Системы авторизации OAuth и OpenID уязвимы

Системы единой авторизации OAuth и OpenID, которые используются на многих крупных ресурсах, уязвимы к атаке перебора паролей (брутфорс). Об этом заявили эксперты по компьютерной безопасности Нэйт Лоусон и Тейлор Нельсон.

Суть состоит в простом переборе паролей. В системах авторизации символы пароля проверяются по одному, при этом сообщение о неверном пароле посылается после обнаружения неподходящего символа. Это значит, что сервер реагирует на полностью неправильный пароль быстрее, чем на неправильный пароль с правильным первым знаком. Для взлома просто оценивается время реакции на запрос.

По такому принципу были взломаны Xbox 360, некоторые модели смарт-карт и многие другие устройства. Подробнее об взломе OAuth и OpenID будет рассказано на конференции Black Hat, где Лоусон и Нельсон выступят с докладом.