Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Защищенные Bluetooth-ключи Google оказались недостаточно защищены

Информационная безопасностьПроизводство и разработка электроникиIT-компании


Разработчики Google обнаружили серьезные проблемы безопасности в своих Titan Security Key, которые обеспечивают пользователям возможность двухфакторной аутентификации. Уязвимость позволяла взломщикам перехватить управление устройством и получить доступ к аккаунту жертвы.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры4.6K
Комментарии 9

У пользователя Coinbase украли 100 тысяч долларов с помощью дубликата SIM-карты

Информационная безопасность


Пользователь Coinbase Шон Кунс опубликовал в своем блоге на Medium подробный рассказ о том, как стал жертвой мошенничества. Злоумышленник, личность которого до сих пор не удалось установить, перевел все средства из его кошелька на Coinbase, действуя через дубликат SIM-карты.
Читать дальше →
Всего голосов 21: ↑21 и ↓0 +21
Просмотры7.4K
Комментарии 31

Дуров: российские власти попытались взломать аккаунты Telegram четырёх журналистов

Информационная безопасностьСотовая связь
Основатель Telegram Павел Дуров сообщил, что российские власти попытались взломать аккаунты четырёх журналистов, освещавших протесты в Екатеринбурге.

«Сегодня российские власти пытались взломать четырёх журналистов, освещающих протесты в Екатеринбурге. К счастью, все эти попытки провалились из-за двухэтапной аутентификации, — написал он в своём телеграм-канале. — Это служит напоминанием о том, что авторитарные правительства не остановятся ни перед чем, чтобы нарушить конфиденциальность своих граждан. Мы настоятельно призываем пользователей в таких странах дважды проверить наличие двухэтапной проверки. Оставайтесь в безопасности и будьте сильными!»
Читать дальше →
Всего голосов 42: ↑36 и ↓6 +30
Просмотры18.4K
Комментарии 94

Twitter признал, что использовал данные двухфакторной аутентификации для таргетирования рекламы

Информационная безопасностьСоциальные сети и сообщества


Система двухфакторной аутентификации, или метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных, критиковалась пользователями и экспертами уже не раз, и на днях Twitter дал ещё один повод для недовольства. Компания призналась в том, что использует телефонные номера и адреса электронной почты пользователей, которые они указывают для 2FA, чтобы сделать рекламу в микроблоге более таргетированной.

Twitter требует от пользователей предоставить настоящий, действующий номер телефона, чтобы иметь право на использование двухфакторной идентификации. Работающий номер мобильного телефона является обязательным, даже если защита пользователей 2FA основана исключительно на ключах безопасности или приложениях аутентификаторов, чья работа не зависит от телефонных номеров.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры3.3K
Комментарии 4

Исследователи показали, как клонировать ключи Google Titan через уязвимость чипа NXP

Информационная безопасностьПроизводство и разработка электроникиИнтернет вещей
image

Исследователи безопасности из NinjaLab рассказали об уязвимости (CVE-2021-3011) в чипах для аппаратных ключей безопасности Google Titan и YubiKey. Ее эксплуатация позволяет хакерам восстановить первичный ключ шифрования для создания криптографических токенов и обхода операций двухфакторной аутентификации.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры7.9K
Комментарии 22

В сеть Ubiquiti проникли хакеры

Информационная безопасностьБеспроводные технологииОблачные сервисы
image

Производитель продуктов для беспроводной передачи данных Ubiquiti Networks заявил, что злоумышленники получили несанкционированный доступ к его IT-системам, которые размещались у стороннего поставщика облачных услуг.
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры4.7K
Комментарии 0

Google внедрит двухфакторную аутентификацию для всех пользователей

Информационная безопасностьКриптографияGoogle ChromeGoogle API

Google собирается внедрить для всех пользователей Gmail и владельцев учетных записей других сервисов двухфакторную аутентификацию для защиты их данных.

Читать далее
Всего голосов 9: ↑8 и ↓1 +7
Просмотры28.1K
Комментарии 99

К вопросу о двухфакторной аутентификации с помощью мобильных устройств

Symantec


Пролистывал на днях статьи на Хабре, и невольно в голову пришла навязчивая идея, что слишком много в последнее время совпадений…… Не смог от нее избавиться и набросал пару строк.

