В этой статье расскажу про свой дипломный проект на тему «Иконографический способ аутентификации пользователя. Можно ли пройти аутентификацию так, чтобы стоящий рядом человек, следя за вашими действиями, так и не смог пройти аутентификацию за вас». В этой публикации кратко расскажу, в чём суть проекта.
Читать полностью »
Рубрика «аутентификация» - 6
Графический пароль не дает смотрящему украсть себя
2016-07-29 в 12:53, admin, рубрики: C#, аутентификация, графический пароль, криптография, метки: графический парольОрганизация аутентификации по СМС по примеру Telegram-Viber-WhatsApp
2016-07-14 в 16:49, admin, рубрики: api, php, python, rails, ruby, sms, telegram, Time-based One Time Password, totp, WhatsApp, аутентификация, мобильный клиент, разработка мобильных приложений, смс-авторизация, смс-аутентификацияПредставим, что перед вами стоит задача организовать аутентификацию пользователя (в мобильном приложении, в первую очередь) так, как это сделано в Telegram/Viber/WhatsApp. А именно реализовать в API возможность осуществить следующие шаги:
- Пользователь вводит свой номер телефона и ему на телефон приходит СМС с кодом.
- Пользователь вводит код из СМС и приложение его аутентифицирует и авторизует.
- Пользователь открывает приложение повторно, и он уже аутентифицирован и авторизован.
Я постараюсь кратко изложить выработанный подход к этому вопросу. Подразумевается, что у вас API, HTTPS и, вероятно, REST. Какой у вас там набор остальных технологий неважно. Если интересно — добро пожаловать под кат.
Интеграция Cisco FirePOWER и ISE
2016-06-29 в 7:27, admin, рубрики: active directory, Cisco, Cisco ISE, Cisco pxGrid, Firepower, radius, SGT, SourceFire, SXP, TrustSec, авторизация, аутентификация, Блог компании CBS, делимся опытом, информационная безопасность, ит-инфраструктура, Сетевые технологии, метки: FirePOWER
Привет habr! Начиная с версии FirePOWER 6.0.0.0, появилась возможность интеграции с корпоративным сервером централизованной аутентификации и авторизации Cisco ISE. В данной заметке кратко рассмотрим, что именно даёт связь Cisco FirePOWER с ISE и как эта связь настраивается.Читать полностью »
Как настроить двухфакторную аутентификацию для логина и sudo
2016-06-03 в 16:22, admin, рубрики: 2-factor, 2fa, android, authentication, authenticator, Google, security, smartphone, sudo, аутентификация, безопасность, двухфакторная, десктоп, информационная безопасность, логин, Настройка Linux, сервер, Серверное администрирование, системное администрирование, смартфон
Безопасность в моде, как это и должно быть. Мы живем в мире, где данные — невероятно ценная валюта, которую вы всегда рискуете потерять. Поэтому вы должны сделать все, чтобы убедиться, что то, что вы держите на серверах и десктопах — в безопасности. Для этого администраторы и пользователи создают невероятно сложные пароли, используют менеджеры паролей и т.д. Но что, если я вам скажу, что вы можете логиниться на ваши серверы и десктопы Linux за два шага, вместо одного? Вы можете это делать благодаря Google Authenticator. Более того, это невероятно легко настроить.
Я собираюсь провести вас через процесс настройки двухфакторной аутентификации для использования ее на логине и sudo. Я продемонстрирую это на десктопной Ubuntu 16.04, но процесс также работает и для сервера. Чтобы справиться с двухфакторной стороной вещей, я буду использовать Google Authenticator.
Читать полностью »
О выработке неперебираемых ключей на основе перебираемых паролей
2016-04-28 в 14:52, admin, рубрики: CFRG, IT-стандарты, TK26, аутентификация, выработка пароля, информационная безопасность, криптография, математика, протокол, Разработка систем передачи данныхКриптографические протоколы — фундамент безопасного сетевого соединения и конфиденциального обмена информацией. На сегодняшний день существует большое количество самых разных протоколов для самых разных целей. Многие из этих протоколов (например, TLS, Kerberos) на слуху даже у людей, тесно не связанных с криптографией. Они распространены повсеместно и зачастую уже давно являются частью популярных информационных систем.
