Чи було у вас таке – ви переглядаєте сайт, пробуєте залогінитися, але не можете вставити свій пароль у формі логіну?
Навіщо потрібна заборона вставки паролів
Ця вимога не довго була прописана в Mobile Application Security Verification Standard (MASVS) через вектор атаки, адже деякі програми можуть читати буфер обміну.
Оскільки буфер обміну доступний для операційних систем Android та iOS, він безумовно є вектором атаки, особливо для шкідливого програмного забезпечення.
Вважалося, що MASVS варто розглядати не як перелік для обов’язкового послідовного впровадження, а як рекомендації та вимоги для розробки програмного забезпечення. Реалізуєте ви їх чи ні – ваше рішення. Проте ці норми повинні бути задокументовані та погоджені зі всіма зацікавленими сторонами: бізнесом, розробниками, devsecops тощо.
Через деякий час спільнота розробників на github дійшла до висновку, що цей метод неефективний та добряче дістає звичайних користувачів, яким доводиться вводити складні паролі вручну.
Блокування не запобігає вразливості буферу обміну, адже пароль вже скопійований ще до того, як користувач вставить його у поле вводу пароля.
Так, копіювання паролів – це загроза безпеці. Але вона не вирішується відключенням вставки.
Це також шкідливе рішення з точки зору маркетингу: користувачі не розуміють, чому не можна вставити пароль, а вводити його власноруч кожен раз – відбиває будь-яке бажання користуватися сервісом.
Уявіть, що у вас 21-символьний пароль для поштової скриньки чи інтернет-банкінгу, і вам потрібно щоразу вводити його власноруч. Що ви зробите? Будете щоразу сумлінно вводити? Зміните провайдера послуг? Чи встановите щось на кшталт qwerty123?
“Часто сайти, які не дозволяють вставляти паролі, написані без безпеки в голові – просто хтось навмання вирішив, що так безпечніше і явно був не в курсі про парольні менеджери”, – Володимир Стиран.
Ще й досі, попри те, що рекомендація MASVS відредагована, деякі вебсайти стверджують, що вставка паролів знижує безпеку.
Менеджери паролів: загроза безпеці?
Вставка паролів насправді підвищує безпеку, оскільки дозволяє використовувати менеджери паролів.
Менеджери паролів зазвичай генерують надійні паролі для користувачів, зберігають їх (значно надійніше ніж звичайні користувачі), а потім автоматично вставляють їх у необхідні поля для входу в систему. Такий підхід зазвичай безпечніший, ніж примус вводити паролі, які самі ж користувачі роблять короткими (= вразливими), щоб їх запам’ятати.
Саме тому на сцені NoNameCon 2020 ви почуєте доповідь “Paste Wars: fighting for copypaste freedom” від Ignat Korchagin.
Ignat Korchagin – інженер з безпеки у Cloudflare, працює над безпекою платформ та апаратних засобів. До Cloudflare Ігнат працював старшим інженером з безпеки у відділі мобільних комунікацій Samsung Electronics. А розпочав свою кар’єру як дослідник безпеки в державній комунікаційній службі України. Ігнат цікавиться криптографією, хакерством та низькорівневим програмуванням.
На доповіді Ігнат розповість:
- Чим ще й досі обумовлене блокування вводу паролів веб-сайтами;
- Проблеми безпеки буферу обміну;
- Які вимоги безпеки для форм авторизації на сайті;
- Ознайомитесь з інструментами, які допомагають відновити заблоковану; можливість вставки пароля.