| Дата премьеры системы: | 2017 |
| Технологии: | ИБ - Аутентификация |
Как известно, SMS-сообщения уже достаточно давно считаются ненадежным способом двухфакторной аутентификации. Еще в 2016 году Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ[1], согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. Специалисты NIST вообще назвали эту практику «недопустимой» и «небезопасной»[2].
Наиболее распространенной альтернативой SMS-сообщениям и голосовым звонкам являются аппаратные токены (наподобие известных YubiKey). Но специалисты из международного университета Флориды, совместно с Bloomberg, представили осенью 2017 года (PDF) альтернативное решение: систему Pixie. Разработчики утверждают, что Pixie надежнее даже аппаратных решений.
Работает Pixie предельно просто. Пользователю понадобится выбрать как-либо предмет, который и станет «ключом» для осуществления двухфакторной аутентификации. Затем Pixie попросит сделать несколько фотографий выбранного объекта. После этого, каждый раз, когда пользователю нужно где-то авторизоваться, он должен будет сделать еще одну фотографию ключевого предмета, которое Pixie сравнит с предыдущими.
Разработчики поясняют, что только сам пользователь знает, что именно является ключевым предметом, а значит, скомпрометировать процесс двухфакторной аутентификации в данном случае практически невозможно. Здесь не получится обойтись перехватом SMS-сообщений или эксплуатацией уязвимостей в протоколе SS7. К тому же пользователь может сделать «ключом» фотографию абсолютно предмета, использовать фото под определенным углом или фотографию какой-то определенной части объекта.
При этом Pixie демонстрирует крайне низкое количество ложноположительных срабатываний. Так, из 14,3 млн попыток брутфорса ложноположительные срабатывания произошли только в 0,09% случаев. Еще один несомненный плюс – Pixie не передает пользовательские данные на удаленные серверы, все аутентификационные процессы происходят непосредственно на самом устройстве.
Примечания
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55) Инфосистемы Джет (50) ДиалогНаука (37) Softline (Софтлайн) (36) Информзащита (32) Другие (848) Card Security (Кард Сек) (4) Национальный аттестационный центр (НАЦ) (4) Инфосистемы Джет (3) Softline (Софтлайн) (3) СэйфТек (SafeTech) (3) Другие (52) Индид, Indeed (ранее Indeed ID) (8) Солар (ранее Ростелеком-Солар) (2) Информзащита (2) Deiteriy (Дейтерий) (2) Softline (Софтлайн) (2) Другие (33)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56) СэйфТек (SafeTech) (6, 38) FalconGaze (Фалконгейз) (1, 38) Аладдин Р.Д. (Aladdin R.D.) (20, 27) Visa International (2, 26) Другие (470, 229) СэйфТек (SafeTech) (1, 3) МегаФон (1, 2) Samsung Electronics (1, 1) Аладдин Р.Д. (Aladdin R.D.) (1, 1) Konica Minolta (Коника Минолта) (1, 1) Другие (3, 3) Индид, Indeed (ранее Indeed ID) (3, 8) СэйфТек (SafeTech) (1, 1) Avanpost (Аванпост) (1, 1) Солар (ранее Ростелеком-Солар) (1, 1) Другие (0, 0) Индид, Indeed (ранее Indeed ID) (2, 9) Shenzhen Chainway Information Technology (1, 6) СэйфТек (SafeTech) (1, 4) Аладдин Р.Д. (Aladdin R.D.) (4, 3) RooX Solutions (Рукс Солюшенс) (1, 1) Другие (2, 2) СэйфТек (SafeTech) (1, 3) Shenzhen Chainway Information Technology (1, 2) IT-Lite (АйТи Лайт) (1, 1) АТ бюро (ESMART) (1, 1) КИТ (EPlat4m) (1, 1) Другие (7, 7)Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45 FalconGaze SecureTower - 38 3-D Secure (3D-Secure) - 23 PayControl - 23 Avanpost IDM Access System - 20 Другие 270 PayControl - 3 МегаФон Мобильный ID - 2 Shenzhen Chainway C-серия RFID-считывателей - 1 Konica Minolta Dispatcher Suite - 1 ОТР.Опора - 1 Другие 3 Indeed Access Manager (Indeed AM) - 6 Indeed PAM - Indeed Privileged Access Manager - 2 Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2 Solar webProxy Шлюз веб-безопасности - 1 PayControl - 1 Другие 1 
