• FIDO U2F — Универсальная Двухфакторная Аутентификация. Введение
    0
    На самом деле подвижки есть. Google и Facebook уже поддерживают.
    В прошлом году все популярные браузеры, кроме Safari (но они тоже планируют), начали поддерживать стандарт.
  • Стандарт Web Authentication API: беспарольная аутентификация в вебе
    0
    Понял, что вы имеете в виду. Спасибо. Дело в том, что одно и то же значение секрета (seed) хранится и в генераторе и на сервере. При аутентификации сервер просто генерирует OTP аналогично тому, как это происходит в генераторе OTP. И сравнивает с полученным. Интернет тут не требуется. Но я про это и не пишу. А пишу про то, что есть центральная база с общими секретами. В случае с асимметричной криптографией такой базы нет.
  • Стандарт Web Authentication API: беспарольная аутентификация в вебе
    0
    Почему вы мне это написали?
  • Что такое цифровая рукописная подпись (ЦРП)
    0
    Планшет — это не только экран. Это компьютер с ARM процессором. Он может сам шифровать данные. Для защиты от манипуляций можно удалять чувствительную информацию при попытке вскрытия корпуса, аналогично тому, как это реализовано у HSM.
  • Стандарт Web Authentication API: беспарольная аутентификация в вебе
    0
    Повторю только то, что уже написал: биометрия в подобных решениях проверяется локально на аутентификаторе, а не собирается централизованно. Поэтому нелогично говорить про сбор биометрических данных как цель описанных стандартов аутентификации.
  • Стандарт Web Authentication API: беспарольная аутентификация в вебе
    0
    При чем тут сбор биометрических данных? Биометрия вообще не входит в стандарт, а скорее частный пример реализации. Даже если вы решили использовать отпечаток для подтверждения аутентификации, обычно он проверяется локально на устройстве и никто его не «собирает». Централизованные системы биометрической аутентификации — почти всегда не очень хорошая идея.
  • Стандарт Web Authentication API: беспарольная аутентификация в вебе
    0
    Обычная аутентификация по сертификатам не стала популярной из-за ее неудобств и обычно она основана на том, что каждый сервис выпускает свой сертификат. За каждым сертификатом надо следить, перевыпускать, отзывать. А тут у вас будет одна пара ключей, которую примут все сервисы, поддерживающие стандарт, и привяжут к вашей учетной записи.
    Революция в том, что теперь использовать асимметричную криптографию для аутентификации станет намного проще обеим сторонам: пользователям и сервисам.
  • Стандарт Web Authentication API: беспарольная аутентификация в вебе
    0
    Принципиально отличие очень большое. В случае с Google Authenticator на сервере хранится так называемый seed, на основании которого происходит генерация одноразового кода. А значит, что теоретически все учетные записи пользователей могут быть централизованно скомпрометированы. В случае с U2F вы используете асимметричную криптографию — на сервер отдается ваш открытый ключ и потом вы просто подписываете запросы аутентификации своим закрытым ключом. Любая компрометация сервера не приведет к утечке вашего закрытого ключа. Таким образом удается избежать такой неприятности как массовая утечка.
    Еще токен Google Authenticator может быть скопирован, а криптографические чипы скопировать гораздо сложнее (обычно считается, что закрытый ключ неизвлекаем).
  • Стандарт Web Authentication API: беспарольная аутентификация в вебе
    0
    те же токены YubiKey поддерживают аппаратные пинкоды, которые неизвестны серверу, в отличие от обычных смарт-карт

    Не могли бы вы пояснить? Разве PIN коды от смарт-карт надо хранить на сервере?
  • Что такое цифровая рукописная подпись (ЦРП)
    0
    на планшете не составит особого труда внедрить запись потока событий сенсора при собственноручной подписи одного документа, а затем воспроизвести её под соверешенно другим

    Как я уже упоминал, есть планшеты, для которых это невозможно, так как сам документ является параметром для шифрования.

    Или показать пользователю один документ для подписи, а реально подписать другой

    Тут как раз лучше, чем с бумагой, где подмена документов ловкостью рук иногда практикуется (или уже нет?). Если вы начали процесс подписи, то на планшете отображается документ, который позже будет подписываться. Если вы потом захотите «подсунуть» другой документ, то он сначала опять-таки должен отобразиться на планшете.
  • Что такое цифровая рукописная подпись (ЦРП)
    0
    Да, для граждан, которые не носят эцп сделали публичную оферту — если я правильно понял.

