Сразу два недавних резонансных события в мире информационной безопасности были связаны со старейшим из защитных механизмов — аутентификацией.
В начале июня в Сети появилась информация о массовой утечке хэшей паролей учетных записей социальной сети профессиональных контактов LinkedIn. Примерно в это же время была опубликована работа, демонстрирующая практические атаки на смарт-карты и системы генерации одноразовых паролей, позволяющие извлекать ключи шифрования, подделывать цифровую подпись и т. п. Одним из объектов атаки стало электронное удостоверение личности Эстонии (Estonian eID card), что особенно интересно с учетом проходящего в России масштабного проекта по внедрению универсальной электронной карты (УЭК).
Чем примечательны эти инциденты? Какой уроки можно из них извлечь?
