В процессе своей работы часто сталкиваюсь с различного рода атаками на корпоративные веб-сервисы. Встречались и случаи, когда злоумышленнику удавалось получить доступ к пользовательскому аккаунту. Чтобы минимизировать подобный риск и обезопасить свои сервисы, возникла идея внедрения системы двухфакторной авторизации, с помощью которой можно было бы обезопасить сразу все корпоративные веб-сервисы, то есть инфраструктуру. Вторым фактором авторизации в данном случаи является смс-авторизации или e-mail авторизации в дополнение к существующей на сервисах с аутентификации по паролю.
Читать полностью »
Рубрика «2fa» - 3
Двухфакторная аутентификация для корпоративных веб-сервисов
2015-04-07 в 13:39, admin, рубрики: 2fa, двух-факторная аутентификация, информационная безопасность, метки: двух-факторная аутентификацияЗамена двухфакторной аутентификации
2015-04-01 в 8:39, admin, рубрики: 2fa, email, авторизация, Анализ и проектирование систем, защита, разработкаВведение
2014 год можно смело назвать годом взломанных аккаунтов. Согласно Identity Theft Resource Center, данные были похищены чаще, чем когда-либо с 2005 года.
Также согласно ресурсу Have I been pwned? было похищено более 175 млн. аккаунтов. И одно дело, когда утекли абсолютно все данные и совершенно другое, когда утекли только учётные записи пользователей. Именно последнее будет обсуждаться в данной публикации.
Читать полностью »
Как обойти двух факторную аутенфикацию Authy с ..-sms
2015-03-16 в 2:15, admin, рубрики: 2fa, authy, duo, ruby, Веб-разработка, информационная безопасность, метки: 2fa, authy, duo
С помощью простого ввода ../sms можно было обойти второй фактор на сайтах использующих 2FA через authy.com (а их довольно много)
Самое интересное что такая досадная уязвимость появилась не по вине Authy, да и нашел я всю эту цепочку багов с большой удачей.
Читать полностью »