Pull to refresh
15
0
F.Hüseynov @EminH

Пользователь

Send message

Программируемые аппаратные TOTP ключи с возможностью синхронизации времени

Reading time 5 min
Views 4.2K
Мы рады объявить о новой линейке программируемых аппаратных TOTP ключей от TOKEN2. Основным нововведением является возможность синхронизации системных часов аппаратных ключей через NFC API с помощью специальных приложений — на данный момент готовится релиз под Android и Windows 10.
Read more →
Total votes 11: ↑7 and ↓4 +3
Comments 17

Двухфакторная аутентификация для Cisco Meraki Client VPN с помощью Token2 TOTPRadius

Reading time 2 min
Views 2.7K

Двухфакторная аутентификация для систем без поддержки двухфакторной аутентификации


Продолжаем рассказывать про наш продукт – TOTPRadius, на этот раз акцентируя внимание на относительно новую возможность, а именно — LDAP интеграцию.

Есть немало систем, поддерживающих двухфакторную аутентификацию «из коробки». В большинстве случаев это достигается возможностью подключения второго источника аутентификации по LDAP или Radius протоколам. Примером такой системы является Citrix Netscaler, где можно подключить первичный источник по LDAP и второй по Radius (а можно и оба по LDAP). С такими продуктами TOTPRadius интегрируется очень даже хорошо, и даже предоставляет API для самостоятельной регистрации второго фактора.

Но есть, к сожалению, продукты, не поддерживающие более одного источника аутентификации. Приведем пример продукта, который используется одним из наших клиентов. Клиент прислал нам feature request, который мы успешно реализовали, так как поняли, что таких продуктов достаточно много и эта функция, по нашему мнению, может оказаться достаточно востребованной.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Comments 0

Самостоятельная регистрация второго фактора для двухфакторной аутентификации, основанной на протоколе RADIUS

Reading time 3 min
Views 4.9K
В этой статье мы хотим рассказать о нашем продукте TOTPRadius. Это RADIUS сервер, спроектированный для применения в системах двухфакторной аутентификации. Помимо стандартного для этого протокола фунционала, TOTPRadius предоставляет несколько дополнительных функций, одной из которых является возможность организации самостоятельной регистрации второго фактора для рядовых пользователей
Total votes 5: ↑4 and ↓1 +3
Comments 4

Фишинг на новом уровне: Cloudflare + Protonmail + Unvalidated Redirects – набор юного фишера

Reading time 4 min
Views 15K
«… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
Вито Корлеоне

Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.
Читать дальше →
Total votes 23: ↑21 and ↓2 +19
Comments 15

Google тестирует «беспарольный» вход

Reading time 2 min
Views 34K
Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Comments 55

WifiOTP: Удобная двухфакторная аутентификация с помощью Wi-Fi SSID

Reading time 4 min
Views 11K


Проблема: двухфакторная аутентификация слишком сложна для большинства пользователей


Классическая двухфакторная аутентификация подразумевает достаточно утомительную для пользователей процедуру. Опишем последовательность действий, необходимых для входа в тот же Gmail на персональном компьютере с использованием мобильного телефона в качестве генератора одноразовых паролей (OTP). После входа с помощью первого фактора (пароля), надо:
1) Найти телефон
2) Разблокировать его
3) Найти приложение-OTP генератор (например, Google Authenticator или Token2 Mobile OTP)
4) Подсмотреть OTP и ввести его с клавиатуры

Примерно так же «сложно» с аппаратными ключами стандарта TOTP/HOTP (с U2F ключами чуть проще). Понятно, что у всего есть своя цена, но для обычных пользователей, особенно не сталкивавшихся прежде с компрометацией учетных записей, эта мера кажется лишней. Неудивительно, что в случаях, где двухфакторная аутентификация необязательна, только небольшой процент пользователей активирует эту опцию. По данным исследователей, в случае с Gmail, это около 6% [1]. В целом, для решения этой проблемы надо только найти альтернативный канал между основной системой (в нашем случае браузер на компьютере) и ключом (мобильным приложением).
И такие решения есть
Total votes 14: ↑14 and ↓0 +14
Comments 10

Международная конференция Augmented Human 2016

Reading time 2 min
Views 1.6K

А также гранты для поездки на конференцию в рамках программы научного сотрудничества между Швейцарией и странами Восточной Европы


