Wiadomości
Aplikacja mobilna do oszukiwania napastników
TAGI:
hasło
Fraunhofer Institute for Secure Information Technology z Niemiec sprzedaje aplikację komórkową, która zapewnia unikatowe mechanizmy przechowywania haseł do różnych usług i aplikacji.
Aplikacja MobileSitter przechowuje hasła, PINy i TANy (Transaction Authentication Number), które są szyfrowane i udostępniane użytkownikowi po wprowadzeniu hasła nadrzędnego.
Zagrożenia związane z przechowywaniem haseł przez takie aplikacje polega na tym, że istnieją metody uzyskania hasła nadrzędnego przez napastnika. Może wykorzystać atak brute-force lub słownikowy, w których specjalny program generuje automatycznie różne kombinacje znaków w celu odgadnięcia hasła metodą prób i błędów. Niektóre aplikacje przechowujące hasła nie ograniczają liczby prób wprowadzenia niewłaściwego hasła.
Natomiast MobileSitter zawsze zwraca odpowiedź niezależnie od tego, czy wprowadzone hasło nadrzędne jest właściwe czy nie. Jeżeli zapamiętano np. PIN karty debetowej o wartości "5555", ale wprowadzone hasło nadrzędne jest niewłaściwe, aplikacja "odszyfruje" wartość tego PIN w oparciu o wprowadzone niewłaściwe hasło, podając np. "8901".
Formalna odpowiedź na każde wprowadzone hasło jest wydawana niezależnie czy jest ono prawdziwe czy fałszywe. W takiej sytuacji napastnik nie wie czy otrzymana wartość jest poprawna, dopóki nie spróbuje z niej skorzystać.
Autoryzowany użytkownik MobileSitter może także zdefiniować reguły określające formę zwracanej, odszyfrowanej informacji. Reguła taka może np. zwracać wyłącznie czterocyfrowy PIN po zażądaniu informacji niewłaściwym hasłem nadrzędnym, niezależnie od tego czy przechowywane hasło skład się z samych cyfr czy z dowolnych znaków.
Z kolei, gdy sam użytkownik wprowadzi niewłaściwe hasło, aplikacja wyświetli ikonę, którą użytkownik wybrał w czasie tworzenia swojego hasła nadrzędnego. Taka ikona informuje użytkownika o wprowadzeniu błędnego hasła, natomiast napastnik nie zna jej znaczenia.
Aplikacja jest kompatybilna z telefonami obsługującymi Java, dopuszczającymi dostęp do systemu plików w telefonie. Sprzedawana jest na witrynie Fraunhofer za 9,9 Euro. W tym roku ma pojawić się jej wersja dla iPhone, przygotowywana jest też na platformę Android.
Zagrożenia związane z przechowywaniem haseł przez takie aplikacje polega na tym, że istnieją metody uzyskania hasła nadrzędnego przez napastnika. Może wykorzystać atak brute-force lub słownikowy, w których specjalny program generuje automatycznie różne kombinacje znaków w celu odgadnięcia hasła metodą prób i błędów. Niektóre aplikacje przechowujące hasła nie ograniczają liczby prób wprowadzenia niewłaściwego hasła.
Natomiast MobileSitter zawsze zwraca odpowiedź niezależnie od tego, czy wprowadzone hasło nadrzędne jest właściwe czy nie. Jeżeli zapamiętano np. PIN karty debetowej o wartości "5555", ale wprowadzone hasło nadrzędne jest niewłaściwe, aplikacja "odszyfruje" wartość tego PIN w oparciu o wprowadzone niewłaściwe hasło, podając np. "8901".
Formalna odpowiedź na każde wprowadzone hasło jest wydawana niezależnie czy jest ono prawdziwe czy fałszywe. W takiej sytuacji napastnik nie wie czy otrzymana wartość jest poprawna, dopóki nie spróbuje z niej skorzystać.
Autoryzowany użytkownik MobileSitter może także zdefiniować reguły określające formę zwracanej, odszyfrowanej informacji. Reguła taka może np. zwracać wyłącznie czterocyfrowy PIN po zażądaniu informacji niewłaściwym hasłem nadrzędnym, niezależnie od tego czy przechowywane hasło skład się z samych cyfr czy z dowolnych znaków.
Z kolei, gdy sam użytkownik wprowadzi niewłaściwe hasło, aplikacja wyświetli ikonę, którą użytkownik wybrał w czasie tworzenia swojego hasła nadrzędnego. Taka ikona informuje użytkownika o wprowadzeniu błędnego hasła, natomiast napastnik nie zna jej znaczenia.
Aplikacja jest kompatybilna z telefonami obsługującymi Java, dopuszczającymi dostęp do systemu plików w telefonie. Sprzedawana jest na witrynie Fraunhofer za 9,9 Euro. W tym roku ma pojawić się jej wersja dla iPhone, przygotowywana jest też na platformę Android.
Komentarze (2)
polecam program SafeCase !
przecież takie coś już jest od dawna w telefonach Sony-Ericsson
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- 2012 - rok przełomowy dla internetu?
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...