Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Защитите свой аккаунт Dropbox с помощью двухэтапной аутентификации

Информационная безопасность
Теперь вы можете защитить ваш аккаунт используя двухэтапную аутентификацию, это означает, что злоумышленнику понадобиться больше, чем просто знать ваш пароль от аккаунта Dropbox.
Читать дальше →
Всего голосов 104: ↑89 и ↓15 +74
Просмотры10.6K
Комментарии 60

Как работают одноразовые пароли

Информационная безопасностьКриптография
Tutorial

Вступление


Как показывает практика, существует определенное непонимание принципов работы одноразовых паролей (это те самые, которые используются в GMail, в спец. токенах платежных систем и так далее).

Прочитав эту небольшую статью, Вы разберетесь в принципе работы одноразовых паролей на основе хэшей, а заодно напишете на Python небольшую программу, которая умеет вычислять пароли для двухэтапной аутентификации Google.
Читать дальше →
Всего голосов 130: ↑126 и ↓4 +122
Просмотры105K
Комментарии 72

Apple представила двухфакторную верификацию для Apple ID и iCloud аккаунтов

Информационная безопасность


Apple, наконец, начала предпринимать меры по увеличению безопасности Apple ID и iCloud аккаунтов. Компания представила двухфакторную верификацию, которую необходимо пройти, прежде чем станет возможным изменение персональной информации. Концептуально она мало чем отличается от аналогичной верификации у Google. После ввода основного пароля, пользователь получает специальный код на одно из своих «доверенных» устройств, который нужно ввести для завершения процесса.
Так же, пользователи получат специальный ключ, который будет возможно использовать в качестве последнего шанса на восстановление доступа к аккаунту, если вы забыли пароль или потеряли своё устройство.
Далее
Всего голосов 42: ↑31 и ↓11 +20
Просмотры10.4K
Комментарии 22

Apple расширила двухфакторную верификацию на весь мир

Информационная безопасность


В конце марта Apple внедрила двухфакторную верификацию для некоторых стран (США, Великобритании, Австралии, Ирландии и Новой Зеландии) и вот спустя полтора месяца каждый житель Земли может обезопасить свой Apple ID.

Двухэтапная аутентификация происходит стандартно: после ввода пароля на устройство пользователя приходит уникальный код, который необходимо ввести для завершения процесса. В случае утери пароля, получить доступ к учетной записи можно введя Ключ Восстановления, который рекомендуется распечатать и хранить в секретном месте.
Читать дальше →
Всего голосов 16: ↑10 и ↓6 +4
Просмотры9.7K
Комментарии 12

Двухэтапная аутентификация в браузере с помощью USB-токена U2F

Информационная безопасностьКриптографияGoogle Chrome
image

U2F — открытый протокол универсальной 2-факторной аутентификации, разработанный FIDO Alliance.
В альянс входят компании Google, PayPal, Lenovo, MasterCard, Microsoft, NXP ,Visa и другие.

Протокол поддерживается браузером Chrome с версии 38. Работает из коробки без драйверов в Windows/MacOS/Linux.

На текущий момент поддерживается сервисами Google, LastPass, Wordpress.

В статье описывается опыт использования токена Yubikey NEO с поддержкой NFC и OpenPGP card, недостатки двухфакторной аутентификации по SMS.

Читать дальше →
Всего голосов 36: ↑36 и ↓0 +36
Просмотры76.2K
Комментарии 59

Что делать, если Google authenticator всегда выдает неправильные коды

Настройка Linux*nixСерверное администрирование

Доброго времени суток.
Я хотел бы рассказать вам о проблемах 2FA аутентификации на устройствах Android 4.4.2 KitKat и о решении, которое в нашем случае прекратило долгие поиски.

Некоторое время назад мы с коллегами решили добавить Двухэтапную аутентификацию (Two factor authentication или для краткости 2FA) для нашего маленького офисного сервера на базе Ubuntu Server.

2FA это дополнительный уровень безопасности и приятное дополнение к уже существующему механизму аутентификации. Кроме обычной пары логин + пароль от пользователя, выполняющего авторизацию, требуется цифровой ключ, который динамически изменяется каждые 30 секунд и генерируется устройством, находящимся во владении пользователя. Для генерации ключа мы использовали Приложение Google authenticator и мобильный телефон на платформе Android. После разовой настройки приложение генерирует коды, имеющие срок жизни в 30 секунд, точно такие же коды генерирует сервер. При аутентификации коды сравниваются.

