Каждый раз, когда нам приходится заводить электронный почтовый ящик или регистрироваться на каком-нибудь интернет-сервисе, нас просят выбрать секретный вопрос и ввести ответ на него. Между тем эксперты в области информационной безопасности считают, что такая схема абсолютно ненадежна…
Эксперты полагают, что подобные системы проверки подлинности пользователя не могут считаться даже минимальным средством защиты.
Для их компрометации существует множество способов, многие из которых не требуют никаких специализированных знаний и умений. Корень всех бед — пресловутый человеческий фактор.
Многие системные администраторы и сотрудники служб безопасности говорят, что лучший способ защитить компьютеры от вторжения — отстранить от них людей. Конечно, это шутка, но подобный смех сквозь слезы оправдан — более 80 процентов всех случаев похищения персональных данных происходит по вине самим пользователей.
Читайте также: Кто убережет Всемирную паутину от хаоса?
Составлен рейтинг худших паролей
Компьютерный вирус ворует пароли
Подобным образом обстоит дело и с контрольными вопросами. Предлагаемый при регистрации аккаунта список невелик, а возможность задать вопрос существует редко.
Злоумышленнику достаточно обладать минимумом информации о жертве, чтобы методом перебора найти правильный вопрос и ввести заранее известный ответ. Проведенные испытания показали, что рядовой пользователь может в одном случае из пяти получить доступ к чужой учетной записи.
Еще более опасная ситуация складывается, когда посторонний человек получает доступ к почтовому ящику жертвы. В некоторых интернет-сервисах после неудачных попыток ответить на вопрос генерируется новый пароль.
Он отсылается по указанному в профиле электронному адресу. Получив доступ, преступник может не просто ознакомиться с данными из взломанного аккаунта, но и совершить ряд действий, которые можно расценивать как кражу.
Так, большинство интернет-магазинов при операции по кредитным картам проводят аутентификацию оплаты посредством электронной почты.
Получив проверочное письмо, злоумышленник отвечает согласием на списание средств с кредитки жертвы и может спокойно ожидать доставки товара. В подавляющем большинстве случаев такие транзакции не обратимы.
Как же бороться со столь слабой системой проверки пользователя? Ведь забыть или потерять пароль доступа может каждый из нас, а значит, сервис напоминания и восстановления будет необходим всегда.
Решение предложили специалисты из Кэмбриджского университета. Они создали систему, работающую по принципам распределенных вычислений и социальной сети.
Идея заключается в том, что человек, активно использующий Всемирную паутину, имеет определенный круг постоянных друзей, также пользующихся интернетом.
При создании аккаунта, например, электронной почты, пользователь выбирает несколько (от 4 до 20) человек, которым он доверяет. Каждый из них получает кусочек специального восстановительного кода.
Когда происходит взлом, каждый из доверенных хранителей получает от "жертвы" уведомление об инциденте и пересылает свою часть кода на нескомпрометированный почтовый ящик или передает ее каким-то иным способом. Собрав все кусочки кода вместе, пользователь вводит его и вновь получает полный контроль над своим аккаунтом.
Испытания показали, что вероятность успешной защиты и возврата украденного доступа составляет более 90 процентов, что по меркам компьютерной безопасности является очень высоким показателям.
Правда, на обмен кодами в группе тестировщиков ушло около двух дней. Тем не менее, для возврата важных данных такой срок может оказаться вполне приемлемым.
Параллельно с испытаниями новой системы безопасности разработчики провели еще один тест. Участников эксперимента предупредили, что ни при каких обстоятельствах они не должны пересылать кусочки кода посторонним людям, кем бы они ни были. Его может получить только владелец взломанного аккаунта.
Однако, когда во время испытаний создатели обратились к добровольцам с просьбой переслать им код (ссылаясь на технические потребности), 17 из 19 участников эксперимента именно так и поступили.
Это лишний раз подтверждает, что главной проблемой информационной безопасности была и будет "прокладка между креслом и клавиатурой", то есть человек.