Дата премьеры системы: | 2017 |
Технологии: | ИБ - Аутентификация |
Как известно, SMS-сообщения уже достаточно давно считаются ненадежным способом двухфакторной аутентификации. Еще в 2016 году Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ[1], согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. Специалисты NIST вообще назвали эту практику «недопустимой» и «небезопасной»[2].
Наиболее распространенной альтернативой SMS-сообщениям и голосовым звонкам являются аппаратные токены (наподобие известных YubiKey). Но специалисты из международного университета Флориды, совместно с Bloomberg, представили осенью 2017 года (PDF) альтернативное решение: систему Pixie. Разработчики утверждают, что Pixie надежнее даже аппаратных решений.
Работает Pixie предельно просто. Пользователю понадобится выбрать как-либо предмет, который и станет «ключом» для осуществления двухфакторной аутентификации. Затем Pixie попросит сделать несколько фотографий выбранного объекта. После этого, каждый раз, когда пользователю нужно где-то авторизоваться, он должен будет сделать еще одну фотографию ключевого предмета, которое Pixie сравнит с предыдущими.
Разработчики поясняют, что только сам пользователь знает, что именно является ключевым предметом, а значит, скомпрометировать процесс двухфакторной аутентификации в данном случае практически невозможно. Здесь не получится обойтись перехватом SMS-сообщений или эксплуатацией уязвимостей в протоколе SS7. К тому же пользователь может сделать «ключом» фотографию абсолютно предмета, использовать фото под определенным углом или фотографию какой-то определенной части объекта.
При этом Pixie демонстрирует крайне низкое количество ложноположительных срабатываний. Так, из 14,3 млн попыток брутфорса ложноположительные срабатывания произошли только в 0,09% случаев. Еще один несомненный плюс – Pixie не передает пользовательские данные на удаленные серверы, все аутентификационные процессы происходят непосредственно на самом устройстве.
Примечания
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (54)
Инфосистемы Джет (48)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (833)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
Индид, Indeed (ранее Indeed ID) (8)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
TUV Austria (2)
Солар (ранее Ростелеком-Солар) (2)
Другие (34)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 55)
FalconGaze (Фалконгейз) (1, 38)
СэйфТек (SafeTech) (6, 37)
Аладдин Р.Д. (Aladdin R.D.) (19, 27)
Visa International (2, 26)
Другие (460, 225)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
Shenzhen Chainway Information Technology (1, 2)
СэйфТек (SafeTech) (1, 2)
1IDM (АйТи Солюшнз) (1, 1)
Right line (Райт лайн) (1, 1)
VK (ранее Mail.ru Group) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 44
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 22
Avanpost IDM Access System - 20
Другие 266
PayControl - 3
МегаФон Мобильный ID - 2
ОТР.Опора - 1
Shenzhen Chainway C-серия RFID-считывателей - 1
JaCarta Authentication Server (JAS) - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed PAM - Indeed Privileged Access Manager - 2
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1