Складывается впечатление, что почти каждый день происходит еще одна утечка данных, которая в итоге попадает в заголовки прессы. В среднем обычный человек проводит в интернете более 10 часов каждый день, начиная от банкинга, заканчивая общением с друзьями. Однако большинство сайтов или онлайн-ресурсов, которые мы используем ежедневно — от Facebook до Gmail, — защищены всего лишь простым паролем.
Большинство взломов системы безопасности происходят из-за своего рода человеческой слабости. Пароль может быть слишком легко угадать, поскольку, как показывают исследования, среди 10 000 наиболее распространенных паролей, таких как 123456 или qwerty, можно получить доступ к 98% всех учетных записей.
Другие взломы происходят по вине людей, которые оставляют свои браузеры открытыми на общедоступных компьютерах, записывают пароли на бумаге или в файле на своих компьютерах или просто становятся жертвами обмана, отдавая личные данные для входа в систему.
Хотя мы знаем, какими должны быть безопасные пароли, мы склонны игнорировать это знание в пользу использования легко запоминающихся паролей, потому что страх забыть пароль сильнее, чем страх быть взломанным.
Случаи взлома данных становятся заголовками в прессе
Со времен первого использования пароля в 1961 году Массачусетским технологическим институтом, системы аутентификации прошли долгий путь. Сегодня современные компьютеры используют форму хэширования, называемую «соление» («salting»). Однако, поскольку многие пароли слишком просты и потому, что многие системы позволяют пользователю угадывать пароль несколько раз, системы управления доступом с помощью пароля остаются уязвимыми к взломам.
В 2011 году хакеры украли 77 миллионов паролей Sony PlayStation Network. В 2012 году 400 000 адресов электронной почты Yahoo! были взломаны. Сервис iCloud от Apple также был подвержен взлому, что привело к скандально известному взлому фотографий знаменитостей в 2014 году. В течение того же года, пять миллионов паролей Gmail были взломаны и выпущены в интернет. Это всего лишь выбранные примеры из огромного списка самых больших в мире случаев взлома данных, которые наглядно показаны здесь.
Менеджеры паролей также могут потерпеть неудачу
Именно фактор, освобождающий пользователей от необходимости запоминать пароли, способствовал популярности менеджеров паролей, таких как LastPass или 1Password. Эти менеджеры также могут генерировать сильные случайные пароли для каждой учетной записи в интернете.
Однако проблема с использованием сторонних веб-страниц для хранения паролей заключается в том, что их также можно взломать, как это произошло в случае с LastPass в 2015 году. На платформе произошла утечка данных, в результате которой были раскрыты адреса электронных почт пользователей, зашифрованные пароли и пароли напоминания.
Компания LastPass, безусловно, приняла множество мер по обеспечению безопасности, и некоторые из них работали. Например, у LastPass никогда не было доступа к основным паролям клиентов в виде незашифрованного текста. Но они сохраняли другую информацию о пользователях в незашифрованном виде, а это именно та компрометирующая информация, которая может быть использована для угадывания слабых основных паролей.
Имена пользователей и пароли больше не будут использоваться
Мир криптовалют относительно быстро осваивает беспарольные веб-логины. Это началось, когда Satoshi Labs предложили пользователям платформу Trezor Connect, которая позволяет входить на сайты-участники, просто подключая аппаратный кошелек.
Сообщество криптовалют в последнее время проявляет повышенный интерес к первому в мире методу Secure Quick Reliable Login (SQRL), который использует QR-коды и шифрование с открытым ключом вслед за биткоин для обеспечения входа в систему без пароля.
Эти две разработки сами по себе доказывают, что имена пользователей и пароли далеки от обеспечения необходимой безопасности в отношении клиент-сервер в сети интернет.
Блокчейн придет на помощь
Большей проблемой является централизованная архитектура базы данных, в которой хранятся логины и пароли на сервере. Это означает, что если его взламывают, то сразу же будет получен доступ ко всем данным. К сожалению, даже двухфакторная аутентификация (2FA) оказалась уязвимой из-за социальной инженерии.
REMME — это стартап, который пытается вывести пароли из употребления, устраняя человеческий фактор из процесса аутентификации и, следовательно, предотвращая подобные атаки. REMME утверждают, что, с решением проблемы взлома центральных серверов, вредоносные атаки, такие как фишинг, взлом доступа к серверу и паролю, а также повторное использование пароля станут бесполезными.
Вместо пароля REMME предоставляет каждому устройству специальный SSL сертификат. Данные сертификата контролируются на блокчейне, поэтому поддельный сертификат никогда не будет работать. Используя этот метод, стартап избавился от авторизационного сервера и базы данных паролей. Как следствие, у хакеров нет потенциальной цели в виде центрального сервера, что означает отсутствие уязвимой точки. REMME утверждает, что это «100% защита от общих атак».
Потребуется только быстрая установка, которая, по мнению компании, позволит «потенциальным клиентам экономить затраты на интеграцию». Стартап в дальнейшем планирует выполнять двухфакторную аутентификацию 2FA для дополнительного уровня безопасности, после установки и проверки приложения пользователями, а также для корпоративных мобильных приложений.
Целью этой системы является создание распределенного управления Инфраструктурой открытого ключа (PKI) в верхней точке стандарта x.509 с использованием блокчейн. Ряд данных методов может помочь многим сегментам решить проблему взломов безопасности, из которых REMME фокусируется на IoT, финансовой инфраструктуре, компаниях MedTech и блокчейн.
Могут ли выстрелить подобные инновационные процессы? В конце концов, все сводится к тому, с каким количеством взломов данных потребители готовы смириться.
Источник: bitfeed.ru
