Рубрика «авторизация» - 6

в 10:22, , рубрики: авторизация, аутентификация, информационная безопасность, мобильные устройства, метки: , ,

Эта статья представляет анализ публикации бразильских исследователей в области управления доступом пользователей мобильных устройств на основе анализа его поведенческих характеристик.

В развитие способов адаптивного управления доступом на основе местоположения появились способы, учитывающие поведенческие характеристики. Отличительной особенностью данных способов является стремление учесть некоторые уникальные особенности каждого отдельного пользователя с целью защиты от угроз использования личных устройств пользователя, особенно мобильных, посторонними людьми.

Одной из наиболее интересных и работ в данной области является исследование ученых из Бразилии вопросов адаптивной аутентификации на основе поведения мобильных пользователей и пространственно-временном контексте [1]. В основу предложенного механизма безопасности была взята пространственно-временная перестановочная модель, а также модель подобия векторов для выявления аномалий аутентификации [1, с.771].

Одной из основных задач, решаемых в данной работе, было создание контекстно-зависимого способа аутентификации, снижающего количество необходимых явных действий пользователя для осуществления входа в защищенную систему.

Существующие в настоящее время подходы используют достаточно упрощенные подходы в моделях при учете контекстных данных и, как правило, учитывают контекстные данные устройства, а не пользователя. Таким образом, в значительной степени данные механизмы подвержены риску принятия неправильного решения при управлении доступом.

В работе бразильских ученых предложено использовать 4 разновидности контекстов для осуществления аутентификации, отличающиеся временем формирования и атрибутами, ассоциированными с пользователем.

Это

  • операционный
  • пространственный
  • внутриперсональный
  • контекст окружения

.

Для учета поведенческих характеристик предложена поведенческая модель, состоящая из множества деятельностей пользователя, каждая их которых состоит из множества событий. При этом событие – это вектор из трех значения:

  • некоторой ситуации
  • времени
  • местоположения

Аналитически данная модель может быть представлена в виде формул:

Управление доступом на основе поведенческих характеристик

Читать полностью »

в 8:30, , рубрики: web-разработка, авторизация, Веб-разработка, Геоинформационные сервисы, геолокация, сбор информации, метки: , , ,

Предисловие

Всем, кто когда-либо занимался написанием систем авторизации/регистрации пользователей, наверняка приходилось задаваться вопросом: «А как узнать о пользователе больше информации?». Для чего это нужно? В большинстве случаев, для идентификации именно этого пользователя. Иногда — для предоставления каких-либо дополнительных возможностей и информации, в зависимости от различных социальных параметров, или, быть может, местополжения пользователя или региона проживания. Иногда, например, для проведения какого-либо скоринга. В этой статье речь пойдёт об определении географического положения пользователя.

Эффективные методы определения

Можно придумать массу методов получения георгафического положения пользователя интернета. И все эти методы будут обладать своим набором плюсов и минусов, будут более или менее эффективны, в зависимости от применения. Сейчас я опишу только те методы, которыми на данный момент пользуется проект, в котором я учавствую, т.е. те, которые я непосредственно использую. За время существования проекта по ним уже собралось достаточно статистики, из которой можно сделать некоторые выводы.
Читать полностью »

в 11:38, , рубрики: aaa, Cisco, cisco ios, авторизация, Блог компании Positive Technologies, информационная безопасность, метки: , , ,

AAA (Authentication Authorization and Accounting) — система аутентификации авторизации и учета событий, встроенная в операционную систему Cisco IOS, служит для предоставления пользователям безопасного удаленного доступа к сетевому оборудованию Cisco. Она предлагает различные методы идентификации пользователя, авторизации, а также сбора и отправки информации на сервер.

Однако мало того, что ааа по умолчанию выключена; конфигурация этой системы — дело довольно запутанное. Недочеты в конфигурации могут привести либо к нестабильному, небезопасному подключению, либо к отсутствию какого-либо соединения в принципе. В данной статье мы подробно разберем схему настройки аутентификации при помощи aaa.Читать полностью »

в 23:07, , рубрики: ruby, ruby on rails, авторизация, метки: ,

Всем привет. Я долгое время программировал на PHP и использовал Zend 1. Работал над крупным проектом платежной системы. Система авторизации подразумевала пользователей, их авторизацию и разделение по ролям. Разделение по ролям было довольно обширным и ветвистым. Вообще в большинстве проектов если уж требуется авторизация, то, наверняка, потребуется хотя бы минимальное разделение по ролям.
Совсем недавно я начал проект на Ruby и подыскивал гем для авторизации. Но толком так и не нашел красивого и четкого гема, реализующего разделения по ролям, а может плохо искал. Теперь хочу рассказать о своем методе решения этой проблемы.
Читать полностью »

в 8:58, , рубрики: cookie, php, авторизация, аутентификация, Веб-разработка, идентификация, Программирование, сессии, метки: , , , , ,

image
Приветствую, уважаемое сообщество.

