Последние несколько лет я являюсь клиентом Т-Банка (в девичестве Тинькофф Банк) и использую их Android-приложение, наверное, каждый день. В декабре я обновил его из Huawei AppGallery, и что-то изменилось в моём пользовательском опыте… Мне стало казаться, что меня стали как-то слишком редко спрашивать отпечаток или PIN после запуска приложения тапом по иконке или по уведомлению. Так произошло раз, два, пять, и я невольно обратил на это внимание. А поскольку моя работа связана с информационной безопасностью, я решил немедленно настучать на плохое поведение разработчикам, Читать полностью »
Рубрика «авторизация»
Слишком уж «Быстрый вход» в приложение Т-Банк на Android
2025-01-30 в 22:47, admin, рубрики: android приложение, bug bounty, usability, авторизация, аутентификация, быстрый вход, информационная безопасность, отпечаток пальца, уязвимостьБиометрические методы аутентификации: небольшое исследование
2025-01-23 в 13:14, admin, рубрики: авторизация, аутентификация, безопасность, биометрия, второй фактор, фишинг, хакингНедавно сообщество spring security закончило работу над поддержкой passkeys (ключи доступа), а конкретнее WebAuthn. Протокол WebAuthn позволяет реализовать аутентификацию с помощью биометрических данных. На данный момент поддержка passkeys местами немного сыровата, и мы активно фиксим баги и всячески улучшаем саму фичу. В документации мы написали:
Passkeys are a more secure method of authenticating than passwords and are built using WebAuthn.
Ключи доступа представляют собой более безопасный метод аутентификации, чем пароли, и создаются с использованием WebAuthn.Читать полностью »
Почему работать с OAuth сложно даже сегодня?
2023-05-10 в 13:00, admin, рубрики: api, oauth, ruvds_перевод, авторизация, аутентификация, Блог компании RUVDS.com, информационная безопасность, Программирование, протоколы безопасности, токен доступа
OAuth — это стандартный протокол. Ведь так? И для OAuth 2.0 есть клиентские библиотеки практически на всех языках программирования, которые можно представить.
Вероятно, вы подумаете, что имея клиентскую библиотеку, можно реализовать OAuth для любого API буквально за десять минут. Или хотя бы за час.
Если вам это удастся, то, пожалуйста, сообщите об этом нам — мы угостим вас изысканным ужином и послушаем, как у вас это получилось.
Читать полностью »
Всё о Keycloak: зачем нужен, кому подходит и какие преимущества даёт
2022-03-05 в 10:23, admin, рубрики: keycloak, OpenID, авторизация, аутентикация, безопасность, Блог компании Southbridge14 марта в Слёрм стартует курс «Безопасность проекта: аутентификация в Keycloak»Читать полностью »
У Steam довольно любопытный способ логина
2021-01-20 в 7:34, admin, рубрики: HTTPS, rsa, SSL, Steam, TLS, авторизация, двухфакторная аутентификация, Игры и игровые приставки, информационная безопасность, логин, шифрованиеКак передать пароль по Интернету? Обычно приобретается сертификат SSL, а TLS выполняет задачу безопасной перемещения пароля от клиента к серверу. Разумеется, всё не так сухо, как пытаюсь представить я, но в целом это так и подобный подход прошёл проверку временем. Однако так было не всегда, и один невероятно популярный онлайн-магазин предпочёл добавить к этому процессу что-то своё. В этой статье я расскажу об уникальном способе входа в систему пользователей Steam и исследую глубокую кроличью нору удивительных подробностей его реализации.
Выявляем очевидное
Я нашёл на StackOverflow датированный 2013 годом вопрос о том, как безопасно передавать пароль по HTTP. Ответы оказались достаточно единодушными: надо получить сертификат SSL. Проведите эксперимент: настройте любимый прокси перехвата трафика, зайдите в сервис, которым вы часто пользуетесь, выполните вход со своим аккаунтом (а лучше каким-нибудь одноразовым) и изучите результаты. С большой вероятностью вы увидите, что имя пользователя и пароль передаются в открытом виде в теле запроса HTTP. Единственная причина того, что это работает, заключается в том, что ваше соединение с сервером зашифровано при помощи TLS.
