Как стать автором
Обновить

Bootstrapping мобильного приложения, или как немного сэкономить на разработке и публикации

Блог компании Token2.com Информационная безопасность *
Token2.com предоставляет сервис двухфакторной аутентификации (2fa as a service) и изначально в качестве основного метода доставки одноразовых паролей (OTP) для второго фактора планировалось использовать SMS. На SMS завязывалось все, и сама технология и даже монетизация — сам сервис предоставляется совершенно бесплатно, пользователь платит только за пакет SMS. На данный момент планируется набрать базу пользователей и установить аппаратный шлюз для SMS — после этого себестоимость снизится, и будет возможно снизить цены для пользователей и начать получать прибыль с проекта.

Однако, в процессе тестирования выяснилось, что надежность SMS оставляет желать лучшего: процент успешной доставки для многих операторов в странах СНГ не превышает 90% (тестировали как с интернет-шлюзами так и с аппаратными). Решение этой проблемы очевидно — авторизация с помощью мобильных приложений, однако никакого бюджета на это не предполагалось, а в команде людей с опытом разработки под мобильные платформы не было. В тоже время предлагать пользоваться другими приложениями (например Google Authenticator) не хотелось, а хотелось именно свое мобильное приложение, с функцинальностью не хуже, а в идеале, даже лучше существующих аналогов.

В этой статье я кратко опишу как мы решили это проблему с минимумом затрат и без привлечения сторонних разработчиков.
Читать дальше →
Всего голосов 25: ↑16 и ↓9 +7
Просмотры 9.4K
Комментарии 6

MyTOTP — полностью своя* двухфакторная авторизация по rfc6238

Блог компании Token2.com Информационная безопасность *Разработка под iOS *Разработка под Android *
Tutorial
Итак, вы решили внедрить двухфакторную авторизацию для своего проекта, и решили не следовать примеру Яндекса и изобретать свой новый стандарт, а воспользоваться существующим, а именно TOTP по rfc6238
Алгоритмы генерации и валидации одноразовых кодов достаточно подробно описаны как в самом RFC, так и многочисленных имплементациях для всех языков и платформ.

Примеры реализации есть как для серверной части, так и для клиентской (в случае если для TOTP используется не аппаратный ключ, а мобильное приложение). К сожалению, очень часто в команде может не оказаться ресурсов для создания своего мобильного приложения для генерации одноразовых паролей (имею ввиду как отсутствие мобильных разработчиков чтобы сделать самим или финансов для outsource).

В этом случае наиболее распространенным выходом из положения является использование «чужого» приложения (например того же Google Authenticator-а), но в этом случае решение будет не полностью свое (вот на что намекает звездочка в заголовке).

А хотите двухфакторную авторизацию полностью свою и за минимум вложений? Тогда вам под кат
Читать дальше →
Всего голосов 20: ↑16 и ↓4 +12
Просмотры 11K
Комментарии 12

WifiOTP: Удобная двухфакторная аутентификация с помощью Wi-Fi SSID

Блог компании Token2.com Информационная безопасность *


Проблема: двухфакторная аутентификация слишком сложна для большинства пользователей


Классическая двухфакторная аутентификация подразумевает достаточно утомительную для пользователей процедуру. Опишем последовательность действий, необходимых для входа в тот же Gmail на персональном компьютере с использованием мобильного телефона в качестве генератора одноразовых паролей (OTP). После входа с помощью первого фактора (пароля), надо:
1) Найти телефон
2) Разблокировать его
3) Найти приложение-OTP генератор (например, Google Authenticator или Token2 Mobile OTP)
4) Подсмотреть OTP и ввести его с клавиатуры

Примерно так же «сложно» с аппаратными ключами стандарта TOTP/HOTP (с U2F ключами чуть проще). Понятно, что у всего есть своя цена, но для обычных пользователей, особенно не сталкивавшихся прежде с компрометацией учетных записей, эта мера кажется лишней. Неудивительно, что в случаях, где двухфакторная аутентификация необязательна, только небольшой процент пользователей активирует эту опцию. По данным исследователей, в случае с Gmail, это около 6% [1]. В целом, для решения этой проблемы надо только найти альтернативный канал между основной системой (в нашем случае браузер на компьютере) и ключом (мобильным приложением).
И такие решения есть
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 10K
Комментарии 10

Организация аутентификации по СМС по примеру Telegram/Viber/WhatsApp

Информационная безопасность *Разработка мобильных приложений *API *

Представим, что перед вами стоит задача организовать аутентификацию пользователя (в мобильном приложении, в первую очередь) так, как это сделано в Telegram/Viber/WhatsApp. А именно реализовать в API возможность осуществить следующие шаги:


  • Пользователь вводит свой номер телефона и ему на телефон приходит СМС с кодом.
  • Пользователь вводит код из СМС и приложение его аутентифицирует и авторизует.
  • Пользователь открывает приложение повторно, и он уже аутентифицирован и авторизован.

