Яндекс.Деньги в пятницу запустили один из самых востребованных сервисов — защиту любой операции одноразовым SMS-паролем. Теперь на сайте есть три способа усиленной авторизации: таблица кодов, электронный токен и пароли в SMS.
Сервис бесплатный. Для того чтобы начать им пользоваться, нужно:Читать полностью »
Публикую и очень просто объясняю элегантное, на мой взгляд, решение проблемы хэширования и проверки пароля по хэшу.
Читать полностью »
Привет,
я потихоньку сделал версию 2 своего «потустороннего» проекта — vPass. Если интересно, вот тут в комментах интересное обсуждение первой версии.
Вкратце, зачем это все?
vPass берет Ваш мастер-пароль (например, `my_password`) и, как правило, домен текушего сайта (например, `http://accounts.google.com` становится `google`) и создает набор из 12 букв, цифр и символов (например, `0EQu$MwEm?Qt`).
История взломов и массовых утечек 2012 года показывает, что пароли дискредитировали себя как надёжное средство защиты конфиденциальной информации. Нужно искать альтернативу. Поэтому компания Google организовала ряд экспериментов с использованием альтернативных методов аутентификации. Один из них предполагает использование миниатюрных криптографических карт Yubico, изображённых на фотографии. Если вставить такую карту в разъём USB, то вы автоматически входите в свой аккаунт Google, без ввода пароля.
Читать полностью »
Все мы, конечно же, слышали, знаем, и, в меру сил, проповедуем среди родственников и просто знакомых простые правила о том, что пароли должны быть трудноугадываемыми, операционная система — обновлена, а антивирус — включен.
Час назад в 21:30 субботним вечером, Интеркасса решила осчастиливить письмами счастья о том, что меньше чем через 24 часа они сменят ключи. Если вы не смените, то готовьтесь процессить платежи ручками.
Читать полностью »
Взломы веб-базированных электронных почтовых ящиков в последнее время становятся все более распространенными. Способов взлома множество – простой подбор, keyboard logger, подбор ответа на секретный пароль, троянцы и т.д. и т.п.
Результат всегда один – злоумышленник получает полный доступ к почтовому ящику. Он может слить с него всю информацию, использовать его для дальнейшего взлома других почтовых ящиков, логинов в социальных сетях, платежных системах. В конце концов, он может просто удалить ящик или же поменять на него пароль. Вообще, все плохо.
Я попытался придумать концепцию дополнительной защиты для веб-базированных почтовых ящиков, которую я назвал суперпароль. Пока это не более, чем концепция и я хотел бы услышать мнение других пользователей Хабра.
Существует системы двухуровневой защиты, как например на Google. Неплохое решение, но при всех своих плюсах там есть определенный минус, выражающийся в некоторой затрудненности в постоянном доступе к ящику. У меня, к примеру, иногда не приходил СМС с кодом на мобильный телефон, а требуется он довольно часто (зашел с другого места в почту). Не приходит и все тут. Затрудняется доступ программ под Android, использующих логин такой многоуровневой защиты в качестве базового логин идентификации.
Читать полностью »
В ходе освещения в прессе одного дня из жизни принца Уильяма, который сейчас проходит службу в королевских ВВС Великобритании в качестве пилота спасательного вертолёта, в сети оказались опубликованы сведения для внутреннего пользования, в том числе логин и пароль для входа в одну из служебных систем ВВС, которые были распечатаны на бумажке, висящей в офисе.
Читая разные статьи по информационной безопасности я часто встречаю подобное утверждение. Обосновывают его так: количество вариантов входных данных второй хеш-функции уменьшается до количества выходных вариантов первой.
И, в принципе, это правда. Если количество этих вариантов изначально было большим.
Читать полностью »
Скрытие паролей при вводе применяется очень давно, и часто используется в формах регистрации и авторизации. Это позволяет не раскрыть свой пароль посторонним, которые стоят за спиной. Хотя скрытие паролей это хорошая методика, созданная ради безопасности пользователя, но существует вероятность, что она может испортить впечатление пользователя от вашей формы регистрации. Когда пользователи нажимают на кнопку «зарегистрироваться», они ожидают увидеть ненадоедливую, простую форму регистрации. Но то, как вы решили оформить ввод пароля, может разочаровать их во всем сайте.
Читать полностью »
