Pull to refresh

В Google объяснили причину глобального сбоя сервисов

IT Infrastructure *Google API *Google Cloud Platform *Cloud services *
image

Google опубликовала разъяснение по поводу масштабного сбоя, который наблюдался на YouTube, в Gmail и Google Docs 14 декабря. Проблема действительно скрывалась в работе службы аутентификации. Ранее стало известно, что она связана с переполнением хранилища.
Читать дальше →
Total votes 31: ↑29 and ↓2 +27
Views 43K
Comments 62

Хакеры протестировали эксплойт уязвимости нулевого дня в Nginx LDAP

Information Security *Nginx *

В начале апреля хакерская группа BlueHornet заявила об уязвимости нулевого дня в ПО для аутентификации пользователей Nginx LDAP. Хакеры сообщили, что они подготовили и протестировали эксплоит для Nginx 1.18.

Читать далее
Total votes 3: ↑2 and ↓1 +1
Views 2K
Comments 0

Google присоединился к FIDO Alliance для поиска надежной альтернативы парольной аутентификации пользователей

Information Security *


FIDO Alliance — это не Fido/Фидонет, текущая аббревиатура образовалась от Fast Identity Online Alliance. FIDO Alliance — сообщество технологических компаний, которые занимаются поиском надежного стандарта аутентификации пользователя, причем такой стандарт, по замыслу, должен заменить привычные нам пароли. До сегодняшнего дня в сообщество входили такие компании, как Agnito, Infineon Technologies, Lenovo, Nok Nok Nok Labs, PayPal, Validity и некоторые другие (альянс был сформирован в июле прошлого года). Теперь же к альянсу присоединилась и корпорация Google (плюс еще несколько партнеров).

Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 11K
Comments 45

Как работает FIDO

Information Security *IT Standards *
FIDO (Fast IDentity Online) Альянс был создан в июле 2012 года для решения проблемы поддержки устройств строгой аутентификации в сети Интернет, а также с целью упростить жизнь пользователям, вынужденным создавать и запоминать имена пользователей и пароли. FIDO Альянс планирует изменить текущую ситуацию с аутентификацией путем разработки спецификаций, определяющих набор механизмов, которые вытеснят зависимость от паролей и обеспечат безопасную аутентификацию пользователей интернет-услуг. Новый стандарт по безопасности устройств и плагинов для браузеров позволит любому веб-сайту или облачному приложению взаимодействовать с широким спектром существующих и перспективных устройств для обеспечения безопасной аутентификации пользователей.

Для обеспечения безопасной работы пользователей проект FIDO объединяет аппаратные средства, программное обеспечение и интернет-сервисы.

Как работает FIDO
Total votes 21: ↑11 and ↓10 +1
Views 26K
Comments 12

Ад с учётными записями — почему в одной компании пользователей было в 3 раза больше, чем сотрудников

КРОК corporate blog
Прыдстория. В одной производственной компании было около двух десятков(!) кадровых баз. Это базы обособленных подразделений, и в каждой по несколько сотен человек. Всего около 10 тысяч сотрудников. Системный администратор работает грамотный, есть рабочая MS Active Directory.

Квест начался в тот момент, когда безопасники попросили проверить некоего Петрова. По их ощущениям, прав у него было куда больше, чем ему дали по заявкам от подразделений. Админу пришлось поднимать все эти бумажные документы из архива и обходить половину подразделений компании. Ради одного сотрудника. Пока он ходил около двух недель, проверить решили целый отдел.

Параллельно админ понял ещё одну страшную вещь: в компании по факту работает примерно в три раза меньше людей, чем учёток у него в системе. Почему? Да всё просто: учётки заводились по письменным заявкам, а при увольнениях и переводах обновлять статус зачастую забывали.

В этот момент мы начали работать над внедрением общего решения по управлению учетными записями и правами доступа, IdM. Для начала пришлось избавиться от раздробленности и свести все кадровые базы в одну промежуточную кадровую систему. Её связали с Active Directory через новый центр-репозиторий. Потом подключили к репозиторию остальные бизнес-системы вот так:



Дальше мы удалили все лишние учётки, оставили только действительных сотрудников (заодно увидели пару уволенных, но активно логинящихся). Потом нашли пару очень странных людей…
Читать дальше →
Total votes 40: ↑33 and ↓7 +26
Views 50K
Comments 47

Руководство SimpleMembership в ASP.NET MVC 4

.NET *
Tutorial
С появлением ASP.NET MVC 4 и WebMatrix команда mvc стремиться сделать вещи проще для разработчика. Исходя из отзывов одно из направлений для улучшения была выбрана безопасность asp.net. 

