SiteKey
SiteKey (англ. SiteKey) — это веб-ориентированная система обеспечения безопасности, представляющая собой одну из форм взаимной аутентификации между конечными пользователями и веб-сайтами. Основное предназначение SiteKey — предотвращение фишинга[1][2].
SiteKey была внедрена рядом крупных финансовых учреждений в 2006 году, в том числе Bank of America[3]. Банк прекратил использование SiteKey в 2015 году[1].
Первоначальный разработчик системы, компания PassMark Security, был приобретён RSA Security в апреле 2006 года за 44,7 млн долларов[4]. В настоящее время бренд RSA и активы принадлежат независимой компании RSA Security LLC, контролируемой консорциумом Symphony Technology Group (STG) и Clearlake Capital Group[5].
Принцип работы
SiteKey использует следующую схему запроса-ответа[6][7]:
- Пользователь «идентифицирует» (но не аутентифицирует) себя на сайте, вводя имя пользователя (без пароля). Если имя пользователя действительно существует, сайт продолжает обработку.
- Если в браузере пользователя отсутствует клиентский токен состояния (например, веб-куки или Flash-куки) от предыдущего посещения, пользователю задают один или несколько «контрольных вопросов», которые он указал при регистрации на сайте, например: «В какой школе вы учились последней?»
- Сайт аутентифицирует себя перед пользователем, отображая изображение и/или сопроводительную фразу, которые пользователь задал ранее. Если пользователь не узнаёт их как свои, следует предположить, что сайт — фишинговый, и немедленно прекратить работу с ним. Если пользователь узнаёт изображение/фразу, он может считать сайт подлинным и продолжить работу.
- Пользователь аутентифицирует себя перед сайтом, вводя свой пароль. Если пароль не подходит для указанного имени пользователя, процесс начинается заново. Если пароль подходит, пользователь считается аутентифицированным и получает доступ.
Если пользователь находится на фишинговом сайте с другим доменом, браузер не отправит токен состояния на этапе (2); владелец фишингового сайта будет вынужден либо не выводить корректные изображения/фразы, либо запросить у пользователя ответы на контрольные вопросы (полученные с легитимного сайта) и передать их далее. Теоретически это может насторожить пользователя, ведь требование заново ответить на личные вопросы при недавнем посещении легитимного адреса кажется подозрительным. Однако на практике, согласно исследованиям, пользователи редко замечают подобные аномалии.
В дальнейшем алгоритм SiteKey был интегрирован с платформой RSA Adaptive Authentication, ключевым компонентом которой выступал RSA Risk Engine. Эта система динамически оценивала риск каждой попытки входа на основе профилирования устройства (включая анализ IP-адреса, геолокации, версии операционной системы и типа браузера) и поведенческого анализа (учитывающего время входа, скорость набора текста и движения мыши)[8].
Если рассчитанный уровень риска превышал установленный порог, применялась повышенная аутентификация (step-up). В таких случаях система требовала дополнительной внеполосной проверки, такой как отправка одноразовых паролей по SMS или совершение телефонных звонков[8].[9]
Недостатки
Исследование 2007 года «The Emperor's New Security Indicators», проведённое специалистами, связанными с Гарвардским университетом[10][11], показало высокую неэффективность системы: 92 % пользователей ввели свой пароль при простом удалении изображения SiteKey со страницы входа, а когда изображение было заменено сообщением об обновлении системы, пароль ввели 97 % участников. Подобные результаты объясняются психологическим феноменом «слепоты по невниманию» (англ. inattentional blindness). Поскольку основная цель пользователя заключается во вводе пароля, его внимание сосредоточено на этой задаче, из-за чего он игнорирует отсутствие визуальных индикаторов безопасности[12][13].
Исследования показали, что основная проблема SiteKey заключалась не в когнитивной нагрузке на память, а в игнорировании пользователями этапа проверки[14]. Кроме того, система имела критическую уязвимость к атакам «человек посередине» (MitM): злоумышленник мог проксировать запросы к легитимному банку, получать правильное секретное изображение и отображать его жертве на фишинговом сайте, создавая у неё ложное чувство безопасности.
Прекращение использования
В мае 2015 года Bank of America объявил, что прекратит использование SiteKey для всех пользователей до конца года[1]. Отказ от технологии был продиктован выявленными фундаментальными уязвимостями к атакам «человек посередине» (MitM), о которых эксперты предупреждали ещё с 2006—2007 годов[14]. На смену SiteKey в переходный период пришли системы двухфакторной аутентификации, такие как SafePass, использовавшие SMS-коды и аппаратные токены[15]. В дальнейшем индустрия и сама компания RSA перешли к более современным, устойчивым к фишингу стандартам беспарольной аутентификации, таким как FIDO2[16].