Инженеры компании Apple, работавшие над браузером Safari, предложили создать стандартизированные SMS-сообщения для двухфакторной аутентификации на сайтах. Как утверждают в компании, стандартизация позволит связать OTP (one-time-password) SMS-сообщения с URL-адресом.

_{Фото: wiseit.com}

Microsoft объявила, что удаление Basic Authentication из Exchange Online откладывается до второй половины 2021 года из-за текущей ситуации, вызванной пандемией COVID-19.

Все устройства, использующие стандарт Bluetooth с 4.0 по 5.0, оказались под угрозой. Уязвимость под названием BLURtooth в компоненте стандарта Cross-Transport Key Derivation (CTKD) позволяет злоумышленникам перехватывать ключи аутентификации. Организации, стоящие за беспроводной технологией, опубликовали руководство о том, как производители могут избежать атаки на устройства. Патчей пока нет.

Вопрос у меня простой:
Нужны ли никнеймы-логины и какие они должны быть?

Например, на Хабре ник используется для идентификации при выводе сообщений и как логин, одна из частей аутентификации.

А, например, в Microsoft passport логином является email.
Понятно, почему Microsoft не просит придумать уникальный ник — потому что он большой и уникальных ников на него не напасёшься. Ну и ещё есть пара моментов, это не важно. На xpoint.ru, например, логином также является email. А на drive.ru можно и email и ник вводить логином.

Вот тот же вопрос, чуть шире:
Действительно ли требуется выделенное поле уникального ника-логина для учётной записи или можно обойтись email, а ник сделать неуникальным, с поддержкой кириллицы и пробелов? Для сервисов, которые требуют создания каталога на диске или домена, можно завести это самое уникальное поле с латинницей, запретом пробелов и так далее. На Хабре я не вижу необходимости заведения ника-логина.

Проблема только одна — идентификация пользователя. Это чтобы не было двух разных Вась рядом и чтобы их никто не спутал.
Может быть, кто-то знает другие способы её решения?

Куда постить тему, не понимаю — вроде бы к анонсам PHP, Оперы и облакам тагов (webdev) не клеится. Если будут предложения, наверное перенесу.

Если вы интересуетесь криптографией — рекомендуем почитать, хотябы первые двадцать страниц. Там можно встретить такие методы и явления как шпионаж, аутентификация, отказ в обслуживании, имперсонализация, сокрытие данных, маскарадинг, аутентификация на основе ролей(а также ad-hoc аутентификация), подслушивание и систему доверия основанной на целосности данных. А почитав дальше, можно также увидеть планирование защиты от краж и криптографию со сменой ключей.

Почитать можно тут (626k)

Подслушано отсюда

Компания Google ввела в эксплуатацию систему, которая позволяет сторонним сайтам работать с информацией из внутренней системы Google после аутентификации пользователя. Система, похожая на Microsoft Passport, называется Google Account Authentication.

Таким образом, теперь стало возможным создавать веб-приложения, в которых система будет взаимодействовать с пользователем, уже авторизованным в системе Google, и получать его персональные данные с серверов Google. Например, независимый веб-сервис может без проблем импортировать закладки пользователя с его аккаунта в системе Google Bookmarks. Реализация доступа осуществляется с помощью программных интерфейсов Google Account API. Для пользователя это безопасная процедура, потому что веб-сервис «не видит» его логин и пароль.

Движок поиска по блогам Technorati пополнился поддержкой Open ID. Эта технология позволяет использовать один-единственный URL-идентификатор для подтверждения своей личности на различных интернет-ресурсах. То есть каждый человек получает имя (а вместе с ним — и репутацию) раз и навсегда, так что может легко транслировать свою репутацию между сайтами.

Сквозная аутентификация Open ID предоставляет множество преимуществ своему владельцу. Например, эту технологию поддерживают блог-платформы LiveJournal, Vox, Movable Type и Wordpress, а также Wikitravel и Zooomr.

Надо отметить, что в обсуждениях, возникающих вокруг Open ID, принимают участие крупнейшие компании, такие как Microsoft, Oracle и Sun.

