В недавнем топике про украденные Яндекс-деньги (Яндекс.Деньги мошенничество), который раз встал вопрос о краже паролей, клавиатурных логгерах, троянах и о том, как можно обезопасить себя от этих неприятностей.
Так как понятно, что даже сложный, но постоянный пароль злоумышленник может увести и тихо воспользоваться в своих интересах, встает вопрос о приобретении чего-то, что похитить или скопировать будет достаточно трудно. Иными словами, встает вопрос о двухфакторной аутентификации, т.е. подтверждении своей подлинности не только некоторым знанием, но и некоторой вещью, связанной с пользователем.
Например, в вышеупомянутой статье в качестве дополнительного фактора упоминались: телефон с уникальным номером, на который приходят SMS, пластиковые карточки с кодами и чип-устройства для генерации одноразовых паролей.
Стоить отметить, что одноразовые пароли при своей простоте оказываются достаточно эффективны и набирают популярность. С этой целью сообществом OATH разработаны стандарты TOTP и HOTP, выпускаются устройства и даже рекламируются на Хабре (Использование USB ключей YubiKey).
Давайте посмотрим, как обстоят дела в облачных сервисах Amazon и попутно будет представлен небольшой сюрприз.
Читать полностью »
