Топ-менеджер PayPal предсказал кончину паролей
21:30 12/05/2013 Наука и техника
Майкл Барретт (Michael Barrett), директор платежной системы PayPal по вопросам информационной безопасности, заявил, что пароли в ближайшем будущем будут вытеснены другими, более простыми и надежными средствами аутентификации, сообщает Macworld UK.
Выступая на конференции Interop, которая проходила с 6 по 10 мая в Лас-Вегасе, Барретт раскритиковал распространенные в современном мире методы аутентификации. По его словам, они небезопасны и неудобны: чтобы не держать в памяти множество аутентификаторов, пользователи либо используют везде один и тот же пароль, либо создают простые пароли, которые легко подобрать — 12345 или «password» (англ. «пароль»).
Двухэтапные системы аутентификации (когда помимо логина и пароля нужно ввести, например, присланный в SMS код подтверждения), применяемые многими интернет-компаниями, Барретт назвал «мечтой для регулятора, но кошмаром для пользователя».
Вместо паролей Барретт предложил использовать биометрические «устройства аутентификации» — сканеры отпечатков пальцев или сетчатки глаза (хотя возможно и применение USB-токенов). Один раз привязав аккаунт к системе, пользователь сможет авторизовываться на сайте, отсканировав палец или сетчатку глаза.
Систему аутентификации, описанную Барреттом, разрабатывает альянс Fast IdentityOnline (FIDO). В него входят компании, занимающиеся вопросами компьютерной безопасности, системные интеграторы и интернет-компании. Барретт — президент альянса.
В основе системы, подчеркивают разработчики, будут лежать открытые стандарты, благодаря чему она сможет использоваться в Сети повсеместно.
Барретт предсказал, что «устройства аутентификации», поддерживающие систему FIDO, появятся уже в 2013 году — в том числе и в мобильных телефонах. Полностью система вытеснит традиционные пароли, по его оценке, через несколько лет. Барретт уточнил, что внедрить у себя FIDO планирует и PayPal.
Электронная платежная система PayPal является подразделением компании eBay, владеющей одноименным интернет-аукционом. В PayPal зарегистрированы 128 миллионов активных аккаунтов; система работает более чем в 190 странах.
На рынке уже имеются устройства — в частности, ноутбуки — со встроенными сканерами отпечатков пальцев, однако повсеместного распространения такие приборы пока не получили. Сканеры, как правило, используются в качестве одного из этапов многофакторной аутентификации.
Комментирование разрешено только первые 24 часа.
Комментарии(83):
| 1 +1−0 | Ал Хр | 23:14:54 12/05/2013 | ||||||
| ||||||||
Палец просто сразу в морозильник и им можно пользоваться ещё несколько месяцев. | ||||||||
| 1 +1−0 | Паша Тявин | 22:46:34 12/05/2013 |
Я склоняюсь к решению вроде lastpass , когда все пароли у тебя, и доступны под одним мастер паролем. | ||
| 1 +3−2 | sasha school | 22:36:00 12/05/2013 |
да пошли они со своими "инновационными! идеями..вы что не понимаете, что это один из этапов зомбирования и манипулирования людьми. они уже (гос-во) столько подкатов к народу разных делали насчёт встраиваемых чипов в кожу, и всегда находят этому оправдания. | ||
| 1 +1−0 | Пётр Сивцов | 22:16:15 12/05/2013 | ||||||
| ||||||||
Какие мышки, люди уже тройку лет как в планшеты чем ни попадя тычут. Вспомнилось, был один сканер пальца на работе для учета прихода Так вот у мужиков норм считывал, а девушек - с сотой попытки. Выхожу покурить, а там коллега женского пола уже полчаса (не для красного словца!) стоит и натурально уже плачет перед сканером. Директор увидел это безобразие, устыдился да и убрал нафиг. | ||||||||
| 1 +1−0 | Павел Лапанов | 22:11:33 12/05/2013 | ||||||
| ||||||||
А если сделать палец с подогревом:) | ||||||||
| 1 +1−0 | Серёжа Смирнов | 21:52:58 12/05/2013 |
