Метка «аутентификация»

image Специалист в области информационной безопасности и автор сайта проверки учетных записей на взлом/утечку пароля haveibeenpwned.com Трой Хант (Troy Hunt) представил новый сервис. Теперь каждый может проверить не присутствует ли конкретный пароль в одной из многочисленных баз паролей.

Трой провел большую работу по сбору паролей, которые стали доступны в результате разных утечек и взломов и сделал свою базу, состоящую только из уникальных хэшэй этих паролей. На данный момент база насчитывает 306 миллионов уникальных паролей.
Читать полностью »

image

Все мы помним этот прекрастный фильм, и нашего любимого героя ЛШТШФУМ Ащьфа. Фильм вроде назывался «Идентификация борна».

Традиционно, второй раз, опять поною про универ и скажу как там все плохо и печально. Поставили нам преподавателя с курсом "Ідентифікація об'єктів та користовачів". Очень хотелось застрелиться на лекциях, пз и лабах. Да чего греха таить, до сих пор хочется. В общем там порядка 10 пар лекций, которые можно было расказать за 2-3 пары. Но, как известно в Украине всем руководит коррупция и отсутсвие логики.

По этому, я расскажу про все это дело короче и надеюсь, что получится лучше, чем у моего препода.

Читать полностью »

Эта статья представляет анализ публикации бразильских исследователей в области управления доступом пользователей мобильных устройств на основе анализа его поведенческих характеристик.

В развитие способов адаптивного управления доступом на основе местоположения появились способы, учитывающие поведенческие характеристики. Отличительной особенностью данных способов является стремление учесть некоторые уникальные особенности каждого отдельного пользователя с целью защиты от угроз использования личных устройств пользователя, особенно мобильных, посторонними людьми.

Одной из наиболее интересных и работ в данной области является исследование ученых из Бразилии вопросов адаптивной аутентификации на основе поведения мобильных пользователей и пространственно-временном контексте [1]. В основу предложенного механизма безопасности была взята пространственно-временная перестановочная модель, а также модель подобия векторов для выявления аномалий аутентификации [1, с.771].

Одной из основных задач, решаемых в данной работе, было создание контекстно-зависимого способа аутентификации, снижающего количество необходимых явных действий пользователя для осуществления входа в защищенную систему.

Существующие в настоящее время подходы используют достаточно упрощенные подходы в моделях при учете контекстных данных и, как правило, учитывают контекстные данные устройства, а не пользователя. Таким образом, в значительной степени данные механизмы подвержены риску принятия неправильного решения при управлении доступом.

В работе бразильских ученых предложено использовать 4 разновидности контекстов для осуществления аутентификации, отличающиеся временем формирования и атрибутами, ассоциированными с пользователем.

Это

  • операционный
  • пространственный
  • внутриперсональный
  • контекст окружения

.

Для учета поведенческих характеристик предложена поведенческая модель, состоящая из множества деятельностей пользователя, каждая их которых состоит из множества событий. При этом событие – это вектор из трех значения:

  • некоторой ситуации
  • времени
  • местоположения

Аналитически данная модель может быть представлена в виде формул:

Управление доступом на основе поведенческих характеристик

Читать полностью »

Аутентификация по новому, или суперкукиНа сегодняшний день идея ухода от паролей и традиционных методов аутентификации на веб-ресурсах поднимается все чаще, причем этим озаботились такие гиганты IT-индустрии, как Google, Paypal и другие члены альянса FIDO. В рамках научных исследований, проводимых сотрудниками Google, были предложены способы усовершенствования методов аутентификации, а также черновик стандарта расширения TLS, позволяющего избавиться от использования cookies.

В данной статье я расскажу о проблемах традиционных схем аутентификации, о подводных камнях при введении двухэтапной аутентификации и рассмотрю предложенный стандарт расширения TLS. Текст статьи будет полезен веб-разработчикам, планирующим встроить двухэтапную аутентификацию.

Читать полностью »

3 года назад мне в голову пришла идея алгоритма восстановления пароля от учётной записи. Его главное преимущество заключается в том, что он позволяет восстановить учётную запись в тех случаях когда сделать это другим способом невозможно, например, когда вы забыли пароль, ответы на секретные вопросы, и лишились доступа к доверенному почтовому ящику, причём восстановить пароль можно как после его утери, так и после его смены злоумышленником.
Именно этой теме я и посвятил свою диссертацию, части которой я уже публиковал ранее. Теперь, я опишу сам алгоритм, его матмодель и приведу оценки вероятностей успешной аутентификации легального пользователя и злоумышленников.
Читать полностью »

image
Приветствую, уважаемое сообщество.

Прежде всего, хочу поблагодарить за очень полезный ресурс. Не раз находил здесь множество интересных идей и практических советов.

Цель этой статьи — осветить подводные камни использования сессий в PHP. Конечно, есть документация по PHP и масса примеров, и данная статья не претендует на полное руководство. Она призвана раскрыть некоторые ньюансы работы с сессиями и оградить разработчиков от ненужной траты времени.

Читать полностью »

Бывший директор агенства DARPA Регина Дуган (Regina Dugan) сейчас возглавляет отдел специальных проектов Motorola; на конференции D11, проводимой AllThingsD, она показала несколько любопытных гаджетов, которые еще далеки от реального коммерческого воплощения, но дать представление о возможных планах Google всё-таки могут.

Электронная татуировка (electronic tattoo) BioStamp производства компании MC10, с которой сотрудничает Motorola, представляет из себя тонкую силиконовую полоску с впечатанной в неё гибкой электроникой — фотодетекторами, температурными сенсорами, LED-матрицей и прочим. О сложности и миниатюрности устройства можно судить по фото:

Google работает над киберпанковскими штуками
Читать полностью »

От переводчика: Хоть посыл статьи Ali Najaf, переведённой ниже, и носит слегка рекламный оттенок («оставьте криптографию нам, экспертам»), но описанные в ней примеры показались мне довольно интересными и заслуживающими внимания.
Кроме того, никогда не будет лишним повторить прописную истину: не придумывайте свою крипто-защиту. И эта статья отлично иллюстрирует почему.

Читать полностью »

В прошлой статье, я привёл свою классификацию механизмов аутентификации. Теперь я поделюсь методами их оценки и сравнения.
Всего можно выделить 4 основных показателя системы аутентификации:
1. Затраты на установку и обслуживание.
2. Эффективность.
3. Надёжность.
4. Безопасность.
Читать полностью »

Во время написания своей диссертации по защите информации, посвященной разработке нового алгоритма аутентификации, передо мной встала задача классифицировать существующие механизмы аутентификации, чтобы можно было определить к какому классу относится моя разработка.
Я столкнулся с тем, что никакой общепринятой классификации нет, и у каждого автора она своя, если она вообще есть. Поэтому я предлагаю вам свою классификацию, синтезированную из тех что встретил в процессе работы. И хотел бы услышать мнение экспертов, насколько она рациональна, адекватна и полезна. А главное не слышали ли вы её где-нибудь раньше?

Проведя анализ существующих механизмов аутентификации я выделил 3 основных характеристики, которыми обладает каждый из них:
Классификация механизмов аутентификации и их обзорЧитать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js