Напоследък много онлайн услуги като банки, онлайн магазини, социални мрежи и платформи за разработка на софтуер започнаха да използват технологията Passkey за защита на акаунтите вместо традиционните пароли.
Passkey е технология за удостоверяване, която се основава на криптографски ключове, съхранявани на устройството. За разлика от традиционните пароли, Passkey осигуряват най-високо ниво на сигурност, тъй като са уникални за всяко устройство и акаунт.
Трудно е да бъдат разбити или подправени, а освен това са защитени от фишинг, тъй като са свързани с конкретен сайт или услуга. Въпреки предимствата на технологията Passkey, според изследователя Джо Стюарт от eSentire тези мерки за сигурност не защитават от атаки Adversary-in-the-Middle (AitM), които лесно могат да заобиколят удостоверяването с Passkey.
Adversary-in-the-Middle (AitM) е атака, при която хакерът се вмъква между две устройства или системи в мрежата, за да прихване, модифицира или да се намеси в предаването на данни между тях.
Проблемът не е в самата технология Passkey, а в нейното прилагане и необходимостта от резервни варианти за удостоверяване. Много сайтове предлагат по-малко сигурни начини за възстановяване на акаунт при загуба на Passkey или устройство.
На свой ред, по време на AitM атака нападателите могат да се възползват от това, като например променят външния вид на екрана за удостоверяване за дадена услуга, така че на потребителя изобщо да не бъде предоставен избор за удостоверяване чрез Passkey.
Как работят AitM атаките
Хакерът се „промъква“ между потребителя и легитимния сайт, до който се опитва да получат достъп, като променя HTML, CSS и JavaScript на страницата за вход. Това му позволява да контролира процеса на удостоверяване и да премахне всяко споменаване на Passkey, като остави само по-малко сигурните варианти, които могат лесно да бъдат прихванати.
Експертът от eSentire дори даде реален пример, в който използва софтуера Evilginx, за да модифицира страницата за вход в GitHub, като премахне опцията за влизане с Passkey, принуждавайки потребителя да въведе традиционно потребителско име и парола. Той също така отбеляза, че проблемът засяга не само GitHub и Microsoft, но и повечето големи търговци на дребно и облачни услуги.
Изследователят подчертава, че атаката чрез редактиране на страници за вход не е директна уязвимост на Passkey. Подобни атаки по-скоро са показателни за незрялостта на методите за удостоверяване като цяло. Много потребители не са запознати с Passkey и може да не разпознаят манипулирането на страницата за вход. В същото време разработчиците може да не са наясно как AitM атаките променят външния вид на страницата за вход.
За подобряване на сигурността той препоръчва използването на Magic Link за възстановяване на достъпа до акаунта, когато на електронната поща на потребителя се изпрати уникална временна връзка, която му позволява да влезе автоматично, без да взаимодейства с фишинг прозорец за въвеждане на данни.
Всичко важно от света на технологиите, директно в пощата ти.
С абонирането приемате нашите Условия и Политика за поверителност. Може да се отпишете с един клик по всяко време.
Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Google Новини, TikTok, Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iPhone, Huawei, Google Chrome, Microsoft Edge и Opera!
