Широко используемая система защиты паролей в интернете была взломана исследователями одного из ведущих технологических университетов Швейцарии.

Группа ученых Федерального института технологий в Лозанне сообщила, что сумела расшифровать пароль менее чем за час.

"Мы впервые обнаружили проблемы с безопасностью непосредственно в протоколе SSL (Secure Sockets Layer), а не в том, как мы его используем или применяем", - сказал Би-би-си профессор Серж Воденэ, директор лаборатории безопасности и криптографии в институте.

Однако исследователи говорят, что выявленная проблема не относится к транзакциям с кредитными картами, поскольку банки и онлайн-магазины пользуются другим типом технологии SSL.

Взломанные письма

До последнего момента технология SSL считалась безупречной в плане безопасности.

Адрес вебсайтов, защищенные системами SSL, начинается с https://. В большинстве браузеров внизу появляется небольшое изображение замочка и ключа, чтобы показать, что пользователь работает в режиме безопасного соединения.

Системы SSL широко применяются на сайтах электронной почты и онлайн-магазинов, чтобы защитить пользовательскую информацию и транзакции.

SSL работает следующим образом: происходит шифрование пароля или номера кредитной карты посредством секретного кода, чтобы человек, перехвативший эту информацию, не смог прочитать ее.

При этом для шифрования информации в технологии SSL применяются различные алгоритмы.

Тип протокола SSL, взломанный швейцарскими учеными, используется в основном на сайтах электронной почты, а не в банковской сфере или при оплате кредитными картами.

"Мы вклинились в соединение... и стали следить за поведением сервера", - говорит Воденэ. Он объяснил, что ученым удалось получить некоторое количество информации пока компьютер и сервер обменивались данными.

Ученые отслеживали пароли, которые посылались на сервер IMAP при проверке почты программой Outlook Express в режиме безопасного соединения.

"Каждый раз мы получали частички информации о пароле и после 160 попыток смогли установить его", - сказал Воденэ.

Зашифрованные данные

Однако профессор говорит, что выявленная проблема не представляется серьезной в плане безопасности, поскольку она возникает в том случае, если пароль часто посылается на сервер.

"Приложения электронной почты регулярно посылают идентификационные сигналы серверу, такие как имя пользователя и пароль, не спрашивая при этом пользователя", - объясняет он.

Это происходит потому, что по умолчанию Outlook устанавливает связь с сервером электронной почты каждые пяь минут.

Однако в большинстве транзакций при покупке в онлайн-магазинах пароль обычно посылается лишь единожды.

Специалисты по вопросам безопасности говорят, что пользователям не стоит беспокоиться, когда они сообщают данные своей кредитной карты на сайтах, использующих SSL.

"Эта (выявленная учеными) проблема не относится к веб-покупкам, поскольку существуют намного более простые возможности для мошенников украсть информацию о кредитных картах", - говорит Пол Кохер, глава Cryptography Research, на технологическом сайте Slashdot.

Швейцарские исследователи заявили, что сообщили о своих находках разработчикам SSL, и те, в свою очередь, устранили эту проблему в последней версии программного обеспечения.