Седьмая международная конференция по расширению возможностей человека с помощью техники, Augmented Human 2016 (AH16), будет проходить в Женеве (Швейцария) с 25 по 27 февраля 2016 года.
Читать дальше →
Total votes 4: ↑3 and ↓1 +2
Comments 0

MS Lync: идентификация личных звонков

Reading time 5 min
Views 10K
Наш офис недавно перешел на использование MS Lync в качестве решения для телефонии: PABX от Siemens (кстати очень качественный и надежный) давно устарел и должен был быть заменен. Выяснилось, что из всех альтернатив MS Lync с Enterprise Voice является наиболее выгодным. Помимо цены, на выбор оказало влияние то, что некоторые филиалы компании в других странах уже использовали Lync, правда без телефонии, так как это Lync Online от Office 365. Тем не менее, возможность сосуществования этих систем (Lync Hybrid) показалась руководству полезной.

Так или иначе, решение было принято; и помимо множества других проблем возникла необходимость идентификации личных звонков. Работникам разрешается использовать телефон в личных целях, но, конечно, и оплачивать их самим. Со «старым» PABX реализация была такая: после ввода личного пин-кода и до набора номера требовалось ввести 0 для звонка «по работе» или 1 для личных звонков. Эта информация сохранялась и периодически экспортировалась в формате CSV для последующего импорта в SAP с помощью WinShuttle. С MS Lync можно реализовать все точно так же (ну или почти), однако здесь есть одна существенная особенность: в отличии от классической телефонии, большинство звонков из Lync осуществляется не набором номера, а через поиск контакта (например, по имени) или даже кликом по полю отправителя электронного письма в Outlook — так что, идентификация личных номеров с помощью префикса больше не кажется идеальным решением. Кроме того, так как Lync клиент использует ту же базу контактов, что, например, и мобильный телефон пользователя, подключенный к корпоративному Exchange серверу, добавление префикса к номеру контакта будет мешать/усложнять совершать обычные (не Lync) звонки с помощью мобильного телефона.

Мы пришли к трем вариантам решения этой проблемы. Подробная информация под катом.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Comments 2

MyTOTP — полностью своя* двухфакторная авторизация по rfc6238

Reading time 3 min
Views 12K
Итак, вы решили внедрить двухфакторную авторизацию для своего проекта, и решили не следовать примеру Яндекса и изобретать свой новый стандарт, а воспользоваться существующим, а именно TOTP по rfc6238
Алгоритмы генерации и валидации одноразовых кодов достаточно подробно описаны как в самом RFC, так и многочисленных имплементациях для всех языков и платформ.

Примеры реализации есть как для серверной части, так и для клиентской (в случае если для TOTP используется не аппаратный ключ, а мобильное приложение). К сожалению, очень часто в команде может не оказаться ресурсов для создания своего мобильного приложения для генерации одноразовых паролей (имею ввиду как отсутствие мобильных разработчиков чтобы сделать самим или финансов для outsource).

В этом случае наиболее распространенным выходом из положения является использование «чужого» приложения (например того же Google Authenticator-а), но в этом случае решение будет не полностью свое (вот на что намекает звездочка в заголовке).

А хотите двухфакторную авторизацию полностью свою и за минимум вложений? Тогда вам под кат
Читать дальше →
Total votes 20: ↑16 and ↓4 +12
Comments 12

Bootstrapping мобильного приложения, или как немного сэкономить на разработке и публикации

Reading time 3 min
Views 9.8K
Token2.com предоставляет сервис двухфакторной аутентификации (2fa as a service) и изначально в качестве основного метода доставки одноразовых паролей (OTP) для второго фактора планировалось использовать SMS. На SMS завязывалось все, и сама технология и даже монетизация — сам сервис предоставляется совершенно бесплатно, пользователь платит только за пакет SMS. На данный момент планируется набрать базу пользователей и установить аппаратный шлюз для SMS — после этого себестоимость снизится, и будет возможно снизить цены для пользователей и начать получать прибыль с проекта.

Однако, в процессе тестирования выяснилось, что надежность SMS оставляет желать лучшего: процент успешной доставки для многих операторов в странах СНГ не превышает 90% (тестировали как с интернет-шлюзами так и с аппаратными). Решение этой проблемы очевидно — авторизация с помощью мобильных приложений, однако никакого бюджета на это не предполагалось, а в команде людей с опытом разработки под мобильные платформы не было. В тоже время предлагать пользоваться другими приложениями (например Google Authenticator) не хотелось, а хотелось именно свое мобильное приложение, с функцинальностью не хуже, а в идеале, даже лучше существующих аналогов.