ASP.NET MVC 4 шаблон проекта Internet добавил несколько новых очень полезных функций, которые построены с использованием SimpleMembership. SimpleMembership принес простую настройку ролей и пользователей, а также добавил поддержку OAuth. Однако новый провайдер не совместим с существующим ASP.NET Membership Provider.

В этом посте я расскажу о том, что такое SimpleMembership и как его использовать в проекте ASP.NET MVC 4.
Читать дальше →
Total votes 22: ↑17 and ↓5 +12
Views 44K
Comments 11

Аутентификация в Rails-приложениях с помощью Devise. Часть 1: базовая настройка

Ruby *Ruby on Rails *
Sandbox
Предлагаю вашему вниманию один из лучших, на мой взгляд, гемов для аутентификации в rails-приложениях. К сожалению, русскоязычной информации по данному гему очень мало, в том числе и на хабре, поэтому хочу осветить данную тему. Статья, в первую очередь, рассчитана на новичков и представляет из себя подробный туториал по настройке аутентификации на основе упомянутого гема. В первой части я освещу шаги по базовой настройке. Далее подробнее о геме.

Devise — это ruby-гем, предоставляющий возможности для аутентификации в rails-приложениях. Devise работает в связке с гемом Warden, который в свою очередь предоставляет сам механизм для аутентификации в rack-базированных ruby-приложениях. Основные особенности Devise описаны ниже:
  • основан на Rack;
  • является законченным MVC-решением, основанным на Rails;
  • разрешает вход в систему по нескольким моделям одновременно;
  • основан на модульности: использует только то, что вам действительно необходимо.

Итак, приступим к установке и настройке Devise для вашего rails-приложения. Дальнейший процесс для удобочитаемости будет разбит на отдельные шаги.
Читать дальше →
Total votes 29: ↑22 and ↓7 +15
Views 81K
Comments 19

Как надо хешировать пароли и как не надо

Information Security *
image

В очередной раз, когда мы заканчивали проводить аудит информационной безопасности веб-проекта, моя личная бочка с гневом переполнилась негодованием так, что оно перелилось через край в этот пост.

Постараюсь очень лаконично и быстро обрисовать ситуацию с хэшами.

Сразу определю какую задачу применения хешей буду рассматривать — аутентификация пользователей. Не токены восстановления паролей, не аутентификация запросов, не что-то еще. Это также не статья про защиту канала передачи данных, так что комментарии по challenge-response и SSL неуместны!

Читать дальше →
Total votes 135: ↑117 and ↓18 +99
Views 236K
Comments 331

TrulySecure: биометрическая аутентификация пользователя для мобильных устройств

Information Security *


Система аутентификации, не требующая ввода пароля — предел мечтаний многих пользователей мобильных устройств (да и не только их) которым приходится частенько вводить пароли/логины плюс разгадывать каптчу (только не это, пожалуйста).

Так вот, на днях компания Sensory, занимающаяся разработкой систем распознавания голоса более 20 лет, представила TrulySecure. Это система биометрической аутентификации пользователя с использованием камеры и микрофона мобильного устройства.

Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views 6K
Comments 9

Gmail добавил возможность аутентификации пользователя с Security Key

Information Security *


Если вы используете двухфакторную аутентификацию на своем аккаунте Google, то теперь есть возможность упростить задачу входа в Gmail аккаунт. На днях разработчики добавили поддержку хардварного ключа безопасности, Security Key.

Этот девайс может заменить собой 6-значный код подтверждения, вводимый на втором шаге двухфакторной аутентификации. Пароли первого шага остаются, так что злоумышленник, заполучивший чей-нибудь Security Key, не сможет зайти в аккаунт без ввода логина/пароля.

Читать дальше →
Total votes 35: ↑34 and ↓1 +33
Views 34K
Comments 43

Представляем новую версию Kerio Control 8.5

Kerio Technologies corporate blog
image

Cегодня компания Kerio Technologies выпустила Kerio Control 8.5 с повышенной безопасностью за счет 2-шаговой проверки пользователя и многочисленными улучшениями для удобства пользования.

