• Двухфакторная аутентификация для Cisco Meraki Client VPN с помощью Token2 TOTPRadius

      Двухфакторная аутентификация для систем без поддержки двухфакторной аутентификации


      Продолжаем рассказывать про наш продукт – TOTPRadius, на этот раз акцентируя внимание на относительно новую возможность, а именно — LDAP интеграцию.

      Есть немало систем, поддерживающих двухфакторную аутентификацию «из коробки». В большинстве случаев это достигается возможностью подключения второго источника аутентификации по LDAP или Radius протоколам. Примером такой системы является Citrix Netscaler, где можно подключить первичный источник по LDAP и второй по Radius (а можно и оба по LDAP). С такими продуктами TOTPRadius интегрируется очень даже хорошо, и даже предоставляет API для самостоятельной регистрации второго фактора.

      Но есть, к сожалению, продукты, не поддерживающие более одного источника аутентификации. Приведем пример продукта, который используется одним из наших клиентов. Клиент прислал нам feature request, который мы успешно реализовали, так как поняли, что таких продуктов достаточно много и эта функция, по нашему мнению, может оказаться достаточно востребованной.
      Читать дальше →
    • Самостоятельная регистрация второго фактора для двухфакторной аутентификации, основанной на протоколе RADIUS

        В этой статье мы хотим рассказать о нашем продукте TOTPRadius. Это RADIUS сервер, спроектированный для применения в системах двухфакторной аутентификации. Помимо стандартного для этого протокола фунционала, TOTPRadius предоставляет несколько дополнительных функций, одной из которых является возможность организации самостоятельной регистрации второго фактора для рядовых пользователей
        Читать дальше →
      • Фишинг на новом уровне: Cloudflare + Protonmail + Unvalidated Redirects – набор юного фишера

          «… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
          Вито Корлеоне

          Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.
          Читать дальше →
        • Google тестирует «беспарольный» вход

            Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
            Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
            Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:
            Читать дальше →
          • WifiOTP: Удобная двухфакторная аутентификация с помощью Wi-Fi SSID



              Проблема: двухфакторная аутентификация слишком сложна для большинства пользователей


              Классическая двухфакторная аутентификация подразумевает достаточно утомительную для пользователей процедуру. Опишем последовательность действий, необходимых для входа в тот же Gmail на персональном компьютере с использованием мобильного телефона в качестве генератора одноразовых паролей (OTP). После входа с помощью первого фактора (пароля), надо:
              1) Найти телефон
              2) Разблокировать его
              3) Найти приложение-OTP генератор (например, Google Authenticator или Token2 Mobile OTP)
              4) Подсмотреть OTP и ввести его с клавиатуры

              Примерно так же «сложно» с аппаратными ключами стандарта TOTP/HOTP (с U2F ключами чуть проще). Понятно, что у всего есть своя цена, но для обычных пользователей, особенно не сталкивавшихся прежде с компрометацией учетных записей, эта мера кажется лишней. Неудивительно, что в случаях, где двухфакторная аутентификация необязательна, только небольшой процент пользователей активирует эту опцию. По данным исследователей, в случае с Gmail, это около 6% [1]. В целом, для решения этой проблемы надо только найти альтернативный канал между основной системой (в нашем случае браузер на компьютере) и ключом (мобильным приложением).
              И такие решения есть
            • Международная конференция Augmented Human 2016


                А также гранты для поездки на конференцию в рамках программы научного сотрудничества между Швейцарией и странами Восточной Европы


                Седьмая международная конференция по расширению возможностей человека с помощью техники, Augmented Human 2016 (AH16), будет проходить в Женеве (Швейцария) с 25 по 27 февраля 2016 года.
                Читать дальше →
              • MS Lync: идентификация личных звонков

                  Наш офис недавно перешел на использование MS Lync в качестве решения для телефонии: PABX от Siemens (кстати очень качественный и надежный) давно устарел и должен был быть заменен. Выяснилось, что из всех альтернатив MS Lync с Enterprise Voice является наиболее выгодным. Помимо цены, на выбор оказало влияние то, что некоторые филиалы компании в других странах уже использовали Lync, правда без телефонии, так как это Lync Online от Office 365. Тем не менее, возможность сосуществования этих систем (Lync Hybrid) показалась руководству полезной.