Прежде всего, хочу поблагодарить за очень полезный ресурс. Не раз находил здесь множество интересных идей и практических советов.

Цель этой статьи — осветить подводные камни использования сессий в PHP. Конечно, есть документация по PHP и масса примеров, и данная статья не претендует на полное руководство. Она призвана раскрыть некоторые ньюансы работы с сессиями и оградить разработчиков от ненужной траты времени.

Читать полностью »

в 14:51, , рубрики: авторизация, безопасность веб-приложений, информационная безопасность, Ким Дотком, патенты, метки: , , ,

Ким Дотком, вероятно, окончательно разочаровался в мире: он решил поиграть в патентного тролля, и намекнул Google, Twitter, Citibank на то, что они нарушают его патент 16-летней давности, касающийся двухфакторной авторизации в аккаунте.

Google, Facebook, Twitter, Citibank, etc. offer Two-Step-Authentication.
Massive IP infringement by U.S. companies. My innovation. My patent

(оригинальный пост)

Действительно, патент, на который ссылается Дотком, заявка на который была подана в 1997-м году, и который был выдан в 1998-м, предусматривает в числе прочего последовательность автоматической авторизации в системе посредством ввода в форму дополнительных данных, полученных по дополнительному каналу связи — что, в целом, и составляет суть двухфакторки. Подробнее можно почитать здесь.

Самое забавное — это то, что последовало после изначального заявления: Дотком сначала заявил, что никогда и ни с кем не судился, но поскольку «нарушители» — американские компании, он готов сделать для них исключение, поскольку с ним судятся американские же власти; после этого он внезапно попросил у этих же компаний помощи — мол, «мы все в одной лодке, DMCA мешает нам всем, а меня ещё и посадить пытаются».Читать полностью »

в 16:01, , рубрики: fancybox, авторизация, Песочница, метки: ,

Цель данной статьи — рассказать об опыте организации максимальной простой и удобной с нашей точки зрения модели авторизации пользователей на сайте.
Читать полностью »

в 9:07, , рубрики: etoken, netscaler, xendesktop, авторизация, виртуализация, ит-инфраструктура, системное администрирование, метки: , , ,

2х факторная аутентификация на NetScaler

Для обеспечения безопасного доступа с корпоративную инфраструктуру я использую решение на базе NetScaler с использованием 2х факторной аутентификации. П построить данное решение достаточно просто, нужно только иметь развернутый, настроенный NS, развернутый центр сертификации и PKI устройства например eToken.
Зачем это? Предположим WEB морда AG сервера имеет неограниченный доступ из интернета, следовательно потенциально зная логин доступа можно инициировать HTTP запросы, и в зависимости от политики безопасности (количество попыток до блокировки) заблокировать пользователя и т.д. При использовании ДФА (2х факторной авторизации) мы не только гарантированно идентифицируем пользователя, но и предоставляем защищенный сервис доступа.

Считаем, что уже есть:

-У нас есть настроенный netscaler
-Поднятый центр сертификации (хотя можно использовать и ЦС на аутсорсинге)
-Настроенный Access Gateway сервер

Двухфакторная авторизация на Citrix NetScaler
Читать полностью »

в 8:54, , рубрики: usability, авторизация, Веб-разработка, Мобильный веб, метки:

Привет!

Возник с коллегами спор об удобной для большинства пользователей авторизации на сайте/приложении.
Вкратце об абстрактном сервисе — пусть это будет некая помесь Skype, Viber и WhatsApp. Возможность звонков через сервис и на мобильные, отправки сообщений через смс и чат.

Надо понимать, что номер телефона не обязателен, но необходим для полноценного использования сервиса. Разумеется, он не будет передаваться третьим лицам, использоваться для спам-рассылок и прочее, и прочее.

Приветствуется участие в голосовании и любые комментарии на тему.

Читать полностью »

в 9:15, , рубрики: Apache, nginx, авторизация, Веб-разработка, доменные имена, домены, информационная безопасность, системное администрирование, метки: , , , ,

Существует такое понятие, как корневой домен, соответственно, в конце каждого домена есть точка. Возможно, вы и не подозреваете, что ваш сайт доступен по доменному имени с точкой в конце (domain.zone.), так как браузеры позволяют обращаться к сайтам, как с точкой в конце домена, так и без неё.
Читать полностью »

1...567...9
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js