Есть такой замечательный подкаст — Security Now!. Там не только рассказывают, как на этой неделе модно ломать Windows (из этого подкаста можно узнать, что сейчас в сети бушует эпидемия червя Conficker, который принципиально обходит украинские компьютеры, зато ещё один червь поражает Windows-банкоматы в Восточной Европе), но и вообще — о работе различных технологий, связанных с безопасностью, шифрованием и анонимностью.

Вместе с Лео Лапортом (который ведёт все подкасты на TWiT Network) ведущим Security Now! является Стив Гибсон. Как и положено ведущему такого подкаста, он является гиком, параноиком, консерватором, да ещё и программистом на ассемблере в придачу (при этом он всё-таки использует в основном Windows, и программирует под него же).

Так вот, похоже, что в Яндексе этот подкаст тоже слушают: сегодня они объявили о начале тестирования услуги «Усиленная авторизация» для Яндекс.Денег. На практике это — такая хитрая реализация многофакторной аутентификации. Что это такое?

Допустим, у вас есть логин и пароль от какого-нибудь сервиса (те же Яндекс.Деньги). И всё хорошо, пока вы не приходите в компьютерный клуб/в гости или сами не подцепляете какой-нибудь кейлогер. После этого можно смело считать, что логин и пароль есть не только у вас. Как в такой ситуации избежать несанкционированного доступа вод вашим логином?

Есть несколько основных способов. Способ первый часто используется банками: для вас формируется одноразовый пароль и высылается в виде смски. Недостаток очевиден: если вы не банк, то вам может быть слишком накладно заморачиваться рассылкой смсок.

Способ второй — использование всевозможных USB-ключей, сканеров отпечатков пальцев и прочих замечательных гаджетов. Тут недостатки ещё более очевидны.

Третий способ похож на второй: использование относительно дешёвых… как бы это сказать по-русски… security dongle’ов. Это такая маленькая карточка с экранчиком, на котором по нажатию кнопки отображаются 5-6 цифр. Цифры генерируются либо из последовательности, либо в зависимости от текущего времени. Естественно, сервер знает серийный номер вашего личного донгла, и может точно также сгенерировать эти же цифры. Самый известный продукт из этой серии выпускает VeriSign, и его можно использовать для защиты PayPal-аккаунтов. По всей видимости, те же верисайновские донглы покупает Blizzard, красит в синий цвет, и продаёт как Battle.net Authenticator, чтобы игроки могли защищать от взлома свои аккаунты в World of WarCraft и прочих Craft’ах (поскольку кейлоггеров, охотящихся за паролями от WoW сейчас уже почти столько же, сколько и кейлоггеров, охотящихся за номерами кредиток и паролями от PayPal). Опять же, решение хоть и относительно дешёвое, но заставлять своих пользователей тратить деньги на покупку и доставку донгла решится не каждый.

Общее для систем многофакторной аутентификации: должны быть две сущности, «что-то, что ты знаешь» (логин и пароль) и «что-то, что у тебя есть» (мобильный телефон с заданным номером или верисайновский аутентификатор, прикреплённый к твоему аккаунту). «Что-то, что ты знаешь» можно «увести» кейлоггером — но «что-то, что у тебя есть» можно украсть только физически. Конечно, при наличии утюга и паяльника можно попросить владельца поделиться и тем, и другим, но от всех остальных случаев многофакторная аутентификация защищает достаточно надёжно.

Так вот, Стив Гибсон, конечно же, рассказывал в своих подкастах о различных решениях для аутентификации, и не мог не придумать свою. В конце концов он её придумал — Perfect Paper Passwords. В Яндексе сегодня запустили что-то очень похожее, но в отличии системы Яндекса, у PPP уже есть целая куча опенсорсных реализаций на все случае жизни на самых разных языках программирования. Так что если хотите ввести похожую систему у себя в компании, например, то — берите и пользуйтесь.

Идея простая: вам выдаётся картинка со столбиками групп символов. Предполагается, что картинку вы либо распечатаете, либо будете таскать с собой на флешке (что тоже может быть не всегда удобно, но зато дёшево). После ввода вашего логина и пароля, программа/браузер вам скажет «введите символы из строки 4, столбца B)» — это и будет ваш одноразовый пароль.

Честно говоря, не ожидал, что такие крупные организации, как Яндекс, будут заморачиваться с подобной системой — но поскольку в наших краях фиг кого заставишь потратить 10-15 баксов на покупку донглов через интернет, то вариантов у них было немного.

Comments