    Никакая публичная оферта не заменяет необходимости подписывать кредитный договор. Его можно подписать собственноручно или с использованием квалифицированной ЭП. Если у всех клиентов есть с собой квалифицированная ЭП, то можно использовать эту технологию для отказа от бумаги. В реальной жизни у клиента ничего нет. Поэтому отказаться от бумаги используя квалифицированную ЭП не получается. Планшеты в этом случае решают задачу отказа от бумаги сильно не меняя процессы подписания.

    Другой пример. Внутренний электронный документооборот на фирме

    По-моему, в большинстве задач внутреннего документооборота ЭП будет предпочтительнее. Ограниченное множество сотрудников, которые административным способом обязаны носить токены или смарт карты. Полагаю, что вы в курсе, что можно использовать разные способы электронной подписи, предварительно условившись о порядке их применения. Например, вы можете осуществлять электронную подпись вводом кода из СМС. И это имеет статус простой подписи. Не могу не сказать про минусы такого варианта — небезопасные СМС, которые по сути не подтверждают владение SIM-картой и то, что такая простая подпись никак не связана с самим документом.

    Что касается ЦРП, то результат подписания можно рассматривать и как обычную собственноручную подпись (пока в РФ нет отдельных законов для такого типа подписи) и как неквалифицированную ЭП.
    По третьему примеру — я не знаком с форматом приема данных государственной системы ДЕЛО, но подозреваю, что она ожидает на входе именно документ с ЭП, которую может проверить. При использовании ЦРП проверка подписи производится только для спорных случаях. Пока спора нет — подпись — это просто картинка стоящая рядом с ФИО подписанта. Ответ — нет, думаю, что ЦРП тут не применим.

    С больничными можно рассмотреть вариант, но тут скорее надо делать гибридный вариант, когда врач рассписывается облачной подписью. По мне так тут лучше строгую аутентификацию использовать, так как врачи — ограниченный груг лиц.

    ЦРП можно предложить клиентам медучреждений подписывать всякие бумаги, тогда это оправдано.
  • Что такое цифровая рукописная подпись (ЦРП)
    0
    Думайте о подписи на планшете как об обычной подписи на бумаге. Как и подпись на бумаге — ее может поставить кто угодно. Вам и без планшетов могут сказать, что вы расписались в договоре на бумаге. Тут у кредитных организаций есть свои риски таких действий, поэтому они заинтересованы не допускать такой фрод.
    По решению суда экспертизу оплатит в итоге недобросовестный залогодатель, если будет признано, что вы не брали кредит.
    Для разных задач есть разные решения. Не все граждане носят с собой токены с ЭП при походе в магазин. А, например, магазины и банки заинтересованы, чтобы вы могли быстро взять кредит на холодильник. В то же время возни с бумагой и сопутствующие расходы на логистику и архивирование хочется избежать.
  • Безопасный SOCKS5 прокси для Telegram за 1 Евро и 10 минут
    0
    Есть расширения, которые могут. Например, я пока использую Proxy Toggle для Firefox.
  • Что такое цифровая рукописная подпись (ЦРП)
    0
    Про защиту от копирования блока подписи и помещения его в другой документ я уже писал — если попытаться перенести блок подписи (а PDF документ представляет собой блочную структуру и подпись в нем — отдельный блок, добавленный к исходному документу), то расшифровать этот блок не представляется возможным.

    Физически расписаться может и злоумышленник, аналогично тому, как и на бумаге не видно, кто поставил подпись. Для определения принадлежности подписи назначается графологическая экспертиза.

    Вообще, подпись на планшете по своей сути полностью аналогична подписи на бумаге, но для графологов несет значительно больше информации, так как содержит не только графические данные и давление, но и скорость перемещения пера. Самое важное тут — правильно привязать подпись к документу таким образом, чтобы не было сомнений, что она сделана именно для конкретного документа.
  • Новые стандарты для беспарольной аутентификации: как они работают
    0
    Как уже многократно упоминалось, вы вольны выбирать, какой носитель аутентификатора использовать.
    Я привел пример, когда вы можете видеть использование одной и той же технологии (push) при аутентификации. И там и там push. Но методы то совсем разные.
    Это как если вам нужно использовать шифрование: вы можете использовать стандартный алгоритм AES, а можете взять какой-то алгоритм, который не стандартизован, но зато придуман вами и является на ваш взгляд более надежным.
    В приват24 свое приложение со сканером qr кода. Если я залогинился в нем, то через сканер меня пустит на сайт без каких либо проверок.