«Мы продолжаем улучшать безопасность, не жертвуя при этом простотой», — сказал Мирек Крен, главный операционный директор и главный управляющий компании Kerio Technologies. «В новом релизе добавлены важные и эффективные функции безопасности, которые можно легко внедрить в любую сеть без значительного нарушения работы предприятия».

2-шаговая проверка пользователя позволит предприятиям улучшить безопасность удаленного доступа к сетевым ресурсам, требуя одноразовый код доступа с ограниченным сроком действия (TOTP) в дополнение к учетным данным пользователя. Владельцы предприятия могут быть уверены, что сетевые ресурсы остаются в безопасности, даже если пароли окажутся в чужих руках.

Новая система переадресации Service Discovery в Kerio Control 8.5 делает процесс настройки сети гибким и простым. Теперь удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях.

Kerio упрощает процесс установки и обновления Kerio VPN клиента при помощи нового установочного пакета, который позволяет развертывание через инструменты сторонних производителей, такие как Apple Remote Desktop или FileWave.

При помощи расширенного набора уведомлений по электронной почте в Kerio Control 8.5, администраторы будут информированы о важных сетевых событиях и состоянии системы. Один флажок на этапе установки задействует наиболее важные системные уведомления.

Зарегистрируйтесь на вебинар, чтобы узнать о новых функциях данной версии, в числе которых:

  • 2-шаговая проверка пользователя
  • Переадресация запросов на обнаружение сервисов (Service Discovery forwarding)
  • Улучшения VPN-клиента
  • Улучшенные/новые оповещения
  • И многое другое...
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Views 4.3K
Comments 0

Запись вебинара «Что нового в Kerio Control 8.5»

Kerio Technologies corporate blog
image

Друзья!

Сегодня состоялся вебинар, посвященный новым функциям Kerio Control, на котором мы обсудили 2-шаговую проверку пользователя, переадресацию запросов на обнаружение сервисов (Service Discovery forwarding), улучшения VPN-клиента, и многое другое…

Запись вебинара доступна здесь.

Для загрузки последней версии, перейдите в раздел поддержки на нашем веб-сайте. Подробнее о новых функциях в Примечаниях к релизу.
Total votes 1: ↑1 and ↓0 +1
Views 2.1K
Comments 0

Новинка от Google. Безопасна ли аутентификация без ввода пароля?

Information Security *
Recovery mode
Я думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.

image

Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.
Читать дальше →
Total votes 10: ↑7 and ↓3 +4
Views 15K
Comments 24

Project Abacus от Google: биометрия вместо пароля

Information Security *IT Standards *


Соответствие процесса аутентификации пользователей различных сервисов и устройств при помощи связки логин/пароль текущим потребностям и желаниям самих пользователей — большой вопрос. Обсуждений, посвященных поиску возможных альтернатив логину и пароля в Сети тоже очень много, как среди обывателей, так и среди технических специалистов высокого класса.

Корпорация Google решила предложить собственный метод аутентификации, где не используется привычная форма с предложением ввести свои данные. Сейчас специалисты компании работают над проектом, получившим название Project Abacus. Работает над проектом команда Advanced Technology and Projects (ATAP). В рамках проекта разработчики пытаются найти надежный способ аутентификации пользователя при помощи биометрии. И здесь имеются в виду не отпечатки пальцев, проект более универсальный.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 11K
Comments 23

Голосовые «отпечатки» теперь официально работают (и как выглядит процесс внедрения в Приорбанке)

КРОК corporate blog Information Security *System Analysis and Design *


— А не западло ли вам там в банке отвечать на анонимные вопросы?
— Нет, Владимир Петрович, не западло.


Один из крупнейших коммерческих банков Беларуси Приорбанк, входящий в австрийскую группу «Райффайзен», использует голосовые эталоны (или, как ещё говорят, голосовые «отпечатки») клиентов для подтверждения их личности при обращении по телефону. Это пока только второй случай на территории России и СНГ, когда банк официально заявил о факте использования такой технологии.

