Гибкие пароли — никогда не бывает одного и того же пароля


Несмотря на множество прогнозов, что пароли скоро исчезнут, они по-прежнему составляют основу большей безопасности. Проблема в том, что даже при строгих правилах их изменения пароли, как правило, сохраняются слишком долго. Теперь остроумная идея позволяет сохранять пароли гибкими.

Проблема с паролями заключается в том, что после кражи они обычно остаются полезными в течение некоторого времени — пароли меняются недостаточно часто. Теперь некоторые творческие разработки из Университета Оклахомы обеспечивают работоспособное решение. Идея состоит в том, чтобы просто автоматизировать смену пароля:

Мы предлагаем простое клиентское решение проблемы кражи паролей в виде надстройки Firefox для автоматизации сброса паролей, которую мы называем Fluid Passwords. Идея, лежащая в основе нашего надстройки, заключается в следующем: для определенного веб-сайта после входа пользователя в систему найдите страницу сброса пароля сайта, сгенерируйте безопасный случайный пароль и обновите пароль для учетной записи. Используя встроенный менеджер паролей Firefox, мы можем сохранить обновленный пароль для использования при следующем входе в систему, и все это без какого-либо вмешательства со стороны пользователя. Используя Firefox Sync, пользователи могут получить доступ как к своим сохраненным паролям, так и к надстройке на любом компьютере, с которого они входят в систему, эффективно сокращая количество паролей, которые каждый человек должен запомнить, до того, который они используют для Firefox Sync.

Большая проблема — найти и использовать сброс пароля. Большинство сайтов имеют меры безопасности на страницах регистрации, чтобы гарантировать, что пользователь — человек, но страницы сброса пароля почти всегда не защищены таким образом, потому что пользователь уже подтвердил, используя пароль. Даже в этом случае страницы сброса пароля сильно различаются. Команда разработала алгоритм поиска и использования страниц сброса:

Надстройка открывает фоновую вкладку и пробует различные разумные URL-адреса, пытаясь найти страницу сброса пароля. После обнаружения он генерирует псевдослучайную 12-символьную строку для использования в качестве нового пароля. Обратите внимание: поскольку Firefox используется в качестве диспетчера паролей, запоминаемость пароля не имеет значения. Адрес страницы сброса пароля сохраняется, поэтому при следующем посещении сайта нет необходимости в поиске.

Надстройка была протестирована на 29 из 100 лучших веб-сайтов Alexa. Сайты были исключены по разным причинам — безопасность не проста или единообразна. Например, основной вход в Google не тестировался, потому что изменение его пароля означало бы, что все устройства Android, использующие одну и ту же учетную запись, также должны будут обновить свои пароли. Некоторые сайты также задают контрольный вопрос, и программа не справляется с этим, и, конечно же, двухуровневая или многоуровневая безопасность не работает.

В конце концов, у нас есть работающая система. Одна из проблем заключается в том, что он реализован как надстройка XUL старого стиля и поэтому не будет работать с текущей версией Firefox.

У этого подхода «обратного парсинга» есть явные ограничения на автоматическое управление паролями — не все веб-сайты обеспечивают безопасность одинаковым образом. Также существует проблема, позволяющая Firefox или любому другому браузеру быть хранителем ключей. Пароли, хранящиеся в браузере, уже делают браузер слабым местом с точки зрения безопасности. Единственное, что обеспечивает безопасность информации, — это необходимость физического доступа к устройству и, возможно, мастер-пароль.

Это хорошая идея, но было бы лучше определить протокол, который сайты могут использовать для автоматической смены пароля. Это изменяет модель безопасности на одноразовый токен. Вы используете токен для получения доступа к сайту и сразу же меняете пароль, создавая новый токен доступа. Преимущество состоит в том, что пользователю не нужно знать пароль, и все проблемы безопасности сосредоточены на браузере.

Единственная опасность заключается в том, что текущий пароль все еще может быть украден и использован для изменения пароля, что приведет к блокировке браузера, но, по крайней мере, мы минимизировали период времени, в течение которого это могло произойти.

Суть в том, что мы действительно не дали скромный пароль для инфраструктуры, которая необходима, чтобы сделать ее простой в использовании и эффективной.


Добавить комментарий