Pull to refresh
  • by relevance
  • by date
  • by rating

Защищенные Bluetooth-ключи Google оказались недостаточно защищены

Information Security *Manufacture and development of electronics *IT-companies


Разработчики Google обнаружили серьезные проблемы безопасности в своих Titan Security Key, которые обеспечивают пользователям возможность двухфакторной аутентификации. Уязвимость позволяла взломщикам перехватить управление устройством и получить доступ к аккаунту жертвы.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 4.7K
Comments 9

У пользователя Coinbase украли 100 тысяч долларов с помощью дубликата SIM-карты

Information Security *


Пользователь Coinbase Шон Кунс опубликовал в своем блоге на Medium подробный рассказ о том, как стал жертвой мошенничества. Злоумышленник, личность которого до сих пор не удалось установить, перевел все средства из его кошелька на Coinbase, действуя через дубликат SIM-карты.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 7.6K
Comments 31

Дуров: российские власти попытались взломать аккаунты Telegram четырёх журналистов

Information Security *Cellular communication
Основатель Telegram Павел Дуров сообщил, что российские власти попытались взломать аккаунты четырёх журналистов, освещавших протесты в Екатеринбурге.

«Сегодня российские власти пытались взломать четырёх журналистов, освещающих протесты в Екатеринбурге. К счастью, все эти попытки провалились из-за двухэтапной аутентификации, — написал он в своём телеграм-канале. — Это служит напоминанием о том, что авторитарные правительства не остановятся ни перед чем, чтобы нарушить конфиденциальность своих граждан. Мы настоятельно призываем пользователей в таких странах дважды проверить наличие двухэтапной проверки. Оставайтесь в безопасности и будьте сильными!»
Читать дальше →
Total votes 42: ↑36 and ↓6 +30
Views 19K
Comments 94

Twitter признал, что использовал данные двухфакторной аутентификации для таргетирования рекламы

Information Security *Social networks and communities


Система двухфакторной аутентификации, или метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных, критиковалась пользователями и экспертами уже не раз, и на днях Twitter дал ещё один повод для недовольства. Компания призналась в том, что использует телефонные номера и адреса электронной почты пользователей, которые они указывают для 2FA, чтобы сделать рекламу в микроблоге более таргетированной.

Twitter требует от пользователей предоставить настоящий, действующий номер телефона, чтобы иметь право на использование двухфакторной идентификации. Работающий номер мобильного телефона является обязательным, даже если защита пользователей 2FA основана исключительно на ключах безопасности или приложениях аутентификаторов, чья работа не зависит от телефонных номеров.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 3.4K
Comments 4

Исследователи показали, как клонировать ключи Google Titan через уязвимость чипа NXP

Information Security *Manufacture and development of electronics *IOT
image

Исследователи безопасности из NinjaLab рассказали об уязвимости (CVE-2021-3011) в чипах для аппаратных ключей безопасности Google Titan и YubiKey. Ее эксплуатация позволяет хакерам восстановить первичный ключ шифрования для создания криптографических токенов и обхода операций двухфакторной аутентификации.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 8.2K
Comments 22

В сеть Ubiquiti проникли хакеры

Information Security *Wireless technologies *Cloud services
image

Производитель продуктов для беспроводной передачи данных Ubiquiti Networks заявил, что злоумышленники получили несанкционированный доступ к его IT-системам, которые размещались у стороннего поставщика облачных услуг.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 4.7K
Comments 0

Google внедрит двухфакторную аутентификацию для всех пользователей

Information Security *Cryptography *Google Chrome Google API *

Google собирается внедрить для всех пользователей Gmail и владельцев учетных записей других сервисов двухфакторную аутентификацию для защиты их данных.

Читать далее
Total votes 9: ↑8 and ↓1 +7
Views 29K
Comments 99

Google до конца года потребует от разработчиков приложений включить двухфакторную авторизацию на своих аккаунтах

Information Security *Development of mobile applications *Development for Android *

Разработчикам Google Play потребуется включить двухфакторную аутентификацию и выполнить требования к верификации до конца 2021 года. Google заявляет, что принимает данные меры для повышения уровня безопасности пользователей в приложениях.