В этой статье я кратко опишу как мы решили это проблему с минимумом затрат и без привлечения сторонних разработчиков.
Читать дальше →
Total votes 25: ↑16 and ↓9 +7
Comments 6

Двухфакторная аутентификация: еще раз о рисках при использовании SMS и голосовых вызовов

Reading time 3 min
Views 15K
Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
Рассмотрим все риски более подробно.
Читать дальше →
Total votes 23: ↑19 and ↓4 +15
Comments 9

Вход в web-приложение с использованием распознавания лица

Reading time 3 min
Views 20K


В первый раз я столкнулся с системой входа в систему, основанной на распознавании лица на ноутбуке от Lenovo. Было забавно, но как ни странно, работало. Проверял при разном уровне освещения, со слегка модифицированной мимикой, с приближением и удалением от камеры. Качество распознавания удивляло, ложных срабатываний не было. Большой ложкой дегтя, конечно, была возможность аутентификации с помощью распечатанной фотографии.

Наша компания предлагает решения для двухфакторной аутентификации, которые уже можно назвать классическими: одноразовые пароли по SMS, аппаратные ключи и мобильные приложения, генерирующие одноразовые пароли на смартфонах пользователей. Параллельно, мы рассматриваем дополнительные методы «второго фактора», в данном конкретном случае в исключительно научных целях — по вполне понятным причинам.

Итак, представленный ниже метод биометрической аутентификации не рекомендуется для промышленной эксплуатации в качестве замены первого фактора (пароля). Риск при использовании метода в качестве второго фактора существенно меньше, но все еще существует — решайте сами. Я просто расскажу, как и с помощью каких инструментов можно организовать аутентификацию для веб приложения с использованием распознавания и валидации изображения человеческого лица. Аппаратная реализация — обычная web-камера.
Читать дальше →
Total votes 30: ↑24 and ↓6 +18
Comments 40

Unicode 7.0

Reading time 1 min
Views 25K
Вчера (16/06/14) было объявлено о выходе новой версии стандарта Unicode, 7.0. В Unicode добавили 2834 новых символа, в том числе, знак российского рубля и азербайджанского маната. Помимо этого, в стандарт также включены символы Emoji которые до этого присутствовали только в специализированных шрифтах Webdings и Wingdings.
В стандарт также добавлены символы для 23-х алфавитов, таких как кавказский албанский (Caucasian Albanian) и древнепермское письмо (Old Permic)

С полным списком нововведений можно ознакомиться по ссылке
Total votes 61: ↑57 and ↓4 +53
Comments 53

un1c0rn, «Google для уязвимостей»

Reading time 2 min
Views 25K
На хабре уже появлялись статьи о незащищенных инстансах mongodb и непропатченных openssl с heartbleed.
Проект un1c0rn решил не мелочиться и сделать целый «поисковик уязвимостей», в статье на Motherboard.vice.com un1c0rn даже назвали «Google-ом для уязвимостей».



UPDATE 17.06.14 — un1c0rn стал платным! Теперь для доступа к результатым эксплойтов они просят перевести на их кошелек сумму не менее 0,01 BTC
Warning:
Only part of the leaked data is available.
Send your contribution to… (> 0.01 BTC) to unlock the full leak.


Читать дальше →
Total votes 51: ↑50 and ↓1 +49
Comments 29

Как сделать обычный сервер FTP по-настоящему безопасным и одновременно удобным?

Reading time 2 min
Views 24K
Сразу оговорюсь: подробных инструкций/конфигураций не предоставляю, просто делюсь мыслями как можно сделать. Так же, под FTP подразумеваю не только классический FTP, но также SFTP и SSL-FTP – это статья про безопасность паролей, а не протокола как такового.

