Новая методика предлагает хранить фрагменты паролей в разных локациях

Кирилл Токарев 11 Октября 2012 - 19:27

Малый и средний бизнес

Общее

RSA

Системы защиты личных данных

Системы аутентификации

Средства криптографической защиты информации

Потеря данных

Утечки информации

Авторизация

...

Одна из центральных проблем современной компьютерной безопасности заключается в необходимости защищать все возрастающее количество пользовательских данных от огромного количества потенциальных угроз. Исследователи из компании RSA предложили новый метод сохранения паролей от жизненно важных потребительских сервисов. Новая методика подразумевает разделение пароля на несколько фрагметров и хранение их в разных местах. С точки зрения пользователя при применении данной системы ничего не изменится: вы просто будете заходить на сайт, вводить пароль и нормально заходить в сервис.

А вот аутентификация на стороне сервера будет работать иначе. Сейчас, когда вы передаете пароль на вебсайт, он просто шифруется каким-то образом. Сервер не хранит ваш пароль в виде обычного текста, но хранит его шифрованный вариант. Однако вся эта криптографическая информация может быть по идее взломана и прочитана хакерами.

Предложение RSA предполагает наличие системы, которая сможет разбивать пароль на две половины, а затем хранить каждую из них в разных местах. Возможно, на другом жестком диске в том же дата-центре, а возможно и на другом конце земного шара. Две части пароля тоже шифруются.

Разделение пароля между разными серверами гарантирует, что если сервер был скомпрометирован, то хакеры не получат ничего кроме бесполезной половины шифра, которую попросту невозможно расшифровать без второй части. Получить пароль в таком случае попросту невозможно. При этом шифрование половинок пароля будет периодически меняться, что еще больше ограничит из полезности при попытках взломать базы данных.

На реальный мир такой подход может отразиться по-разному. Положительные последствия RSA-метода – предотвращение взлома и почти полная гарантия безопасности. Плохие новости заключаются в том, что эффективность этой методики во многом зависит от того, как она была реализована на сайте. Если подойти к шифрованию спустя рукава, то даже разделение пароля не поможет.

Тем не менее, методика RSA закрывает одну очень серьезную брешь в системе, к тому же, данная система может отлично масштабироваться: вместо двух серверов вы можете использовать четыре или больше мест для хранения фрагментов паролей.

предложили новый метод сохранения паролей от жизненно важных потребительских сервисов. Новая методика подразумевает разделение пароля на несколько фрагметров и хранение их в разных местах. С точки зрения пользователя при применении данной системы ничего не изменится: вы просто будете заходить на сайт, вводить пароль и нормально заходить в сервис.

" />

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 01 Апреля 2025 - 21:37

Мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Президент подписал закон о противодействии телефонному мошенничеству

Президент России подписал закон «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации».

Документ уже размещен на Портале официального опубликования правовых актов. Он получил номер 41-ФЗ.

Данный закон был принят Госдумой на прошлой неделе. Он был анонсирован в конце 2024 года и внесен в нижнюю палату в феврале.

Закон предусматривает целый ряд требований к банкам и операторам связи. Так, банки теперь обязаны дать возможность клиенту по первому требованию наделить третье лицо правом утверждать проведение операций, связанных с переводом и снятием средств со счетов. Также банки могут ограничивать суммы выдачи наличных и переводов.

Также вводится обязательная маркировка звонков от организаций. Массовые обзвоны допускаются только при получении от абонента согласия на это, которое можно отозвать по первому требованию.

Также данный закон запрещает использование зарубежных мессенджеров для информирования граждан банками, иными субъектами национальной платежной системы, стразовыми компаниями, пенсионными фондами, госучреждениями, операторами связи, онлайн-сервисами с аудиторией более 500 тыс. человек и все компании с долей государства 50% и более.

Разные положения закона вступают в силу в разные сроки.