier представил беспроводную колонку, которая выглядит как геймерский ПК 11-10 15:43