Тернистый путь внедрения аутентификации через соцсети
Кто помнит пароли от всех своих аккаунтов? Учеток слишком много, ведь почти каждый сервис в наше время требует для полноценного доступа создать учётную запись и придумать новый пароль. Столкнувшись с очередным таким требованием, особенно на новой платформе, человек просто закрывает вкладку в...
React: пример использования Auth0 для разработки сервиса аутентификации/авторизации
Привет, друзья! В этой статье я покажу вам, как создать полноценный сервис для аутентификации и авторизации (далее — просто сервис) с помощью Auth0. Auth0 — это платформа, предоставляющая готовые решения для разработки сервисов любого уровня сложности. Auth0 поддерживается командой, стоящей за...
Какой Identity-провайдер выбрать для реализации технологии Single Sign On
Всем привет! Меня зовут Екатерина Срибна, я Full Stack Developer в NIX. В этой статье я решила сравнить популярные инструменты аутентификации и авторизации, которые упростят работу с технологией единого входа — Single Sign On. Собранный мною материал будет полезен для новичков и специалистов с...
Для подтверждения личности пройдитесь: аутентификация по походке
С точки зрения биологии, человек — это существо вида Homo sapiens, обитающее на планете Земля. Как и у многих других представителей фауны, у людей имеются определенные внутривидовые общие черты, как физиологические, так и поведенческие: двуногие, двурукие, двуглазые, прямоходящие, мыслящие, и т.д....
Как связаны аутентификация и теория относительности? Учёные ищут способы защиты ATM за гранью физики
В ноябре Nature опубликовал работу учёных Женевского университета (UNIGE) и канадского Университета Макгилла, которые решили заменить привычную систему PIN-кодов на более безопасную. В поисках сверхнадежной аутентификации исследователи предложили пересмотреть фактор владения и опираться на метод...
ЧеловекEPIDоножка, или Intel’s Enhanced Privacy Identification (EPID) Technology
Предлагаю ответить на вопрос: "Как часто Вы внимательно читаете положение об обработке персональных данных, когда устанавливаете игру или, например, оформляете подписку на сервис крупной компании?" Скорее всего, не часто. Большинство из нас даёт согласие на обработку своих персональных данных без...
SRP-6a. Безопасная аутентификация по небезопасному каналу
Как аутентифицировать пользователя без передачи пароля на сервер? Возможно ли проверить, что пользователь ввёл правильный пароль, не передавая пароль на сервер. Да, такое возможно, благодаря доказательству нулевого разглашения. Узнать как →...
Веб-безопасность 202
Сегодня публикуем завершающую часть вторая часть теории, которую рассказал эксперт по информационной безопасности и преподаватель Иван Юшкевич провел мастер-класс по безопасности на конференции РИТ++ на платформе hacktory.ai. Практическую часть о том, как накрутить лайки в социальных сетях, украсть...
[Перевод] Смарт-карты для входа на Ubuntu
Смарт-карты сегодня повсюду — платежные карты, паспорта, водительские удостоверения, школьные и рабочие пропуска. Эти небольшие карточки с защитой от несанкционированного доступа и чипами обычно содержат информацию, которая идентифицирует нас и предоставляет доступ к защищенным ресурсам. Одно из...
Интеграция SAML в Zimbra OSE
Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Ранее мы уже рассказывали о том, как...
Хроники SSO: банк, токены и немного магии
Привет! Меня зовут Артем Ивлев, и я занимаюсь архитектурой идентификации клиентов банка ВТБ. Наша задача — ответить на вопрос, кто использует наш банковский сервис: мобильный или интернет-банк, голосового помощника или просто один из многочисленных офисов. Для этого есть множество инструментов — и...
Как ускорить аутентификацию и снизить потребление памяти в 5 раз? Наймите дворецкого
Обычно требования к аутентификации такие: нужно защитить информацию пользователей, обеспечить надежное шифрование учетных данных и легкий вход в систему. Со временем и ростом сервиса возникает необходимость переосмыслить механизмы аутентификации с учетом конкретной ситуации. Меня зовут Роман...
[Перевод] Как хакнуть Github и заработать $35000?
Когда я нашёл эту уязвимость и сообщил о ней, она стала моим первым оплаченным баг-репортом на HackerOne. $35,000 — это также самая высокая награда, которую я получил от HackerOne (и я считаю, что самая высокая оплата от GitHub на сегодня). Многие найденные ошибки, кажется, — это удача и интуиция,...
Интернет вещей по-русски. Безопасность в OpenUNB
В настоящее время — в эпоху развитого интернета — мы настолько привыкли к хорошей информационной безопасности протоколов передачи информации, что тема создания новых протоколов несколько ушла в тень. Зачем что-то еще изобретать? Просто выбери из имеющихся. Но Интернет вещей поднимает эту тему...
Интернет вещей по-русски. Процедура активации OpenUNB
Односторонний характер протокола OpenUNB накладывает отпечаток на все процедуры протокола. Разработчики OpenUNB, стремясь разработать защищенный протокол, создали на первый взгляд довольно сложную процедуру вхождения устройства в сеть — активацию. Давайте разберем ее в деталях. Читать дальше →...
[Перевод] Пароль как крестраж: ещё один способ защитить свои учётные данные
В спорах о том, какой способ защитить свои данные лучше, как правильно хранить свои пароли и какими они вообще должны быть, сломано немало клавиатур и сожжено огромное количество человекочасов. Cloud4Y предлагает познакомиться с ещё одним способом управления паролями. Читать далее...
GlobalSign выпустила первый в мире кроссплатформенный агент для управления сертификатами под Windows, macOS и Linux
19 января 2021 года компания GlobalSign объявила о выходе AEG 6.4 — новой версии шлюза автоматической регистрации Auto Enrollment Gateway, вместе с которым представлена маленькая, но уникальная программка: кроссплатформенный агент для автоматической выдачи и управления сертификатами под Windows,...
Спасибо, что живой: как мы выбирали пассивный лайвнесс
Всем привет! Меня зовут Наталья Бессонова, я директор проектов блока цифровой идентичности «Ростелеком». В этой статье хочу рассказать о том, как мы выбирали пассивный лайвнесс по одному изображению лица для Единой биометрической системы. На Хабре не так много статей, посвященных лайвнесс в...