Рубрика «двухэтапная аутентификация»

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом VK ошибок не признали. Возможно, я немного параноик? Интересно, что скажете вы.

Двойная аутентификация Вконтакте — секс или имитация? - 1

Читать полностью »

Двухэтапная аутентификация. Хорошая идея, но на практике только упрощающая получение доступа к вашим данным, т.к. включает в себя слишком много дополнительных участников, которые тоже могут иметь свои уязвимости.

Давно собирался написать об этом, но как то не доходили руки. На днях уже на себе ощутив всю прелесть данного метода защиты, решил что время таки пришло.
Читать полностью »

В конце мая этого года я писал Почему двухфакторная авторизация в Telegram не работает (с картинками).
Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко — у него описанным образом угнали аккаунт.

После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS.
Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз.Читать полностью »

После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».

Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.

Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.

Происходит это следующим образом:Читать полностью »

Apple расширила двухфакторную верификацию на весь мир

В конце марта Apple внедрила двухфакторную верификацию для некоторых стран (США, Великобритании, Австралии, Ирландии и Новой Зеландии) и вот спустя полтора месяца каждый житель Земли может обезопасить свой Apple ID.

После включения верификации, аутентификация происходит стандартно: после ввода пароля на устройство пользователя приходит уникальный код, который необходимо ввести для завершения процесса. В случае утери пароля, получить доступ к учетной записи можно введя Ключ Восстановления, который рекомендуется распечатать и хранить в секретном месте.
Читать полностью »

Apple представила двухфакторную верификацию для Apple ID и iCloud аккаунтов

Apple, наконец, начала предпринимать меры по увеличению безопасности Apple ID и iCloud аккаунтов. Компания представила двухфакторную верификацию, которую необходимо пройти, прежде чем станет возможным изменение персональной информации. Так же, пользователи получать специальный ключ, который будет возможно использовать в качестве последнего шанса на восстановление доступа к аккаунту, если вы забили пароль или потеряли своё устройство.
Читать полностью »

Как работают одноразовые пароли

Вступление

Как показывает практика, существует определенное непонимание принципов работы одноразовых паролей (это те самые, которые используются в GMail, в спец. токенах платежных систем и так далее).

Прочитав эту небольшую статью, Вы разберетесь в принципе работы одноразовых паролей на основе хэшей, а заодно напишете на Python небольшую программу, которая умеет вычислять пароли для двухэтапной аутентификации Google.
Читать полностью »

Теперь вы можете защитить ваш аккаунт используя двухэтапную аутентификацию, это означает, что злоумышленнику понадобиться больше, чем просто знать ваш пароль от аккаунта Dropbox.
Читать полностью »