Читать далее
Total votes 15: ↑7 and ↓8 -1
Views 2.9K
Comments 5

Google добавил опцию удаления последних 15 минут истории поиска

Information Security *Search engines *Google Chrome Browsers Search engine optimization

Google объявила, что запускает новую функцию конфиденциальности для поиска, которая позволяет мгновенно удалить последние 15 минут истории на мобильном телефоне. Опцию представили ​​вместе с рядом других обновлений поиска и Chrome на I/O 2021.

Читать далее
Total votes 11: ↑11 and ↓0 +11
Views 1.8K
Comments 7

Cisco: распространённость двухфакторной авторизации растёт

Information Security *Statistics in IT

Duo Labs представила новый отчет, в котором рассказала о расширении использования двухфакторной аутентификации среди жителей Великобритании и США. Причинами для популярности 2FA стало желание пользователей улучшить защиту своих данных.

Читать далее
Total votes 13: ↑11 and ↓2 +9
Views 558
Comments 4

Google включит двухфакторную аутентификацию по умолчанию еще для 150 млн пользователей

Information Security *IT-companies

Компания Google хочет обеспечить большую безопасность для учетных записей пользователей, вводя двухэтапную авторизацию. До конца года компания подключит данную опцию еще для 150 млн владельцев аккаунтов Google.

Читать далее
Total votes 12: ↑11 and ↓1 +10
Views 1.8K
Comments 2

К вопросу о двухфакторной аутентификации с помощью мобильных устройств

Symantec corporate blog


Пролистывал на днях статьи на Хабре, и невольно в голову пришла навязчивая идея, что слишком много в последнее время совпадений…… Не смог от нее избавиться и набросал пару строк.

Итак, что с чем совпало?

Читая обсуждение на Хабре на тему открытого письма одного известного безопасника другому известному соучредителю соц.сетей, ловил себя на мысли, насколько противоположные мнения у комментировавших насчет безопасности и удобства использования сети. Одно порадовало, плюсами в основном отмечали сторонников необходимости поддержания достойного уровня безопасности. Особенное внимание я обратил на идею двухфакторной аутентификации с помощью мобильных устройств…
Читать дальше →
Total votes 23: ↑19 and ↓4 +15
Views 12K
Comments 50

Двухфакторная аутентификация на домашнем серваке — быстро, дёшево, дружелюбно

System administration *
Двухфакторная аутентификация — предоставления информации от двух различных типов аутентификации информации [»]

Например, это могут быть последовательно введённые пароль и код, который выдаёт токен с кнопкой. Думаю, многие из вас такие девайсы видели, а кто-то даже их регулярно использует.



Это как если бы на дверь поставили второй замок. Ключ к первому — обычный пароль. Ко второму — действующий в течение 30 секунд одноразовый код. Попасть за дверь можно только если оба ключа окажутся правильными, а не один, как было раньше.

С некоторых пор Google сделала доступной двухфакторную аутентификацию в своих сервисах. Теперь токен переехал в ваш мобильный телефон с Android'ом! iPhone и Blackberry тоже сгодятся в такой роли. Очень удобно. Опробовав на Gmail, мне захотелось такую же штуку сделать у себя, тут-то я внезапно и нашёл libpam-google-authenticator.
Читать дальше →
Total votes 92: ↑89 and ↓3 +86
Views 15K
Comments 29

Google объявил войну паролям

Information Security *


История взломов и массовых утечек 2012 года показывает, что пароли дискредитировали себя как надёжное средство защиты конфиденциальной информации. Нужно искать альтернативу. Поэтому компания Google организовала ряд экспериментов с использованием альтернативных методов аутентификации. Один из них предполагает использование миниатюрных криптографических карт Yubico, изображённых на фотографии. Если вставить такую карту в разъём USB, то вы автоматически входите в свой аккаунт Google, без ввода пароля.
Читать дальше →
Total votes 122: ↑100 and ↓22 +78
Views 111K
Comments 279

Как работает FIDO

Information Security *IT Standards *
FIDO (Fast IDentity Online) Альянс был создан в июле 2012 года для решения проблемы поддержки устройств строгой аутентификации в сети Интернет, а также с целью упростить жизнь пользователям, вынужденным создавать и запоминать имена пользователей и пароли. FIDO Альянс планирует изменить текущую ситуацию с аутентификацией путем разработки спецификаций, определяющих набор механизмов, которые вытеснят зависимость от паролей и обеспечат безопасную аутентификацию пользователей интернет-услуг. Новый стандарт по безопасности устройств и плагинов для браузеров позволит любому веб-сайту или облачному приложению взаимодействовать с широким спектром существующих и перспективных устройств для обеспечения безопасной аутентификации пользователей.

