Мы решили продолжить наш цикл статей про разработку пользовательской документации, но на этот раз нам захотелось рассказать об еще одном способе создания инструкций для пользователей — это съемка видеороликов. Мы расскажем о процессе их производства: от возникновения идеи до загрузки ролика на YouTube-канал. У нас нет студии и профессиональных актеров, мы все делаем сами и хотим показать вам, что это не так сложно. Здесь вы найдете: идеи, готовые алгоритмы и, быть может, вдохновитесь на съемку своей видеоинструкции.
Внешний вид и скриншоты в пользовательской документации. Как надо и не надо делать
Люди читают пользовательскую документацию, когда самостоятельно не могут с чем-то разобраться. Они не делают это для развлечения. И эмоции, которые преобладают в этот момент, далеко не всегда позитивные. Как разработчик пользовательской документации может помочь пользователю? Что ему необходимо учитывать при написании документа?
Как заголовок и навигация в документации помогают минимизировать стресс пользователя
Все мы рано или поздно оказываемся один на один со сложной информационной системой, а ведь далеко не каждый интерфейс позволяют нам быстро найти и выполнить нужную процедуру. В такой ситуации события могут развиваться по одному из двух сценариев:
Первый. Перед вами система и 5 минут на то, чтобы выполнить в ней необходимую процедуру.
Как мы в «Активе» пишем пользовательскую документацию. Почему это важно
Что пользователь хочет видеть в пользовательской документации? Что его в ней раздражает? Эти вопросы задаёт себе каждый, кто пишет такую документацию, но далеко не каждый правильно отвечает на них. Совсем небольшой процент пользователей читает документацию. Давайте разберёмся, почему так и как сделать пользовательскую документацию эффективной и изменить отношение пользователей к ней.
Настройка аутентификации в сети L2TP с помощью Рутокен ЭЦП 2.0 и Рутокен PKI
Проблематика
Ещё совсем недавно многие не знали, как это — работать из дома. Пандемия резко изменила ситуацию в мире, все начали адаптироваться к сложившимся обстоятельствам, а именно к тому, что выходить из дома стало просто небезопасно. И многим пришлось быстро организовывать работу из дома для своих сотрудников.
Однако отсутствие грамотного подхода в выборе решений для удалённой работы может привести к необратимым потерям. Пароли пользователей могут быть украдены, а это даст возможность злоумышленнику бесконтрольно подключаться к сети и ИТ-ресурсам предприятия.
Именно поэтому сейчас выросла потребность в создании надёжных корпоративных VPN сетей. Я расскажу вам о надёжной, безопасной и простой в использовании VPN сети.
Она работает по схеме IPsec/L2TP, использующей для аутентификации клиентов неизвлекаемые ключи и сертификаты, хранящиеся на токенах, а также передает данные по сети в зашифрованном виде.
Как подписывать почтовую переписку GPG-ключом, используя PKCS#11-токены
Современные почтовые сервисы из года в год совершенствуют свою систему безопасности. Сначала появились механизмы аутентификации через СМС, сейчас уже совершенствуются механизмы машинного обучения для анализа подозрительной активности в почтовом ящике.
А что если кто-то получил заветный пароль от вашей почты и начал читать все ваши тайные переписки, а также писать направо-налево какую-то белиберду. Как добавить дополнительный уровень защиты и на этот случай? На помощь приходят GPG и смарт-карты.
Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel
В этой статье я хочу показать, как настроить Stunnel на использование российских криптографических алгоритмов в протоколе TLS. В качестве бонуса покажу, как шифровать TLS-канал, используя алгоритмы ГОСТ, реализованные в криптоядре Рутокен ЭЦП 2.0.
Но для начала давайте вообще разберёмся для чего нужен Stunnel. В двух словах — это программа, на которую можно переложить всю логику шифрования трафика между сервером и клиентом. Делается это следующем образом: допустим у вас есть клиент и сервер, которые общаются между собой без использования шифрования, аутентификации и проверки целостности. Вы могли бы переписать клиент и сервер так, чтобы все исходящие и входящие сообщения передавались между собой с учётом всех этих моментов, но для чего такие сложности, если можно это просто переложить на плечи другому приложения? Для решения такой задачи как раз подойдёт Stunnel.
Как настроить Linux для входа в домен с использованием алгоритмов ГОСТ
Введение
Протокол Kerberos 5 сейчас активно используется для аутентификации. Особенностью данного протокола является то, что он осуществляет аутентификацию, базируясь на четырех китах:
- Симметричное шифрование;
- Хеширование;
- ЭЦП;
- Третья доверенная сторона.