Мне потребовалось некоторое количество времени, чтобы осознать, как правильно это сделать. Моя задача — поделиться наработанным с вами в надежде, что это сэкономит кому-то времени.


Я постараюсь кратко изложить выработанный подход к этому вопросу. Подразумевается, что у вас API, HTTPS и, вероятно, REST. Какой у вас там набор остальных технологий неважно. Если интересно — добро пожаловать под кат.


Мы поговорим о тех изменениях, которые следует проделать в API, о том, как реализовать одноразовые пароли на сервере, как обеспечить безопасность (в т.ч. защиту от перебора) и в какую сторону смотреть при реализации это функциональности на мобильном клиенте.

Читать дальше →
Всего голосов 12: ↑8 и ↓4 +4
Просмотры 21K
Комментарии 25

2FA в Oracle ApEx

Системное администрирование *Администрирование баз данных *
Предлагаю Вашему вниманию реализацию 2FA в Oracle Application Express. В качестве второго фактора будет использовано решение от Google с установленным на телефон приложением Authenticator.


Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.4K
Комментарии 0

Двухфакторная аутентификация для Cisco Meraki Client VPN с помощью Token2 TOTPRadius

Блог компании Token2.com Информационная безопасность *

Двухфакторная аутентификация для систем без поддержки двухфакторной аутентификации


Продолжаем рассказывать про наш продукт – TOTPRadius, на этот раз акцентируя внимание на относительно новую возможность, а именно — LDAP интеграцию.

Есть немало систем, поддерживающих двухфакторную аутентификацию «из коробки». В большинстве случаев это достигается возможностью подключения второго источника аутентификации по LDAP или Radius протоколам. Примером такой системы является Citrix Netscaler, где можно подключить первичный источник по LDAP и второй по Radius (а можно и оба по LDAP). С такими продуктами TOTPRadius интегрируется очень даже хорошо, и даже предоставляет API для самостоятельной регистрации второго фактора.

Но есть, к сожалению, продукты, не поддерживающие более одного источника аутентификации. Приведем пример продукта, который используется одним из наших клиентов. Клиент прислал нам feature request, который мы успешно реализовали, так как поняли, что таких продуктов достаточно много и эта функция, по нашему мнению, может оказаться достаточно востребованной.
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 2.5K
Комментарии 0

Программируемые аппаратные TOTP ключи с возможностью синхронизации времени

Блог компании Token2.com Информационная безопасность *
Мы рады объявить о новой линейке программируемых аппаратных TOTP ключей от TOKEN2. Основным нововведением является возможность синхронизации системных часов аппаратных ключей через NFC API с помощью специальных приложений — на данный момент готовится релиз под Android и Windows 10.
Read more →
Всего голосов 11: ↑7 и ↓4 +3
Просмотры 3.1K
Комментарии 17

Programmable TOTP tokens in a key fob form-factor

Блог компании Token2.com Информационная безопасность *
TOTP tokens are small, easy-to-use devices that generate one-time passcodes. These tamper-evident devices can be used wherever strong authentication is required.

TOKEN2 is selling programmable hardware tokens in credit card format for already a few years now. Token2 miniOTP cards are marketed as a hardware alternative to Google Authenticator or other OATH-compliant software tokens. Having the same functionality extended to tokens in classic keyfob/dongle format was one of the features our customers asked for.

