Непрерывная пассивная аутентификация — новый метод борьбы с кражей токенов сессии
NewsMakerПольский стартап Relock уничтожает фишинг инновационной разработкой.
Даже самые продвинутые методы многофакторной аутентификации больше не дают полной защиты: фишинговые наборы «человек посередине» легко обходят пароли и одноразовые коды. Разработчики из Остина (Техас, США) предлагают добавить к существующей защите невидимый слой, который работает в фоне и обновляет криптографические ключи при каждом взаимодействии пользователя с системой.
Relock — стартап, основанный польскими специалистами Марцином Шнырой и Пшемеком Черклевичем. Они разработали технологию, которую называют «непрерывной пассивной аутентификацией». В отличие от традиционных подходов, где пользователь проходит проверку один раз за сессию, решение Relock подтверждает подлинность действий многократно, не прерывая работу и не требуя вмешательства.
Суть технологии в том, что при входе на сайт или в приложение пользователь, помимо обычной авторизации, получает в браузере небольшой скрипт. Этот код формирует уникальные симметричные ключи, которые используются только в рамках текущего сеанса и не подходят для повторного использования. Ключи жёстко привязаны к устройству и не могут быть сгенерированы заново на другой машине. Данные, связанные с ключами, шифруются и хранятся локально, а каждый запрос к серверу проверяет, что пользователь остался прежним.
По словам команды Relock, такая схема позволяет заблокировать целый класс атак, включая кражу сессионных токенов: даже если злоумышленники получат логин, пароль и обойдут MFA — они не смогут войти в аккаунт, не обладая актуальными ключами. Подделать их или перехватить из-за шифрования и привязки к устройству попросту невозможно.
В отличие от тех же токенов сессии, которые создаются один раз и действуют до выхода из аккаунта, технология Relock проверяет каждое действие пользователя. Если появляется второе устройство, пытающееся воспроизвести сессию, система быстро определяет конфликт ключей и завершает доступ. Это позволяет заметить и остановить компрометацию за минуты, в то время как стандартные методы могут не замечать взлома неделями.
Решение пока ориентировано на организации с повышенными требованиями к безопасности — например, банки или медицинские учреждения, но по словам разработчиков, подходит любому сервису. Для пользователей оно практически незаметно: достаточно один раз подтвердить устройство — через email, ранее используемое устройство или офлайн-верификацию. После этого весь процесс работает в фоне.
Интеграция на стороне сервиса занимает считанные минуты: разработчики предоставляют SDK, который можно встроить в текущий процесс аутентификации. Работа может вестись как через облако Relock, так и в локальной среде. Сейчас команда тестирует совместимость решения с другими участниками OpenID Foundation, включая Google и Okta, в рамках протокола CAEP.
Разработчики подчёркивают, что их инструмент не заменяет пароли или ключи, а дополняет их. Это не универсальная защита от всех видов атак, но подпортить планы хакеров за счёт увеличенной сложности взлома — она вполне способна.
На фоне роста атак с использованием скомпрометированных учётных данных, подобных решений становится всё больше. Однако подход Relock отличается простотой развёртывания и фокусом на непрерывной проверке действий в реальном времени. Это делает его интересной разработкой в контексте новых методов борьбы с фишингом и кражей сессий.
Даже самые продвинутые методы многофакторной аутентификации больше не дают полной защиты: фишинговые наборы «человек посередине» легко обходят пароли и одноразовые коды. Разработчики из Остина (Техас, США) предлагают добавить к существующей защите невидимый слой, который работает в фоне и обновляет криптографические ключи при каждом взаимодействии пользователя с системой.
Relock — стартап, основанный польскими специалистами Марцином Шнырой и Пшемеком Черклевичем. Они разработали технологию, которую называют «непрерывной пассивной аутентификацией». В отличие от традиционных подходов, где пользователь проходит проверку один раз за сессию, решение Relock подтверждает подлинность действий многократно, не прерывая работу и не требуя вмешательства.
Суть технологии в том, что при входе на сайт или в приложение пользователь, помимо обычной авторизации, получает в браузере небольшой скрипт. Этот код формирует уникальные симметричные ключи, которые используются только в рамках текущего сеанса и не подходят для повторного использования. Ключи жёстко привязаны к устройству и не могут быть сгенерированы заново на другой машине. Данные, связанные с ключами, шифруются и хранятся локально, а каждый запрос к серверу проверяет, что пользователь остался прежним.
По словам команды Relock, такая схема позволяет заблокировать целый класс атак, включая кражу сессионных токенов: даже если злоумышленники получат логин, пароль и обойдут MFA — они не смогут войти в аккаунт, не обладая актуальными ключами. Подделать их или перехватить из-за шифрования и привязки к устройству попросту невозможно.
В отличие от тех же токенов сессии, которые создаются один раз и действуют до выхода из аккаунта, технология Relock проверяет каждое действие пользователя. Если появляется второе устройство, пытающееся воспроизвести сессию, система быстро определяет конфликт ключей и завершает доступ. Это позволяет заметить и остановить компрометацию за минуты, в то время как стандартные методы могут не замечать взлома неделями.
Решение пока ориентировано на организации с повышенными требованиями к безопасности — например, банки или медицинские учреждения, но по словам разработчиков, подходит любому сервису. Для пользователей оно практически незаметно: достаточно один раз подтвердить устройство — через email, ранее используемое устройство или офлайн-верификацию. После этого весь процесс работает в фоне.
Интеграция на стороне сервиса занимает считанные минуты: разработчики предоставляют SDK, который можно встроить в текущий процесс аутентификации. Работа может вестись как через облако Relock, так и в локальной среде. Сейчас команда тестирует совместимость решения с другими участниками OpenID Foundation, включая Google и Okta, в рамках протокола CAEP.
Разработчики подчёркивают, что их инструмент не заменяет пароли или ключи, а дополняет их. Это не универсальная защита от всех видов атак, но подпортить планы хакеров за счёт увеличенной сложности взлома — она вполне способна.
На фоне роста атак с использованием скомпрометированных учётных данных, подобных решений становится всё больше. Однако подход Relock отличается простотой развёртывания и фокусом на непрерывной проверке действий в реальном времени. Это делает его интересной разработкой в контексте новых методов борьбы с фишингом и кражей сессий.