Рубрика «аутентификация пользователей» - 2

Голосовые «отпечатки» теперь официально работают (и как выглядит процесс внедрения в Приорбанке) - 1

— А не западло ли вам там в банке отвечать на анонимные вопросы?
— Нет, Владимир Петрович, не западло.

Один из крупнейших коммерческих банков Беларуси Приорбанк, входящий в австрийскую группу «Райффайзен», использует голосовые эталоны (или, как ещё говорят, голосовые «отпечатки») клиентов для подтверждения их личности при обращении по телефону. Это пока только второй случай на территории России и СНГ, когда банк официально заявил о факте использования такой технологии.

Про саму голосовую биометрию мы уже рассказывали (возможность «узнавания» и определения личности звонящего, например в контакт-центр абонента, даже если он использует другой телефон или представляется кем-то другим — это актуально для антифрода). Расскажу о том, какие особенности есть во внедрении голосовой биометрии на примере Приорбанка.Читать полностью »

Project Abacus от Google: биометрия вместо пароля - 1

Соответствие процесса аутентификации пользователей различных сервисов и устройств при помощи связки логин/пароль текущим потребностям и желаниям самих пользователей — большой вопрос. Обсуждений, посвященных поиску возможных альтернатив логину и пароля в Сети тоже очень много, как среди обывателей, так и среди технических специалистов высокого класса.

Корпорация Google решила предложить собственный метод аутентификации, где не используется привычная форма с предложением ввести свои данные. Сейчас специалисты компании работают над проектом, получившим название Project Abacus. Работает над проектом команда Advanced Technology and Projects (ATAP). В рамках проекта разработчики пытаются найти надежный способ аутентификации пользователя при помощи биометрии. И здесь имеются в виду не отпечатки пальцев, проект более универсальный.
Читать полностью »

Я думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.

image

Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.
Читать полностью »

image

Друзья!

Сегодня состоялся вебинар, посвященный новым функциям Kerio Control, на котором мы обсудили 2-шаговую проверку пользователя, переадресацию запросов на обнаружение сервисов (Service Discovery forwarding), улучшения VPN-клиента, и многое другое…

Запись вебинара доступна здесь.

Для загрузки последней версии, перейдите в раздел поддержки на нашем веб-сайте. Подробнее о новых функциях в Читать полностью »

Gmail добавил возможность аутентификации пользователя с Security Key

Если вы используете двухфакторную аутентификацию на своем аккаунте Google, то теперь есть возможность упростить задачу входа в Gmail аккаунт. На днях разработчики добавили поддержку хардварного ключа безопасности, Security Key.

Этот девайс может заменить собой 6-значный код подтверждения, вводимый на втором шаге двухфакторной аутентификации. Пароли первого шага остаются, так что злоумышленник, заполучивший чей-нибудь Security Key, не сможет зайти в аккаунт без ввода логина/пароля.

Читать полностью »

Система аутентификации, не требующая ввода пароля — предел мечтаний многих пользователей мобильных устройств (да и не только их) которым приходится частенько вводить пароли/логины плюс разгадывать каптчу (только не это, пожалуйста).

Так вот, на днях компания Sensory, занимающаяся разработкой систем распознавания голоса более 20 лет, представила TrulySecure. Это система биометрической аутентификации пользователя с использованием камеры и микрофона мобильного устройства.

Читать полностью »

image

В очередной раз заканчивая проводить аудит информационной безопасности веб-проекта, моя личная бочка с гневом переполнилась негодованием так, что оно перелилось через край в этот пост.

Постараюсь очень лаконично и быстро обрисовать ситуацию с хэшами.

Сразу определю какую задачу применения хешей буду рассматривать — аутентификация пользователей. Не токены восстановления паролей, не аутентификация запросов, не что-то еще. Это также не статья про защиту канала передачи данных, так что комментарии по challenge-response и SSL неуместны!

Читать полностью »

Предлагаю вашему вниманию один из лучших, на мой взгляд, гемов для аутентификации в rails-приложениях. К сожалению, русскоязычной информации по данному гему очень мало, в том числе и на хабре, поэтому хочу осветить данную тему. Статья, в первую очередь, рассчитана на новичков и представляет из себя подробный туториал по настройке аутентификации на основе упомянутого гема. В первой части я освещу шаги по базовой настройке. Далее подробнее о геме.

Devise — это ruby-гем, предоставляющий возможности для аутентификации в rails-приложениях. Devise работает в связке с гемом Warden, который в свою очередь предоставляет сам механизм для аутентификации в rack-базированных ruby-приложениях. Основные особенности Devise описаны ниже:

  • основан на Rack;
  • является законченным MVC-решением, основанным на Rails;
  • разрешает вход в систему по нескольким моделям одновременно;
  • основан на модульности: использует только то, что вам действительно необходимо.

Итак, приступим к установке и настройке Devise для вашего rails-приложения. Дальнейший процесс для удобочитаемости будет разбит на отдельные шаги.
Читать полностью »

С появлением ASP.NET MVC 4 и WebMatrix команда mvc стремиться сделать вещи проще для разработчика. Исходя из отзывов одно из направлений для улучшения была выбрана безопасность asp.net. 

ASP.NET MVC 4 шаблон проекта Internet добавил несколько новых очень полезных функций, которые построены с использованием SimpleMembership. SimpleMembership принес простую настройку ролей и пользователей, а также добавил поддержку OAuth. Однако новый провайдер не совместим с существующим ASP.NET Membership Provider.

В этом посте я расскажу о том, что такое SimpleMembership и как его использовать в проекте ASP.NET MVC 4.
Читать полностью »

Прыдстория. В одной производственной компании было около двух десятков(!) кадровых баз. Это базы обособленных подразделений, и в каждой по несколько сотен человек. Всего около 10 тысяч сотрудников. Системный администратор работает грамотный, есть рабочая MS Active Directory.

Квест начался в тот момент, когда безопасники попросили проверить некоего Петрова. По их ощущениям, прав у него было куда больше, чем ему дали по заявкам от подразделений. Админу пришлось поднимать все эти бумажные документы из архива и обходить половину подразделений компании. Ради одного сотрудника. Пока он ходил около двух недель, проверить решили целый отдел.

Параллельно админ понял ещё одну страшную вещь: в компании по факту работает примерно в три раза меньше людей, чем учёток у него в системе. Почему? Да всё просто: учётки заводились по письменным заявкам, а при увольнениях и переводах обновлять статус зачастую забывали.

В этот момент мы начали работать над внедрением общего решения по управлению учетными записями и правами доступа, IdM. Для начала пришлось избавиться от раздробленности и свести все кадровые базы в одну промежуточную кадровую систему. Её связали с Active Directory через новый центр-репозиторий. Потом подключили к репозиторию остальные бизнес-системы вот так:

Ад с учётными записями — почему в одной компании пользователей было в 3 раза больше, чем сотрудников

Дальше мы удалили все лишние учётки, оставили только действительных сотрудников (заодно увидели пару уволенных, но активно логинящихся). Потом нашли пару очень странных людей...Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js