                  Так или иначе, решение было принято; и помимо множества других проблем возникла необходимость идентификации личных звонков. Работникам разрешается использовать телефон в личных целях, но, конечно, и оплачивать их самим. Со «старым» PABX реализация была такая: после ввода личного пин-кода и до набора номера требовалось ввести 0 для звонка «по работе» или 1 для личных звонков. Эта информация сохранялась и периодически экспортировалась в формате CSV для последующего импорта в SAP с помощью WinShuttle. С MS Lync можно реализовать все точно так же (ну или почти), однако здесь есть одна существенная особенность: в отличии от классической телефонии, большинство звонков из Lync осуществляется не набором номера, а через поиск контакта (например, по имени) или даже кликом по полю отправителя электронного письма в Outlook — так что, идентификация личных номеров с помощью префикса больше не кажется идеальным решением. Кроме того, так как Lync клиент использует ту же базу контактов, что, например, и мобильный телефон пользователя, подключенный к корпоративному Exchange серверу, добавление префикса к номеру контакта будет мешать/усложнять совершать обычные (не Lync) звонки с помощью мобильного телефона.

                  Мы пришли к трем вариантам решения этой проблемы. Подробная информация под катом.
                  Читать дальше →
                • MyTOTP — полностью своя* двухфакторная авторизация по rfc6238

                  • Tutorial
                  Итак, вы решили внедрить двухфакторную авторизацию для своего проекта, и решили не следовать примеру Яндекса и изобретать свой новый стандарт, а воспользоваться существующим, а именно TOTP по rfc6238
                  Алгоритмы генерации и валидации одноразовых кодов достаточно подробно описаны как в самом RFC, так и многочисленных имплементациях для всех языков и платформ.

                  Примеры реализации есть как для серверной части, так и для клиентской (в случае если для TOTP используется не аппаратный ключ, а мобильное приложение). К сожалению, очень часто в команде может не оказаться ресурсов для создания своего мобильного приложения для генерации одноразовых паролей (имею ввиду как отсутствие мобильных разработчиков чтобы сделать самим или финансов для outsource).

                  В этом случае наиболее распространенным выходом из положения является использование «чужого» приложения (например того же Google Authenticator-а), но в этом случае решение будет не полностью свое (вот на что намекает звездочка в заголовке).

                  А хотите двухфакторную авторизацию полностью свою и за минимум вложений? Тогда вам под кат
                  Читать дальше →
                • Bootstrapping мобильного приложения, или как немного сэкономить на разработке и публикации

                    Token2.com предоставляет сервис двухфакторной аутентификации (2fa as a service) и изначально в качестве основного метода доставки одноразовых паролей (OTP) для второго фактора планировалось использовать SMS. На SMS завязывалось все, и сама технология и даже монетизация — сам сервис предоставляется совершенно бесплатно, пользователь платит только за пакет SMS. На данный момент планируется набрать базу пользователей и установить аппаратный шлюз для SMS — после этого себестоимость снизится, и будет возможно снизить цены для пользователей и начать получать прибыль с проекта.

                    Однако, в процессе тестирования выяснилось, что надежность SMS оставляет желать лучшего: процент успешной доставки для многих операторов в странах СНГ не превышает 90% (тестировали как с интернет-шлюзами так и с аппаратными). Решение этой проблемы очевидно — авторизация с помощью мобильных приложений, однако никакого бюджета на это не предполагалось, а в команде людей с опытом разработки под мобильные платформы не было. В тоже время предлагать пользоваться другими приложениями (например Google Authenticator) не хотелось, а хотелось именно свое мобильное приложение, с функцинальностью не хуже, а в идеале, даже лучше существующих аналогов.

                    В этой статье я кратко опишу как мы решили это проблему с минимумом затрат и без привлечения сторонних разработчиков.
                    Читать дальше →
                    • +7
                    • 8,6k
                    • 6
                  • Двухфакторная аутентификация: еще раз о рисках при использовании SMS и голосовых вызовов

                      Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
                      Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
                      Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
                      Рассмотрим все риски более подробно.
                      Читать дальше →
                      • +15
                      • 13,8k
                      • 9
                    • Вход в web-приложение с использованием распознавания лица



                        В первый раз я столкнулся с системой входа в систему, основанной на распознавании лица на ноутбуке от Lenovo. Было забавно, но как ни странно, работало. Проверял при разном уровне освещения, со слегка модифицированной мимикой, с приближением и удалением от камеры. Качество распознавания удивляло, ложных срабатываний не было. Большой ложкой дегтя, конечно, была возможность аутентификации с помощью распечатанной фотографии.

                        Наша компания предлагает решения для двухфакторной аутентификации, которые уже можно назвать классическими: одноразовые пароли по SMS, аппаратные ключи и мобильные приложения, генерирующие одноразовые пароли на смартфонах пользователей. Параллельно, мы рассматриваем дополнительные методы «второго фактора», в данном конкретном случае в исключительно научных целях — по вполне понятным причинам.

