Security Week 2235: подлинный масштаб атаки на Twilio
Взлом сервис-провайдера Twilio мы уже дважды упоминали в дайджестах за август, но только к концу месяца стало понятно, что последствия этой кибератаки серьезнее, чем предполагалось ранее. В результате хорошо подготовленной фишинговой атаки был получен доступ к админской консоли Twilio, а через нее...
[recovery mode] Обход 2FA на Binance и потеря 200000$
Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что попросту не беспокоится я о своей безопасности: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. В данной статье я расскажу Вам о недавнем...
Просто чудо из чудес, об этом знает целый лес. Яндекc.ID
Много лет я пользуюсь сервисами Яндекса и до сих пор меня все относительно устраивало: почта, станция, облако, kinopoisk.hd, новый сезон смешариков. В общем, все было хорошо до появления Яндекс.ID. Протухла у меня однажды сессия в браузере и понеслась. Ввожу я, значит, правильный логин и пароль, а...
Защищаем RDP Windows Server без VPN
Часто у наших клиентов (обычно это небольшие организации без собственной IT службы) возникает необходимость предоставить доступ к своему серверу терминалов (о настройке и обеспечении отказоустойчивости будет отдельная статья) через глобальную сеть Интернет. Мы конечно же советуем так не делать, а...
Multifactor — российская система многофакторной аутентификации
Долгое время считалось, что классический метод аутентификации, основанный на комбинации логина и пароля, весьма надёжен. Однако сейчас утверждать такое уже не представляется возможным. Всё дело — в человеческом факторе и наличии у злоумышленников больших возможностей по «угону» пароля. Не секрет,...
Перехват чужих сообщений в Telegram «без регистрации и 2FA»
По своей сути 2FA должен защищать учетную запись от несанкционированного доступа при критически-важных действиях с ней. Но почему-то он не используется при копировании папки с телеграм с устройства пользователя на новое устройство. Скорее всего большинство пользователей не в курсе, что папку с...
2FA в Telegram не везде, где хотелось бы
Изначально дополнительная авторизация, выступающая в качестве пароля, служит для защиты от несанкционированного входа в аккаунт, когда SMSка с кодом авторизации была перехвачена или получен физический доступ к SIM-карте. До недавних пор нигде, кроме как при входе в аккаунт, пароль не запрашивался....
Выбираем плагин для двухфакторной аутентификации в Wordpress
Двухфакторная аутентификация значительно повышает уровень безопасности сайта при соблюдении остальных условий (таких как своевременное обновление движка-тем-плагинов, применение практик безопасного программирования и т.п.). Столкнувшись с вопросом подключения Google Authenticator к сайту на...
Подключение многофакторной аутентификации Мультифактор в .NET Core
В статье описан способ подключения мультифакторной аутентификации для сайта, работающем на платформе .net core с использованием встроенных механизмов авторизации. Пару слов зачем вообще нужна мультифакторная аутентификация: Безопасность Еще раз безопасность Удобство Да, последний пункт не ошибка....
Тестирование двухфакторной аутентификации и возможные варианты обхода
Еще до того, как я начал постигать сложную науку информационной безопасности, мне казалось, что 2FA аутентификация — это гарантированный способ защитить свой аккаунт и никакие «эти ваши хакеры» не смогут, скажем, увести мою внутреннюю валюту для покупки одежды персонажам на игровом аккаунте. Но с...
Переходите к безопасной 2FA на блокчейне
СМС-сообщения — популярнейший способ двухфакторной аутентификации (2FA). Ее используют банки, электронные и крипто-кошельки, почтовые ящики и всяческие сервисы; число пользователей метода приближается к 100%. У меня такой расклад событий вызывает негодование, ведь этот метод небезопасный....
Надежный, безопасный и универсальный бэкап для U2F
Мне действительно нравится уровень безопасности, предоставляемый U2F, но вместе с безопасностью, необходимо продумать и план восстановления. Потеря доступа к своим самым важным аккаунтам, если с основным U2F токеном что-то случится — серьезная проблема. В то же время, хотелось бы избежать...
[Перевод] Генерируем одноразовые пароли для 2FA в JS с помощью Web Crypto API
Введение Двухфакторная аутентификация сегодня повсюду. Благодаря ей, чтобы украсть аккаунт, недостаточно одного лишь пароля. И хотя ее наличие не гарантирует, что ваш аккаунт не уведут, чтобы ее обойти, потребуется более сложная и многоуровневая атака. Как известно, чем сложнее что-либо в этом...
Спорное новшество от Яндекса — вход в аккаунт через письмо
Входя в очередной раз в аккаунт Яндекса через браузер, заметил под кнопкой входа новшество — возможность войти в аккаунт, просто перейдя по ссылке в письме, которая придет в почту этого аккаунта. Читать дальше →...
Вебинар — Двухфакторная аутентификация и ЭП в инфраструктуре VMware Horizon View с использованием продуктов Аладдин Р.Д
Аладдин Р.Д и VMware приглашают на технический вебинар «Аутентификация и электронная подпись в инфраструктуре VMware Horizon View с использованием продуктов Аладдин Р.Д.». Вебинар состоится 25 апреля, в 11:00 по московскому времени. В рамках вебинара Алексей Рыбалко, эксперт компании VMware по...
Далее