Для обеспечения безопасной работы пользователей проект FIDO объединяет аппаратные средства, программное обеспечение и интернет-сервисы.

Как работает FIDO
Total votes 21: ↑11 and ↓10 +1
Views 23K
Comments 12

Три новых функции безопасности Evernote

Evernote corporate blog


Сегодня мы анонсировали три новые функции сервиса, направленные на усиление безопасности:
  • двухфакторная аутентификация;
  • история доступа;
  • авторизация приложений.

Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 4.7K
Comments 8

Двухфакторная аутентификация в OpenSSH: ключ+одноразовый код

System administration *
В предыдущей статье я рассказал, как добавить проверку одноразовых кодов при логине на свой сервер по SSH. Статья завершалась словами «если ходим по ключу — двухфакторная аутентификация не работает (не используется PAM)».

С недавнего времени, после выпуска OpenSSH версии 6.2, ситуация поменялась к лучшему.

+

Читать дальше →
Total votes 56: ↑53 and ↓3 +50
Views 27K
Comments 24

Как не нужно реализовывать двухфакторную авторизацию на примере одного банка, или почему продакт-менеджер должен консультироваться с безопасниками

Information Security *Website development *
Уже четвертый год являюсь клиентом одного банка. В свое время было куча косяков в UI, о которых я писал в банк многостраничные отзывы (да и сейчас программисты никак не могут реализовать то, что делает любой русский школьник, пишущий в первый раз калькулятор: а именно, принимать в качестве десятичного разделителя и точку, и запятую), но по сравнению с остальным страхом «Сбербанка», «Райфайзена» (ох уж эти джава-апплеты, сколько знакомых звонили каждый раз, когда нужно было сделать перевод — сами не могли разобраться) и т. д. — просто радость для глаз.

Но, собственно, пост вылез из недавнего «улучшения». Месяц-два назад кто-то в банке решил улучшить пользовательское взаимодействие и присылать одноразовые коды для определенных операций не эс-эм-эской, а через USSD-сообщение (UPDATE: или, как подсказали в комментариях, возможно, через Flash-SMS, что, впрочем, дела не меняет). Здесь защита и стала падать.

Читать дальше →
Total votes 99: ↑77 and ↓22 +55
Views 51K
Comments 134

Почему многие банки и платежные системы слабо переживают за безопасность своих клиентов?

Information Security *Payment systems *
Sandbox
Я уже длительный период в аутсорсинге. Однажды, в одном финансовом проекте перед моей командой стоял вопрос усиления защиты аккаунтов пользователей путем внедрения двухфакторной аутентификации. Вариант такой системы был выбран нашим заказчиком. Как я понял через время, выбор оказался не очень удачным: служба поддержки реально плохо ориентировалась во всем многообразии своих продуктов, инструкции по развертыванию системы превышали тысячу страниц, софт их работал только под определенную операционную систему, мне даже пришлось побывать на их курсах. Мы, конечно, внедрили эту систему, но средств и времени было потрачено уйма.



Через некоторое время я столкнулся с сервисом двухфакторной аутентификации, который полностью отличается от того, с которым я познакомился раньше: удобный интерфейс, получение аккаунта в системе за минуту, цены ясны без дополнительных запросов, поддержка всевозможных OATH токенов, можно использовать как платформу, так и сервис, и многое другое. Суппорт заслуживает отдельной благодарности. Еще важный момент для клиентов — решение сертифицировано и стоимость реально доступная. После внедрения его в один из наших аутсорсинговых проектов я решил стать их партнером. Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Кстати, поэтому я и пишу эту статью.
Читать дальше →
Total votes 35: ↑10 and ↓25 -15
Views 12K
Comments 23

Двухфакторная авторизация по смс с барышнями и преферансом

Self Promo
Это рассказ про то, как для элементарного поля «введите код из смс» был построен велосипед с большим числом колёс неправильной формы. Приглашаю покритиковать универсальный модуль для двухфакторной авторизации.

image
Читать дальше →
Total votes 28: ↑19 and ↓9 +10
Views 8.7K
Comments 30