Однако существует тип протоколов, который последнее время набирает все большую популярность, но все еще не является широко известным — протоколы выработки общего ключа с аутентификацией на основе пароля. К таким протоколам относится российский протокол SESPAKE (Security Evaluated Standardized Password Authenticated Key Exchange), с появлением которого в России и возникла необходимость в рассмотрении особенностей протоколов подобного типа. Целью данной статьи является скорее не дать очередное формальное описание нового протокола, а помочь читателю уловить его основную идею и особенности и понять, почему в нём присутствуют те или иные шаги, почему они важны и чем подобный класс протоколов отличается от всего, что было известно ранее.
Читать полностью »
Настройка аутентификации в OpenVPN через Active Directory в CentOS 7
2016-02-11 в 11:06, admin, рубрики: active directory, ldap, аутентификация, Настройка LinuxПредставим что у нас уже есть настроенный OpenVPN, и мы решили сделать двухфакторную аутентификацию, включающую в себя проверку логина, пароля и членства пользователя в группе AD.
Традиционный openvpn-auth-ldap.so не существует в CentOS 7, поэтому рассмотрим вариант с использованием PAM.
Читать полностью »
Преимущества и недостатки 3D Secure и таинственная «невидимая аутентификация» платежей
2016-01-19 в 9:04, admin, рубрики: 3-D Secure, payonline, аутентификация, банковские карты, безопасность платежей, Блог компании PayOnline, онлайн платежи, статистика, финансы в ITВ современном цифровом обществе потребители тратят онлайн все больше времени и денег. И это движение не остановить. А там, где тратят большие суммы, неизбежно появляются мошенники. В ответ продавцы и финансовые сервисы вынуждены усиливать защиту, добавляя все новые этапы аутентификации. Это в свою очередь вызывает негативный отклик плательщиков, которые хотят оплачивать покупки в один клик и при этом не быть обманутыми. Круг замыкается, но разорвать его можно с помощью технологии 3-D Secure, которой защищены все транзакции, проходящие через любой шлюз, в том числе и наш, в компании PayOnline.
По данным исследования «Global Payment Cards 2013-2019» объем платежей по банковским картам в Интернете растет активнее, чем в других типах карточных операций. Эксперты предсказывают, что к 2019 году количество карточных транзакций в Сети достигнет 34 миллиардов, а их оборот составит 3,9 триллионов долларов. С ростом масштабов проблема фрода становится все острее: по данным европейского Центробанка, в 2015 году 66% всех мошеннических операций по банковским картам были совершены при операциях без присутствия карты (card not present, или CNP) – то есть в Интернете.
Читать полностью »
Пользователи LastPass уязвимы для простейшей фишинговой атаки в Chrome
2016-01-18 в 17:44, admin, рубрики: Google Chrome, lastpass, аутентификация, браузеры, информационная безопасность, личные данные, фишинг, метки: LastPass
Один из наиболее популярных менеджеров паролей, LastPass, несколько раз испытывал проблемы с безопасностью. К примеру, сервис взломали летом 2015 года, после чего пользователям пришлось менять свои данные для доступа к LastPass. В ноябре прошлого же года специалисты по информационной безопасности обнаружили у сервиса ряд багов, позволявших злоумышленникам получить доступ к учетным данным пользователей.
Теперь же обнаружилось, что и двухфакторная защита сервиса не спасает, если злоумышленник будет использовать простейшую фишинговую атаку. Специалист по информационной безопаности Шон Кессиди, обнаруживший уязвимость, придумал и название для нее — «LostPass». Для того, чтобы продемонстрировать уязвимость, специалист создал специальный инструмент.
Читать полностью »
Новинка от Google. Безопасна ли аутентификация без ввода пароля?
2016-01-05 в 14:22, admin, рубрики: 2fa, Google, google authenticator, аутентификация, аутентификация пользователей, двухфакторная аутентификация, защита данных, информационная безопасность, хранение данныхЯ думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.
Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.
Читать полностью »
Немного про Яндекс Protect
2015-12-24 в 8:03, admin, рубрики: аутентификация, браузеры, информационная безопасность, пароли, фишинг, Яндекс Protect, метки: Яндекс Protect «Даже если вы нажмете на какую-то ссылку и введете логин и пароль то ничего такого не случится» — реклама браузера Яндекс. Как это работает и так ли это? Посмотрев эту рекламу мне конечно стало интересно, как Яндекс смог «победить» такую сложно решаемую проблему как кража паролей. Хочу отметить, что рассматривал я только одну из функций Яндекс Protect, а именно "Защита от кражи паролей".
Читать полностью »