scrat
24.05.2007, 16:33
Двухуровневая система подтверждения доступа намного лучше, чем одноуровневая, но по мере роста её популярности фишеры также предпримут меры и начнут работать в реальном времени, утверждает исследователь безопасности Symantec Зулфикар Рамзан (Zulfikar Ramzan).
Второй уровень предполагает одноразовые кратковременные пароли, генерируемые специальным брелоком по определённому алгоритму. Приблизительное время действия пароля может ограничиваться 30 секундами — 1 минутой. С повсеместным внедрением таких систем фишеры не смогут сутками собирать пароли через подставные сайты.
Однако столь выгодное занятие, как кража реквизитов, не будет оставлено, и мошенники начнут действовать в реальном времени, говорит специалист. «Если двухфакторные жетоны станут преобладать, я предполагаю, что фишеры изменят „игру“ и больше атак будет проводиться в реальном времени».
Скорее всего, фишеры лишатся автоматизации, и для каждого случая кражи реквизитов потребуется оператор, который будет вводить пароль и перехваченное число с брелока в реальную систему. Но это не единственная проблема для фишеров. Сложность для мошенничества будут представлять также системы определения подлинности сайтов, как встроенные в браузер, так и внешние, на основе панелей и подключаемых модулей. Правильно настроенные IE, Firefox или Opera, по словам Рамзана, сами по себе довольно эффективны для защиты от фишинга.
источник (http://www.securitylab.ru/news/296445.php)
Второй уровень предполагает одноразовые кратковременные пароли, генерируемые специальным брелоком по определённому алгоритму. Приблизительное время действия пароля может ограничиваться 30 секундами — 1 минутой. С повсеместным внедрением таких систем фишеры не смогут сутками собирать пароли через подставные сайты.
Однако столь выгодное занятие, как кража реквизитов, не будет оставлено, и мошенники начнут действовать в реальном времени, говорит специалист. «Если двухфакторные жетоны станут преобладать, я предполагаю, что фишеры изменят „игру“ и больше атак будет проводиться в реальном времени».
Скорее всего, фишеры лишатся автоматизации, и для каждого случая кражи реквизитов потребуется оператор, который будет вводить пароль и перехваченное число с брелока в реальную систему. Но это не единственная проблема для фишеров. Сложность для мошенничества будут представлять также системы определения подлинности сайтов, как встроенные в браузер, так и внешние, на основе панелей и подключаемых модулей. Правильно настроенные IE, Firefox или Opera, по словам Рамзана, сами по себе довольно эффективны для защиты от фишинга.
источник (http://www.securitylab.ru/news/296445.php)