    Ну вот вы не видите, что происходит, а пока вы держите телефон, приложение отправляет на сервер приват24 информацию, что вы — аутентифицированный пользователь. Я предполагаю, что в этот момент общение между приложением и сервером примерно такое:
    1. приложение сообщает серверу, что хочет аутентифицировать пользователя.
    2. Сервер отправляет нонс
    3. Приложение его подписывает закрытым ключом и возвращает ответ серверу.
    4. Сервер проверяет подпись.

    Фактор владения байтами (приватный ключ) не больше фактора знания пароля

    Есть разные угрозы. От подсматривания, кейлоггеров или даже от утечки на стороне поставщика услуг мобильное приложение с закрытым ключом более предпочтительно, чем парольная аутентификация.
    Говорить, что какой-то фактор больше или меньше другого, некорректно. Тем более, что даже в приведенном мной примере можно использовать PIN-код(аналог пароля) для доступа к закрытому ключу. А значит, что это уже двухфакторная аутентификация.
  • Новые стандарты для беспарольной аутентификации: как они работают
    +1
    Если сайты вынуждены писать свои моб приложения, то какой смысл от стандартизации? Опенсорсные либы?

    Сайты могут использовать метод аутентификации, который им нравится. Но среди прочих, они смогут выбрать то решение по аутентификации, которое построено на стандартизированных протоколах. Соответствие стандартам позволяет понимать, что именно и как работает. Иначе может получиться ситуация которую я недавно видел в одном банке: одна компания предложила аутентификацию с использовнием push сообщений для уведомления пользователя по аналогии с тем, что написано в статье. То есть на смартфон приходит уведомление о том, что надо аутентифицироваться или подписать транзакцию (с текстовым описанием самой транзакции). Пользователь открывает приложение для аутентификации и вводом пин-кода, отпечатком пальца или FaceID подтверждает аутентификацию (подписывает нонс закрытым ключом и отправляет на сервер аутентификации). А конкуренты предложили просто присылать по каналу push одноразовые коды. Это вообще нельзя рассматривать как конкурирующие методы аутентификации. Но для клиента не всегда понятно, в чем разница, если и там и там push.
    Кста. В приват24 для входа мне не нужно никуда жать, просто открыл главную страницу, навел камеру телефона на экран и сайт сам меня впускает через 10 сек. Похоже они уже ушли дальше этого стандарта.

    Что именно происходит при аутентификации в приват24 я не знаю. Но вы явно не просто камерой снимаете, а используете мобильное приложение банка, которое скорее всего тоже использует асимметричную криптографию для подтверждения входа.
    Есть одна проблема. Эти схемы не гарантируют факт владения номером телефона, а ведь факт владения это один из факторов двухфакторной авторизации.

    Замечу, что нет метода аутентификации, который бы гарантировал факт владением номера. СМС вообще крайне не рекомендуется к использованию для аутентификации.
    В приведенных примерах вы доказываете факт владения закрытым ключом (на смартфоне, на аппаратном носителе или еще на чем-то), что и является фактором.
  • Безопасный SOCKS5 прокси для Telegram за 1 Евро и 10 минут
    0
    Они там вроде дают 20 портов на реальном IP.
  • Новые стандарты для беспарольной аутентификации: как они работают
    0
    Тут описан процесс аутентификации. Вероятно, до него необходимо зарегистрироваться. При регистрации смартфон привязывается к пользователю. По крайней мере так работает аутентификация смартфоном, которую я настраивал.
  • Что такое цифровая рукописная подпись (ЦРП)
    0
    Некоторые планшеты подписи могут сами шифровать биометрию таким образом, что при последующем изменении подписанного документа, эта биометрия уже не может быть расшифрована. Так собственноручная подпись привязывается к документу. Перенос этого блока подписи в другой документ не позволит расшифровать подпись в случае споров, а значит, нельзя будет провести графологическую экспертизу поддельного документа; следовательно, документ не тот, что подписывался.

