Latvijā izstrādāts paroļu aizstājējs – unikāls risinājums CaptureIn

Latvijā izstrādāta unikāla tehnoloģija, mobilā aplikācija – CaptureIn, kas paredzēta iOS un Android ierīcēm. Aplikācija nodrošina paroļu aizvietošanu tiešsaistes vidē.

CaptureIn risinājums ir piemērots jebkur, kur nepieciešama parole un ir pieejams tiešsaistes termināls, un tas darbojas ar jebkuru iPhone un Android viedtālruni un neprasa nekādas papildus ierīces, aprīkojumu vai ieguldījumus - autentifikācija notiek ar viedtālruņa palīdzību noskenējot QR kodu pakalpojuma sniedzēja mājas lapā. Šobrīd ar CaptureIn risinājumu ir iespējams iepazīties, reģistrēt un izmēģināt to portālā www.draugiem.lv, aizvietojot šī portāla paroli (QR kods pirmajā lapā). CaptureIn aplikācija bez maksas ir lejupielādējama AppStore un Google Play veikalā.

CaptureIn ir unikāls, ātrs, ērts, lietotājam pieejams bez maksas un galvenais - drošs. Drošība ir īpaši svarīgs aspekts ņemot vērā to, ka vien 2012.gada laikā virtuālajā vidē ir nozagtas aptuveni 100 miljoni identitāšu. 2013.gadā par identitāšu zādzībām dzirdēts arvien biežāk: 2 miljoni nozagtu Facebook, Yahoo, LinkedIn un Google paroļu, 38 miljoni nozagtu Adobe aktīvo lietotāju datu. Tie ir tikai daži no piemēriem. Paroles tiek izmantotas visur jau kopš seniem laikiem, bet šobrīd tiešsaistes pasaulē paroles ir gan nedrošas, gan arī neērtas. Savukārt ar CaptureIn var pilnībā aizvietot paroli ar viedtālruņa palīdzību. CaptureIn radītā parole netiek izmantota vairāk kā vienu reizi, tā netiek saglabāta ne telefonā, ne pie CaptureIn izstrādātāja, ne pakalpojumu sniedzēja mājas lapā. Neeksistējošas paroles nozīmē, ka tās nevar tikt nozagtas vai vienkārši aizmirstas.

Kas ir nepieciešams, lai izmantotu CaptureIn?

Gala lietotājam nepieciešams viedtālrunis ar Interneta datu pārraidi un uz tā uzinstalētu CaptureIn aplikāciju. CaptureIn var izmantot gan tad, kad lietotājs pārlūko vietni vai servisu no personalā datora, kā arī gadījumos, kad vietne tiek pārlūkota no paša viedtālruņa, uz kura ir instalēts CaptureIn.
CaptureIn var izmantot pakalpojumu sniedzēju vietnēs, kas atbalsta CaptureIn.

Vai CaptureIn ir patiešām drošs?

Viedtālrunis, pakalpojumu sniedzējs un CaptureIn mākoņpakalpojums veido vienotu uzticības ķēdi. Tā ir trīs līmeņu uzticības shēma, kur pakalpojumu sniedzējs uzticas tikai CaptureIn izdotiem ciparsertifikātiem, tādējādi trešās personas uzbrukums nav iespējams. Ja uzbrucējs centīsies aizvietot lietotāja ciparsertifikātu ar sev saņemtu ciparsertifikātu, nesakritīs lietotāju identifikatori un labticīgais lietotājs saņems paziņojumu, ka identitātes piesaiste nav iespējama. Personas sensitīvie dati, tai skaitā, "privātā atslēga", nekad neiziet ārpus lietotāja viedtālruņa, kā arī nedz CaptureIn uzturētāji, nedz mājas lapu uzturētāji un citi pakalpojumu sniedzēji, nevar impersonificēt lietotāju. Tas nozīmē arī to, ka ja kāda pakalpojuma sniedzēja vietne ir cietusi hakeru uzbrukumu, iebrucēji nevarēs iegūt nekādu informāciju, ko varētu izmantot pret šīs vietnes lietotājiem.
Jebkādi sensitīvie dati, kas saglabāti uz lietotāja tālruņa, tiek šifrēti un aizsargāti ar vietējo ierīces aizsardzības PIN kodu. Šis PIN kods tiek izmantots tikai aktivitātēm pašā aplikācijā un tam nav saistība ar viedtālruņa atbloķēšanas kodiem, kā arī to nevar izmantot, lai sazinātos ar tīmekļa vietnēm vai pakalpojumu sniedzējiem.

Kas notiek, ja lietotājs pazaudē savu viedtālruni?