Читать полностью »
Иллюстрированное руководство по OAuth и OpenID Connect
2019-11-29 в 6:13, admin, рубрики: IT-стандарты, oauth, OIDC, openid connect, авторизация, аутентификация, Блог компании Флант, информационная безопасность, Сетевые технологии, системное администрированиеПрим. перев.: В этом замечательном материале компании Okta просто и наглядно рассказывается о принципах работы OAuth и OIDC (OpenID Connect). Эти знания будут полезны разработчикам, системным администраторам и даже «обычным пользователям» популярных веб-приложений, которые скорее всего тоже обмениваются конфиденциальными данными с другими сервисами.
В «каменном веке» интернета делиться информацией между сервисами было легко. Вы просто давали свой логин и пароль от одного сервиса другому, чтобы тот вошел в вашу учетную запись и получил любую необходимую ему информацию.
«Предоставьте свою банковскую учётку». — «Обещаем, что с паролем и деньгами все будет в порядке. Вот прям честно-пречестно!» *хи-хи*
Жуть! Никто и никогда не должен требовать от пользователя поделиться логином и паролем, его учётными данными, с другим сервисом. Нет никакой гарантии, что организация, стоящая за этим сервисом, будет хранить данные в безопасности и не соберет больше персональной информации, чем нужно. Это может показаться дикостью, но некоторые приложения до сих пор применяют подобную практику!
Сегодня имеется единый стандарт, позволяющий одному сервису безопасно воспользоваться данными другого. К сожалению, подобные стандарты используют массу жаргонизмов и терминов, что усложняет их понимание. Цель этого материала — с помощью простых иллюстраций объяснить, как они работают (Думаете, что мои рисунки напоминают детскую мазню? Ну и ладно!).
Внедряем Sign in with Apple — систему авторизации от Apple
2019-11-08 в 15:37, admin, рубрики: iOS, signinwithapple, swift, авторизация, Блог компании ЦИАН, Программирование, Разработка веб-сайтов, разработка под iOSПривет!
Этим летом на конференции WWDC 2019 Apple представила собственную систему авторизации Sign in with Apple и сделала ее обязательной для всех приложений в App Store, которые используют вход через соцсети. Исключение составляют образовательные, корпоративные, правительственные и бизнес-приложения, использующие собственную авторизацию. К Sign in with Apple Apple сделала качественную документацию, и в этой статье мы на примере ЦИАН расскажем, как внедрить ее в свой сервис.
14 ноября пройдет Intercom’19 — конференция об автоматизации коммуникаций от Voximplant
2019-10-31 в 13:53, admin, рубрики: voximplant, автоматизация бизнеса, автоматизация рутины, авторизация, Блог компании Voximplant, искусственный интеллект, конференции, конференция, облачные сервисы, разработка мобильных приложений, связь, телекоммуникацииКак известно, осень — время конференций. Мы уже в четвертый раз проводим собственную ежегодную конференцию про коммуникации и их автоматизацию, и приглашаем вас принять в ней участие. Конференция, по традиции, состоит из двух потоков и нескольких специальных событий.
Мы немного поменяли формат участия в мероприятии: это первый год, когда участие в конференции бесплатное для всех желающих, но регистрация обязательна. Будем ждать вас 14 ноября в ЦДП (Цифровое Деловое Пространство, Москва, м.Курская, ул. Покровка, 47).
Читать полностью »
Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца
2019-10-10 в 12:28, admin, рубрики: авторизация, безопасность, Блог компании Mail.Ru Group, информационная безопасность, отпечаток пальца, почта mail.ru
Два наших сервиса — Почта и Облако Mail.ru — теперь позволяют входить в веб-клиенты по отпечатку пальца и с помощью внешних устройств: USB-, Bluetooth- и NFC-ключей. Наши сервисы пока единственные в России и одни из первых в мире начали использовать технологию электронных ключей WebAuthn в качестве альтернативы традиционным паролям.
Читать полностью »