Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет

Одна из главных задач отдела Application Security - усложнить массовый захват аккаунтов и самое сложное в них это таргетированные атаки. И, как оказалось, если ваш сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц - вы попадаете в ловушку из-за отсутствия...

Все блоги / Про интернет

Основы WebAuthn/FIDO2 сервера — проверяем ответы

В этой статье мы узнаем как происходит проверка аттестационного и авторизационного ответов на стороне сервера. Как работает сам WebAuthn API мы обсудим в другой статье. Читать далее...

Все блоги / Про интернет

Почему замена Капчи с помощью FIDO2/Webauthn это плохая идея. Аргументация против решения Clouflare

Вчера Cloudflare анонсировала замену Капчи с помощью FIDO аттестации. Вы можете почитать об этом в их блоге https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/, и попробовать само решения(если у вас есть FIDO сертифицированный ключ безопасности, как например Yubikey)...

Все блоги / Про интернет

Почему замена Капчи с помощью FIDO2/Webauthn это плохая идея. Аргументация против решения Cloudflare

Вчера Cloudflare анонсировала замену Капчи с помощью FIDO аттестации. Вы можете почитать об этом в их блоге https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/, и попробовать само решения(если у вас есть FIDO сертифицированный ключ безопасности, как например Yubikey)...

Все блоги / Про интернет

WebAuthn в реальной жизни

В сентябре 2019 года команда Почты Mail.ru поддержала технологию WebAuthn. Мы стали первым в мире сервисом электронной почты, который реализовал возможность входа в аккаунт с использованием электронных ключей вместо паролей. Сейчас эта возможность доступна всем нашим пользователям, вы можете...

Все блоги / Про интернет