[Перевод] $$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS
Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются! В этом разборе я покажу вам, как ошибка в конфигурации CORS...
Сквозное шифрование и двухфакторная аутентификация в современном интернете
Сегодня практически каждый пользователь интернета знаком с такими терминами, как "сквозное шифрование" (E2EE) и "двухфакторная аутентификация" (2FA). Этому во многом поспособствовали маркетологи, сделав технические термины массово узнаваемыми. Почему они стали так популярны? Разбираемся в этой...
Двухфакторная аутентификация (OTP) в OpenVPN с использованием FreeRADIUS и LDAP
Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP‑кодов и плагинов аутентификации OpenVPN libpam-radius-auth, openvpn-plugin-auth-pam, openvpn-auth-ldap и имеют ряд недостатков как для пользователя так и для администратора. Поскольку и...
[Перевод] Настройка аутентификации с одноразовым паролем в OpenAM
Аутентификация с паролем является, пожалуй, самым распространенным методом аутентификации. Но она не является достаточной надежной. Часто пользователи используют простые пароли или используют один и тот же пароль для разных сервисов. Таким образом пароль пользователя может быть скомпрометирован....
Усиленные пароли или 2FA
Двухфакторная аутентификация (2FA) и усиленная парольная политика - два разных подхода к повышению безопасности учетных записей. Оба метода направлены на защиту от несанкционированного доступа, но они существенно различаются в реализации и уровне обеспечиваемой защиты. Давайте разберем каждый...
Как внедрить двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально
Еще в пандемийные годы стало понятно, что жить без двухфакторки на удаленке, как минимум, рискованно. И хоть большинство приложений и обеспечивают 2FA, все-таки существуют сервисы, для которых защищенный доступ из коробки недоступен. Я Саша Зеленов, архитектор Cloud.ru, и сегодня я поделюсь с вами...
Хранение паролей: работа над ошибками
В предыдущей статье, я описал свой сетап хранения авторотационных данных (паролей). Многие эксперты изучили её и дали свои комментарии, - о том, где могут быть проблемы, о том, что можно упростить, и о том, что можно делать по другому. Но начнём мы с небольшого объяснения, почему система такая...
Как содержать пароли. Мой сетап
Я долго собирал информацию о том, как организовать свои аккаунты. Как сделать доступ к ним достаточно надёжным и стойким к утере девайсов. Меня интересовало, как я могу залогиниться туда, где многофакторная авторизация через телефон, в случае потери телефона. Или, как обезопасить себя от забывания...
Переезжаем с DUO Mobile на Мультифактор. Опыт (и грабли) QIWI
Когда каждый день слышишь о новых утечках учетных данных пользователей, а социальная инженерия и разного рода мошенники активно прокачивают свои скиллы в выманивании паролей у пользователей, многофакторная аутентификация становится must have. А если мы говорим о работе в больших компаниях, где есть...
Слабоумие и отвага. Ленивая безопасность — так ли сильна вера в Google?
Как обеспечить пользователя возможностью зарегистрироваться на твоей платформе в 1 клик? Как не потерять его из-за требований к паролю? Как обеспечить хотя-бы минимальную безопасность, если ты не программист, а «Мамкин» бизнесмен… И правда ли, что Гугл Всемогущ? Мнение дилетанта, который хочет,...
JavaCard как второй фактор аутентификации в Android-приложении
Зачем нужна двухфакторная аутентификация? Почему именно JavaCard? Что общего у цифровой безопасности и Волан-де-Морта? Делюсь личным опытом… Читать далее...
Важный фактор. Зачем нужна и как работает двухфакторная аутентификация в Traffic Inspector Next Generation
В информационной безопасности иногда применяются довольно старые, проверенные временем технологии. Например, одному из самых популярных средств аутентификации — паролю — уже больше тысячи лет: первые упоминания об использовании военными кодовых слов относятся еще ко временам Римской империи и...
WebAuthn как альтернатива паролям
Утверждение, что пароль не самый надежный способ защиты, вряд ли кто-то подвергнет сомнению. Кто же спорит: пароль — это не всегда удобно. И небезопасно. Их трудно запомнить, из-за чего люди порой выбирают самые неудачные и используют их снова и снова. Пароли также легко поддаются фишингу, причем...
Секретная информация? Используй 2FA для VPS/VDS
Часто задаваемый вопрос, как надежно защитить свой VPS / выделенный сервер от взлома? Поэтому я решил написать инструкцию о внедрении двухфакторной аутентификации. 2FA является вторым уровнем защиты данных, благодаря которому получить доступ к учетной записи можно только после подтверждения...
Двухфакторная аутентификация в OpenVPN с Telegram ботом
В статье описывается настройка сервера OpenVPN для включения двухфакторной аутентификации с Telegram ботом, который будет присылать запрос с подтверждением при подключении. OpenVPN — широко известный, бесплатный VPN сервер с открытым исходным кодом, который повсеместно используется для организации...
Подключение многофакторной аутентификации Мультифактор в .NET Core
В статье описан способ подключения мультифакторной аутентификации для сайта, работающем на платформе .net core с использованием встроенных механизмов авторизации. Пару слов зачем вообще нужна мультифакторная аутентификация: Безопасность Еще раз безопасность Удобство Да, последний пункт не ошибка....
Переходите к безопасной 2FA на блокчейне
СМС-сообщения — популярнейший способ двухфакторной аутентификации (2FA). Ее используют банки, электронные и крипто-кошельки, почтовые ящики и всяческие сервисы; число пользователей метода приближается к 100%. У меня такой расклад событий вызывает негодование, ведь этот метод небезопасный....
Не только смс и токен: многофакторная аутентификация на базе SafeNet Authentication Service
Обычно при фразе “многофакторная аутентификация” люди в первую очередь вспоминают про смс-коды, которые приходят, когда оплачиваешь картой онлайн-покупки. Чуть реже на ум приходит флешка с цифрами, токен. Сегодня я расскажу про другие способы многофакторной аутентификации и задачи, которые они...