Как стать автором
Обновить

Mail.ru заменит пароли на одноразовые коды по SMS. Это поможет защититься от слива БД и кражи паролей

Информационная безопасность *


Почтовый сервис Mail.ru ввёл новый способ идентификации: через одноразовые коды, которые отправляются по SMS или через push-уведомления.

Такой способ представляет собой упрощённый вариант стандартной двухфакторной аутентификации. При стандартной 2FA пользователь должен ввести свой постоянный пароль и код, полученный на телефон (второй фактор). В системе Mail.ru реализован вариант, когда свой постоянный пароль вводить не нужно. Собственно, он вообще отсутствует. Можно спросить, а что в таком случае является вторым фактором 2FA? По логике разработчиков, вероятно, это пинкод от телефона.

Но Mail.ru не позиционирует одноразовые коды в качестве 2FA, а просто как более безопасную замену стандартным паролям. Это логичное решение, если учесть прошлые утечки баз данных с пользователями Mail.ru.
Читать дальше →
Всего голосов 27: ↑15 и ↓12 +3
Просмотры 11K
Комментарии 92

Twitter признал, что использовал данные двухфакторной аутентификации для таргетирования рекламы

Информационная безопасность *Социальные сети и сообщества


Система двухфакторной аутентификации, или метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных, критиковалась пользователями и экспертами уже не раз, и на днях Twitter дал ещё один повод для недовольства. Компания призналась в том, что использует телефонные номера и адреса электронной почты пользователей, которые они указывают для 2FA, чтобы сделать рекламу в микроблоге более таргетированной.

Twitter требует от пользователей предоставить настоящий, действующий номер телефона, чтобы иметь право на использование двухфакторной идентификации. Работающий номер мобильного телефона является обязательным, даже если защита пользователей 2FA основана исключительно на ключах безопасности или приложениях аутентификаторов, чья работа не зависит от телефонных номеров.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 3.5K
Комментарии 5

Cisco: распространённость двухфакторной авторизации растёт

Информационная безопасность *Статистика в IT

Duo Labs представила новый отчет, в котором рассказала о расширении использования двухфакторной аутентификации среди жителей Великобритании и США. Причинами для популярности 2FA стало желание пользователей улучшить защиту своих данных.

Читать далее
Всего голосов 13: ↑11 и ↓2 +9
Просмотры 813
Комментарии 4

Google включит двухфакторную аутентификацию по умолчанию еще для 150 млн пользователей

Информационная безопасность *IT-компании

Компания Google хочет обеспечить большую безопасность для учетных записей пользователей, вводя двухэтапную авторизацию. До конца года компания подключит данную опцию еще для 150 млн владельцев аккаунтов Google.

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 2.5K
Комментарии 2

Google заявила о росте безопасности на 50% после внедрения двухфакторной аутентификации

Информационная безопасность *

Google отчиталась, что после перевода 150 миллионов пользователей на двухфакторную аутентификацию безопасность аккаунтов выросла на 50%. 

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 1.4K
Комментарии 10

GitHub переведет разработчиков на 2FA до конца 2023 года

GitHub *IT-компании


В начале мая веб-сервис для хостинга IT-проектов и их совместной разработки GitHub объявил, что будет требовать от всех активных разработчиков использование двухфакторной аутентификации (2FA). Включить эту опцию в своих аккаунтах до конца 2023 года должны более более 85 млн разработчиков со всего мира.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 4K
Комментарии 19

GitHub запустил бета-тестирование улучшенного механизма 2FA для npm-аккаунтов

GitHub *IT-компании


По информации Bleeping Computer, веб-сервис для хостинга IT-проектов и их совместной разработки GitHub запустил бета-тестирование улучшенного механизма двухфакторной аутентификации (2FA) для всех npm-аккаунтов.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 801
Комментарии 0

PyPI вводит обязательную 2FA для критически важных проектов

Блог компании ITSumma Информационная безопасность *Open source *Python *


Площадка-репозиторий PyPI, который находится в ведении Python Software Foundation и содержит более 350 000 проектов, сообщил о новой политике для проектов, которые помечены как «критически важные».

Для управления такими проектами их администраторам принудительно включат двухфакторную аутентификацию, по прохождении которой можно будет публиковать, изменять или обновлять проект. В общей сложности в списке «критических» состоит около 3500 репозиториев экосистемы Python.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 1.3K
Комментарии 1

Выбор поставщика решения двухфакторной аутентификации. Часть 1 из 2

Информационная безопасность *Платежные системы *
Из песочницы
Итак, уже для многих не секрет, что простая парольная аутентификация не защитит ваши данные от рук злоумышленника. Дело тут не в длине пароля и не в том, как часто вы его меняете. Простой фишинг или вирус на вашем компьютере передаст ваш сложный двадцати-символьный пароль тому, кто его ждет. О сколько вы мучились, вводя его каждый раз в окно логина, потому что хранить его в файле или кеше браузера небезопасно.


