Информация

Биометрия не спасет: найден способ обхода защиты FIDO2

Быстрая покупка VPN для России через удобный Телеграмм-бот:

Действительно ли аппаратные ключи безопаснее, чем пароли?

В новом отчёте Verizon Data Breach Investigation Report указывается, что почти в 30% всех зафиксированных нарушений за последние 10 лет виной всему стали украденные учетные данные. Такая тенденция подчеркивает, насколько критичной стала роль паролей и других средств аутентификации в современных цифровых угрозах.

Поэтому на данный момент наблюдается повышенный интерес к современным методам аутентификации, таким как FIDO2. Этот стандарт использует уникальные криптографические удостоверения, связанные с аппаратными устройствами – смартфонами или ПК. Вместо традиционных паролей здесь применяются биометрические данные и многофакторная аутентификация через технологию единого входа (Single Sign-On, SSO).

Однако, компания Silverfort в своем исследовании заявила, что даже такие защитные меры можно обойти. Методика Silverfort, основанная на атаке типа «человек посередине» (Man-in-the-Middle, MitM), позволяет перехватывать и копировать сессии пользователя в различных приложениях, использующих SSO-решения.

Перехват сессии аутентификации

Получи VPN-прокси для России через наш удобный Телеграмм-бот:

FIDO2 разработан для защиты от фишинга и MITM-атак, заменяя уязвимые пароли на более надёжные аппаратные ключи и биометрию. Однако такое решение зависит от внешних систем типа SSO, которые создают аутентификационные сессии, идущие в качестве моста между пользователем и приложением. Проблема в том, что защита, обеспечиваемая протоколами как Transport Layer Security (TLS), не распространяется на токены и сессии, которые могут сохраняться и быть доступными часами.

Согласно Silverfort, успешно аутентифицированная сессия может передавать чувствительные данные, при этом токен сессии можно скопировать и использовать многократно без ограничений. Отмечается, что после прохождения аутентификации пользователь получает почти неограниченный доступ к ресурсам, что увеличивает риски злоупотребления.

Исследователи подчеркивают, что хотя их методы выявляют некоторые слабости в процессах, стандарты, подобные FIDO2, по-прежнему существенно превосходят пароли и основанные на знаниях формы защиты личных данных.

  ЕГЭ на Linux: в России протестируют сдачу экзамена на отечественной ОС

В FIDO Alliance подчеркнули, что методы обхода, описанные в исследовании, технически верны, но не отражают уязвимостей в стандартах аутентификации FIDO. Проблема заключается в неспособности индустрии разработать единый подход к защите токенов аутентификации от кражи или злоупотребления.

Тем не менее, решение «привязка токенов» может решить эту проблему, но широкое внедрение такой технологии пока ограничено, и единственный крупный браузер, поддерживающий её, — Microsoft Edge.

Привязка токена работает путем добавления дополнительного уровня безопасности, привязывая токен аутентификации сеанса к базовому подтверждению связи TLS, которое используется для шифрования трафика на внешнем интерфейсе. На практике это означает, что только реальный пользователь сможет использовать токен для доступа к приложениям, а злоумышленник не сможет продублировать сеанс для сохранения своего доступа.

Еще в 2022 году Microsoft добавила в Azure AD поддержку беспарольного входа с использованием Windows Hello и ключей безопасности FIDO2. А с 2021 года пользователи GitHub могут защищать свои учетные записи с помощью аппаратных ключей безопасности FIDO2.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.

Почему стоит купить безопасный VPN?

  • Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.

  • Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.

  • Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.

  • Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.

  В Госдуме хотят расширить ответственность за преступления в интернете с участием детей

Оставить ответ