    Есть немного разные подходы. В основном эти данные под NDA. Если интересно, пишите в личку. Я как раз занимаюсь планшетами для подписи и соответствующим ПО.
  • Хостинг PCI DSS: что нужно знать
    0
    Какой сервер аутентификации используете? Правильно ли я понимаю, что метод аутентификации — одноразовые пароли?
  • Еще одна кража через SWIFT. Теперь в России
    0
    Добавил уточненную информацию по сумме ущерба — 339,5 млн.р. Она стала известна из обзора FinCERT Банка России.
  • Обнаружена новая Alina – вредоносная программа для POS-терминалов
    0
    Запись в блоге удалена, но пока есть тут.
  • Обнаружена новая Alina – вредоносная программа для POS-терминалов
    0
    Все становится очень интересным: www.kaspersky.ru/blog/?p=19864. Оказывается чип может ограничиться передачей терминалу только открытых данных, которые несложно скопировать с карты, а на запросы проверки PIN просто отвечать, что он верный.
  • Let's Encrypt отложил выпуск wildcard-сертификатов из-за проблем безопасности
    0
    Да даже хуже, в статье по ссылке говориться о том, что, например, браузер Safari не показывает URL для EV сертификатов. Вместо этого отображается название компании. Как по мне, так лучше уж черная ссылка, чем такая зеленая надпись.
  • Let's Encrypt отложил выпуск wildcard-сертификатов из-за проблем безопасности
    0
    Про EV — это вообще не работает.
  • Страх публичных выступлений
    +1
    Как-то при одном новом для меня проекте меня подбадривал коллега: «Не нужно знать все, достаточно, что ты знаешь больше остальных». Мне это тогда добавило уверенности.
    Для публичных выступлений этот совет тоже подходит.
  • GeekBrains начинает готовить специалистов по информационной безопасности
    0
    А что не так с HTTPS на их сайте? Бегло посмотрел и не увидел криминала.
  • Год за три на Хабре. Делимся опытом ведения корпоративного блога
    0
    У вас на главной есть форма обратной связи, где просят указать ФИО, телефон, email…
  • Год за три на Хабре. Делимся опытом ведения корпоративного блога
    –2
    стать частью нашей команды престижно и перспективно

    Я часто бываю на остановке у метро Рижская в Москве и вижу ваши маршрутки, которые везут сотрудников в офис, находящийся неподалеку. Люди забиваются как селедка в бочку, чуть не на головах едут, и представляю как они в этот момент ощущают престиж работы в вашей компании. Что мешает увеличить частоту хождения транспорта или его размер в часы пик?

    Я понимаю, «что вы находитесь вне поля этого вопроса», но надеюсь, что мой комментарий будет для вас стимулом попытаться повлиять на ситуацию. Надеюсь, что в следующей статье, завлекающей соискателей, вам будет неудобно пропустить тему корпоративного транспорта.
  • Аутентификация в мобильных приложениях
    0
    Результатом решения проблемы стали аутентификация oAuth и принцип SSO…

    OAuth часто ошибочно называют протоколом аутентификации, однако, формально это протокол авторизации. В связке с ним все еще требуется сервер аутентификации, который проверяет учетные данные пользователя. Например OpenID. Метод аутентификации при этом может быть любой. Можно менять методы аутентификации не перерабатывая сильно мобильное приложение, используя доступные на сервере аутентификации методы.
    OAuth используется для получения мобильным приложением доступа к API. Использование долговременных сессий с ограниченным доступом позволяет не требовать прохождения аутентификации каждый раз, но запрашивать аутентификацию для некоторых действий, например, перевод денег в банковском мобильном приложении.

    Вы пишете:
    Сведения пользователя нужно сохранять на устройстве, чтобы их можно было вычитать при последующем запуске приложения

    А в следующем абзаце поясняете, что речь про пароли. Но в случае с OAuth вам не надо хранить пароли на устройстве.

    Многофакторная аутентификация бывает разная. То, что вы называете пин-кодом на самом деле является одноразовым паролем.