We are hereby announcing our new product, TOKEN2 C300 TOTP hardware token, which is possible to be reseeded for an unlimited number of times via NFC using a special «burner» app.
Читать дальше →
Всего голосов 22: ↑20 и ↓2 +18
Просмотры 3.6K
Комментарии 16

Yet another review of OATH hardware tokens feature in Azure Cloud MFA

Блог компании Token2.com Информационная безопасность *Microsoft Azure *Разработка для Office 365 *
About three months ago Microsoft has announced the availability of OATH TOTP hardware tokens in Azure MFA. The feature is still in “public preview”, but we see many of our customers using the feature in production already now. As we are testing this for the last couple of months in our lab environment and, in many cases, we are also assisting our customers with the activation of the feature, we have some observations that we believe are worth sharing.

image
Read more →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 1.5K
Комментарии 0

Molto-2 — a USB programmable multi-profile TOTP hardware token

Блог компании Token2.com Информационная безопасность *

About a year ago, we released Token2 Molto-1, the world's first programmable multi-profile hardware token. While Molto-1 is still the only solution of its kind currently available on the market, we will be soon releasing a new variation of a multi-profile hardware token, in a different form-factor and with a different set of features available.

While Molto-1 has its advantages, there were some shortcomings that we wanted to address, for example, it can only hold up to ten TOTP profiles, which is not enough for many users. Also, using NFC to program the device does not look very convenient for some users. There were also requests to have a backlight for the screen of the token, so it can be used in the dark. With Molto-2 we tried to address this and a few other concerns. So, we hereby present our new device model, Token2 Molto-2 with the following specifications:

TOKEN2 MOLTO-2 multi-profile programmable TOTP hardware token:

▣ RFC 6238 compliant

▣ supports up to 50 accounts/profiles

▣ USB-programmable with a Windows app

▣ RTC battery life: 8 years

▣ LCD screen battery: 3-4 months (rechargeable)

The table below shows the comparison between Molto-1 and Molto-2

Read more
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 1.6K
Комментарии 0

TOTP (Time-based one-time Password algorithm)

Информационная безопасность *Алгоритмы *
Из песочницы

С ростом числа угроз кибербезопасности, для разработчиков становится все более и более необходимым обновлять стандарты безопасности веб-приложений и быть при этом уверенными в том, что аккаунты пользователей в безопасности. Для этого в настоящее время многие онлайн-приложения просят пользователей добавить дополнительный уровень безопасности для своей учетной записи. Они делают это за счет включения двухфакторной аутентификации. Существуют различные методы реализации двухфакторной аутентификации, и аутентификация TOTP (алгоритм одноразового пароля на основе времени) является одним из них.

Чтобы понять, что из себя представляет TOTP и как он используется, необходимо сначала кратко рассмотреть более базовые понятия. Первое из них – двухфакторная аутентификация. Двухфакторная аутентификация (или многофакторная аутентификация) — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. Это означает, что после включения двухфакторной аутентификации пользователь должен пройти еще один шаг для успешного входа в систему. Стандартные шаги для входа в учетную запись – это ввод логина и ввод пароля (рис.1).

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 14K
Комментарии 3

Enrolling and using Token2 USB Security keys with UserLock MFA

Блог компании Token2.com Информационная безопасность *

UserLock provides two-factor authentication & access management for Windows Active Directory. By adding two-factor authentication, contextual restrictions and real-time insight around logons, UserLock helps administrators to secure, monitor and respond to all users' access, UserLock reduces the risk of external attacks and internal security breaches while helping to address regulatory compliance.

Read more
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 656
Комментарии 0

Paper-based TOTP tokens

Блог компании Token2.com Информационная безопасность *

Enterprise policies are different, and in some cases weird. In this article, we will describe a very unusual problem raised by one of our customers. In a nutshell, the organization does not allow bringing any devices onsite, no smartphones, no mobile phones, and even no hardware tokens are allowed on-premises. At the same time, the organization is using Office 365 services from Microsoft and has enforced multi-factor authentication for all users to be activated.

To address this issue, our research and development team has spent some time and found a solution, which is a paper-based TOTP token. We are hereby presenting the solution, which is available for free (well, if you don't count the paper and ink cost).

Our solution is a web-based tool that generates the list of one-time passwords (OTPs) for an arbitrary seed. The list can be printed out and handed over to the end-users to serve as their second factor for authenticating in Azure AD with multi-factor authentication enabled. To associate this paper TOTP token with a user, you can follow the same procedure as with the regular TOTP tokens.

The procedure is simple, you enter the seed and click on submit to get the list generated. You will get a printable list similar to the one shown below for the next few days. By changing the number of future OTPs you can make the list longer or shorter.

