Pull to refresh

Apple предлагает разработать единый стандарт SMS для двухфакторной аутентификации

Smartphones IT-companies


Инженеры компании Apple, работавшие над браузером Safari, предложили создать стандартизированные SMS-сообщения для двухфакторной аутентификации на сайтах. Как утверждают в компании, стандартизация позволит связать OTP (one-time-password) SMS-сообщения с URL-адресом.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 6.2K
Comments 28

Microsoft и Google отложили удаление базовой аутентификации из-за пандемии

Information Security *IT-companies
imageФото: wiseit.com

Microsoft объявила, что удаление Basic Authentication из Exchange Online откладывается до второй половины 2021 года из-за текущей ситуации, вызванной пандемией COVID-19.
Total votes 12: ↑8 and ↓4 +4
Views 4.8K
Comments 1

Уязвимость в Bluetooth 4.0 и 5.0 позволяет злоумышленникам перехватывать ключи аутентификации

Information Security *Wireless technologies *Gadgets
image Все устройства, использующие стандарт Bluetooth с 4.0 по 5.0, оказались под угрозой. Уязвимость под названием BLURtooth в компоненте стандарта Cross-Transport Key Derivation (CTKD) позволяет злоумышленникам перехватывать ключи аутентификации. Организации, стоящие за беспроводной технологией, опубликовали руководство о том, как производители могут избежать атаки на устройства. Патчей пока нет.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 7.1K
Comments 3

Бесплатный 10-секундный видеоклип купили за $6,6 млн

Working with video *Image processing *Design Finance in IT

В октябре 2020 года коллекционер из Майами Пабло Родригес-Фрайле потратил почти $67 тысяч на 10-секундное видео, которое он мог бы посмотреть бесплатно в Интернете. На прошлой неделе он перепродал его уже за $6,6 млн. Видео цифрового художника Бипла (Майка Винкельманна), было аутентифицировано с помощью блокчейна, который послужил цифровой подписью для подтверждения оригинальности работы.

Читать далее
Total votes 7: ↑7 and ↓0 +7
Views 5.2K
Comments 2

Гражданам РФ предложили заводить учетную запись на госуслугах по умолчанию

Project management *Legislation in IT

В рамках проекта «Цифровой профиль гражданина» рабочая группа предложила создавать учетные записи пользователей на портале госуслуг по умолчанию при любом обращении в госорганы. Мера направлена на то, чтобы добиться регистрации 85% россиян на госуслугах к 2024 году.

Читать далее
Total votes 15: ↑14 and ↓1 +13
Views 7.2K
Comments 30

Cloudflare пообещал избавить пользователей от каптчи системой ключей безопасности

Information Security *Cryptography *DNS *

Поставщик услуг DNS Cloudflare пообещал своим пользователям замену «безумной» каптчи совершенно новой системой «криптографической аттестации личности». На данный момент она поддерживает только ограниченное количество USB-ключей безопасности, таких как YubiKeys, HyperFIDO и Thetis FIDO U2F.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 5.5K
Comments 25

Операторы предложили ограничить бесплатный доступ к социально значимым сайтам

Legislation in IT Cellular communication

Мобильные операторы выступили с предложением в адрес Минцифры об уточнении правил предоставления бесплатного доступа к социально значимым сайтам. По их мнению, абоненты должны выразить для этого активное согласие, например, обратиться в колл-центр, а затем подтвердить свое гражданство. Кроме того, ограничения предложили ввести для тех, кто находится за рубежом и в национальном роуминге.

Читать далее
Total votes 12: ↑12 and ↓0 +12
Views 7.4K
Comments 21

Yubico запустила ключи YubiKey Bio с встроенным датчиком отпечатка пальца

Information Security *Gadgets

Компания Yubico представила новый тип ключей безопасности, которые позволяют авторизоваться в системе с помощью отпечатка пальца. Предыдущие версии YubiKeys требовали ввести ПИН-код, а затем нажать клавишу, новая версия обеспечивает аутентификацию одним касанием. 

Читать далее
Total votes 13: ↑13 and ↓0 +13
Views 1.8K
Comments 5

Тутовый шелкопряд поможет обеспечить информационную безопасность

Cloud4Y corporate blog Information Security *

Возможно совсем скоро появится новый способ усилить цифровую безопасность. Причём способ неожиданный. Исследователи из Южнокорейского института науки и технологий Кванджу (GIST) предложили использовать шёлк тутового шелкопряда в качестве ключа безопасности. 

Читать далее
Total votes 22: ↑21 and ↓1 +20
Views 4.4K
Comments 1

Apple, Google и Microsoft внедрят вход без пароля на всех основных платформах в следующем году

Information Security *

Apple, Google и Microsoft обеспечат поддержку единого стандарта беспарольной аутентификации на своих платформах в следующем году. Мобильные ОС Android и iOS, браузеры Chrome, Edge и Safari, ОС Windows и macOS будут поддерживать протокол авторизации без пароля, созданный альянсом FIDO (Fast IDentity Online) и консорциумом World Wide Web. В качестве устройства для авторизации можно будет использовать смартфон, для входа в приложения достаточно будет разблокировать его с помощью биометрических данных, PIN-кода или графического ключа. 

Читать далее
Total votes 11: ↑11 and ↓0 +11
Views 5.7K
Comments 14

Yahoo Japan стремится к универсальной аутентификации без пароля

Information Security *IT-companies

Японское подразделение компании Yahoo сообщило, что планирует отказаться от аутентификации с помощью паролей. К тому же IT-гигант сообщил, что 30 млн пользователей из 50 уже использует решения от FIDO.