Итак, что с чем совпало?

Читая обсуждение на Хабре на тему открытого письма одного известного безопасника другому известному соучредителю соц.сетей, ловил себя на мысли, насколько противоположные мнения у комментировавших насчет безопасности и удобства использования сети. Одно порадовало, плюсами в основном отмечали сторонников необходимости поддержания достойного уровня безопасности. Особенное внимание я обратил на идею двухфакторной аутентификации с помощью мобильных устройств…
Читать дальше →
Всего голосов 23: ↑19 и ↓4 +15
Просмотры11.5K
Комментарии 50

Двухфакторная аутентификация на домашнем серваке — быстро, дёшево, дружелюбно

Системное администрирование
Двухфакторная аутентификация — предоставления информации от двух различных типов аутентификации информации [»]

Например, это могут быть последовательно введённые пароль и код, который выдаёт токен с кнопкой. Думаю, многие из вас такие девайсы видели, а кто-то даже их регулярно использует.



Это как если бы на дверь поставили второй замок. Ключ к первому — обычный пароль. Ко второму — действующий в течение 30 секунд одноразовый код. Попасть за дверь можно только если оба ключа окажутся правильными, а не один, как было раньше.

С некоторых пор Google сделала доступной двухфакторную аутентификацию в своих сервисах. Теперь токен переехал в ваш мобильный телефон с Android'ом! iPhone и Blackberry тоже сгодятся в такой роли. Очень удобно. Опробовав на Gmail, мне захотелось такую же штуку сделать у себя, тут-то я внезапно и нашёл libpam-google-authenticator.
Читать дальше →
Всего голосов 92: ↑89 и ↓3 +86
Просмотры14.6K
Комментарии 29

Google объявил войну паролям

Информационная безопасность


История взломов и массовых утечек 2012 года показывает, что пароли дискредитировали себя как надёжное средство защиты конфиденциальной информации. Нужно искать альтернативу. Поэтому компания Google организовала ряд экспериментов с использованием альтернативных методов аутентификации. Один из них предполагает использование миниатюрных криптографических карт Yubico, изображённых на фотографии. Если вставить такую карту в разъём USB, то вы автоматически входите в свой аккаунт Google, без ввода пароля.
Читать дальше →
Всего голосов 122: ↑100 и ↓22 +78
Просмотры110.8K
Комментарии 279

Как работает FIDO

Информационная безопасностьIT-стандарты
FIDO (Fast IDentity Online) Альянс был создан в июле 2012 года для решения проблемы поддержки устройств строгой аутентификации в сети Интернет, а также с целью упростить жизнь пользователям, вынужденным создавать и запоминать имена пользователей и пароли. FIDO Альянс планирует изменить текущую ситуацию с аутентификацией путем разработки спецификаций, определяющих набор механизмов, которые вытеснят зависимость от паролей и обеспечат безопасную аутентификацию пользователей интернет-услуг. Новый стандарт по безопасности устройств и плагинов для браузеров позволит любому веб-сайту или облачному приложению взаимодействовать с широким спектром существующих и перспективных устройств для обеспечения безопасной аутентификации пользователей.

Для обеспечения безопасной работы пользователей проект FIDO объединяет аппаратные средства, программное обеспечение и интернет-сервисы.

Как работает FIDO
Всего голосов 21: ↑11 и ↓10 +1
Просмотры21.6K
Комментарии 12

Три новых функции безопасности Evernote

Evernote


Сегодня мы анонсировали три новые функции сервиса, направленные на усиление безопасности:
  • двухфакторная аутентификация;
  • история доступа;
  • авторизация приложений.

Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры4.7K
Комментарии 8

Двухфакторная аутентификация в OpenSSH: ключ+одноразовый код

Системное администрирование
В предыдущей статье я рассказал, как добавить проверку одноразовых кодов при логине на свой сервер по SSH. Статья завершалась словами «если ходим по ключу — двухфакторная аутентификация не работает (не используется PAM)».

