Meta* выпустила обновление для WhatsApp, которое позволяет пользователям привязывать свою учётную запись к адресу электронной почты. Теперь аутентификация в мессенджере возможна по подтверждению через электронную почту вместо СМС.
«Криптонит» рассказал о преимуществах своего «ИКС-протокола»
1 мин
Эксперты компании «Криптонит» рассказали об особенностях разработанного ими «ИКС-протокола» и выделили направления его развития. Этот протокол является практической реализацией перспективного подхода к управлению учётными данными, описываемого так называемой «моделью, ориентированной на пользователя».
Авторы сравнили её с изолированной, централизованной, федеративной и суверенной моделями, отметив следующие преимущества своего решения:
eBay купит компанию аутентификации продуктов на основе ИИ
1 мин
Торговая площадка eBay объявила о закрытии сделки по приобретению Certilogo. Это компания, которая предоставляет цифровые идентификаторы и аутентификацию для одежды и других товаров на основе искусственного интеллекта.
Крупнейшее изменение системы аутентификации в K8s за последние годы: новый KEP от «Фланта», Google и Microsoft
4 мин
KEP 3331 (Structured Authentication Config) — это самое крупное обновление в системе аутентификации Kubernetes за 6 последних лет, в котором учитываются все просьбы пользователей. Предварительно его альфа-версия должна выйти в составе релиза Kubernetes 1.28 — сам KEP уже смерджлили, но планы могут немного подкорректироваться.
В проработке фичи вместе с инженерами из Google и Microsoft активно участвовал наш Platform Lead Максим Набоких, который входит в состав Kubernetes sig-auth и является основным мейнтейнером Dex, свободного провайдера OpenID Connect.
Чтобы понять, в чем его преимущества, посмотрим, какими методами решается вопрос аутентификации пользователей сейчас:
Программист из США вставила под кожу 25 чипов, но многие вышли из строя
2 мин
Американский инженер-программист Миана Уиндалл имплантировала под кожу 25 чипов, в том числе с технологией RFID. Она поделилась своим опытом на конференции Defcon.
1Password запускает бета-поддержку технологии Passkey
2 мин
Менеджер паролей 1Password запустил общедоступную бета-версию с поддержкой ключей доступа Passkey, что позволит пользователям заменять пароли системами аутентификации, встроенными в их устройства.
Когда использовать протоколы OAuth 2 и OIDC и причём тут JWT
1 мин
Зовём вас завтра, 9 августа, в 19:00 смотреть новый выпуск шоу Слёрма «Заходят два архитектора в бар». Андрей Кузнецов, проектировщик решений аутентификации в финтехе — сначала наш зритель, а теперь и спикер — поговорит с нами про аутентификацию, авторизацию и другие важные вещи; расскажет про ситуации, когда OAuth 2.0 и OIDC действительно полезны.
РЖД проведёт эксперимент по проверке пассажиров по биометрии вместо паспортов
1 мин
«Российские железные дороги» вместе с Минтрансом и Центром биометрических технологий (ЦБТ, оператор единой биометрической системы) планируют провести эксперимент по аутентификации пассажиров по биометрии. Эксперимент стартует в первом квартале 2024 года.
Введение в Zend_Auth
14 мин
Перевод
В статье приведен обзор возможностей компоненты
Zend_Auth, дающий общее представление о реализации пользовательской авторизации в приложениях на базе Zend Framework. В качестве основы приводимых примеров, использованы материалы статьи «Введение в Zend Framework». Примеры протестированы на Zend Framework версий 0.9, 0.9.1 и 0.9.2, и скорее всего будут работать с более поздними версиями, но не с более ранними. 
Zend_Auth + Zend_Acl
3 мин
На днях засел за изучение Zend Framework. Решил сразу написать простенькую cms. Первым делом решил разобраться с аутентификацией и авторизацией.
Mofiria — система аутентификации по венам от Sony
2 мин
Биометрическое подразделение японской Sony разработало новый метод проверки подлинности пользователя. Если раньше в большинстве систем использовались поверхностные слои, т.е. отпечатки пальца, то сейчас компания решила заглянуть поглубже и сверять пользователей по индивидуальном расположение кровеносных сосудов в пальцах.
Новая система может быть встроена в мобильные устройства уже в этом году, говорят в Sony.
В основе разработки, получившей название Mofiria, находится компактная система камер, которые используют специализированные CMOS-сенсоры для просвечивания пальцев и получения биометрических данных пользователя. Передаваемые камерами данные специальным образом сживаются и передаются в систему обработки для их декодирования. В штатной версии системы аутентификации находится также и компактное запоминающее устройство, поэтому система может запоминать сведения о нескольких пользователях.
В заявлении компании говорится, что новая технология обладает большей точностью, нежели простое считывание отпечатков пальцев или сетчатки глаза. Рисунок вен отличается не только от человека к человеку, но и от пальца к пальцу, поэтому обвести такую систему, что называется «вокруг пальца», будет непросто.
С точки зрения пользователя, новая система также удобна — никаких паролей для доступа запоминать не нужно, рисунок вен сохраняется без изменений годами.
По данным разработчика, коэффициент ложных детекций уже в первой версии системы не превышает 0,1%, а сканирование занимает всего 0,015 секунды при использовании процессора настольного ПК и 0,25 секунды на современном мобильном телефоне.
В частности, Sony уже в этом году собирается оснащать новой технологией свои мобильные устройства.
оригинал обзора techradar
via cybersecurity
Одноразовые пароли. Где? Зачем? Как?
