У кожного Skype-користувача є ім'я користувача і пароль. Кожне ім'я користувача зареєстроване на певну електронну адресу. Для того, щоб увійти до системи, користувач повинен ввести своє ім'я і пароль. Якщо пароль загублений, Skype поміняє пароль і вишле новий на зареєстровану електронну адресу користувача. Цей підхід називається Ідентифікацією і Авторизацією заснованої на адресі електронної пошти [2] Skype-клієнт також має можливість "запам'ятовувати" імена користувачів і паролі і здійснювати автоматичний вхід в систему.
Додатковою складністю системи Skype є її мережа. Схоже на те, що мережа Skype використовується для перевірки достовірності імен користувачів і паролів, але не зовсім ясно як саме це робиться. Наприклад, вузли мережі Skype можуть пересилати зашифровану комбінацію імен користувачів і паролів Skype-сервера для авторизації. Також вони можуть пересилати назад незашифровану комбінацію імен користувачів і паролів. Мережа Skype може бути взагалі в це не залучена, і вся передача інформації між Skype-клієнтами може служити іншим цілям. Проте, якщо мережа Skype все-таки задіяна в цьому, то можливі декілька варіантів атак:
- Skype-клієнт може дізнатися ім'я і пароль зареєстрованих користувачів Skype-а, щоб потім використовувати цю інформацію в недобрих цілях.
- Якщо користувач Skype-а напівчіт доступ до Skype-мережі через зловмисного інтернет-провайдера, можливо, що цей провайдер може направити інформацію, витікаючу від цього користувача на Skype вузол зловмисника. Таким чином, у цього інтернет-провайдера є можливість дізнатися будь-який з паролів користувачів Skype-а.
- Також, вузол зловмисника може симітіровать реальну ідентифікацію, що дозволить клієнтові зайти в систему як інший Skype-користувач, навіть якщо пароль цього користувача не відомий.
Так як Skype є голосовою системою спілкування, його користувачі можуть по голосу ідентифікувати людей, з яким вони спілкуються. Тобто голос має біометричні якості. Проте це не спрацьовує, коли йде спілкування тільки за допомогою обміну письмовими повідомленнями і файлами.
В нормальній ситуації здається, що ідентифікаційна система Skype-а забезпечує такий же рівень ідентифікації, як і інші системи, засновані на іменах користувачів і паролях, такі як AOL або HotMail. Тобто більшість людей можуть контролювати свої поштові скриньки, але іноді зловмисники можуть дізнатися чужий пароль за допомогою припущень, социотехникі, використання клавіатурних шпигунів, або за допомогою перехопленого повідомлення, використовуваного для відновлення пароля. Також комп'ютерні адміністратори можуть видати паролі, встановити нові або яким-небудь іншим чином дати можливість зловмисникам видати себе за зареєстрованого користувача.
В той же час можна припустити, що людина з яким Ви спілкуєтеся в Skype насправді той, чиє ім'я ви бачите, але абсолютної гарантії в цьому у Вас немає.
.
0 Відгуків на “Ідентифікація Skype”
Залишити відгук