Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Одноразовые пароли. Где? Зачем? Как?

Чулан
Когда я впервые услышал фразу «одноразовый пароль» я был в недоумении. Как это одноразовый? Кто будет использовать пароли, которые действуют только один раз? это сколько же надо паролей помнить, чтобы после первого же использования его выбросить? Да и вообще кому это нужно, ведь есть же нормальные долгоживущие пароли.

Если Вы так же как и я впадаете в некоторое недоумение при словосочетании «одноразовый пароль», то я постараюсь рассказать что это такое, для чего их можно использовать и как они работают.
Читать дальше →
Всего голосов 47: ↑35 и ↓12 +23
Просмотры951
Комментарии 39

Как работают одноразовые пароли

Информационная безопасностьКриптография
Tutorial

Вступление


Как показывает практика, существует определенное непонимание принципов работы одноразовых паролей (это те самые, которые используются в GMail, в спец. токенах платежных систем и так далее).

Прочитав эту небольшую статью, Вы разберетесь в принципе работы одноразовых паролей на основе хэшей, а заодно напишете на Python небольшую программу, которая умеет вычислять пароли для двухэтапной аутентификации Google.
Читать дальше →
Всего голосов 130: ↑126 и ↓4 +122
Просмотры105K
Комментарии 72

Платёжные карты MasterCard с дисплеем и клавиатурой

Информационная безопасностьПлатежные системы
Для защиты приложений интернет-банкинга с помощью одноразовых паролей обычно используют телефон или специальный аппаратный токен. Швейцарская компания NаgraID совместно с MasterCard начинает внедрять карты с дисплеем и клавиатурой, благодаря которым можно реализовать механизм одноразовых паролей без дополнительных устройств. Кроме чипа и магнитной ленты на такой карте есть 12-конопочная цифровая клавиатура и маленький жидкокристаллический дисплей.


Читать дальше →
Всего голосов 67: ↑60 и ↓7 +53
Просмотры46.6K
Комментарии 129

Яндекс.Деньги ввели одноразовые SMS-пароли

ЯндексИнформационная безопасностьПлатежные системы
Яндекс.Деньги в пятницу запустили один из самых востребованных сервисов — защиту любой операции одноразовым SMS-паролем. Теперь на сайте есть три способа усиленной авторизации: таблица кодов, электронный токен и пароли в SMS.

image

Сервис бесплатный. Для того чтобы начать им пользоваться, нужно:
Читать дальше →
Всего голосов 86: ↑74 и ↓12 +62
Просмотры28.1K
Комментарии 73

Двухфакторная аутентификация. Новые вызовы

Информационная безопасностьРазработка веб-сайтовПлатежные системы
Вместо пролога: в данной статье речь пойдет о краже денег с аккаунтов пользователей платежных систем, различных клиент-банков и т.п.

image

Читать дальше →
Всего голосов 25: ↑23 и ↓2 +21
Просмотры27.8K
Комментарии 51

Привязка дополнительных одноразовых паролей к окну входа Windows

Информационная безопасностьКриптография
На хабре уже давно знают об одноразовых паролях и технологиях OTP (One Time Password). Даже Яндекс придумал собственное решение. Я же хочу поведать вам о том как прикрутил интересную реализацию OTP к окну входа в сервер терминалов Windows.

image
Читать дальше →
Всего голосов 17: ↑15 и ↓2 +13
Просмотры42.8K
Комментарии 21

Двойная аутентификация Вконтакте — секс или имитация?

Информационная безопасность

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом VK ошибок не признали. Возможно, я немного параноик? Интересно, что скажете вы, хабровчане.


Читать дальше →
Всего голосов 63: ↑54 и ↓9 +45
Просмотры38K
Комментарии 31

Citrix NetScaler и одноразовые пароли

Системное администрированиеВиртуализацияСерверное администрирование
image Друзья, добрый день! Я долго думал над темой очередной статьи, хотел охватить необъятное и не показаться заангажированным. Думал и на тему аналитики, администрирования и просто на тему “how to”. В итоге решающим стал фактор очередного обращения знакомого “по цеху” с вопросом об организации 2х факторной аутентификации для решений Citrix. В свое время я писал о решении на базе x509 сертификатов, и предложил их коллеге. Но большая часть его удаленных клиентов была базирована на яблочных решениях, а в этом случае устройство доступа и сертификат были как в старой рекламе Head & Shoulders 2 в 1, или как связка ключей от всех замков на одной связке. В итоге я хочу данной статьей охватить немного администрирования, анализа и аналитики.

Архитектурное решение было основано OTP, или по-простому – второй “фактор” – одноразовый пароль. Полагаю, не стоит останавливаться на преимуществах использования OTP, понимания их эффективности, аналогично, как и на необходимости использования 2х факторной авторизации ресурсов и сервисов, доступ к которым открыт в интернете (или в сети интернет). Тут я забегу немного вперед: в моей работе после внедрения 2х факторной авторизации для доступа к корпоративным информационным системам с использованием одноразовых паролей пользователи, имеющие удаленный доступ (а в основном это менеджеры среднего звена) стали задавать вопросы на предмет “а что так сложно стало и неудобно???”, мол никто и нигде это не использует, так зачем бежать впереди планеты всей? Я спрашиваю, а банк-клиент каждый раз присылает новый пароль — это нормально. Обычно после этого вопрос безопасности и удобства снимается. Так, вот лирику и аналитику прошли, продолжим далее.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры3.4K
Комментарии 3

Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS

Аладдин Р.Д.Информационная безопасностьКриптографияСистемное программирование
В нашей прошлой статье мы рассказывали о настройке двухфакторной аутентификации в VMware Horizon View на основе PKI-инфраструктуры и x509-сертификатов. Сегодня рассмотрим другой вариант 2FA-аутентификации — одноразовые пароли (OTP). Использование PKI-технологии, возможно, более надежное, но в наш век всеобщей мобильности и тенденции BYOD, когда пользователям нужно получать доступ к информационным ресурсам с любых устройств, включая мобильные, использование технологии PKI не всегда удобно, а иногда совсем невозможно. Поэтому аутентификация по одноразовым паролям (OTP) набирает всё большую популярность.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры3.8K
Комментарии 3

Двухфакторная аутентификация для SSH

GlobalSignИнформационная безопасностьСерверное администрирование
«Безопасная оболочка» SSH — сетевой протокол для установления защищённого соединения между хостами, стандартно по порту 22 (который лучше поменять). SSH-клиенты и SSH-серверы доступны для большинства ОС. Внутри SSH работает практически любой другой сетевой протокол, то есть можно удалённо работать на другом компьютере, передавать по шифрованному каналу звуковой поток или видео и т.д. Кроме того, через SOCKS-прокси на удалённом хосте можно подключаться к другим хостам уже от имени этого удалённого хоста.

Аутентификация происходит по паролю, но разработчики и системные администраторы традиционно применяют SSH-ключи. Проблема в том, что секретный ключ могут украсть. Добавление парольной фразы теоретически защищает от кражи секретного ключа, но на практике при форвардинге и кэшировании ключей они всё равно могут использоваться без подтверждения. Двухфакторная аутентификация решает эту проблему.
Читать дальше →
Всего голосов 22: ↑8 и ↓14 -6
Просмотры5.7K
Комментарии 9