Эволюция одноразовых кодов: от TAN к Passkeys
От TAN-листов и SMS-кодов до Passkeys и FIDO2 — за 20 лет одноразовые коды прошли путь от бумажек до криптографии. Почему TOTP стал стандартом? Чем push-уведомления лучше? И правда ли, что будущее — без паролей? В статье — краткий и наглядный разбор всей эволюции OTP: алгоритмы, уязвимости, UX и...
Почему длинные TOTP-коды почти всегда содержат повторы (и это нормально)
Если вы когда-нибудь замечали, что длинные коды двухфакторной аутентификации (TOTP) часто содержат повторы вроде 131488 или симметрии вроде 1221 — это не баг, а статистическая закономерность. Чем длиннее код, тем выше вероятность, что в нём встретятся простые или "запоминающиеся" фрагменты. Это...
OpenVPN (pfSense) + SSL/TLS + 2FA telegram (freeradius + postgres + telegram bot)
В данной статье будет показан процесс настройки OpenVPN сервера на базе pfSense (но подойдет и любой другой) с подключением пользователей с аутентификацией с использованием SSL/TLS и Telegram в качестве 2FA. Читать далее...
[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический
Самая простая, но в то же время наиболее значимая ошибка, которую я нашёл: Это ещё одно из моих старых открытий, которым я делюсь. Иногда самые ценные ошибки не являются самыми сложными. Это история о том, как я заработал 12 000 долларов, обойдя ограничение частоты запросов для перебора кода...
[Перевод] Обход 2FA на HackerOne из-за состояния гонки
Эта статья о том, как я обнаружил уязвимость состояния гонки, которая позволила мне отключить 2FA любой учетной записи HackerOne. Я не знаю, как долго там присутствовала эта уязвимость, пока я ее не заметил и не сообщил их команде. Вот ограниченное раскрытие информации. Важно сначала изучить то,...
Используй MFA, Люк: как второй фактор помогает защитить подключения
Да пребудет с вами сила, хабравчане! Меня зовут Кирилл Подсухин, я technical product manager в компании Контур. Я вместе с командой разработал систему двухфакторной аутентификации Контур.ID. Я часто представляю нашу команду как джедаев, которые борются с ситхами — злоумышленниками, которые пытаются...
Самые дерзкие фишинговые схемы 2024 года, которые сработали
Звонки с предупреждениями о подозрительных операциях по счету или последнем дне обслуживания мобильного номера — уже классика фишинга. Но если вы думаете, что фантазия и способности мошенников на этом заканчиваются, то нет. 2024 год «подарил» нам несколько потрясающих случаев, когда жертвами...
Виды аутентификации для современных веб-приложений
Рост популярности веб-приложений в современных технологиях значительно изменил способы взаимодействия пользователей с цифровыми сервисами. Однако с этим увеличением цифровой зависимости возникает и повышенная потребность в надежных механизмах безопасности, особенно в части аутентификации...
6P Концепция информационной безопасности
Наши заказчики периодически спрашивают: что делать, когда базовые задачи по антивирусной защите, защите интернет-канала и резервному копированию уже решены? Куда двигаться дальше? В таких случаях я предлагаю концепцию "6P" — простой и эффективный подход, помогающий сфокусироваться на пяти основных...
Сквозное шифрование и двухфакторная аутентификация в современном интернете
Сегодня практически каждый пользователь интернета знаком с такими терминами, как "сквозное шифрование" (E2EE) и "двухфакторная аутентификация" (2FA). Этому во многом поспособствовали маркетологи, сделав технические термины массово узнаваемыми. Почему они стали так популярны? Разбираемся в этой...
Двухфакторная аутентификация (OTP) в OpenVPN с использованием FreeRADIUS и LDAP
Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP‑кодов и плагинов аутентификации OpenVPN libpam-radius-auth, openvpn-plugin-auth-pam, openvpn-auth-ldap и имеют ряд недостатков как для пользователя так и для администратора. Поскольку и...
[Перевод] Настройка аутентификации с одноразовым паролем в OpenAM
Аутентификация с паролем является, пожалуй, самым распространенным методом аутентификации. Но она не является достаточной надежной. Часто пользователи используют простые пароли или используют один и тот же пароль для разных сервисов. Таким образом пароль пользователя может быть скомпрометирован....
Как безопасно авторизироваться в веб-сервисе через скомпрометированное устройство?
Поискав в интернете, побеседовав с ИИ, можно выделить bullet-proof технологию многофакторной авторизации. "Добавь TOTP и спи спокойно", говорят они. Но что, если у вас только одно устройство, и оно скомпрометировано? Например, вы едете в путешествие и берёте с собой только телефон. Можете ли вы...
Усиленные пароли или 2FA
Двухфакторная аутентификация (2FA) и усиленная парольная политика - два разных подхода к повышению безопасности учетных записей. Оба метода направлены на защиту от несанкционированного доступа, но они существенно различаются в реализации и уровне обеспечиваемой защиты. Давайте разберем каждый...
Как внедрить двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально
Еще в пандемийные годы стало понятно, что жить без двухфакторки на удаленке, как минимум, рискованно. И хоть большинство приложений и обеспечивают 2FA, все-таки существуют сервисы, для которых защищенный доступ из коробки недоступен. Я Саша Зеленов, архитектор Cloud.ru, и сегодня я поделюсь с вами...
2FA для 1С по протоколу OpenID Connect на базе Keycloak
Очередной пост о том, что мы делаем. В этот раз расскажу вам о том, как мы обеспечили безопасность информационных баз 1С с использованием сервиса аутентификации Keycloak через протокол OpenID Connect и настройку двухфакторной аутентификации с помощью OTP‑кода. Читать далее...
Почему важно чистить cookies
Хотя логины и пароли учётных записей продолжают оставаться наиболее очевидными целями хакеров, распространение многофакторной аутентификации ведёт к тому, что злоумышленники тоже меняют свои подходы. Одна из новых тактик, набирающих обороты — обход многофакторной аутентификации с помощью кражи...
Как в Авито используют продуктовый подход к разработке технических фич
Привет! Меня зовут Ярослав Александров, я руковожу юнитом Avito ID. Уже несколько лет один из ключевых фокусов Авито — безопасность пользователей и их доверие к площадке. Для достижения целей Trust and Safety (T&S) мы запускаем технические продукты и фичи. Так сложилось, что в компании мы...
Назад