                        Итак, представленный ниже метод биометрической аутентификации не рекомендуется для промышленной эксплуатации в качестве замены первого фактора (пароля). Риск при использовании метода в качестве второго фактора существенно меньше, но все еще существует — решайте сами. Я просто расскажу, как и с помощью каких инструментов можно организовать аутентификацию для веб приложения с использованием распознавания и валидации изображения человеческого лица. Аппаратная реализация — обычная web-камера.
                        Читать дальше →
                      • Unicode 7.0

                          Вчера (16/06/14) было объявлено о выходе новой версии стандарта Unicode, 7.0. В Unicode добавили 2834 новых символа, в том числе, знак российского рубля и азербайджанского маната. Помимо этого, в стандарт также включены символы Emoji которые до этого присутствовали только в специализированных шрифтах Webdings и Wingdings.
                          В стандарт также добавлены символы для 23-х алфавитов, таких как кавказский албанский (Caucasian Albanian) и древнепермское письмо (Old Permic)

                          С полным списком нововведений можно ознакомиться по ссылке
                        • un1c0rn, «Google для уязвимостей»

                            На хабре уже появлялись статьи о незащищенных инстансах mongodb и непропатченных openssl с heartbleed.
                            Проект un1c0rn решил не мелочиться и сделать целый «поисковик уязвимостей», в статье на Motherboard.vice.com un1c0rn даже назвали «Google-ом для уязвимостей».



                            UPDATE 17.06.14 — un1c0rn стал платным! Теперь для доступа к результатым эксплойтов они просят перевести на их кошелек сумму не менее 0,01 BTC
                            Warning:
                            Only part of the leaked data is available.
                            Send your contribution to… (> 0.01 BTC) to unlock the full leak.


                            Читать дальше →
                          • Как сделать обычный сервер FTP по-настоящему безопасным и одновременно удобным?

                              Сразу оговорюсь: подробных инструкций/конфигураций не предоставляю, просто делюсь мыслями как можно сделать. Так же, под FTP подразумеваю не только классический FTP, но также SFTP и SSL-FTP – это статья про безопасность паролей, а не протокола как такового.

                              Представьте хостинг компанию предоставляющую хостинг аккаунты с повышенной безопасностью, а именно с двухфакторной аутентификацией.
                              Читать дальше →
                              • +11
                              • 17,3k
                              • 9
                            • Отправка больших файлов в Microsoft Outlook 2010 с помощью VBA и PHP

                                Хочу поделиться способом решения проблемы с отправкой больших файлов в Microsoft Outlook 2010 (я думаю с 2013 прокатит тоже).
                                Итак, исходные условия:
                                — MS Exchange Server 2010 — inhouse — админ доступа нет — автор просто пользователь
                                — Ограничения на общий объем писем 10Мб
                                — Есть пара Linux web-серверов в своем DMZ и админ доступ к корпоративному интранету
                                Надо:
                                — Организовать удобный механизм передачи больших файлов (очень больших)
                                — Не использовать сторонних провайдеров для хранения информации

                                Первой мыслью было использования сервисов типа dropbox, точнее их self-hosted аналогов типа ownCloud. Однако, разворачивать это все только для аттачментов показалось неадекватным.
                                Читать дальше →
                              • Не совсем стандартный подход к организации доступа к WiFi сети (Cisco WLC -> FreeRadius -> PHP -> страничка в сети )

                                  Хочу поделиться решением одной нетривиальной задачи. Было необходимо организовать удобный доступ к беспроводной сети в офисе организации. Сеть предоставляет доступ только к public internet, с корпоративной сетью ничто не связывает — полностью изолированная система. Единственный общий компонент — пользователи. Для упрощения процесса решено аутентификацию делать на уровне Layer 3 — то есть сеть открытая, после подключения надо вводить пароль для доступа к интернету (Cisco WLC Web Auth).
                                  В принципе все просто, заводятся учетные записи на каждого пользователя, и все готово. Но, ввиду дефицита хелпдеск персонала, заниматься созданием логинов и, тем более, выдачей паролей персоналу было некому. Была поставлена задача использовать один из существующих источников аутентификации, что в стандартной ситуации сделать достаточно просто: например для MS Active Directory можно использовать NPS в качестве радиус сервера, на LDAP же можно подключаться напрямую).
                                  В нашем случае было и то, и другое (AD для сети и LDAP для доступа к корпоративному интранету ), но из WiFi сегмента туда не было вообще никакого доступа. Максимум что нам смогли дать, это тестовые AD акаунт и акаунт для интранета. Сели, подумали… и вот что придумали
                                  Читать дальше →
                                • «Новости по теме» с помощью PHP, phpmorphy и MySQL

                                    Хочу поделиться методом определения «похожих» записей. Думаю, будет полезно для блогов или новостных ресурсов.
                                    Цель данного поста показать принцип, имплементация может быть не совсем комильфо, так как автор не проф. программист, а любитель.

