Сотрудники Кембриджского университета сделали заявление, в котором сообщили о многочисленных уязвимостях в безопасности генераторов одноразовых паролей. Исследователи взломали генераторы, применяемые для аутентификации в системах онлайн-банкинга.

С. Драймер, С. Мердок и Р. Андерсон заявили, что раскрыли секрет протокола аутентификации CAP. Кроме того, сообщается о нескольких слабых местах в системах безопасности картоприемников и смарт-карт, используемых в Великобритании.

Работа была представлена на конференции «Financial Cryptography-2009». В ней раскрыт принцип работы протокола CAP. Выявленные ошибки проектирования подвергают серьезному риску всех пользователей протокола. Ученые продемонстрировали возможность перехвата незашифрованной информации на карте с помощью PIN Entry Device, позволяющего похищать пин-коды и номера кредитных карт.

Уязвимости обнаружены в устройствах, которые были сертифицированы Visa и Apacs.