Рубрика «MFA»

в 6:13, , рубрики: azure, cloud security, MFA, oauth, Phishing

Это не PoC, не разбор RFC и не 0day. Это разбор Читать полностью »

в 11:16, , рубрики: 2fa, 2FA-аутентификация, ActiveDirectory, freeipa, freeradius, ldap, MFA, openvpn

Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP-кодов и плагинов аутентификации OpenVPN libpam-radius-auth, openvpn-plugin-auth-pam, openvpn-auth-ldap.

Все эти варианты имеют ряд недостатков:

  • передача пароля в открытом виде по сети.

  • невозможно ввести логин, пароль и одноразовый код в отдельных полях. Предлагается добавлять OTP-код после пароля, что ухудшает пользовательский опыт. Либо не использовать пароль, а использовать сертификат + OTP-код. Этот вариант усложняет администрирование.

  • невозможность использовать несколько серверов для аутентификации.

  • Читать полностью »

в 20:29, , рубрики: java, MFA, spring boot, Spring Security, telegram bots, информационная безопасность

Недавно столкнулся с проблемой: все приложения используют Telegram-бота в качестве подтверждения входа в аккаунт, а мое — нет. Я был настроен серьезно и провёл уйму времени в интернете в поиске туториала, но меня ждало разочарование. Задача сложная и имеет много подводных камней, а туториалов — ноль.

Следующую неделю я потратил на написание своей имплементации данной фичи и готов поделиться успехом.

Весь код, который мы сегодня напишем, доступен в репозитории на GitHub. Рекомендую параллельно с чтением статьи проверять этот код в проекте, чтобы не упустить детали.

Читать полностью »

в 12:31, , рубрики: auth, authentication, authorization, avanpost, MFA, авторизация, анализ, Анализ и проектирование систем, аутентификация, Блог компании Avanpost, информационная безопасность, Программирование

Никто (почти) не знает, что такое авторизация - 1

За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
Читать полностью »

в 6:10, , рубрики: Antihammer, MFA, Анализ и проектирование систем, аутентификация пользователя, Блог компании ua-hosting.company, информационная безопасность, пароли, Программирование

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год

Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3Читать полностью »

в 5:53, , рубрики: Arx Pax, hover, HUVr, Kickstarter, MFA, Блог компании Madrobots, гаджеты, краудфандинг, летающая доска, назад в будущее

Да, эта доска похожа на ту, что была у Марти из второй части «Назад в будущее». Не так круто, зато уже не кино. Но забудьте на ближайшую пару десятков лет о возможности добраться на такой до офиса. Парящая доска от Hendo — это в первую очередь привлекающая внимание демонстрация технологии, которая призвана изменить мир.

Летающая доска от Hendo — шаг в будущее

Показав наглядное использование системы для парения над землей, Hover, похоже, влюбили в себя всех фанатов трилогии Роберта Земекиса и успешно запустили кампанию на Kickstarter, в результате которой планируется получить минимум $250 000. При нынешнем темпе сбора средств они достигнут этой планки за считанные дни. Читать полностью »

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js