                                    Читать дальше →
                                  • Отказоустойчивость систем на базе HP Storageworks P4xxx без третьего дата центра

                                      Предыстория

                                      Года два назад, руководство решило вложиться в проект виртуализации нашего датацентра. Задача стояла достаточно простая, около 50 серверов, в основном Windows, пара линукс машин, ничего нестандартного. Датацентр хоть и небольшой но очень гордый важный, являемся европейской штаб-квартирой крупной организации – хостим сервисы для 30 стран (Европа+СНГ). Два датацентра, связь надежная и дублированная, по определенным причинам выбрали связку VMWare ESXi (4 затем 5) и HP Lefthand P4000(первый транш) и P4500 (второй транш). Причины чисто субъективные, VMWare и HP являются стратегическими партнерами и т.д.
                                      Читать дальше →
                                    • Замена стандартного Lobby Admin Cisco Wireless LAN Controller 5500/2500

                                        или «Не нравится интерфейс от Cisco — сделай свой»



                                        Беспроводные контроллеры 2500/ 5500 используются для управления точками доступа Cisco Aironet с прошивкой LWAPP в пределах корпоративной сети для обеспечения общей политики безопасности, гостевого доступа и поддерживают как стандартных компьютерных клиентов (ноутбуки, компьютеры, смартфоны), так и специализированные устройства с беспроводным доступом — ручные сканеры для торговых залов, беспроводные камеры наблюдения и т.д.

                                        Не так давно, мне была поставлена задача организовать возможность выдачи гостевого доступа в интернет с использованием Cisco WLC. Доступ должен был выдавать наш «ресепшн» — то есть интерфейс должен быть максимально удобен и прост для людей далеких от IT. Само создание гостевого доступа должно было быть лишь частью процесса вместе с проверкой документов и выдачи временного бейджика и должно занимать не более 10 секунд.
                                        Читать дальше →
                                      • Полностью бесплатная двухфакторная аутентификация для Citrix Web Interface 5.x с использованием Mobile-OTP в качестве софт-токена

                                          Двухфакторная аутентификация — предоставление информации для входа в систему от двух различных типов аутентификации, в большинстве случаев первым источником является имя пользователя и пароль, которые являются неизменными и могут быть скомпрометированы (троянами, кейлоггерами и.т.д.). Для этого и применяется второй тип аутентификации, какое либо устройство, которое генерирует уникальный временный пароль/код, действующий в течении короткого периода (5-30 секунд), что обеспечивает безопасность даже если временный пароль перехвачен.
                                          Кроме того, временный пароль генерируется устройствами, не подверженными рискам перехвата, обычно аппаратными ключами, например такими:
                                          image

                                          Citrix Web Interface «из коробки» поддерживает двухфакторную аутентификацию с использованием аппаратных ключей Aladdin SafeWord и RSA SecurID, стоимость которых колеблется в пределах 25-50USD, а также двухфакторную аутентификацию с использованием RADIUS сервера, с помощью которой можно подключать ключи подешевле (около 5USD)

                                          imageВ целях еще большей экономии для этой же цели можно воспользоваться софт-токенами на мобильных телефонах. Кстати, целью внедрения софт-токенов может быть также удобство для конечного пользователя — аппаратный ключ это дополнительное устройство, которое нужно всегда иметь при себе, а телефон у большинства юзеров и так все время под рукой.

                                          Бесплатных софт-токенов для телефонов на рынке достаточно много, например Google Authenticator, но наш выбор пал на проект Mobile-OTP по следующим причинам:

                                          • наличие клиентов для всех телефонов (а не только для ios/android/blackberry) — J2ME,WP7,PalmOS,webOS,Maemo,Openmoko
                                          • дополнительная защита пинкодом (чего нет в Google Authenticator), то есть даже при утере устройства временный пароль без пина не сгенерится
                                          • Наличие исходников для всех клиентов — можно пересобрать со своим брендингом, если очень надо

                                          Читать дальше →