Представьте хостинг компанию предоставляющую хостинг аккаунты с повышенной безопасностью, а именно с двухфакторной аутентификацией.
Читать дальше →
Total votes 23: ↑17 and ↓6 +11
Comments 9

Отправка больших файлов в Microsoft Outlook 2010 с помощью VBA и PHP

Reading time 5 min
Views 15K
Хочу поделиться способом решения проблемы с отправкой больших файлов в Microsoft Outlook 2010 (я думаю с 2013 прокатит тоже).
Итак, исходные условия:
— MS Exchange Server 2010 — inhouse — админ доступа нет — автор просто пользователь
— Ограничения на общий объем писем 10Мб
— Есть пара Linux web-серверов в своем DMZ и админ доступ к корпоративному интранету
Надо:
— Организовать удобный механизм передачи больших файлов (очень больших)
— Не использовать сторонних провайдеров для хранения информации

Первой мыслью было использования сервисов типа dropbox, точнее их self-hosted аналогов типа ownCloud. Однако, разворачивать это все только для аттачментов показалось неадекватным.
Читать дальше →
Total votes 4: ↑3 and ↓1 +2
Comments 5

Не совсем стандартный подход к организации доступа к WiFi сети (Cisco WLC -> FreeRadius -> PHP -> страничка в сети )

Reading time 5 min
Views 11K
Хочу поделиться решением одной нетривиальной задачи. Было необходимо организовать удобный доступ к беспроводной сети в офисе организации. Сеть предоставляет доступ только к public internet, с корпоративной сетью ничто не связывает — полностью изолированная система. Единственный общий компонент — пользователи. Для упрощения процесса решено аутентификацию делать на уровне Layer 3 — то есть сеть открытая, после подключения надо вводить пароль для доступа к интернету (Cisco WLC Web Auth).
В принципе все просто, заводятся учетные записи на каждого пользователя, и все готово. Но, ввиду дефицита хелпдеск персонала, заниматься созданием логинов и, тем более, выдачей паролей персоналу было некому. Была поставлена задача использовать один из существующих источников аутентификации, что в стандартной ситуации сделать достаточно просто: например для MS Active Directory можно использовать NPS в качестве радиус сервера, на LDAP же можно подключаться напрямую).
В нашем случае было и то, и другое (AD для сети и LDAP для доступа к корпоративному интранету ), но из WiFi сегмента туда не было вообще никакого доступа. Максимум что нам смогли дать, это тестовые AD акаунт и акаунт для интранета. Сели, подумали… и вот что придумали
Читать дальше →
Total votes 7: ↑5 and ↓2 +3
Comments 2

«Новости по теме» с помощью PHP, phpmorphy и MySQL

Reading time 4 min
Views 13K
Хочу поделиться методом определения «похожих» записей. Думаю, будет полезно для блогов или новостных ресурсов.
Цель данного поста показать принцип, имплементация может быть не совсем комильфо, так как автор не проф. программист, а любитель.

Читать дальше →
Total votes 16: ↑11 and ↓5 +6
Comments 17

Отказоустойчивость систем на базе HP Storageworks P4xxx без третьего дата центра

Reading time 3 min
Views 4.3K

Предыстория

Года два назад, руководство решило вложиться в проект виртуализации нашего датацентра. Задача стояла достаточно простая, около 50 серверов, в основном Windows, пара линукс машин, ничего нестандартного. Датацентр хоть и небольшой но очень гордый важный, являемся европейской штаб-квартирой крупной организации – хостим сервисы для 30 стран (Европа+СНГ). Два датацентра, связь надежная и дублированная, по определенным причинам выбрали связку VMWare ESXi (4 затем 5) и HP Lefthand P4000(первый транш) и P4500 (второй транш). Причины чисто субъективные, VMWare и HP являются стратегическими партнерами и т.д.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Comments 1

Замена стандартного Lobby Admin Cisco Wireless LAN Controller 5500/2500

Reading time 12 min
Views 9.4K

или «Не нравится интерфейс от Cisco — сделай свой»



Беспроводные контроллеры 2500/ 5500 используются для управления точками доступа Cisco Aironet с прошивкой LWAPP в пределах корпоративной сети для обеспечения общей политики безопасности, гостевого доступа и поддерживают как стандартных компьютерных клиентов (ноутбуки, компьютеры, смартфоны), так и специализированные устройства с беспроводным доступом — ручные сканеры для торговых залов, беспроводные камеры наблюдения и т.д.

Не так давно, мне была поставлена задача организовать возможность выдачи гостевого доступа в интернет с использованием Cisco WLC. Доступ должен был выдавать наш «ресепшн» — то есть интерфейс должен быть максимально удобен и прост для людей далеких от IT. Само создание гостевого доступа должно было быть лишь частью процесса вместе с проверкой документов и выдачи временного бейджика и должно занимать не более 10 секунд.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Comments 11
1

Information

Rating
Does not participate
Location
Versoix, Genève, Швейцария
Date of birth
Registered
Activity