Платежная система PayPal намерена "стереть пароли с лица земли". "Мы намерены действительно стереть пароли и PIN-коды с лица земли через несколько лет", - говорит директор по ИТ-безопасности PayPal Майкл Барретт. По его словам, в первую очередь пароли подлежат уничтожению в корпоративных внутренних сетях. С таким заявлением на этой неделе в рамках конференции Interop в Лас-Вегасе выступил Барретт. Второй работой Барретта является должность президента в недавно созданном альянсе FIDO Alliance, который собирается создать открытый стандарт, способный заменить пароли. Кроме PayPal в совет директоров FIDO Alliance также входят компании Google, Lenovo и другие. FIDO (Fast Identity Online) будет работать, требуя от пользователей аутентификации на их смартфонах и других личных устройствах (а те будут авторизовываться на таких сайтах, как PayPal) через протоколы FIDO. "Существует FIDO-клиент или FIDO-стэк, который должен присутствовать на устройства. Это программное обеспечение, которое по внутренним механизмам обращается к серверу. К примеру, вы единожды указываете, что PayPal.com работает через FIDO и единожды авторизуетесь, пройдя специальный процесс. После того, как вы зайдете к нам на сайт, мы будем пинговать устройство", - говорит он. Клиентское устройство может по-разному принимать аутентификационную информацию от пользователя - через отпечатки пальцев или сканов сетчатки глаза. "Преимущество заключается в том, что вы авторизуетесь на устройстве, а устройство безопасно и автоматически заходит на сайты. Данные для аутентификации хранятся только на вашем устройстве и не покидают его", - говорит Барретт. По его словам, первые устройства с поддержкой FIDO появятся уже в этом году. Это станет возможным, когда смартфоны получат сканеры отпечатков пальцев (ранее появились слухи о том, что в новом iPhone может появиться подобный сканер, Android-экосистема также движется в этом направлении). Технически, FIDO-аутентификатором может быть и что-то другое: скан лица, специальный USB-носитель или некая последовательность аутентификации. Еще одним преимуществом системы является то, что пользователь сам может устанавливать нюансы авторизации, решать, как часто у него запрашиваются данные на вход, а также добавлять те самые пароли для еще большей стойкости системы опознания легального пользователя. В будущем также планируется создать своего рода доверенные центры FIDO, где в репозиториях будет храниться информация о ключах и получаться различными пользователями и сайтами. Это необходимо если у пользователя есть множество FIDO-реквизитов. В PayPal говорят, что у FIDO есть несколько преимуществ перед обычными паролями и логинами. Во-первых, система сама управляет аутентификацией на десятках сайтов, во-вторых аутентификационные данные не покидают пользовательского устройства, а в-третьих, пользователь может сам настраивать, что именно использовать в качестве индентификатора. http://www.cybersecurity.ru/crypto/174708.html 12.05
PayPal: Сканер отпечатков пальцев в iPhone 5S заменит логины и пароли в Интернете PayPal: Сканер отпечатков пальцев в iPhone 5S заменит логины и пароли в Интернете Согласно определению, данному американской Ассоциацией биометрии, биометрический идентификатор — это измеримая физическая характеристика, используемая для распознавания или подтверждения личности пользователя. Такие характеристики могут быть получены, в частности, при помощи сканеров отпечатков пальцев. По сообщению источников, знакомых с ситуацией, следующее поколение смартфонов iPhone будет оснащено дактилоскопическим сенсором. Телефон получит специальный аппаратный модуль, который будет осуществлять сканирование отпечатков пальцев. Руководитель отдела IT-безопасности компании PayPal Майкл Баннер убежден, что iPhone 5S станет решением проблемы идентификации пользователей в Интернете. В интервью изданию MacWorld эксперт заявил, что логины и пароли в Интернете «отжили свое». У каждого пользователя есть десятки, если не сотни, учетных записей на разных сайтах. При этом люди склонны использовать одни и те же пароли для разных сервисов, что в несколько раз снижает уровень безопасности. Биометрическая идентификация решит эту проблему раз и навсегда. Баррет возглавляет организацию Fast IdentityOnline Alliance, цель которой — кардинально изменить систему виртуальной идентификации с помощью стандартизированного открытого протокола. FIDO начала свою деятельность в феврале 2013 года, и спрос на услуги компании, по словам Баррета, чрезвычайно высок. Эксперт считает, что выход iPhone 5S со встроенным сканером отпечатков пальцев станет новой вехой в развитии систем безопасности в Интернете. Впрочем, пароли в Интернете не исчезнут моментально, полагает Баррет. Технология будет развиваться постепенно и перед началом широкой реализации должно пройти еще несколько лет. 11.05.2013 Источник © MacDigger
Детально не читал. То есть можно будет написать себе приложение, которое тоже будет использовать авторизацию по отпечатку. Сохраняем отпечатки - подставляем в другие сервисы? ) Если даже все и хранится на устройстве и общается по "закрытому" каналу, все равно мне кажется найдется способ манипулировать всем этим. Мне даже двойная авторизация пароль \ смс, кажется более надежной чем эта.
На данный момент я действительно надежным методом считаю подтверждение каждой операции по СМС.Тут ничего не поможет кроме лома или соц. инжинерии, которая сработает только совсем на конченных идиотах. Конечно, подтверждение отпечатком создаст свои проблемы, но и отпечаток пальца другого человека можно каким-то образом получить(к примеру, с помощью фейка или установки трояна). Причем пароль можно сменить, а отпечаток нельзя. Уже предвещаю заголовки "Отпечатки пальцев 100 000 пользователей ****.com утекли в сеть ".
И что это дает. Ничего... (одно дело экспериментировать с собственным пальцем и совсем другое пытаться таким образом проникнуть/взломать какую-то систему и уж тем более не известного человека - где ты возьмешь его пальчики?) зы. Ну ладно бы кто-то сказал, что можно потоптаться перехватить данные, но чтобы так извращаться и выстраивать какие-то нелепые теории...
А можно ли будет купить отрезаный палец и использовать его для аутентификации? А то свой палец светить как-то не анонимно Даже на паблик бордах предлагают услугу перехвата СМС, не знаю уж, на сколько это реально, но, видимо, вполне возможно.
Я по сути мало чего понял, может объясните схему работу. Я не могу использовать сканер отпечатков пальцев айфона например на своем сайте? Не вдавался в подробности схемы работы авторизаций по отпечатку пальцев, но предполагаю: При регистрации пользователя сканер дает некие данные, унифицирующие отпечаток \ человека, я их сохраняю в бд. При авторизации сверяю с бд. Что мешает мне полученные "данные" отправить на другой сервис, которые используют этот же сканер отпечатков?
только вот отпечаток надо чем то сканировать, и не все будут спец устройства сканирования брать для этого