Про саму голосовую биометрию мы уже рассказывали (возможность «узнавания» и определения личности звонящего, например в контакт-центр абонента, даже если он использует другой телефон или представляется кем-то другим — это актуально для антифрода). Расскажу о том, какие особенности есть во внедрении голосовой биометрии на примере Приорбанка.
Читать дальше →
Total votes 38: ↑37 and ↓1 +36
Views 21K
Comments 45

2.5F Аутентификация

Information Security *
Tutorial
Привет, привет! Поздравляю всех причастных с днем ИБэшника )

Хочу поделиться опытом по настройке 2.5 факторной аутентификации удаленных пользователей. Почему 2.5, думаю, вы поймете из содержания, если считать модель «1. Что знаю. 2. Что имею. 3. Кем являюсь» эталонной. Если заинтересовало, прошу!
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 9.3K
Comments 7

Что такое SAML аутентификация и кому она нужна?

Gemalto Russia corporate blog Information Security *Development for Office 365 *
Recovery mode
Управление доступом пользователей к облачным ресурсам представляет собой одну из основных проблем для безопасного использования облачных приложений в корпоративном окружении. С распространением многочисленных сервисных концепций SaaS, PaaS и IaaS управление политиками доступа, в том числе организация строгой аутентификации для каждого приложения создает определенную нагрузку на ИТ-подразделения предприятий. Пользователям приходится держать в памяти многочисленные логины и пароли, что неизбежно приводит к утере паролей, снижению продуктивности и раздражает пользователей. До 20% всех обращений в службу поддержки связано с восстановлением утраченных или забытых паролей.


Читать дальше: SAML себе логин
Total votes 14: ↑12 and ↓2 +10
Views 65K
Comments 7

Четыре вопроса для выбора облачного решения аутентификации

Gemalto Russia corporate blog
Нередко при выборе сервиса облачной аутентификации организации руководствуются стремлением минимизировать инвестиции в технические ресурсы и желанием снизить общую стоимость владения. Однако, для того чтобы воспользоваться в полной мере преимуществами перехода к SaaS, позволяющему компаниям избавиться от лишней нагрузки, связанной с интеграцией и обеспечением технической поддержки, следует учитывать, что сервисы облачной аутентификации могут очень сильно различаться между в отношении возможностей контроля. Сегодня на рынке средств аутентификации существуют продукты, которые способны полностью удовлетворить любые ваши потребности в части аутентификации – это могут быть как решения, целиком построенные на облачных технологиях, так и решения, предполагающие более гибридную модель. Однако перед тем как сделать выбор, следует более внимательно остановиться на тех основных элементах, от которых зависит успешное развертывание надежной аутентификации.


Читать дальше: Какие вопросы задать при выборе облачного решения аутентификации
Total votes 5: ↑4 and ↓1 +3
Views 1.2K
Comments 3

Настройка двухфакторной аутентификации в домене Astra Linux Directory

Аладдин Р.Д. corporate blog Information Security *Development for Linux *
В этом посте мы решили рассказать о доменной аутентификации в Linux, с использованием смарт-карт и USB-токенов JaCarta PKI в качестве второго фактора аутентификации. Если о локальной аутентификации через PAM-модуль информации существует довольно много, то вопрос доменной инфраструктуры и аутентификация по Kerberos-билетам в Linux рассмотрен слабо, особенно на русском языке. В качестве операционной системы возьмем Astra Linux и на примере Astra Linux Directory (ALD) это и покажем.

Выгода такого решения очевидна – оно позволяет отказаться от парольной аутентификации пользователя, что поможет кардинально снизить влияние «человеческого фактора» на безопасность системы. Плюс это даст ряд преимуществ от использования электронных ключей внутри операционной системы, после аутентификации в домене.
Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 15K
Comments 2

5 факторов успеха эффективного внедрения сервисов верификации учетных записей

Gemalto Russia corporate blog Information Security *
Recovery mode
Мошеннические действия с использованием личных данных (ID fraud) представляют собой серьезную проблему для операторов мобильных сетей (Mobile Network Operators, MNO), учитывая что в мире уже насчитывается примерно 200 видов таких мошенничеств, а 35% всего фрода на мобильных устройствах связано с подписками. И это та проблема, на которую нельзя закрывать глаза, – для многих операторов сотовых сетей она приводит к чрезмерно большим издержкам. Более того, помимо убытков для операторов из-за упущенной выгоды, подобные мошеннические действия наносят ущерб и потребителям, затрудняя принятие и развитие новых сервисов. Как можно развивать инновации, если компании вынуждены постоянно выделять значительные средства и ресурсы на то, чтобы минимизировать эффект от мошеннических действий?


Читать дальше: Как эффективного внедрить верификацию учетных записей
Total votes 6: ↑3 and ↓3 0
Views 1.4K
Comments 0
1