О решении проблемы уже все наслышаны. Конечно, речь идет о применении мультифакторной аутентификации (MFA). Факторами могут выступать знания, предметы или биометрические данные (недостаткам биометрии я планирую посвятить отдельную статью). Чаще всего применяется двухфакторная аутентификация, которая использует привычный пароль, а также еще один одноразовый (OTP). Он может быть доставлен пользователю различными способами и действует только для одного сеанса аутентификации. Также, в современных алгоритмах генерации паролей TOTP (по времени) и OCRA (по запросу) время действия одноразового пароля ограничено 30 или 60 секундами, что значительно усложняет задачу злоумышленнику. Способы доставки или автономной генерации существуют различные: от распечатанных списков паролей на карточках или чеках из банкоматов, SMS-сообщений до использования специальных устройств генерации OTP — токенов.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 22K
Комментарии 18

Двухфакторная аутентификация, которой удобно пользоваться

Блог компании Яндекс Информационная безопасность *Криптография *Разработка под iOS *Разработка мобильных приложений *
Редкий пост в блоге Яндекса, а особенно касающийся безопасности, обходился без упоминания двухфакторной аутентификации. Мы долго думали, как правильно усилить защиту пользовательских аккаунтов, да еще так, чтобы этим мог пользоваться без всех тех неудобств, которые включают в себя самые распространённые ныне реализации. А они, увы, неудобны. По некоторым данным, на многих крупных сайтах доля пользователей, включивших дополнительные средства аутентификации, не превышает 0,1%.

Кажется, это потому, что распространенная схема двухфакторной аутентификации слишком сложна и неудобна. Мы постарались придумать способ, который был бы удобнее без потери уровня защиты, и сегодня представляем его бета-версию.

Надеемся, он получит более широкое распространение. Мы со своей стороны готовы работать над его улучшением и последующей стандартизацией.



После включения двухфакторной аутентификации в Паспорте вам надо будет установить приложение Яндекс.Ключ в App Store или Google Play. В форме авторизации на главной странице Яндекса, в Почте и Паспорте появились QR-коды. Для входа в учётную запись необходимо считать QR-код через приложение — и всё. Если считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, приложение создаст одноразовый пароль, который будет действовать всего 30 секунд.

Расскажу о том, почему мы решили не использовать такие «стандартные» механизмы, как RFC 6238 или RFC 4226. Как работают распространенные схемы двухфакторной аутентификации?
Читать дальше →
Всего голосов 113: ↑98 и ↓15 +83
Просмотры 141K
Комментарии 317

Как обойти двух факторную аутенфикацию Authy с ../sms

Информационная безопасность *Разработка веб-сайтов *Ruby *
Перевод
image

С помощью простого ввода ../sms можно было обойти второй фактор на сайтах использующих 2FA через authy.com (а их довольно много).

Самое интересное что такая досадная уязвимость появилась не по вине Authy, да и нашел я всю эту цепочку багов с большой удачей.
Читать дальше →
Всего голосов 87: ↑83 и ↓4 +79
Просмотры 37K
Комментарии 11

Замена двухфакторной аутентификации

Разработка веб-сайтов *Анализ и проектирование систем *
Из песочницы

Введение


2014 год можно смело назвать годом взломанных аккаунтов. Согласно Identity Theft Resource Center, данные были похищены чаще, чем когда-либо с 2005 года.

Несанкционированный доступ к данным по годам

Также согласно ресурсу Have I been pwned? было похищено более 175 млн. аккаунтов. И одно дело, когда утекли абсолютно все данные и совершенно другое, когда утекли только учётные записи пользователей. Именно последнее будет обсуждаться в данной публикации.
Читать дальше →
Всего голосов 18: ↑9 и ↓9 0
Просмотры 9.5K
Комментарии 29

Двухфакторная аутентификация для корпоративных веб-сервисов

Информационная безопасность *
Из песочницы
В процессе своей работы часто сталкиваюсь с различного рода атаками на корпоративные веб-сервисы. Встречались и случаи, когда злоумышленнику удавалось получить доступ к пользовательскому аккаунту. Чтобы минимизировать подобный риск и обезопасить свои сервисы, возникла идея внедрения системы двухфакторной аутентификации, с помощью которой можно было бы обезопасить сразу все корпоративные веб-сервисы, то есть инфраструктуру. Вторым фактором аутентификации в данном случае является смс-авторизация или e-mail авторизации в дополнение к существующей на сервисах с аутентификацией по паролю.
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 9.9K
Комментарии 10

Что делать, если Google authenticator всегда выдает неправильные коды

Настройка Linux **nix *Серверное администрирование *

Доброго времени суток.
Я хотел бы рассказать вам о проблемах 2FA аутентификации на устройствах Android 4.4.2 KitKat и о решении, которое в нашем случае прекратило долгие поиски.

Некоторое время назад мы с коллегами решили добавить Двухэтапную аутентификацию (Two factor authentication или для краткости 2FA) для нашего маленького офисного сервера на базе Ubuntu Server.

