Intent, WebView и биометрия: как безобидные функции становятся инструментами хакеров
Из-за санкций и удаления приложений из App Store и Google Play российские организации были вынуждены отойти от привычных всем репозиториев, предоставив злоумышленникам больше возможностей для обмана пользователей: загрузка и обновление приложений по внешним ссылкам даже для банковских клиентов...
Введение в OAuth и OpenID Connect
Идентификация — это заявление о том, кем вы являетесь. В зависимости от ситуации, это может быть имя, адрес электронной почты, номер учетной записи, и так далее. Аутентификация — предоставление доказательств, что вы на самом деле есть тот, кем идентифицировались (от слова “authentic” - истинный,...
Использование больших языковых моделей (LLM) в Access Management
Может ли искусственный интеллект революционизировать управление доступом? Есть ли подводные камни? Высокие затраты, риск «галлюцинаций», производительность в реальном времени, эффективность - что перевешивает? В данной статье мы разберемся, как можно применить LLM к управлению доступом для...
История одного SSO: как мы подружили два независимых каталога пользователей через Keycloak
Привет, Хабр! Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений в К2 Кибербезопасность. При внедрении Single Sign-On, на первый взгляд, все должно идти по накатанной схеме: настраиваем федерацию со службой каталогов, связываем identity provider с service provider,...
Keycloak: как упростить аутентификацию и не сойти с ума?
Я Диана, системный аналитик в Clevertec и экс-преподаватель. В этой нескучной лекции расскажу: - Что такое Keycloak и для чего он нужен? - Как Keycloak помогает с межсистемной аутентификацией? - Какие плюсы и минусы у Keycloak при использовании в продакшене? - Какие альтернативы есть у Keycloak?...
[Перевод] OAuth 2.0
Вы когда‑нибудь логинились на сайте, используя аккаунт Google или Facebook? Или подключали приложение, требующее доступа к GitHub? Если да, то вы уже сталкивались с OAuth2, зная того или нет. OAuth2 — наиболее популярный и расширяемый фреймворк авторизации. Он позволяет интегрировать различные...
Я так устал вводить логин и пароль
Капчи украли у нас миллиарды часов и продолжают воровать дальше. Эту проблему надо решить, и есть технологии, которые могли бы заменить капчу, в том числе такие экзотические, как NFT с биометрией. Проверка на человечность — это пример относительно сложной в интеллектуальном плане задачи. Однако на...
Слишком уж «Быстрый вход» в приложение Т-Банк на Android
Последние несколько лет я являюсь клиентом Т-Банка (в девичестве Тинькофф Банк) и использую их Android-приложение, наверное, каждый день. В декабре я обновил его из Huawei AppGallery, и что-то изменилось в моём пользовательском опыте… Мне стало казаться, что меня стали как-то слишком редко...
Биометрические методы аутентификации: небольшое исследование
Недавно сообщество spring security закончило работу над поддержкой passkeys (ключи доступа), а конкретнее WebAuthn. Протокол WebAuthn позволяет реализовать аутентификацию с помощью биометрических данных. На данный момент поддержка passkeys местами немного сыровата, и мы активно фиксим баги и...
Декларативная платформа управления доступом: от ролей к динамическим политикам
Зачем нужна авторизация, какие проблемы она решает и в каких ситуациях будет полезна? Рассмотрим модели организации контроля доступа и способы их реализации. Привет, Хабр! Меня зовут Олег Козырев. Senior Golang инженер в BigTech-компании, ментор и блогер. Обучаю людей backend-разработке и...
OAuth 2.0, OpenID Connect и SSO для самых маленьких
Всем привет! Меня зовут Павел, я Head of Development в Банки.ру. Сегодня хочу погрузиться с вами в, кажется, уже давно заезженные темы: Single sign-on, OAuth, OpenID и нюансы их реализации. Здесь, на Хабре, достаточно гайдов с примерами реализаций на разных языках или же, наоборот, более...
Все проблемы A-U-T-H и слабые пароли
По данным Verizon, более 80% инцидентов взлома связаны со слабыми или украденными паролями. Защититься от несанкционированного доступа, следовать принципам Zero Trust и минимизировать вероятность таких инцидентов помогает сервис многофакторной аутентификации (MFA). MWS запустил облачный сервис MFA...
[Перевод] Использование Verified Permissions для реализации точной авторизации в высоконагруженных приложениях
Техники оптимизации функции авторизации в современных веб-приложениях. В статье рассматриваются эффективные подходы к управлению точной авторизацией с использованием Amazon Verified Permissions (читай Cedar Engine). Вы узнаете о техниках пакетной авторизации и кэширования ответов, которые помогут...
Разбираем магических зверей безопасности: AuthZ: abac/rbac, AuthN и 2FA
Вы знаете, что меня действительно выбивает из колеи забавит? Даже люди, которые давно работают в IT, путают аутентификацию и авторизацию. На пару проектах я столкнулся с тем, что некоторые ребята, которые работают в индустрии годами, не видят разницы между этими двумя понятиями. И это не просто “я...
[Перевод] Настройка сервиса аутентификации OpenAM и шлюза авторизации OpenIG для защиты приложений
Если в организации множество приложений и сервисов, то нет необходимости разрабатывать аутентификацию и авторизацию для каждого сервиса отдельно. Оптимальным подходом является использование централизованного сервиса аутентификации совместно со шлюзом авторизации, который и определяет политики...
SmartFlow: «В начале был пароль...» или новая аутентификация VK ID
Привет, Хабр! Исторически сложилось, что первым способом аутентификации (в 1960-х) с появлением доступных компьютеров стал пароль. О рисках его использования и об изобретённых человечеством альтернативах мы подробно рассказали в статье о будущем беспарольной аутентификации. Этот подход к проверке...
Разработка и применение систем разграничения доступа на базе атрибутов
Привет! Меня зовут Михаил, в Positive Technologies я руковожу бэкенд-разработкой метапродукта MaxPatrol O2. В этой статье я расскажу, зачем нам в компании понадобилось разграничение доступа на основе атрибутов. Его еще называют ABAC (attribute-based access control). Рассмотрим, чем ABAC отличается...
Атака на SSH и взлом туннелей VPN
SSH стал практически стандартом де-факто для подключения к серверу или удалённому десктопу. Поэтому уязвимости вызывают определённое беспокойство. Тем более в нынешних условиях, когда весь трафик в интернете записывается и сохраняется в хранилищах провайдеров и хостеров. То есть в будущем его могут...
Назад