Начиная с пятой версии появилась возможность использовать еще асимметричное шифрование (для электронной подписи). Более подробно на работе протокола Kerberos останавливаться не имеет смысла, ибо описание алгоритма можно посмотреть тут.
К сожалению, количество алгоритмов шифрования, хеширования и ЭЦП, которые использует данный протокол, не настолько велико, насколько хотелось бы, поэтому в данной статье я хочу показать, как добавить легко и просто собственные алгоритмы в реализацию данного протокола MIT'ом. Добавлять же мы будем наши отечественные алгоритмы: ГОСТ 28147-89 (aka Магма), ГОСТ Р 34.11-2012 (aka Стрибог) и ГОСТ Р 34.10-2012 (хотелось бы тоже иметь для него aka, но я не знаю:(). Готовое решение для данных алгоритмов можно его найти в моем репозитории. На стороне клиента мы будем использовать аппаратные реализации алгоритмов ГОСТ в Рутокене ЭЦП 2.0 и их программные реализации в engine GOST для openssl. Но самый безопасный вариант хранения ключей – когда они генерируются непосредственно на Рутокене и никогда не покидают его память во время криптографических операций. Для такого варианта работы потребуется rtengine.
Как использовать PAM-модули для локальной аутентификации в Linux по ключам ГОСТ-2012 на Рутокене
Простые пароли не защищают, а сложные невозможно запомнить. Поэтому они так часто оказываются на стикере под клавиатурой или на мониторе. Чтобы пароли оставались в головах “забывчивых” пользователей и надёжность защиты не терялась – есть двухфакторная аутентификация (2ФА).
Двухфакторная аутентификация на сайте с использованием USB-токена. Теперь и для Linux
В одной из наших предыдущих статей мы рассказывали про важность двухфакторной аутентификации на корпоративных порталах компаний. В прошлый раз мы продемонстрировали, как настроить безопасную аутентификацию в web-сервере IIS.
В комментариях нас просили написать инструкцию для самых распространенных web-серверов под Linux — nginx и Apache.
Вы просили — мы написали.
Что необходимо сделать, чтобы вашу учетную запись Google не украли
Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования.
Правда самый эффективный способ, который используется в самой Google, в отчет не включили. Пришлось мне самому написать об этом способе в конце.
Каждый день мы защищаем пользователей от сотен тысяч попыток взлома аккаунтов. Большинство атак исходит от автоматических ботов с доступом к сторонним системам взлома паролей, но также присутствуют фишинговые и целевые атаки. Ранее мы рассказывали, как всего пять простых шагов, таких как добавление номера телефона, могут помочь вам обезопасить себя, но теперь мы хотим доказать это на практике.
Так что же будет с аутентификацией и паролями? Вторая часть отчета Javelin «Состояние строгой аутентификации»
Недавно исследовательская компания «Javelin Strategy & Research» опубликовала отчёт «The State of Strong Authentication 2019». Его создатели собрали информацию о том какие способы аутентификации используются в корпоративной среде и пользовательских приложениях, а также сделали любопытные выводы о будущем строгой аутентификации.
Перевод первой части с выводами авторов отчета, мы уже публиковали на Хабре. А сейчас представляем вашему вниманию вторую часть — с данными и графиками.
Что будет с аутентификацией и паролями? Перевод отчета Javelin «Состояние строгой аутентификации» с комментариями
Спойлер из заголовка отчета «Количество случаев использования строгой аутентификации выросло благодаря угрозам новых рисков и требованиям регуляторов».
Исследовательская компания «Javelin Strategy & Research» опубликовала отчёт «The State of Strong Authentication 2019» ( оригинал в формате pdf можно скачать тут). В этом отчете написано: какой процент американских и европейских компаний используют пароли (и почему пароли сейчас мало кто использует); почему так быстро растет процент использования двухфакторной аутентификации на основе криптографических токенов; почему одноразовые коды, отправляемые по SMS, небезопасны.
Всем, кого интересует тема настоящего, прошлого и будущего аутентификации на предприятиях и в пользовательских приложениях — добро пожаловать.
Вторая часть отчета
3 доклада с РусКрипто: конференции со стажем
Почти 20 лет мы участвуем и поддерживаем в статусе спонсора конференцию РусКрипто. Её основная цель ─ развитие рынка российской коммерческой криптографии и информационной безопасности.