2FA это дополнительный уровень безопасности и приятное дополнение к уже существующему механизму аутентификации. Кроме обычной пары логин + пароль от пользователя, выполняющего авторизацию, требуется цифровой ключ, который динамически изменяется каждые 30 секунд и генерируется устройством, находящимся во владении пользователя. Для генерации ключа мы использовали Приложение Google authenticator и мобильный телефон на платформе Android. После разовой настройки приложение генерирует коды, имеющие срок жизни в 30 секунд, точно такие же коды генерирует сервер. При аутентификации коды сравниваются.

Так как данные не передаются от сервера и хранятся только на устройстве — этот механизм является более безопасным, чем отправка кодов подтверждения (например, как 3D-secure SMS подтверждение в банковских системах).
Читать дальше →
Всего голосов 45: ↑33 и ↓12 +21
Просмотры 136K
Комментарии 42

Двухфакторная аутентификация. Новые вызовы

Информационная безопасность *Разработка веб-сайтов *Платежные системы *
Вместо пролога: в данной статье речь пойдет о краже денег с аккаунтов пользователей платежных систем, различных клиент-банков и т.п.

image

Читать дальше →
Всего голосов 25: ↑23 и ↓2 +21
Просмотры 28K
Комментарии 51

Новинка от Google. Безопасна ли аутентификация без ввода пароля?

Информационная безопасность *
Recovery mode
Я думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.

image

Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.
Читать дальше →
Всего голосов 10: ↑7 и ↓3 +4
Просмотры 15K
Комментарии 24

Немного о 2FA: Двухфакторная аутентификация

Блог компании 1cloud.ru Информационная безопасность *Разработка веб-сайтов *Разработка под e-commerce *


Cегодня мы решили обратить внимание на тему двухфакторной аутентификации и рассказать о том, как она работает.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 99K
Комментарии 12

Как обезопасить процесс онлайн-покупок

Блог компании Gemalto Russia Информационная безопасность *Платежные системы *Разработка под e-commerce *
С повсеместным распространением банковских карт стандарта EMV риски оффлайн-мошенничества заметно сократились, но как при этом складывается ситуация с онлайн-мошенничеством? Какие меры могут предпринять магазины, банки и потребители, чтобы бороться с ним более эффективно?
Читать дальше: Статистика и практика обеспечения безопасности карточных платежей
Всего голосов 11: ↑8 и ↓3 +5
Просмотры 8.8K
Комментарии 0

Как настроить двухфакторную аутентификацию для логина и sudo

Информационная безопасность *
Перевод
Tutorial


Безопасность в моде, как это и должно быть. Мы живем в мире, где данные — невероятно ценная валюта, которую вы всегда рискуете потерять. Поэтому вы должны сделать все, чтобы убедиться, что то, что вы держите на серверах и десктопах — в безопасности. Для этого администраторы и пользователи создают невероятно сложные пароли, используют менеджеры паролей и т.д. Но что, если я вам скажу, что вы можете логиниться на ваши серверы и десктопы Linux за два шага, вместо одного? Вы можете это делать благодаря Google Authenticator. Более того, это невероятно легко настроить.

Я собираюсь провести вас через процесс настройки двухфакторной аутентификации для использования ее на логине и sudo. Я продемонстрирую это на десктопной Ubuntu 16.04, но процесс также работает и для сервера. Чтобы справиться с двухфакторной стороной вещей, я буду использовать Google Authenticator.
Читать дальше →
Всего голосов 69: ↑53 и ↓16 +37
Просмотры 49K
Комментарии 86

Первые 10 минут на сервере

Блог компании Rootwelt Информационная безопасность *
Перевод
Tutorial

Азбука безопасности Ubuntu


«Мои первые 5 минут на сервере» Брайана Кеннеди — отличное введение, как быстро обезопасить сервер от большинства атак. У нас есть несколько исправлений для этой инструкции, чтобы дополнить ею наше полное руководство. Также хочется подробнее объяснить некоторые вещи для более юных инженеров.

Каждое утро я проверяю почтовые уведомления logwatch и получаю основательное удовольствие, наблюдая несколько сотен (иногда тысяч) безуспешных попыток получить доступ. (Многие довольно прозаичны — попытки авторизоваться как root с паролем 1234 снова и снова). Приведённая здесь общая методика подходит для серверов Debian/Ubuntu, которые лично мы предпочитаем всем остальным. Они обычно служат только хостами для контейнеров Docker, но принципы те же.

На больших масштабах лучше использовать полностью автоматические установки с инструментами вроде Ansible или Shipyard, но иногда вы просто поднимаете единственный сервер или подбираете задачи для Ansible — для таких ситуаций предназначена инструкция.

Примечание: Эта справка создана как базовая азбука. Её следует расширить и дополнить в соответствие с вашими потребностями.
Читать дальше →
Всего голосов 54: ↑40 и ↓14 +26
Просмотры 57K
Комментарии 55