Давно пришла мне в голову одна идея по поводу улучшения защищенности своих аккаунтов и входа на сайты, где требуется регистрация.
Хабр я тогда читал без регистрации, поэтому естественно ничего и не писал.
Сам я не программирую на таком уровне и не связан с сайтами, которые осуществляют доступ к аккаунтам пользователей, то есть — не смогу реализовать и проверить идею, поэтому решил поделиться мыслью со знающим человеком.
Кому это нужнее? Наверное Гуглю, подумал я… С трудом нашел адрес одного сотрудника, написал письмо.
Краткое содержание (Я это я, С это сотрудник):
Я. У меня есть идея по входу в аккаунт, это повысит секретность и надежность процесса.
С. Присылайте, я найду кому передать.
Я. Присылаю (описание будет ниже диалога).
С. Вынужден разочаровать, но уже сделано (и дает мне ссылку на двухэтапную аутентификацию).
Я. Это совсем не то! Там предложен метод двухэтапной аутентификации.
Если идея плохая, значит так оно и есть, забросил этот процесс.
Сегодня читаю Хабр. Уже как зарегистрированный пользователь.
Обращаю внимание на статью «Сезам, откройся!» — вход в аккаунт Google при помощи QR кода.
Думаю, вот ведь люди, думают как защитить своих пользователей! И вспоминаю свою идею. Может все же кому-то понадобится?
Теперь про идею подробнее.
Когда переписывался по ее поводу, то ничего подобного не нашел в Интернете, вполне возможно что плохо искал. Да и этот сотрудник ведь получается — тоже не отыскал!
Может все же кто-то реализует эту задумку? Как мне кажется, ничего особо сложного тут нет. Обсудите, только я сильно не смогу помочь — не моя стезя.
Пароли к электронным ящикам, личным страничкам, форумам и т. д. всегда неизменные.
Меняются они вручную и достаточно редко самими пользователями.
При редкой смене пароля его секретность уменьшается.
Предлагаю сделать автоматически изменяющийся (динамический) пароль.
При этом в пароле может присутствовать как классическая — неизменяемая часть, так и динамически изменяемая.
Если изменяемую часть сделать достаточно динамичной, то за время подбора пароля генераторами ключей пароль изменится, что затруднит его подбор.
Также, подсмотренный другими людьми пароль через десять минут будет уже другим.
Если кратко, то суть в том, что пароль пользователя не является жестким, а динамическим и меняется по правилам и условиям, описанным при регистрации (изменении пароля).
Если уж совсем примитивно, то можно привести такой пример:
Вариант пароля (лучше всего — часть пароля) — текущее время с точностью плюс-минус пару минут.
Пользователь набирает его, система проверяет допуск (плюс-минус пара минут, мало ли какая точность у пользователя) и пропускает в систему.
Простейшие примеры привязки динамической части к различным параметрам:
— Текущий час в одном из часовых поясов.
— Текущая четверть часа — 1, 2, 3, 4.
— Текущий десяток минут — 0, 1, 2, 3, 4, 5.
— Текущая минута — 0 … 59.
— Порядковый номер дня в году (сколько дней осталось до Нового года) — 0 … 365.
— Текущий месяц (порядковый номер) — 1, 2, 3, …, 12.
Пример пароля. 415Med125
4 — количество десятков минут.
15 — текущий час в одном из часовых поясов.
Med — текущий президент.
125 — порядковый день в году.
Для запоминания можно придумывать мнемонические правила.
Для конкретного примера — “Время президента — день”.
В отличии от двухэтапной аутентификации, в моем варианте код меняется автоматически по заранее определенным правилам. Причем меняться может хоть раз в 10 минут (зависит от того, что использовано в динамической части).
И для ввода не нужен телефон.
Результаты.
1. Мнения разделились. В обсуждении кто-то считает идею так себе, кто-то нашел рациональное зерно.
2. Aquahawk 17 января 2012, 21:26 и чуть ниже привел примеры 1, 2 и 3, где применен подобный принцип.
Получается, что идея с динамической частью рабочая. Динамическая часть будет работать примерно как Токен RSA SecurID в приведенных ссылках.
Вот еще одна интересная ссылка.
Муртазин сегодня написал про очень интересную банковскую карточку со встроенным дисплеем.
3. MazeFAQa 17 января 2012, 22:10 написал правильную мысль, которую я не смог донести сразу. Пароль, статическая и динамическая часть являются конструктором, который пользователь собирает самостоятельно. Ставит что хочет и где хочет.
4. Похоже, что эта идея так себе и прав был С из диалога…
Спасибо всем, принявшим участие в обсуждении!
5. Оказывается, этот алгоритм уже реализовали.
6. Появилось дальнейшее развитие идеи Динамический пароль 2.0 автора djvu
P.S. 2014.
Идею реализовали для разблокировки экрана смартфона. TimePIN: украденный пароль локскрина не поможет уже через минуту.