Must-have плагины и несколько полезностей для С\С++ разработки в VS Code
Удивительно, но до сих пор на Хабре нет хорошей подборки плагинов для Visual Studio Code для тех, кто пишет на С/С++. Microsoft в своем блоге опубликовали только статью, совсем базового уровня с инструкцией по настройке. Но большинство читателей Хабра, тем более из разработчиков, обойдется без такой подробной инструкции. Есть только несколько подборок для веб-разработчиков, но не для С++.
Наверное это связано с тем, что большинство С++ разработчиков использует тяжеловесные IDE, в первую очередь конечно же Visual Studio.
Но в Linux и MacOS с полноценными IDE всё не так просто, да и тяжелая среда разработки не всегда нужна или просто не хочется ее использовать.
Я же хочу обратить ваше внимание на полезные плагины, которые облегчают жизнь и работу, а также рассказать про полезные настройки и особенности VS Code, которые вы могли просто упустить.
Герои двухфакторной аутентификации, часть вторая
Недавно в первой части статьи, мы рассказали, что были удивлены, как мало компаний считают отсутствие двухфакторной аутентификации серьезной угрозой информационной безопасности.
Чтобы понять причины, мы составили четыре описания лиц принимающих решения — двух директоров и двух руководителей ИТ-отделов, по одному для крупной и средней компаний. С помощью этих психологических портретов мы и попытаемся понять причину легкомысленного отношения к ИБ компании.
В прошлый раз мы рассмотрели директора ИТ-департамента НПЗ «ФлайТек», а сегодня пришла пора познакомиться с его руководителем (и остальными двумя персонажами).
Герои двухфакторной аутентификации, или как «походить в чужих ботинках»
Наверное скажу банальность, но люди устроены очень странно (а ИТ-шники вдвойне). Они живо интересуются маркетинговыми новинками и рвутся их внедрять, но при этом равнодушно проходят мимо технологий, которые на самом деле могут защитить их компании от реального вреда.
Возьмем для примера технологию двухфакторной аутентификации (2FA). Обычные пароли злоумышленник легко может подсмотреть и/или украсть (что очень часто и происходит), а затем войти в систему под правами легального пользователя. Причем сам пользователь скорее всего не догадается о факте кражи пароля до наступления неприятных (а иногда и весьма тяжелых) последствий.
И это при том, что практически ни для кого не является откровением тот факт, что использование методов двухфакторной аутентификации позволит сильно сократить, вероятность наступления каких-то тяжелых последствий, а то и полностью от них защититься.
Под катом мы расскажем как попытались представить себя на месте лиц, принимающих решение о внедрении 2FA в организации, и поняли, как их заинтересовать.
Система согласования. Как мы велосипед изобретали
Продолжаем рассказывать о том, как мы улучшаем жизнь не только нашим клиентам и партнерам, но и сотрудникам компании. Речь пойдет о внедрении системы согласования. Сознательно не указал согласования “чего”, так как в дальнейшем станет понятно, что чисто теоретически, согласования “всего”.
Ребенок, интернет и родители. Как избежать ловушек, получить пользу и остаться друзьями?
Screenagers — так с недавних пор в Америке называют подростков. Это слово образовано из двух английских слов: screen (экран) и teenager (тинейджер). Ведь нынешние подростки уже выросли с телефоном в руках.
В 2016 году там же в Америке сняли документальный фильм с таким названием, его и по сей день показывают родителям и детям по всему миру. В нем наглядно представлены последствия длительного и бесконтрольного использования гаджетов, как они влияют не только на жизнь ребенка, но и на его здоровье.
В Россию массовое использование гаджетов пришло позже, но на сегодняшний день мы уже догоняем Америку по количеству времени, которое проводим в интернете. А это значит, что данная проблема касается уже нас и наших детей.
Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным?
Хакеры получили доступ к главному почтовому серверу международной компании Deloitte. Учетная запись администратора этого сервера была защищена только паролем.
Независимый австрийский исследователь Дэвид Винд получил вознаграждение в размере 5 тыс. долларов за обнаружение уязвимости на странице для ввода логина интранета Google.
91% российских компаний скрывают факты утечки данных.
Такие новости почти каждый день можно встретить в новостных лентах Интернета. Это прямое доказательство того, что внутренние сервисы компании обязательно следует защищать.
И чем крупнее компания, чем больше в ней сотрудников и сложнее внутренняя IT-инфраструктура, тем более актуальной для нее является проблема утечки информации. Какая информация интересна злоумышленникам и как защитить ее?