Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Mail.ru заменит пароли на одноразовые коды по SMS. Это поможет защититься от слива БД и кражи паролей

Информационная безопасность *


Почтовый сервис Mail.ru ввёл новый способ идентификации: через одноразовые коды, которые отправляются по SMS или через push-уведомления.

Такой способ представляет собой упрощённый вариант стандартной двухфакторной аутентификации. При стандартной 2FA пользователь должен ввести свой постоянный пароль и код, полученный на телефон (второй фактор). В системе Mail.ru реализован вариант, когда свой постоянный пароль вводить не нужно. Собственно, он вообще отсутствует. Можно спросить, а что в таком случае является вторым фактором 2FA? По логике разработчиков, вероятно, это пинкод от телефона.

Но Mail.ru не позиционирует одноразовые коды в качестве 2FA, а просто как более безопасную замену стандартным паролям. Это логичное решение, если учесть прошлые утечки баз данных с пользователями Mail.ru.
Читать дальше →
Всего голосов 27: ↑15 и ↓12 +3
Просмотры 9.9K
Комментарии 92

Twitter признал, что использовал данные двухфакторной аутентификации для таргетирования рекламы

Информационная безопасность *Социальные сети и сообщества


Система двухфакторной аутентификации, или метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных, критиковалась пользователями и экспертами уже не раз, и на днях Twitter дал ещё один повод для недовольства. Компания призналась в том, что использует телефонные номера и адреса электронной почты пользователей, которые они указывают для 2FA, чтобы сделать рекламу в микроблоге более таргетированной.

Twitter требует от пользователей предоставить настоящий, действующий номер телефона, чтобы иметь право на использование двухфакторной идентификации. Работающий номер мобильного телефона является обязательным, даже если защита пользователей 2FA основана исключительно на ключах безопасности или приложениях аутентификаторов, чья работа не зависит от телефонных номеров.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 3.4K
Комментарии 4

Cisco: распространённость двухфакторной авторизации растёт

Информационная безопасность *Статистика в IT

Duo Labs представила новый отчет, в котором рассказала о расширении использования двухфакторной аутентификации среди жителей Великобритании и США. Причинами для популярности 2FA стало желание пользователей улучшить защиту своих данных.

Читать далее
Всего голосов 13: ↑11 и ↓2 +9
Просмотры 583
Комментарии 4

Google включит двухфакторную аутентификацию по умолчанию еще для 150 млн пользователей

Информационная безопасность *IT-компании

Компания Google хочет обеспечить большую безопасность для учетных записей пользователей, вводя двухэтапную авторизацию. До конца года компания подключит данную опцию еще для 150 млн владельцев аккаунтов Google.

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 2K
Комментарии 2

Выбор поставщика решения двухфакторной аутентификации. Часть 1 из 2

Информационная безопасность *Платежные системы *
Из песочницы
Итак, уже для многих не секрет, что простая парольная аутентификация не защитит ваши данные от рук злоумышленника. Дело тут не в длине пароля и не в том, как часто вы его меняете. Простой фишинг или вирус на вашем компьютере передаст ваш сложный двадцати-символьный пароль тому, кто его ждет. О сколько вы мучились, вводя его каждый раз в окно логина, потому что хранить его в файле или кеше браузера небезопасно.


О решении проблемы уже все наслышаны. Конечно, речь идет о применении мультифакторной аутентификации (MFA). Факторами могут выступать знания, предметы или биометрические данные (недостаткам биометрии я планирую посвятить отдельную статью). Чаще всего применяется двухфакторная аутентификация, которая использует привычный пароль, а также еще один одноразовый (OTP). Он может быть доставлен пользователю различными способами и действует только для одного сеанса аутентификации. Также, в современных алгоритмах генерации паролей TOTP (по времени) и OCRA (по запросу) время действия одноразового пароля ограничено 30 или 60 секундами, что значительно усложняет задачу злоумышленнику. Способы доставки или автономной генерации существуют различные: от распечатанных списков паролей на карточках или чеках из банкоматов, SMS-сообщений до использования специальных устройств генерации OTP — токенов.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 21K
Комментарии 18

Двухфакторная аутентификация, которой удобно пользоваться

Блог компании Яндекс Информационная безопасность *Криптография *Разработка под iOS *Разработка мобильных приложений *
Редкий пост в блоге Яндекса, а особенно касающийся безопасности, обходился без упоминания двухфакторной аутентификации. Мы долго думали, как правильно усилить защиту пользовательских аккаунтов, да еще так, чтобы этим мог пользоваться без всех тех неудобств, которые включают в себя самые распространённые ныне реализации. А они, увы, неудобны. По некоторым данным, на многих крупных сайтах доля пользователей, включивших дополнительные средства аутентификации, не превышает 0,1%.