Приват 24
Автор sover На чтение 3 мин Просмотров 23.5к. Опубликовано
Содержание статьи
Для того чтобы понять, что такое статический пароль в Приват24, давайте для начала рассмотрим процесс регистрации и виды существующих паролей. Регистрация займет у вас пару минут и потребует несколько простых шагов (иногда сотрудники банка регистрируют вас в системе Приват24 самостоятельно):
Статический пароль — это код который вы вводите при входе в свой личный кабинет в Приват24.
Динамический пароль – это смс сообщение с цифровым кодом, которое система автоматически высылает на ваш мобильный телефон для того, чтоб удостовериться, что ваш телефон не был украден и это именно вы, а не злоумышленники сейчас заходите в свой аккаунт (электронный личный кабинет в Приват24).
Защита банковских систем имеет высокий уровень, однако, схемы злоумышленников тоже не стоят на месте.
Вот несколько простых правил пользования статистическим кодом, которые помогут сохранить ваши деньги в целостности:
Каждый раз при входе в ваш личный кабинет, будет запрашиваться сначала номер телефон, а затем статический пароль. Но что делать, если система выдает «неверные данные»?
06 марта 2022 г. / Kron
Одним из наиболее важных вопросов в мире бизнеса, который стал важной частью цифровой трансформации, является безопасное управление паролями. Недавнее увеличение попыток расшифровки паролей в корпоративных сетях показывает, что утечка данных может происходить чаще из-за уязвимости паролей. Именно по этой причине следует создавать не только надежные и длинные пароли, но и избегать статических паролей.
Основным способом использования нестатических паролей и надежной защиты паролей в сети является использование централизованных систем управления паролями. Прежде чем приступить к изучению центральных систем управления паролями, которые обеспечивают безопасность важных данных, полезно рассмотреть ситуации, вызывающие уязвимость паролей в учреждениях.
Ситуации, которые создают уязвимости в паролях и делают учреждения уязвимыми для любой кибератаки, можно разделить на три категории: небезопасные сети, неподготовленные сотрудники и системы в опасности.
С другой стороны, результаты опроса и анализа данных, проведенного GoodFirms, также дают важные сведения о моментах, которые следует учитывать при создании корпоративных политик безопасности. 62,9% участников этих исследований меняют свои пароли только по запросу. 45,7% участников той же выборки используют один и тот же пароль для нескольких веб-сайтов и приложений. 52,9% участников делятся своими паролями с членами семьи и друзьями. Помимо всего этого, 35,7% участников исследования по-прежнему продолжают записывать свои пароли в блокноте.
Первым шагом в обеспечении безопасности доступа является переход от статических паролей к динамическим. Динамический пароль можно просто определить как тип пароля, который постоянно меняется, что обеспечивает высокий уровень защиты от внутренних и внешних угроз. Динамический пароль не означает, что пользователи постоянно меняют свои пароли. Пароли, используемые в банковских системах и отправленные на ваш смартфон для доступа к банковскому приложению, являются примером динамических паролей. Эти пароли, называемые одноразовыми паролями (OTP), автоматически генерируются компьютером случайным образом и используются только один раз.
Принцип работы динамических паролей основан на аутентификации. В этом методе, который также упрощает контроль доступа к привилегированной учетной записи, вам отправляется код, который можно использовать только один раз, срок действия которого истекает через короткое время, что затрудняет доступ кибер-злоумышленников к вашей сети. Службы проверки подлинности, которые отправляют надежные коды с определенным периодом действия для доступа, являются простым примером динамических паролей. Чтобы достичь этого шага и защитить пароли в вашей компании, 9 0011 Динамический контроллер паролей .
Так как же работает динамический контроллер паролей?Dynamic Password Controller, одно из решений управления привилегированным доступом (PAM), хранит все пароли в полностью зашифрованной системе. Контроллер динамических паролей (DPC) обеспечивает защиту в зашифрованном хранилище, создает уникальные пароли, а также автоматически и случайным образом генерирует пароли.
Модуль динамического контроллера паролей (DPC) имеет два разных принципа работы. Первый метод фокусируется на принципах работы этой системы как центрального хранилища паролей, а второй метод фокусируется на том же предмете, что и проверка паролей между приложениями.
DPC как центральное хранилище паролей
Благодаря функции защиты паролей DPC может хранить пароли пользователей независимо от сети. Это позволяет легко контролировать авторизованные разрешения на доступ.
DPC как средство проверки паролей между приложениями
Помимо этого механизм обнаружения DPC может обнаруживать учетные записи служб, сетевые устройства, виртуальные платформы, серверы Linux, а также локальные и доменные учетные записи Windows. Эта функция упрощает доступ к учетным записям приложений и обеспечивает повышенную безопасность паролей при использовании сетевых устройств или выполнении сценариев.
Динамический контроллер паролей (DPC) предлагает организациям значительные преимущества в различных аспектах. Например, хотя эта система ограничивает количество случаев обмена паролями, она повышает уровень контроля, запрашивая одобрение руководства для транзакций, которые привилегированные учетные записи будут выполнять со своими паролями.