В Москве на Калужской есть торговый центр "Калужский". В нём раньше на 3 этаже был компьютерный клуб, постоянно приходили туда с друзьями и играли в доту и контрстрайк. Так там (а это было лет 8 назад) система оплаты компьютера была удивительна - регистрируешься один раз за 100 рублей и активируешь свой аккаунт отпечатком пальцев. То есть положил себе на счёт 2 часа времени, отсидел час и ушел. Вследующий раз садишься за любой комп, прикладываешь палец, 8-10 секунд и ты досиживашь своё время. Шикарно удобно! Жаль они переехали в другое место, добираться стало совсем неудобно, перешли дружно на Тишинку, пока не надоело ) | ||
| 1 +1−0 | Михаил Макаров | 21:51:57 12/05/2013 | ||||||
| ||||||||
А стоимость этих систем? И потом, сканирование папиллярного рисунка не предполагает определения ДНК, химсостава пота, тепла руки и прочих параметров, главное - чтобы рисунок сошелся и к сканеру было приложено нечто пальцеподобное. Переведите папиллярный узор с листа бумаги на латексную подушку - получится тот же палец. В любом случае, эмулятор пальца создать - плевое дело, было б желание. | ||||||||
| 1 +1−0 | Ахмед Рамозанов | 21:41:20 12/05/2013 | ||||||
| ||||||||
Теперь это у вас так называется? =D | ||||||||
| 1 +2−1 | Пётр Сивцов | 21:34:17 12/05/2013 |
Лучше анального чипирования пока ничего не придумали. | ||
| 1 +1−0 | Российский Сыр | 21:29:34 12/05/2013 | ||||||
| ||||||||
Только токены, только хардкор Ссылка на en.wikipedia.org | ||||||||
| 1 +1−0 | Российский Сыр | 21:25:19 12/05/2013 | ||||||
| ||||||||
ИМХО лучше RSA ключей не видел - пароль меняется раз в минуту, фиг подберёшь ;) Ссылка на ru.wikipedia.org | ||||||||
| 1 +3−2 | Михаил Макаров | 21:11:27 12/05/2013 |
Да-да, пусть вместо пароля будет сканер отпечатков пальцев! Тогда каждый желающий у всех соседей сможет с карточек бабло снять! Всего-то и надо - немного тонера, чернил или железной пудры да лист бумаги - и вуаля! Пароль получен! С логином и то больше заморочек будет! :/ | ||
| 0 +0−0 | Скрут Аальмар | 12:36:30 15/05/2013 | ||||||
| ||||||||
Там идея не в этом. Там сайт запрашивает стороннее средство авторизации. А уж оно дает ответ. Т.е. база в одном месте. | ||||||||
| 0 +0−0 | Скрут Аальмар | 12:35:34 15/05/2013 | ||||||
| ||||||||
У соседей - да. Но попробуй узнать что Пипас Безпардонный - это именно твой сосед. | ||||||||
| 0 +0−0 | Скрут Аальмар | 12:33:17 15/05/2013 | ||||||
| ||||||||
Все просто: железяка не отсылает в комп отпечатки. На нее приходит открытый ключ с места запроса, она этим ключом шифрует ответ, и отсылает его обратно. Т.е. для того, чтобы узнать пароль, вам нужно будет создать свой сайт-мошенник. Вот от сайтов-мошенников защитится гораздо сложнее. | ||||||||
| 0 +0−0 | dfgsdfg klasdlfw | 12:02:59 13/05/2013 | ||||||
| ||||||||
Во во бандиты будут не в курсе. | ||||||||
| 0 +0−0 | dfgsdfg klasdlfw | 12:01:56 13/05/2013 | ||||||
| ||||||||
Человек просто решил заработать, внушая всем что создать криптоустойчивый пароль невозможно априори. | ||||||||
| 0 +0−0 | dfgsdfg klasdlfw | 11:56:26 13/05/2013 |
"Двухэтапные системы аутентификации (когда помимо логина и пароля нужно ввести, например, присланный в SMS код подтверждения), применяемые многими интернет-компаниями, Барретт назвал «мечтой для регулятора, но кошмаром для пользователя»." Т.е. ввести код из sms является кошмаром для пользователя? Сочувствую его вселенной, в которой все немного по другому. | ||
| 0 +0−0 | Стас Юрьев | 11:34:36 13/05/2013 |
Сразу вспоминается эпизод из Demolition Man, где герой Уесли Снайпса сбегает из тюрьмы, поднеся к сканеру сечатки вырезанный глаз директора. | ||
| 0 +0−0 | Alexey Sinicyn | 11:11:27 13/05/2013 |
То есть, если раньше метод термального метода теоретически можно было выдержать и не выдать пароли, то теперь достаточно иметь тушку привязанную к кровати на капельнице. | ||