SiteKey

SiteKey (англ. SiteKey) — это веб-ориентированная система обеспечения безопасности, представляющая собой одну из форм взаимной аутентификации между конечными пользователями и веб-сайтами. Основное предназначение SiteKey — предотвращение фишинга[1][2].

SiteKey была внедрена рядом крупных финансовых учреждений в 2006 году, в том числе Bank of America[3]. Банк прекратил использование SiteKey в 2015 году[1].

Первоначальный разработчик системы, компания PassMark Security, был приобретён RSA Security в апреле 2006 года за 44,7 млн долларов[4]. В настоящее время бренд RSA и активы принадлежат независимой компании RSA Security LLC, контролируемой консорциумом Symphony Technology Group (STG) и Clearlake Capital Group[5].

Принцип работы

SiteKey использует следующую схему запроса-ответа[6][7]:

  1. Пользователь «идентифицирует» (но не аутентифицирует) себя на сайте, вводя имя пользователя (без пароля). Если имя пользователя действительно существует, сайт продолжает обработку.
  2. Если в браузере пользователя отсутствует клиентский токен состояния (например, веб-куки или Flash-куки) от предыдущего посещения, пользователю задают один или несколько «контрольных вопросов», которые он указал при регистрации на сайте, например: «В какой школе вы учились последней?»
  3. Сайт аутентифицирует себя перед пользователем, отображая изображение и/или сопроводительную фразу, которые пользователь задал ранее. Если пользователь не узнаёт их как свои, следует предположить, что сайт — фишинговый, и немедленно прекратить работу с ним. Если пользователь узнаёт изображение/фразу, он может считать сайт подлинным и продолжить работу.
  4. Пользователь аутентифицирует себя перед сайтом, вводя свой пароль. Если пароль не подходит для указанного имени пользователя, процесс начинается заново. Если пароль подходит, пользователь считается аутентифицированным и получает доступ.

Если пользователь находится на фишинговом сайте с другим доменом, браузер не отправит токен состояния на этапе (2); владелец фишингового сайта будет вынужден либо не выводить корректные изображения/фразы, либо запросить у пользователя ответы на контрольные вопросы (полученные с легитимного сайта) и передать их далее. Теоретически это может насторожить пользователя, ведь требование заново ответить на личные вопросы при недавнем посещении легитимного адреса кажется подозрительным. Однако на практике, согласно исследованиям, пользователи редко замечают подобные аномалии.

В дальнейшем алгоритм SiteKey был интегрирован с платформой RSA Adaptive Authentication, ключевым компонентом которой выступал RSA Risk Engine. Эта система динамически оценивала риск каждой попытки входа на основе профилирования устройства (включая анализ IP-адреса, геолокации, версии операционной системы и типа браузера) и поведенческого анализа (учитывающего время входа, скорость набора текста и движения мыши)[8].

Если рассчитанный уровень риска превышал установленный порог, применялась повышенная аутентификация (step-up). В таких случаях система требовала дополнительной внеполосной проверки, такой как отправка одноразовых паролей по SMS или совершение телефонных звонков[8].[9]

Недостатки

Исследование 2007 года «The Emperor's New Security Indicators», проведённое специалистами, связанными с Гарвардским университетом[10][11], показало высокую неэффективность системы: 92 % пользователей ввели свой пароль при простом удалении изображения SiteKey со страницы входа, а когда изображение было заменено сообщением об обновлении системы, пароль ввели 97 % участников. Подобные результаты объясняются психологическим феноменом «слепоты по невниманию» (англ. inattentional blindness). Поскольку основная цель пользователя заключается во вводе пароля, его внимание сосредоточено на этой задаче, из-за чего он игнорирует отсутствие визуальных индикаторов безопасности[12][13].

Исследования показали, что основная проблема SiteKey заключалась не в когнитивной нагрузке на память, а в игнорировании пользователями этапа проверки[14]. Кроме того, система имела критическую уязвимость к атакам «человек посередине» (MitM): злоумышленник мог проксировать запросы к легитимному банку, получать правильное секретное изображение и отображать его жертве на фишинговом сайте, создавая у неё ложное чувство безопасности.

Прекращение использования

В мае 2015 года Bank of America объявил, что прекратит использование SiteKey для всех пользователей до конца года[1]. Отказ от технологии был продиктован выявленными фундаментальными уязвимостями к атакам «человек посередине» (MitM), о которых эксперты предупреждали ещё с 2006—2007 годов[14]. На смену SiteKey в переходный период пришли системы двухфакторной аутентификации, такие как SafePass, использовавшие SMS-коды и аппаратные токены[15]. В дальнейшем индустрия и сама компания RSA перешли к более современным, устойчивым к фишингу стандартам беспарольной аутентификации, таким как FIDO2[16].

Примечания

  1. 1 2 3 More security tools and simpler sign-in at Bank of America (англ.). Дата обращения: 28 мая 2026. Архивировано 10 мая 2015 года.
  2. We've streamlined the process for logging on to Vanguard.com (англ.). Дата обращения: 28 мая 2026. Архивировано 4 марта 2016 года.
  3. RSA buys PassMark for $44 million. Computerworld. Дата обращения: 28 мая 2026.
  4. RSA acquires PassMark for almost $45 million. SC Media. Дата обращения: 28 мая 2026.
  5. It's Official: Dell To Sell RSA Security To STG Partners For $2.08 Billion. CRN. Дата обращения: 28 мая 2026.
  6. Bank of America Online and Mobile Banking FAQs (англ.). Bank of America. Дата обращения: 28 мая 2026.
  7. Jim Youll. Fraud Vulnerabilities in SiteKey Security at Bank of America (англ.) (18 июля 2006). Дата обращения: 28 мая 2026. Архивировано 31 декабря 2016 года.
  8. 1 2 RSA Adaptive Authentication: The Next Generation of Fraud Prevention. Enterprise Talk. RSA. Дата обращения: 28 мая 2026.
  9. RSA Adaptive Authentication Cloud EULA. RSA. Дата обращения: 28 мая 2026.
  10. Joel Hruska. Security study pokes holes in advanced authentication claims (англ.). Ars Technica (20 июня 2007). Дата обращения: 28 мая 2026.
  11. The Emperor's New Security Indicators. Дата обращения: 28 мая 2026.
  12. Email Security and the Psychology of Trust. Darktrace. Дата обращения: 28 мая 2026.
  13. Inattentional Blindness and Cognitive Load. Frontiers in Psychology. Дата обращения: 28 мая 2026.
  14. 1 2 Jim Youll. Fraud Vulnerabilities in SiteKey Security at Bank of America (англ.) (18 июля 2006). Дата обращения: 28 мая 2026. Архивировано 31 декабря 2016 года.
  15. How to Enable Two-Factor Authentication at Bank of America. Electronic Frontier Foundation (декабрь 2016). Дата обращения: 28 мая 2026.
  16. Inside RSA: Deploying FIDO and Passwordless Solutions at Scale. FIDO Alliance. Дата обращения: 28 мая 2026.

Категории