Читать далее
Rating 0
Views 1K
Comments 5

Исследователи воспроизвели Bluetooth-атаку, которая позволит украсть Tesla Model 3 и Y

Information Security *Transport

Исследователи безопасности из NCC Group разработали инструмент для проведения ретрансляционной атаки по стандарту Bluetooth Low Energy, который обходит все существующие средства защиты для аутентификации. Технология BLE используется в широком спектре продуктов, от электроники (ноутбуки, мобильные телефоны, умные замки и системы контроля доступа в здания) и до автомобилей, таких как Tesla Model 3 и Model Y.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 1.6K
Comments 3

Apple анонсировала функцию Passkeys на замену стандартным паролям

Information Security *Development for iOS *Presentations

Apple в ходе конференции WWDC объявила о внедрении новой функции Passkeys, которая позволит заменить привычные пароли в Интернете. 

Читать далее
Total votes 7: ↑4 and ↓3 +1
Views 3.7K
Comments 20

С 1 октября Microsoft отключит базовую аутентификацию Exchange Online

Information Security *Microsoft Azure *Cloud services *

Microsoft предупредила, что с 1 октября 2022 года отключит базовую проверку подлинности Exchange Online для случайных клиентов по всему миру. Данную меру принимают с целью повышения безопасности. 

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 3.7K
Comments 2

Приложение Microsoft Teams хранит токены аутентификации в незашифрованном виде, разработчики не считают это критичным

Information Security *System administration *Software IT-companies Video conferencing


Эксперты из ИБ-компании Vectra выяснили, что десктопное приложение Microsoft Teams в версиях для ОС Windows, Linux и Mac хранит токены аутентификации в виде простого, незашифрованного текста. Разработчики из Microsoft в курсе ситуации. Они не считают это критичной проблемой.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 4.3K
Comments 24

Twitter исправил баг с закрытием активных сеансов входа на Android и iOS после сброса пароля

Information Security *Social networks and communities

Twitter исправил баг, из-за которого не закрывались все активные сеансы входа в систему на Android и iOS после сброса пароля учётной записи. 

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 227
Comments 0

GitHub предупредил о фишинговой кампании с фейковыми уведомлениями от Circle CI

Information Security *Cryptography *Open source *GitHub *

В GitHub Security предупредили, что злоумышленники атакуют пользователей GitHub с помощью фишинговой кампании, выдавая себя за сервис CircleCI. Они собирают учётные данные пользователей и коды двухфакторной аутентификации. 

Читать далее
Rating 0
Views 208
Comments 0

Применяем никнеймы

Lumber room
Вопрос у меня простой:
Нужны ли никнеймы-логины и какие они должны быть?

Например, на Хабре ник используется для идентификации при выводе сообщений и как логин, одна из частей аутентификации.

А, например, в Microsoft passport логином является email.
Понятно, почему Microsoft не просит придумать уникальный ник — потому что он большой и уникальных ников на него не напасёшься. Ну и ещё есть пара моментов, это не важно. На xpoint.ru, например, логином также является email. А на drive.ru можно и email и ник вводить логином.

Вот тот же вопрос, чуть шире:
Действительно ли требуется выделенное поле уникального ника-логина для учётной записи или можно обойтись email, а ник сделать неуникальным, с поддержкой кириллицы и пробелов? Для сервисов, которые требуют создания каталога на диске или домена, можно завести это самое уникальное поле с латинницей, запретом пробелов и так далее. На Хабре я не вижу необходимости заведения ника-логина.

Проблема только одна — идентификация пользователя. Это чтобы не было двух разных Вась рядом и чтобы их никто не спутал.
Может быть, кто-то знает другие способы её решения?

Куда постить тему, не понимаю — вроде бы к анонсам PHP, Оперы и облакам тагов (webdev) не клеится. Если будут предложения, наверное перенесу.
Total votes 16: ↑12 and ↓4 +8
Views 1.2K
Comments 41

А читали ли вы роман «Ким» Редьярда Киплинга?

Cryptography *
Если вы интересуетесь криптографией — рекомендуем почитать, хотябы первые двадцать страниц. Там можно встретить такие методы и явления как шпионаж, аутентификация, отказ в обслуживании, имперсонализация, сокрытие данных, маскарадинг, аутентификация на основе ролей(а также ad-hoc аутентификация), подслушивание и систему доверия основанной на целосности данных. А почитав дальше, можно также увидеть планирование защиты от краж и криптографию со сменой ключей.

Почитать можно тут (626k)

Подслушано отсюда
Total votes 8: ↑6 and ↓2 +4
Views 1.8K
Comments 1

Система Google Account Authentication введена в действие

Lumber room
Компания Google ввела в эксплуатацию систему, которая позволяет сторонним сайтам работать с информацией из внутренней системы Google после аутентификации пользователя. Система, похожая на Microsoft Passport, называется Google Account Authentication.

Таким образом, теперь стало возможным создавать веб-приложения, в которых система будет взаимодействовать с пользователем, уже авторизованным в системе Google, и получать его персональные данные с серверов Google. Например, независимый веб-сервис может без проблем импортировать закладки пользователя с его аккаунта в системе Google Bookmarks. Реализация доступа осуществляется с помощью программных интерфейсов Google Account API. Для пользователя это безопасная процедура, потому что веб-сервис «не видит» его логин и пароль.
Rating 0
Views 401
Comments 0