Content
Latvijā izstrādāts “CaptureIn” unikāls risinājums paroļu aizstāšanai
Kategorija: Datu drošība
Šodien viens no lielākajiem Latvijas IT nozares uzņēmumiem SIA DPA Rīgas IT Demo centrā atklāja sava jaunā risinājuma CaptureIn demo stendu. CaptureIn ir jauna unikāla DPA tehnoloģija — iOS un Android ierīcēm paredzēta mobilā aplikācija, kas nodrošina pilnīgu paroļu aizvietošanu tiešsaistes vidē.
Aigars Jaundālders, SIA DPA Jaunu biznesa virzienu attīstības vadītājs: „CaptureIn ir izstrādāts, atbildot uz šī laikmeta drošības riskiem, kā arī patērētāju pieaugošo neapmierinātību ar parolēm un dažādiem nepilnīgiem līdz šim piedāvātiem risinājumiem, kas nespēja piedāvāt uzlabotu drošības līmeni, bet sarežģīja lietotāju ikdienu. Šī ir unikāla, inovatīva un patentēta tehnoloģija, lai pilnībā atteiktos no parolēm un risinātu ar tām saistītos drošības riskus, kā arī platforma tālākai inovācijas pielietošanai gan korporatīvajā vidē, gan ikdienā.”
Jānis Endziņš, Latvijas Tirdzniecības un rūpniecības kameras (LTRK) valdes priekšsēdētājs: „Latvijā ir izcili eksperti un uzņēmumi, kas spējīgi radīt veiksmes stāstus – produktus, kas balstīti uz inovācijām, jaunākajām tehnoloģijām un varētu kļūt par eksportspējīgiem un pieprasītiem ārpus mūsu valsts robežām. Nesot Latvijas vārdu pasaulē, šādi produkti piesaistītu ne tikai starptautisku uzmanību, bet arī jaunas investīcijas. CaptureIn risinājums ir lielisks piemērs tam, ka arī Latvijai ir pietiekama kapacitāte radīt savu analogu Igaunijas Skype panākumiem.”
CaptureIn risinājums ir piemērots jebkur, kur nepieciešama parole un ir pieejams tiešsaistes termināls, un tas darbojas ar jebkuru iPhone un Android viedtālruni un neprasa nekādas papildus ierīces, aprīkojumu vai ieguldījumus – autentifikācija notiek ar viedtālruņa palīdzību noskenējot QR kodu pakalpojuma sniedzēja mājas lapā.
Šobrīd ar CaptureIn risinājumu ir iespējams iepazīties, reģistrēt un izmēģināt to portālā www.draugiem.lv, aizvietojot šī portāla paroli (QR kods pirmajā lapā). CaptureIn aplikācija bez maksas ir lejupielādējama AppStore (Lejupielāde) un Google Play (Lejupielāde) veikalā. Aplikācijas mājas lapa: http://www.capturein.com.
Pirms novērtēt “Latvijas Skype” potenciālu būtu interesanti palasīt patentētās tehnoloģijas drošības risku analīzi vai vismaz detalizētu tās darbības aprakstu. Diemžēl tāds nav atrodams.
Avoti:
Boot.lv: http://www.boot.lv/tehnologijas-2/internets/latvija-izstradats-parolu-aizstajejs-unikals-risinajums-capturein
2014-01-22 » edgars
Re: Latvijā izstrādāts “CaptureIn” unikāls risinājums paroļu aizstāšanai
22 January 2014 @ 19:30
Arī neredzot protokola aprakstu var nojaust kā tas strādā. Reģistrēšanās fāzē portālam tiek nosūtīta publiskā atslēga, kuru portāls piesaista lietotāja kontam. Katru reizi autorizējoties mobilais telefons paraksta unikālu autentificēšanās pieprasījumu un nosūta portālam pārbaudei. Principā, lai šī lieta strādātu, nav nemaz nepieciešama trešā puse (capturein cloud service).
Tas patents gan diezvai būs derīgs. Zinātniskā literatūra ir pilna ar šādām un daudz advancētākām shēmām, kas nodrošina labākas drošības īpašības (piemēram, MITM aizsardzība). Neviena no šīm shēmām nav guvusi atbalstu galvenokārt dēļ sliktās lietojamības un optimisma trūkuma no lielo spēlētāju puses. Ja pareģot, tad nākotne visdrīzāk pieder Google U2F.
23 January 2014 @ 09:04
Piekrītu raksta autoram. Ja runājam nopietni, tad ir jābūt detalizētai dokumentācijai kā šī autentifikācija strādā, kā tiek garantēta autentifikācijas datu drošība tos pārsūtot, detaļas par kriptogrāfiju, kriptogrāfisko atslēgu drošības aspekti utt.
DPA šo jau prezentēja ISACA konferencē pagājušajā gadā.
Manas personīgās domas tomēr ir tādas, ka šim risinājumam navajadzētu aizstāt paroli (need to know), bet drīzāk kalpot kā vēl vienam variantam kā realizēt drošu divu faktoru autentifikāciju, kurā telefons un tajā esošā aplikācija kalpo kā otrs autentifikācijas faktors (need to have).
23 January 2014 @ 13:08
“Any sensitive data stored on your phone is encrypted and protected by local device protection PIN.”
“šifrēšana ar PIN”
muah :)
23 January 2014 @ 23:01
“Šī ir unikāla, inovatīva un patentēta tehnoloģija”
Un kā tad šis? https://www.grc.com/sqrl/sqrl.htm
23 January 2014 @ 23:49
neiedziļinos, cik SQRL ir līdzīgs CaptureIn, bet, ja jau tas te pieminēts, tad jāpiemin arī kāda no diskusijām http://security.stackexchange.com/questions/43374/could-sqrl-really-be-as-secure-as-they-say
24 January 2014 @ 20:20
Un lielākā daļa izvēlēsies PIN 123456, jo tāds netiek aizliegts :)
29 January 2014 @ 12:59
Tims: Šaubos vai kāds apgalvo, ka SQRL ir kaut kas absolūti drošs. Autorizācija nevar būt pilnīgi droša un ērta vienlaicīgi :) Kaut ko vienmēr nākas upurēt. SQRL gadījumā, manuprāt, šis balanss ir diezgan labs. Lielākā daļa kritikas kas tiek pārmesta SQRL ir par problēmām, ko tas nemaz nemēģina risināt… Lai gan ir protams arī pāris lietas par kurām pārmetumu ir pamatoti. Viens, kas starp citu iespējams attiecas arī uz CaptureIn – ja nu fake lapā parāda svešas lapas QR kods, tad tas var uzbrucējam dot piekļuvi šai svešajai lapai tavā vārdā.
Nick: Arī vienkāršā lietotājs/parole gadījumā paroles cilvēki lielāko ties izvēlas diezgan vienkāršas, bet pat uzliekot dažādus nosacījums parolēm (zinot kādi tie ir, tās ir diezgan viegli uzminamas), nez cik daudziem ir “Parole123!” :)
2 February 2014 @ 22:19
Lai arī kāda ir autentifikācijas protokola shēma, tā ir IBA (Identity Based Authentication), protams lai izvairītos no dārgas PKI infrastrukt;ūras ar X.509 sertifikātiem. Kā mīnuss minams otras puses autentifikācijas trūkums, kas potenciāli sevī slēpj MiTM/Hijacking uzbrukuma iespēju. Kā jau kāds te minēja – kompromiss starp lietojamību un drošību… Lai veicas!