С недавнего времени, после выпуска OpenSSH версии 6.2, ситуация поменялась к лучшему.

+

Читать дальше →
Всего голосов 56: ↑53 и ↓3 +50
Просмотры26.7K
Комментарии 24

Как не нужно реализовывать двухфакторную авторизацию на примере одного банка, или почему продакт-менеджер должен консультироваться с безопасниками

Информационная безопасностьРазработка веб-сайтов
Уже четвертый год являюсь клиентом одного банка. В свое время было куча косяков в UI, о которых я писал в банк многостраничные отзывы (да и сейчас программисты никак не могут реализовать то, что делает любой русский школьник, пишущий в первый раз калькулятор: а именно, принимать в качестве десятичного разделителя и точку, и запятую), но по сравнению с остальным страхом «Сбербанка», «Райфайзена» (ох уж эти джава-апплеты, сколько знакомых звонили каждый раз, когда нужно было сделать перевод — сами не могли разобраться) и т. д. — просто радость для глаз.

Но, собственно, пост вылез из недавнего «улучшения». Месяц-два назад кто-то в банке решил улучшить пользовательское взаимодействие и присылать одноразовые коды для определенных операций не эс-эм-эской, а через USSD-сообщение (UPDATE: или, как подсказали в комментариях, возможно, через Flash-SMS, что, впрочем, дела не меняет). Здесь защита и стала падать.

Читать дальше →
Всего голосов 99: ↑77 и ↓22 +55
Просмотры50.4K
Комментарии 134

Почему многие банки и платежные системы слабо переживают за безопасность своих клиентов?

Информационная безопасностьПлатежные системы
Из песочницы
Я уже длительный период в аутсорсинге. Однажды, в одном финансовом проекте перед моей командой стоял вопрос усиления защиты аккаунтов пользователей путем внедрения двухфакторной аутентификации. Вариант такой системы был выбран нашим заказчиком. Как я понял через время, выбор оказался не очень удачным: служба поддержки реально плохо ориентировалась во всем многообразии своих продуктов, инструкции по развертыванию системы превышали тысячу страниц, софт их работал только под определенную операционную систему, мне даже пришлось побывать на их курсах. Мы, конечно, внедрили эту систему, но средств и времени было потрачено уйма.



Через некоторое время я столкнулся с сервисом двухфакторной аутентификации, который полностью отличается от того, с которым я познакомился раньше: удобный интерфейс, получение аккаунта в системе за минуту, цены ясны без дополнительных запросов, поддержка всевозможных OATH токенов, можно использовать как платформу, так и сервис, и многое другое. Суппорт заслуживает отдельной благодарности. Еще важный момент для клиентов — решение сертифицировано и стоимость реально доступная. После внедрения его в один из наших аутсорсинговых проектов я решил стать их партнером. Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Кстати, поэтому я и пишу эту статью.
Читать дальше →
Всего голосов 35: ↑10 и ↓25 -15
Просмотры11.5K
Комментарии 23

Двухфакторная авторизация по смс с барышнями и преферансом

Я пиарюсь
Это рассказ про то, как для элементарного поля «введите код из смс» был построен велосипед с большим числом колёс неправильной формы. Приглашаю покритиковать универсальный модуль для двухфакторной авторизации.

image
Читать дальше →
Всего голосов 28: ↑19 и ↓9 +10
Просмотры8.4K
Комментарии 30

Применение двухфакторной аутентификации при подключении к 1С

IT-GRADИнформационная безопасность
Двухфакторная аутентификация

Многие из клиентов нашей компании сильно озабочены вопросом безопасности доступа к 1С через интернет. Особенно обостряет эту проблему ситуация, когда бухгалтера хранят свой пароль на стикере, прилепленном на монитор. При таком раскладе введение дополнительных требований к сложности пароля и регулярному его изменению погоды не делает.

Чтобы максимально исключить влияние человеческого фактора мне поставили задачу организовать двухфакторную аутентификацию для веб-доступа к 1С. Ниже подробно о том, как это работает.
Читать дальше →
Всего голосов 17: ↑13 и ↓4 +9
Просмотры21K
Комментарии 21

Что внутри у ридера для двухфакторной авторизации?