Кажется, это потому, что распространенная схема двухфакторной аутентификации слишком сложна и неудобна. Мы постарались придумать способ, который был бы удобнее без потери уровня защиты, и сегодня представляем его бета-версию.

Надеемся, он получит более широкое распространение. Мы со своей стороны готовы работать над его улучшением и последующей стандартизацией.



После включения двухфакторной аутентификации в Паспорте вам надо будет установить приложение Яндекс.Ключ в App Store или Google Play. В форме авторизации на главной странице Яндекса, в Почте и Паспорте появились QR-коды. Для входа в учётную запись необходимо считать QR-код через приложение — и всё. Если считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, приложение создаст одноразовый пароль, который будет действовать всего 30 секунд.

Расскажу о том, почему мы решили не использовать такие «стандартные» механизмы, как RFC 6238 или RFC 4226. Как работают распространенные схемы двухфакторной аутентификации?
Читать дальше →
Всего голосов 113: ↑98 и ↓15 +83
Просмотры 135K
Комментарии 317

Как обойти двух факторную аутенфикацию Authy с ../sms

Информационная безопасность *Разработка веб-сайтов *Ruby *
Перевод
image

С помощью простого ввода ../sms можно было обойти второй фактор на сайтах использующих 2FA через authy.com (а их довольно много).

Самое интересное что такая досадная уязвимость появилась не по вине Authy, да и нашел я всю эту цепочку багов с большой удачей.
Читать дальше →
Всего голосов 87: ↑83 и ↓4 +79
Просмотры 37K
Комментарии 11

Замена двухфакторной аутентификации

Разработка веб-сайтов *Анализ и проектирование систем *
Из песочницы

Введение


2014 год можно смело назвать годом взломанных аккаунтов. Согласно Identity Theft Resource Center, данные были похищены чаще, чем когда-либо с 2005 года.

Несанкционированный доступ к данным по годам

Также согласно ресурсу Have I been pwned? было похищено более 175 млн. аккаунтов. И одно дело, когда утекли абсолютно все данные и совершенно другое, когда утекли только учётные записи пользователей. Именно последнее будет обсуждаться в данной публикации.
Читать дальше →
Всего голосов 18: ↑9 и ↓9 0
Просмотры 8.9K
Комментарии 29

Двухфакторная аутентификация для корпоративных веб-сервисов

Информационная безопасность *
Из песочницы
В процессе своей работы часто сталкиваюсь с различного рода атаками на корпоративные веб-сервисы. Встречались и случаи, когда злоумышленнику удавалось получить доступ к пользовательскому аккаунту. Чтобы минимизировать подобный риск и обезопасить свои сервисы, возникла идея внедрения системы двухфакторной аутентификации, с помощью которой можно было бы обезопасить сразу все корпоративные веб-сервисы, то есть инфраструктуру. Вторым фактором аутентификации в данном случае является смс-авторизация или e-mail авторизации в дополнение к существующей на сервисах с аутентификацией по паролю.
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 9.3K
Комментарии 10

Что делать, если Google authenticator всегда выдает неправильные коды

Настройка Linux **nix *Серверное администрирование *

Доброго времени суток.
Я хотел бы рассказать вам о проблемах 2FA аутентификации на устройствах Android 4.4.2 KitKat и о решении, которое в нашем случае прекратило долгие поиски.

Некоторое время назад мы с коллегами решили добавить Двухэтапную аутентификацию (Two factor authentication или для краткости 2FA) для нашего маленького офисного сервера на базе Ubuntu Server.