Так как данные не передаются от сервера и хранятся только на устройстве — этот механизм является более безопасным, чем отправка кодов подтверждения (например, как 3D-secure SMS подтверждение в банковских системах).
Читать дальше →
Всего голосов 45: ↑33 и ↓12 +21
Просмотры110K
Комментарии 42

Удачи в цифровую эпоху! Или включите параноика и проверьте защиту своих данных

Информационная безопасность
Долго полемизировать не буду, просто приведу 2 жизненных примера от близких людей, которые столкнулись с проблемами аутентификации в обычном современном мире и чуточку своих выводов.


Читать дальше →
Всего голосов 38: ↑27 и ↓11 +16
Просмотры85.3K
Комментарии 72

Двухфакторная аутентификация и открытые двери

Gemalto RussiaИнформационная безопасность
Recovery mode
Sony все же добавила двухфакторную аутентификацию для защиты ста с лишним миллионов учетных записей пользователей в своей сети Sony PlayStation Network. Этого шага уже давно ждали пользователи PSN, особенно после знаменитого взлома в 2011 году, в результате которого доступ к игровому сервису был закрыт на целый месяц, и под угрозой оказались данные кредитных карт, адреса электронной почты и прочая персональная информация пользователей. Возможно, даже слишком давно…


Читать дальше: 2FA or not 2FA, вот в чем вопрос
Всего голосов 8: ↑7 и ↓1 +6
Просмотры5.4K
Комментарии 14

Двойная аутентификация Вконтакте — секс или имитация?

Информационная безопасность

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом VK ошибок не признали. Возможно, я немного параноик? Интересно, что скажете вы, хабровчане.


Читать дальше →
Всего голосов 63: ↑54 и ↓9 +45
Просмотры38K
Комментарии 31

Почему двухфакторная авторизация в Telegram не работает

Информационная безопасность
После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».

Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.

Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.

Происходит это следующим образом:
Читать дальше →
Всего голосов 34: ↑32 и ↓2 +30
Просмотры55.3K
Комментарии 90

Двухфакторная авторизация в Telegram всё ещё/снова не работает

Информационная безопасность
В конце мая этого года я писал Почему двухфакторная авторизация в Telegram не работает (с картинками).

Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко — у него описанным образом угнали аккаунт.

После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS.

Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз.
Читать дальше →
Всего голосов 31: ↑25 и ↓6 +19
Просмотры13.8K
Комментарии 17

Герои двухфакторной аутентификации, или как «походить в чужих ботинках»

«Актив»Информационная безопасностьУправление продуктомУправление персоналом


Наверное скажу банальность, но люди устроены очень странно (а ИТ-шники вдвойне). Они живо интересуются маркетинговыми новинками и рвутся их внедрять, но при этом равнодушно проходят мимо технологий, которые на самом деле могут защитить их компании от реального вреда.

Возьмем для примера технологию двухфакторной аутентификации (2FA). Обычные пароли злоумышленник легко может подсмотреть и/или украсть (что очень часто и происходит), а затем войти в систему под правами легального пользователя. Причем сам пользователь скорее всего не догадается о факте кражи пароля до наступления неприятных (а иногда и весьма тяжелых) последствий.

И это при том, что практически ни для кого не является откровением тот факт, что использование методов двухфакторной аутентификации позволит сильно сократить, вероятность наступления каких-то тяжелых последствий, а то и полностью от них защититься.

Под катом мы расскажем как попытались представить себя на месте лиц, принимающих решение о внедрении 2FA в организации, и поняли, как их заинтересовать.
Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Просмотры8.9K
Комментарии 30

Подтверждение номеров телефона без SMS

ZadarmaИнформационная безопасностьСистемное администрированиеПрограммированиеAPI
Сегодня компаниям все чаще нужно верифицировать клиента не только по email, но и по телефонному номеру. Проблем с подтверждением номера по смс две — это дорогой для компании и не всегда безопасный способ — клиенты часто используют временные виртуальные номера.

Предлагаем простой API метод для авторизации номеров телефонным звонком.


Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры8.8K
Комментарии 59