3 мин
Когда я впервые услышал фразу «одноразовый пароль» я был в недоумении. Как это одноразовый? Кто будет использовать пароли, которые действуют только один раз? это сколько же надо паролей помнить, чтобы после первого же использования его выбросить? Да и вообще кому это нужно, ведь есть же нормальные долгоживущие пароли.
Если Вы так же как и я впадаете в некоторое недоумение при словосочетании «одноразовый пароль», то я постараюсь рассказать что это такое, для чего их можно использовать и как они работают.
Если Вы так же как и я впадаете в некоторое недоумение при словосочетании «одноразовый пароль», то я постараюсь рассказать что это такое, для чего их можно использовать и как они работают.
Никогда не говорите слово …, или регистрация в 2 щелчка мышью
4 мин
Люди не очень любят регистрироваться. Это же нужно (в общем случае) придумать логин и пароль, зайти в свою почту, дождаться письма, открыть его, перейти по ссылке активации аккаунта, а потом еще этот логин с паролем не забыть. Но ведь уже давно есть способ, с помощью которого все эти шаги не нужны. Более того, не нужно вообще ничего вводить с клавиатуры, 2 щелчка мышью и все, человек зарегистрирован.
Безопасность SharePoint — Часть 2. Аутентификация пользователей
6 мин
Для начинающих SharePoint представляется чем-то большим и непонятным. А между тем, SharePoint – обычное ASP.NET приложение, работающее на IIS. Это, безусловно, отражается и на системе безопасности, важным элементом которой является аутентификация пользователей.
Рассуждение на тему аутентификации
3 мин
На досуге довольно долго размышлял на тему существующих способов аутентификации: прикидывал плюсы и минусы разных концепций и т.д. В общем и целом из жизнеспособных на мой взгляд решений сейчас имеем следующие:
Схема аутентификации запросов в IIS
1 мин
Схема аутентификации доступа к ресурсу для IIS 6.0
SSH-аутентификация при помощи USB-ключа eToken Pro
3 мин
В этой заметке я расскажу вам, как настроить SSH-аутентификацию при помощи USB-ключа eToken.
Основы биометрии
7 мин
Эта статья в какой-то мере является продолжением прошлой, а в какой-то её приквэлом. Здесь я расскажу про основы построения любой биометрической системы и про то, что осталось за кадром прошлой статьи, но обсуждалось в комментариях. Акцент сделан не на сами биометрические системы, а на их принципах и области действия.
Тем, кто не читал статью, или уже забыл — советую просмотреть что такое FAR и FRR, так как эти понятия будут использоваться и здесь.
Тем, кто не читал статью, или уже забыл — советую просмотреть что такое FAR и FRR, так как эти понятия будут использоваться и здесь.
Токены vs Пароли
4 мин
Пост навеян недавней темой про токены, в комментариях к которой царила некоторая неразбериха. Я сделал вывод, что многие не до конца понимают или даже вообще не понимают, что такое токен, с чем его едят и чем токен не является. Желание расставить все точки над i привело к написанию нижеследующего текста. Далее речь пойдет именно о USB-токенах, которые можно подключать к компьютеру, давать команды и получать результаты их выполнения. Приступим.
Вторичная аутентификация аккаунта на сайте
4 мин
Что такое вторичная аутентификация?
Когда на сайте имеются учетные записи пользователей, применяется аутентификация или идентификация пользователя.
Но с некоторых пор стали применять и вторичную аутентификацию – пароли крадут, они могут теряться, часто забываются. Да и ошибочные действия пользователей или банальная невнимательность может к этому привести.
Вторичная аутентификация поможет идентифицировать и вернуть доступ к данным.
Используются различные процедуры вторичной аутентификации:
• пересылка пользователю по e-mail ключа доступа;
• отправка SMS с кодом доступом;
• ответ на определенный контрольный вопрос;
• ввод старого пароля;
• подтверждение личности от третьего лица (третьих лиц).
Если взлом сайта, системы будет направлен на систему вторичной аутентификации (а не на обход более сложной системы доступа по паролю), то аккаунт может стать менее защищенным.
Например, в 2008 году в США хакер взломал аккаунт Сары Пэйлин (кандидата в президенты США) только лишь отгадав ответ на секретный вопрос к ее аккаунту: «Где Вы познакомились со своим будущим супругом?» (т.е. хакер имитировал известный вирус Морриса).
Когда на сайте имеются учетные записи пользователей, применяется аутентификация или идентификация пользователя.
Но с некоторых пор стали применять и вторичную аутентификацию – пароли крадут, они могут теряться, часто забываются. Да и ошибочные действия пользователей или банальная невнимательность может к этому привести.
Вторичная аутентификация поможет идентифицировать и вернуть доступ к данным.
Используются различные процедуры вторичной аутентификации:
• пересылка пользователю по e-mail ключа доступа;
• отправка SMS с кодом доступом;
• ответ на определенный контрольный вопрос;
• ввод старого пароля;
• подтверждение личности от третьего лица (третьих лиц).
Если взлом сайта, системы будет направлен на систему вторичной аутентификации (а не на обход более сложной системы доступа по паролю), то аккаунт может стать менее защищенным.
Например, в 2008 году в США хакер взломал аккаунт Сары Пэйлин (кандидата в президенты США) только лишь отгадав ответ на секретный вопрос к ее аккаунту: «Где Вы познакомились со своим будущим супругом?» (т.е. хакер имитировал известный вирус Морриса).