2FA это дополнительный уровень безопасности и приятное дополнение к уже существующему механизму аутентификации. Кроме обычной пары логин + пароль от пользователя, выполняющего авторизацию, требуется цифровой ключ, который динамически изменяется каждые 30 секунд и генерируется устройством, находящимся во владении пользователя. Для генерации ключа мы использовали Приложение Google authenticator и мобильный телефон на платформе Android. После разовой настройки приложение генерирует коды, имеющие срок жизни в 30 секунд, точно такие же коды генерирует сервер. При аутентификации коды сравниваются.

Так как данные не передаются от сервера и хранятся только на устройстве — этот механизм является более безопасным, чем отправка кодов подтверждения (например, как 3D-secure SMS подтверждение в банковских системах).
Читать дальше →
Всего голосов 45: ↑33 и ↓12 +21
Просмотры 120K
Комментарии 42

Двухфакторная аутентификация. Новые вызовы

Информационная безопасность *Разработка веб-сайтов *Платежные системы *
Вместо пролога: в данной статье речь пойдет о краже денег с аккаунтов пользователей платежных систем, различных клиент-банков и т.п.

image

Читать дальше →
Всего голосов 25: ↑23 и ↓2 +21
Просмотры 28K
Комментарии 51

Новинка от Google. Безопасна ли аутентификация без ввода пароля?

Информационная безопасность *
Recovery mode
Я думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.

image

Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.
Читать дальше →
Всего голосов 10: ↑7 и ↓3 +4
Просмотры 15K
Комментарии 24

Немного о 2FA: Двухфакторная аутентификация

Блог компании 1cloud.ru Информационная безопасность *Разработка веб-сайтов *Разработка под e-commerce *


Cегодня мы решили обратить внимание на тему двухфакторной аутентификации и рассказать о том, как она работает.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 87K
Комментарии 12

Как обезопасить процесс онлайн-покупок

Блог компании Gemalto Russia Информационная безопасность *Платежные системы *Разработка под e-commerce *
С повсеместным распространением банковских карт стандарта EMV риски оффлайн-мошенничества заметно сократились, но как при этом складывается ситуация с онлайн-мошенничеством? Какие меры могут предпринять магазины, банки и потребители, чтобы бороться с ним более эффективно?
Читать дальше: Статистика и практика обеспечения безопасности карточных платежей
Всего голосов 11: ↑8 и ↓3 +5
Просмотры 8.6K
Комментарии 0

Как настроить двухфакторную аутентификацию для логина и sudo

Информационная безопасность *
Перевод
Tutorial


Безопасность в моде, как это и должно быть. Мы живем в мире, где данные — невероятно ценная валюта, которую вы всегда рискуете потерять. Поэтому вы должны сделать все, чтобы убедиться, что то, что вы держите на серверах и десктопах — в безопасности. Для этого администраторы и пользователи создают невероятно сложные пароли, используют менеджеры паролей и т.д. Но что, если я вам скажу, что вы можете логиниться на ваши серверы и десктопы Linux за два шага, вместо одного? Вы можете это делать благодаря Google Authenticator. Более того, это невероятно легко настроить.

Я собираюсь провести вас через процесс настройки двухфакторной аутентификации для использования ее на логине и sudo. Я продемонстрирую это на десктопной Ubuntu 16.04, но процесс также работает и для сервера. Чтобы справиться с двухфакторной стороной вещей, я буду использовать Google Authenticator.
Читать дальше →
Всего голосов 69: ↑53 и ↓16 +37
Просмотры 48K
Комментарии 86

Первые 10 минут на сервере

Блог компании Rootwelt Информационная безопасность *
Перевод
Tutorial

Азбука безопасности Ubuntu


«Мои первые 5 минут на сервере» Брайана Кеннеди — отличное введение, как быстро обезопасить сервер от большинства атак. У нас есть несколько исправлений для этой инструкции, чтобы дополнить ею наше полное руководство. Также хочется подробнее объяснить некоторые вещи для более юных инженеров.

Каждое утро я проверяю почтовые уведомления logwatch и получаю основательное удовольствие, наблюдая несколько сотен (иногда тысяч) безуспешных попыток получить доступ. (Многие довольно прозаичны — попытки авторизоваться как root с паролем 1234 снова и снова). Приведённая здесь общая методика подходит для серверов Debian/Ubuntu, которые лично мы предпочитаем всем остальным. Они обычно служат только хостами для контейнеров Docker, но принципы те же.