Dati, kas atrodas uz viedtālruņa, tiek glabāti šifrētā veidā un nav pieejami vienkāršam svešiniekam, kas ticis pie viedtālruņa. Vietējais ierīces aizsardzības PIN kods aizsargās viedtālruni pret "brutālu" uzbrukumu. Bet, protams, ir jāsaprot, ka ar fizisku piekļuvi viedtālrunim un pietiekami daudz laika, uzbrucējs var atrast likumīgus vai nelikumīgus veidus, kā piekļūt galvenās operētājsistēmas funkciju zemākajiem slāņiem, ārpus CaptureIn veidotāju kontroles sfēras.
Tāpēc brīdī, kad lietotājs saprot, ka ir pazaudējis savu viedtālruni, viņam ir jāveic identitāšu, kas saglabātas šajā tālrunī, atcelšana - ir jāņem atsaukšanas kods, ko iegūst no aplikācijas, jāņem cita ierīce, uz kuras instalēts CaptureIn un jānoskenē šis kods CaptureIn aplikācijas iekšienē. Šī darbība anulēs jebkuru identitāti, kas saglabāta uz pazaudētā viedtālruņa.

CaptureIn atšķiras no paroļu "agregatoriem", OTP ierīcēm un citiem eksistējošiem risinājumiem?

CaptureIn aizvieto paroles. Parole kā tāda neeksistē — tā netiek saglabāta ne telefonā, ne pie CaptureIn izstrādātāja, ne pakalpojumu sniedzēja mājas lapā. Lietotājam nav jāievada parole vai kods, kurš saņemts caur īsziņu vai citādā veidā, kā arī nav nepieciešams pārnēsāt sev līdzi jebkādas papildus ierīces.
Tā vietā, lai paroles noslēptu lietotāju pusē, CaptureIn aizstāj tās un atrisina drošības jautājumu gan gala lietotājam, gan pakalpojuma sniedzējam, kuram vairs nav jāuzglabā savu lietotāju paroļu informācija. Atšķirībā no vienreizlietojamo paroļu ģeneratoriem (aparatūra vai programmatūra, piemēram, Google Authenticator), CaptureIn neprasa lietotājam ievadīt nekādu datus, kas saņemti, izmantojot īsziņu vai citus palīglīdzekļus. Tas rada elastīgumu un lielāku drošību attiecībā pret sociālās inženierijas uzbrukumiem.
CaptureIn var lietot arī nedrošos tīklos, jo ja kāds "noklausās" CaptureIn datu sesiju vienreiz, šādus iegūtos datus nevar izmantot atkārtoti.
Tehnoloģiju lietotāji, kuri ikdienā izmanto dažādas ierīces un risinājumus, var samulst par CaptureIn – vai tas patiešām aizstāj paroles, nevis kaut kur tās saglabā. CaptureIn priekšrocība, ka paroles patiešām vairs nav!

Ja CaptureIn pamatā ir mākoņrisinājumi, vai brīdī, kad CaptureIn serveri nestrādā, lietotājs nevar izmantot aplikāciju?

Ja tomēr gadās maz iespējama situācija, kā CaptureIn mākoņ-infrastruktūras dīkstāve, esošie lietotāji jebkurā gadījumā joprojām varēs piekļūt lielākajai daļai tīmekļa vietņu un pakalpojumu (gadījumā, ja šos pakalpojumus nav ietekmējis viens un tas pats notikums, kas izraisījis CaptureIn "mākoņa" dīkstāvi, un, izņemot ierobežotu kopumu pakalpojumu sniedzējus, kas izvēlējušies pagarināta reālā laika krāpšanas apkarošanas integrācijas pasākumus). Šādas dīkstāves laikā netiks izsniegta neviena jauna identitāte un esošās identitātes netiks atjaunotas.

Vai CaptureIn strādā uz jebkuras ierīces un operētājsistēmas?

No attīstītāja/pakalpojuma sniedzēja viedokļa, CaptureIn var integrēt jebkurā pakalpojumu sistēmā, ja vien tas ir tiešsaistes pakalpojums, un tam ir vizuāla saskarne. Tas var būt tikpat vienkāršs kā mājas lapa, viedā TV aplikācija vai tik moderns kā aizsardzības pasākums pret "skimmeriem" bankomātos.
No gala lietotāja viedokļa, vienīgā prasība ir, lai lietotāja rīcībā būtu Android vai iPhone viedtālrunis ar datu pārraidi (darbojas arī ar WiFi).

Aplikācijas mājas lapa: http://www.capturein.com.

CaptureIn mobilo aplikāciju viedtālruņu lietotājiem piedāvā viens no lielākajiem Latvijas IT nozares uzņēmumiem SIA DPA, kas sadarbojas ar pasaules un Latvijas lielākajiem tehnoloģiju uzņēmumiem, tostarp, Microsoft, Oracle, IBM, VMware, McAfee, Safran/Morpho, SiteCore un citiem CaptureIn