Ключевые преимущества
Вы можете создать передовую систему управления паролями для своей организации с помощью Dynamic Password Controller, который предлагает безопасное управление паролями для тысяч привилегированных пользователей и сложный авторизованный доступ. С помощью DPC, который защищает вашу ИТ-систему при управлении паролями благодаря своим превосходным функциям, вы можете предотвратить кибератаки и избежать возможных финансовых потерь. С помощью решения Dynamic Password Controller, которое помогает избежать ситуаций, вызывающих уязвимость паролей в учреждениях, вы также можете избежать перерывов в рабочем процессе, поскольку вы снижаете потенциальный ущерб, который вы можете получить от кибератак.
Вы также можете связаться с нами, чтобы получить информацию обо всех функциях решения Dynamic Password Controller или узнать больше о нашем пакете управления привилегированным доступом Single Connect .
Даже в 2021 году в мире, где аутентификация является важной частью мер кибербезопасности, пароль по-прежнему остается краеугольным камнем для доступа к веб-сайтам, приложениям и другим распространенным логинам. В недавней публикации Raconteur «Будущее аутентификации» они сообщают, что имя пользователя/пароль по-прежнему является ключевой службой управления идентификацией и доступом (IAM) в 73% небольших организаций и 45% в крупных организациях. С другой стороны, большинство ИТ-специалистов (48%) считают его умеренно безопасным или менее безопасным по сравнению с другими методами. Таким образом, хотя пароли явно не самые безопасные, они по-прежнему наиболее широко используются.
При упоминании термина «пароль» мы думаем о статическом пароле, который остается неизменным до тех пор, пока нам не придется его изменить, исходя из политик паролей компании или будучи жертвой кибератаки. Несмотря на это, теперь существует множество правил для паролей, которые должны состоять из 13 символов, с добавлением специальных символов, цифр и заглавной буквы. Тем не менее, каким бы надежным ни был этот статический пароль, он все равно остается прежним, а это означает, что даже при наличии надежного пароля его можно легко взломать. Видите ли, взлом статических паролей не является сложной задачей даже для типичного злоумышленника, независимо от того, насколько сложным может быть ваш пароль. Обычно используемых методов, таких как словарь или грубая сила, часто бывает достаточно, чтобы выполнить работу. Если ваш пароль останется без изменений, его взлом — вопрос времени.
Шаг в правильном направлении — переход от статического пароля к динамическому. Во-первых, что такое динамический пароль? Основное определение динамического пароля — это пароль, который не остается неизменным, то есть он будет постоянно меняться.
Вопросы типа «Это огромное неудобство. Постоянно менять пароль? Нужно ли каждый день запоминать новые сложные пароли? Как будто $$$sdoiut-snb5!-sadhfg было недостаточно сложно, а вы мне говорите что лучшая защита для паролей — это те, которые меняются ежедневно?!
Постоянная смена пароля — очень хлопотное дело, но, к счастью, смысл динамического пароля не в этом, и, возможно, вы уже сегодня используете динамические пароли. Представьте, что вы заходите в свое банковское приложение, и оно отправляет вам код на ваш телефон, и вы должны ввести этот код со своего телефона, чтобы получить доступ к банковскому приложению. Уже сейчас это динамический пароль. Они называются одноразовыми паролями или одноразовыми паролями, и это широко используемый тип динамического пароля — сгенерированная машиной случайная строка, которая используется только один раз для аутентификации.
Принцип работы динамических паролей основан на методе аутентификации. Вам будет отправлен код, который работает только один раз, срок действия которого истекает в течение короткого периода времени, и затрудняет доступ хакеров к вашей учетной записи. Распространенными примерами аутентификаторов, использующих одноразовые пароли, являются Google Authenticator и Microsoft Authenticator, которые дают вам 6-значный код, который у вас есть одна минута, чтобы использовать его для входа в систему, например SalesForce.
Динамические пароли удобны тем, что их не нужно запоминать, и поскольку пароли никогда не бывают одинаковыми, они служат основным препятствием для хакеров, которые могут попытаться взломать учетные записи пользователей. Любителям статических паролей пора взглянуть правде в глаза — статические пароли исчезнут.
Наличие динамических паролей — это одно, а то, как они доставляются, — другое. Важно не только реализовать динамические пароли, но и убедиться, что метод, который предоставляется пользователю, прост в использовании. Например, многие одноразовые пароли отправляются или предоставляются на мобильном устройстве. Однако недавние исследования показывают, что зачастую группы пользователей, как сотрудников, так и клиентов, не могут использовать методы на основе телефона.
При поиске решения для многофакторной аутентификации или просто лучшей альтернативы паролям важно убедиться, что оно имеет несколько вариантов, обеспечивающих гибкость для вас и ваших пользователей. PortalGuard IDaaS — одно из тех решений, которые поддерживают более 15 методов аутентификации, при этом многие из них предоставляют одноразовые пароли в качестве метода входа, такие как аппаратные токены, SMS OTP и электронная почта, которые проверяют систему PortalGuard для входа в систему.