На больших масштабах лучше использовать полностью автоматические установки с инструментами вроде Ansible или Shipyard, но иногда вы просто поднимаете единственный сервер или подбираете задачи для Ansible — для таких ситуаций предназначена инструкция.

Примечание: Эта справка создана как базовая азбука. Её следует расширить и дополнить в соответствие с вашими потребностями.
Читать дальше →
Всего голосов 54: ↑40 и ↓14 +26
Просмотры 56K
Комментарии 55

Двухфакторная аутентификация в Redmine

Блог компании Southbridge IT-инфраструктура *Серверное администрирование *
Tutorial

С давних пор для второго шага аутентификации мы использовали одноразовые пароли отправляемые через СМС. Такой функционал появился в Redmine в 2013, когда мы разработали плагин redmine_sms_auth. Об этом мы писали в давней статье.


Но время не стоит на месте. Мы активно внедряем Telegram в бизнес-процессы компании (раз, два, три).


В связи с этим решили сделать аутентификацию через Telegram в Redmine. Заодно с этим переписать старый плагин про СМС и добавить поддержку Google Authenticator.


Далее мы расскажем о том как установить, настроить и использовать этот плагин.

Хочу знать подробности!
Всего голосов 21: ↑20 и ↓1 +19
Просмотры 6.4K
Комментарии 3

Двухфакторная аутентификация и открытые двери

Блог компании Gemalto Russia Информационная безопасность *
Recovery mode
Sony все же добавила двухфакторную аутентификацию для защиты ста с лишним миллионов учетных записей пользователей в своей сети Sony PlayStation Network. Этого шага уже давно ждали пользователи PSN, особенно после знаменитого взлома в 2011 году, в результате которого доступ к игровому сервису был закрыт на целый месяц, и под угрозой оказались данные кредитных карт, адреса электронной почты и прочая персональная информация пользователей. Возможно, даже слишком давно…


Читать дальше: 2FA or not 2FA, вот в чем вопрос
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 5.5K
Комментарии 14

Security Week 45: обход двухфакторной авторизации в OWA, перехват аккаунтов GMail, уязвимость в OpenSSL

Блог компании «Лаборатория Касперского» Информационная безопасность *
Исследователь Ахмед Мехтаб нашел (новость, исследование) нетривиальный способ частичного взлома учетных записей GMail. Используя ошибку в функции объединения разных аккаунтов и пересылки почты, он показал, как можно отправлять сообщения от имени жертвы. В нормальных условиях подключить дополнительную учетную запись к собственной можно с помощью соответствующего меню в настройках. После этого на дополнительную почту отправляется подтверждение. Необходимо кликнуть на линк в этом сообщении, и у вас появляется возможность отправлять почту с собственного ящика от имени этого дополнительного аккаунта.

Соответственно, если у вас нет доступа к атакуемой почте, вы не увидите письмо с подтверждением и ссылку. Но в редких случаях это не требуется: если атакуемая учетная запись деактивирована, и почтовый сервер Google присылает нотификацию о невозможности доставки сообщения. Тогда можно стандартными средствами запросить подтверждение, оно отправится на атакуемый ящик, и вернется целиком в составе сообщения о невозможности доставки. Останется только кликнуть ссылку.

Понятно, что атака имеет крайне ограниченную сферу применения: против реальных почтовых ящиков она возможна только в случае, если каким-то образом заставить владельца деактивировать аккаунт. Второй вариант: жертва заблокировала ваш почтовый ящик, в таком случае начинают присылаться аналогичные сообщения. Как бы то ни было, можно только отправлять письма от имени жертвы, но не получать их. Исследователю удалось прикрутить к своей почте несуществующие адреса с красивыми именами типа gmail@gmail.com. Естественно, на момент публикации исследования, лазейка уже была закрыта.
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 11K
Комментарии 5

Двойная аутентификация Вконтакте — секс или имитация?

Информационная безопасность *

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом VK ошибок не признали. Возможно, я немного параноик? Интересно, что скажете вы, хабровчане.


Читать дальше →
Всего голосов 63: ↑54 и ↓9 +45
Просмотры 38K
Комментарии 31