Основатель Microsoft Билл Гейтс (Bill Gates) считает, что пароли являются слабым звеном в цепи компьютерной безопасности. В об этом он в очередной раз заявил на конференции RSA в Сан-Франциско.

По мнению Билла Гейтса, пароли, вводимые пользователем вручную, должны быть заменены на смарт-карты и другие средства аутентификации. Например, в Windows Vista добавлен CardSpace — «кошелек», предоставляющий пользователю возможность использования виртуальных карт сетевой идентификации. Аналогичная программа для использования на предприятиях называется Identity Lifecycle Manager 2007 и будет выпущена в мае нынешнего года, пишет CNet.

Я хочу рассказать о собственном опыте защиты веб-приложений, используемых на предприятиях/фирмах с ограниченным числом сотрудников.

В статье приведен обзор возможностей компоненты Zend_Auth, дающий общее представление о реализации пользовательской авторизации в приложениях на базе Zend Framework. В качестве основы приводимых примеров, использованы материалы статьи «Введение в Zend Framework». Примеры протестированы на Zend Framework версий 0.9, 0.9.1 и 0.9.2, и скорее всего будут работать с более поздними версиями, но не с более ранними.

На днях засел за изучение Zend Framework. Решил сразу написать простенькую cms. Первым делом решил разобраться с аутентификацией и авторизацией.

Биометрическое подразделение японской Sony разработало новый метод проверки подлинности пользователя. Если раньше в большинстве систем использовались поверхностные слои, т.е. отпечатки пальца, то сейчас компания решила заглянуть поглубже и сверять пользователей по индивидуальном расположение кровеносных сосудов в пальцах.

Новая система может быть встроена в мобильные устройства уже в этом году, говорят в Sony.

В основе разработки, получившей название Mofiria, находится компактная система камер, которые используют специализированные CMOS-сенсоры для просвечивания пальцев и получения биометрических данных пользователя. Передаваемые камерами данные специальным образом сживаются и передаются в систему обработки для их декодирования. В штатной версии системы аутентификации находится также и компактное запоминающее устройство, поэтому система может запоминать сведения о нескольких пользователях.

В заявлении компании говорится, что новая технология обладает большей точностью, нежели простое считывание отпечатков пальцев или сетчатки глаза. Рисунок вен отличается не только от человека к человеку, но и от пальца к пальцу, поэтому обвести такую систему, что называется «вокруг пальца», будет непросто.

С точки зрения пользователя, новая система также удобна — никаких паролей для доступа запоминать не нужно, рисунок вен сохраняется без изменений годами.

По данным разработчика, коэффициент ложных детекций уже в первой версии системы не превышает 0,1%, а сканирование занимает всего 0,015 секунды при использовании процессора настольного ПК и 0,25 секунды на современном мобильном телефоне.

В частности, Sony уже в этом году собирается оснащать новой технологией свои мобильные устройства.

оригинал обзора techradar
via cybersecurity

Когда я впервые услышал фразу «одноразовый пароль» я был в недоумении. Как это одноразовый? Кто будет использовать пароли, которые действуют только один раз? это сколько же надо паролей помнить, чтобы после первого же использования его выбросить? Да и вообще кому это нужно, ведь есть же нормальные долгоживущие пароли.

Если Вы так же как и я впадаете в некоторое недоумение при словосочетании «одноразовый пароль», то я постараюсь рассказать что это такое, для чего их можно использовать и как они работают.

Люди не очень любят регистрироваться. Это же нужно (в общем случае) придумать логин и пароль, зайти в свою почту, дождаться письма, открыть его, перейти по ссылке активации аккаунта, а потом еще этот логин с паролем не забыть. Но ведь уже давно есть способ, с помощью которого все эти шаги не нужны. Более того, не нужно вообще ничего вводить с клавиатуры, 2 щелчка мышью и все, человек зарегистрирован.

Схема аутентификации доступа к ресурсу для IIS 6.0