    Про использование блокчейна в задаче аутентификации было бы интересно почитать, жаль что вы ограничились информацией о номере патента и о том, что это это «Очень просто». Возможно, что это неплохая тема для отдельной статьи.
  • Еще одна кража через SWIFT. Теперь в России
    0
    Мне кажется, что вы путаете потребление кварцевых часов и атомных часов. Навскидку для кварцевых потребляемая мощность исчисляется в десятках микронов ватт, в то время как только сам чип атомных часов судя по сайту производителя имеет мощность в пределах 0,12 ватт. Разница в несколько (5!) порядков.
  • Как бороться с майнерами криптовалют в корпоративной сети
    +1
    “Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.

    Разве нормальный подход к обеспечению безопасности коммуникаций должен вызывать подозрения? В моей картине мира все наоборот.
  • Сегодня день толстой полярной лисички розницы — ошибка касс Штрих-М по всей стране
    +1
    А вы не могли продолжать продажи таким ухищрением: покупатель выбрал игру, продавец прямо в присутствии покупателя предложил оформить заказ на сайте с оплатой онлайн и выдачей в текущем магазине. Даже сам может оформить за покупателя, чтобы ускорить процесс.
    Понимаю, что это потеря времени, но все-таки не полный простой.
    С Магнитом понятно так не сделаешь, но Мосигра вполне могла бы такое предложить.
  • Еще одна кража через SWIFT. Теперь в России
    0
    Перечитал. Мне кажется, что я ответил на ваш вопрос.
    Подключиться из дома имея только логин-пароль у вас не получится.
  • Еще одна кража через SWIFT. Теперь в России
    0
    Тут есть варианты.
    1. После аутентификации всеми необходимыми факторами для вас становится доступен определенный порт определенного хоста.
    Делается по разному, опишу опять же из своего опыта. Например, можно сделать отдельный веб-интерфейс для аутентификации. После удачного прохождения у пользователя появляется SSL-VPN до сервера доступа, который транслирует трафик на RDP хост. + при подключении автостартует mstsc с параметрами подключения. Бонусом можно настроить SSO, чтобы аутентификацию в RDP пользователь уже не производил.
    2. RDP в браузере. Есть такой софт, который позволяет завернуть RDP в HTTP. Для этого обычно требуется только браузер, поддерживающий HTML5. Дальше, наверное, объяснять не нужно, так как задача сводится к тому, чтобы сделать 2FA для веб ресурса. SSO тут тоже возможно.
    3. Насколько мне известно, Remote Gateway поддерживает протокол RADIUS, а, значит, позволяет использовать сервера аутентификации, которые тоже поддерживают RADIUS.
    4. Слышал что-то про варианты, когда на RDP-хост устанавливаются какие-то проприетарные плагины от серверов аутентификации, но сам не использовал.
    5. Если говорить про просто задачу двухфакторной аутентификации RDP, то можно использовать PKI-Аутентификацию.
  • Еще одна кража через SWIFT. Теперь в России
    0
    Вероятно, я не понимаю ваш вопрос, потому что он мне кажется наивным.
    Если вопросы такие:
    Можно ли взломать инфраструктуру банка из дома?
    Можно ли подключиться к SWIFT, если у вас есть логин/пароль и доступ к сети банка?
    То это зависит от квалификации злоумышленника.
    Если вы спрашиваете, можно ли имея пароль подключиться к SWIFT из дома, то конечно нет. Для этого вам все еще нужен доступ к сети SWIFT.
  • Еще одна кража через SWIFT. Теперь в России
    0
    Вряд ли из дома это возможно. Но если он уже взломал инфраструктуру банка, то может делать в сети что хочет. Единственное, что ему нужно, чтобы сделать перевод — получить статический пароль оператора SWIFT.
  • Еще одна кража через SWIFT. Теперь в России
    0
    Да, я слежу за этой темой. Сделаю обновление, если будет что-то интересное. Обычно общественности становится известно что-то вроде скупого «злоумышленники завладели учетной записью администратора».
  • Еще одна кража через SWIFT. Теперь в России
    0
    Жертва — банк Глобэкс. Ущерб — десятки миллионов рублей.
    Добавил апдейт в статью.
  • Еще одна кража через SWIFT. Теперь в России
    0
    Дело в том, что оператор работает в SWIFT со своего рабочего компьютера, который обычно находится в локальной сети. Кстати, в качестве одного из уровня защиты SWIFT предлагает использовать еще так называемый jump server — промежуточный сервер, через который происходит доступ. Тогда оператор не обращается к защищаемым серверам напрямую, а взаимодействует с jump server'ом.