Чем больше сайтов используют парольную защиту, тем изобретательнее становятся методы воровства паролей, которые применяют хакеры. Традиционная система "логин-пароль", очевидно, требует усовершенствования. Например, шведский банк Nordea раздает пользователям услуг онлайн-банкинга специальные скрэтч-карты, на которых отпечатано 50 кодов, сгенерированных банковской криптосистемой. Чтобы войти в личный раздел на сайте, пользователь должен ввести не только национальный ID-номер (вроде нашего номера паспорта) и PIN-код из 4 символов, но еще и один из 50 кодов, отпечатанных на карте. Таким образом, карты хватает на 50 сеансов связи с банком. Как только последний код использован - банк автоматически высылает клиенту новую карточку с кодами. Это лишь один способ так называемой двухфакторной аутентификации, которая все чаще используется в системах, где требуется повышенная защита.
Кроме использования одноразовых паролей, есть и другие варианты для усовершенствования парольной защиты. Например, некоторые компании раздают своим сотрудникам специальные электронные устройства или карточки, которые на основе базового пароля "на лету" генерируют временные пароли в зависимости от времени входа в систему. Таким образом, хакеру недостаточно знания пароля, чтобы войти в систему, да и кража устройства ничего ему не даст, потому что он не знает пароль пользователя. В настоящее время MasterCard тестирует подобную систему в Великобритании, Германии и Бразилии. Пользователь проводит смарт-картой по специальному кард-ридеру и вводит свой PIN-код, после чего получает одноразовый пароль, который принимают нескольких десятков компаний, включая Office Max и British Airways.
Системы биометрической аутентификации действуют по тому же принципу, но только один или оба пароля заменяются отпечатком пальца или изображением сетчатки глаза.
Несмотря на очевидную эффективность двухфакторной аутентификации, она до сих пор не получила должного распространения даже в банках. "Они боятся сделать первый шаг, потому что не хотят, чтобы клиенты ушли в другие банки, где сервис проще", - говорит в интервью AP (story.news.yahoo.com/news?tmpl=story&u=/ap/beyond_passwords&sid=95573501) Авива Литан (Avivah Litan), аналитик Gartner. Проблема еще и в том, что внедрение систем двухфакторной аутентификации - довольно дорогостоящее удовольствие, стоимость реализации которого пока что превышает ущерб от мошенничества даже в банковской сфере. Кроме того, пользователь легко запутается в десятках скрэтч-карточек, если каждый сервис введет подобную систему защиты. Поэтому рынок ждет, когда будет разработан единый стандарт на двухфакторную аутентификацию и можно будет использовать одно и то же устройство/карточку для генерации паролей на всех сайтах. Например, вышеупомянутый Nordea и другие скандинавские банки уже начали сотрудничать с государственными ведомствами с целью разработки такой универсальной системы. Аналогичная работа ведется в рамках международного проекта Liberty Alliance (www.projectliberty.org).
Рано или поздно пользователи станут более серьезно относиться к безопасности в интернете, по мере того как их жизнь, работа и финансовые транзакции будут все больше перемещаться в Сеть. "Чем больше добра в доме, тем лучший замок ты поставишь на дверь", - приводит аналогию Роберт Чезнат (Robert Chesnut), вице-президент по безопасности компании eBay.
Анатолий АЛИЗАР
Горячие темы