Read more
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.1K
Комментарии 0

SSH, PGP, TOTP в Yubikey 5

Информационная безопасность *Криптография *
Из песочницы

Это аппаратный ключ безопасности, который поддерживает протокол универсальной двухфакторной аутентификации, одноразовые пароли и асимметричное шифрование. Если вы добавите его, допустим, в аккаунт на Гитхабе, то для входа в свой аккаунт, понадобится ввести логин/пароль и коснуться кнопки юбикей.

Год назад я приобрел Yubikey, чтобы использовать его в качестве второго фактора для аккаунтов Google, Github и других, которые работают с U2F. Однако я для себя выяснил, что Yubikey обладает куда более расширенным функционалом. Большая часть из нижеописанных действий  актуальна для работы и без Yubikey, однако преимущество в портативности будет потеряно.

Все действия описаны для Yubikey 5 и Ubuntu 21.04.

Читать далее
Всего голосов 20: ↑20 и ↓0 +20
Просмотры 11K
Комментарии 29

Easy Two Factor Authentication (2FA) with Google Authenticator

Информационная безопасность *
Tutorial

With this API implementing two factor authentication (2FA) is easier than ever. Just in 5 minutes I’ll guide you how to generate and validate time-based one-time passwords (TOTP) for second factor authentication (2FA) in fast and secure manner.

Read more
Всего голосов 2: ↑0 и ↓2 -2
Просмотры 4K
Комментарии 0

От 1FA к Zero-Trust через рынок ИБ

Информационная безопасность *Математика *
Из песочницы

В настоящее время в контексте систематического увеличения как в размерах, так и в инфраструктурной сложности существующих систем кибербезопасности, а также логического завершения устоявшейся парадигмы локализации средств защиты организаций внутри их периметра, возникает необходимость создания и использования эффективных алгоритмов контроля доступа к чувствительной информации компаний извне, не ограничивающихся лишь структурной криптографической составляющей, но также включающих в себя концептуальные аспекты инфраструктурных методов и решений.

В данной статье автором осуществляется фундаментальный обзор актуальных на сегодняшний день алгоритмов аутентификации пользователей, а также производится разбор и оценка возможности их применимости в контексте инфраструктурного подхода Нулевого Доверия (англ. Zero-Trust).

Читать далее
Всего голосов 22: ↑22 и ↓0 +22
Просмотры 1.9K
Комментарии 6

Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия

Блог компании Varonis Systems Информационная безопасность *
Recovery mode
Перевод

Обзор исполнительной среды

Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный ниже метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.

Мы сообщили об этой проблеме Box в ноябре через HackerOne; позже Box выпустил обновление.

Читать далее
Рейтинг 0
Просмотры 1.7K
Комментарии 1

Умный сейф с одноразовым паролем

Блог компании RUVDS.com Информационная безопасность *Программирование микроконтроллеров *DIY или Сделай сам Электроника для начинающих
Перевод
Tutorial
В этом проекте я поэтапно расскажу о создании умного сейфа с одноразовым паролем на основе времени (TOTP). Если коротко, то TOTP — это метод генерации 6-циферного пароля на основе текущей даты и времени с использованием предопределённого ключа. То есть, пока сейф будет иметь возможность отслеживать время, я смогу использовать приложение Authenticator для получения нового пароля каждые 30 секунд.
Читать дальше →
Всего голосов 40: ↑40 и ↓0 +40
Просмотры 8.3K
Комментарии 11

Yubikey для дома и офиса

Блог компании RUVDS.com Информационная безопасность *
Tutorial

На приобретение Yubikey меня вдохновил Хабр материал из опубликованной ранее статьи. Может быть, и моё творчество способно вдохновить кого-то на подобные действия, и в результате будут появляться все новые и новые информационные блоки не раскрытых ранее областей применения подобных аппаратных ключей шифрования. Такой своего рода прирост человеческих знаний. IT-гикам будет понятнее, что с такой штукой можно сделать, куда её вставить и как применить по назначению. В статье рассмотрена модернизация входа в учётную запись Windows, работа с GPG шифрованием, в том числе использование Yubikey для SSH как на Linux, так и на Windows, подружим с ним LUKS, а также продемонстрируем работу TOTP аутентификации на примере Github. Материал не носит рекламный характер. Создан гиком для гиков, содержит только материалы практики. Минимум воды и научных изысканий.
Читать дальше →
Всего голосов 56: ↑54 и ↓2 +52
Просмотры 10K
Комментарии 32