Компьютерное железо


В связи с тем, что один из банков переходит, наконец, к системе смс-кодов вместо скретч-карт, мне пришлось ехать в их офис за подключением смс.
Как показывает практика, авторизация в интернет-банкинге с помощью смс не всегда безопасна: номер могут и угнать.
Поэтому я решил узнать, не предоставляет ли банк аппаратный токен или, как они сами это называют, — аппаратный генератор паролей. Оказалось, что предоставляют. Разумеется, не бесплатно.
Так получилось, что ранее у меня уже был токен другого банка, который выглядел как брелок с кнопкой.
Но он был один, а банк был далеко, и удовлетворять своё любопытство (а что же там внутри?), а потом, в случае поломки, ехать за полторы тысячи километров не вызывало оптимизма.
А тут — банк рядом, токен не очень дорогой, один можно и разломать разобрать.
Увы, откровений не будет.

(Аккуратно, траффик!)
Удовлетворить любопытство
Всего голосов 39: ↑33 и ↓6 +27
Просмотры24.1K
Комментарии 19

Bootstrapping мобильного приложения, или как немного сэкономить на разработке и публикации

Token2.comИнформационная безопасность
Token2.com предоставляет сервис двухфакторной аутентификации (2fa as a service) и изначально в качестве основного метода доставки одноразовых паролей (OTP) для второго фактора планировалось использовать SMS. На SMS завязывалось все, и сама технология и даже монетизация — сам сервис предоставляется совершенно бесплатно, пользователь платит только за пакет SMS. На данный момент планируется набрать базу пользователей и установить аппаратный шлюз для SMS — после этого себестоимость снизится, и будет возможно снизить цены для пользователей и начать получать прибыль с проекта.

Однако, в процессе тестирования выяснилось, что надежность SMS оставляет желать лучшего: процент успешной доставки для многих операторов в странах СНГ не превышает 90% (тестировали как с интернет-шлюзами так и с аппаратными). Решение этой проблемы очевидно — авторизация с помощью мобильных приложений, однако никакого бюджета на это не предполагалось, а в команде людей с опытом разработки под мобильные платформы не было. В тоже время предлагать пользоваться другими приложениями (например Google Authenticator) не хотелось, а хотелось именно свое мобильное приложение, с функцинальностью не хуже, а в идеале, даже лучше существующих аналогов.

В этой статье я кратко опишу как мы решили это проблему с минимумом затрат и без привлечения сторонних разработчиков.
Читать дальше →
Всего голосов 25: ↑16 и ↓9 +7
Просмотры9.2K
Комментарии 6

Выбор поставщика решения двухфакторной аутентификации. Часть 1 из 2

Информационная безопасностьПлатежные системы
Из песочницы
Итак, уже для многих не секрет, что простая парольная аутентификация не защитит ваши данные от рук злоумышленника. Дело тут не в длине пароля и не в том, как часто вы его меняете. Простой фишинг или вирус на вашем компьютере передаст ваш сложный двадцати-символьный пароль тому, кто его ждет. О сколько вы мучились, вводя его каждый раз в окно логина, потому что хранить его в файле или кеше браузера небезопасно.


О решении проблемы уже все наслышаны. Конечно, речь идет о применении мультифакторной аутентификации (MFA). Факторами могут выступать знания, предметы или биометрические данные (недостаткам биометрии я планирую посвятить отдельную статью). Чаще всего применяется двухфакторная аутентификация, которая использует привычный пароль, а также еще один одноразовый (OTP). Он может быть доставлен пользователю различными способами и действует только для одного сеанса аутентификации. Также, в современных алгоритмах генерации паролей TOTP (по времени) и OCRA (по запросу) время действия одноразового пароля ограничено 30 или 60 секундами, что значительно усложняет задачу злоумышленнику. Способы доставки или автономной генерации существуют различные: от распечатанных списков паролей на карточках или чеках из банкоматов, SMS-сообщений до использования специальных устройств генерации OTP — токенов.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры20.2K
Комментарии 18