• Самостоятельная регистрация второго фактора для двухфакторной аутентификации, основанной на протоколе RADIUS

      В этой статье мы хотим рассказать о нашем продукте TOTPRadius. Это RADIUS сервер, спроектированный для применения в системах двухфакторной аутентификации. Помимо стандартного для этого протокола фунционала, TOTPRadius предоставляет несколько дополнительных функций, одной из которых является возможность организации самостоятельной регистрации второго фактора для рядовых пользователей
      Читать дальше →
    • Google тестирует «беспарольный» вход

        Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
        Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
        Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:
        Читать дальше →
      • WifiOTP: Удобная двухфакторная аутентификация с помощью Wi-Fi SSID



          Проблема: двухфакторная аутентификация слишком сложна для большинства пользователей


          Классическая двухфакторная аутентификация подразумевает достаточно утомительную для пользователей процедуру. Опишем последовательность действий, необходимых для входа в тот же Gmail на персональном компьютере с использованием мобильного телефона в качестве генератора одноразовых паролей (OTP). После входа с помощью первого фактора (пароля), надо:
          1) Найти телефон
          2) Разблокировать его
          3) Найти приложение-OTP генератор (например, Google Authenticator или Token2 Mobile OTP)
          4) Подсмотреть OTP и ввести его с клавиатуры

          Примерно так же «сложно» с аппаратными ключами стандарта TOTP/HOTP (с U2F ключами чуть проще). Понятно, что у всего есть своя цена, но для обычных пользователей, особенно не сталкивавшихся прежде с компрометацией учетных записей, эта мера кажется лишней. Неудивительно, что в случаях, где двухфакторная аутентификация необязательна, только небольшой процент пользователей активирует эту опцию. По данным исследователей, в случае с Gmail, это около 6% [1]. В целом, для решения этой проблемы надо только найти альтернативный канал между основной системой (в нашем случае браузер на компьютере) и ключом (мобильным приложением).
          И такие решения есть
        • Международная конференция Augmented Human 2016


            А также гранты для поездки на конференцию в рамках программы научного сотрудничества между Швейцарией и странами Восточной Европы


            Седьмая международная конференция по расширению возможностей человека с помощью техники, Augmented Human 2016 (AH16), будет проходить в Женеве (Швейцария) с 25 по 27 февраля 2016 года.
            Читать дальше →
          • MyTOTP — полностью своя* двухфакторная авторизация по rfc6238

            • Tutorial
            Итак, вы решили внедрить двухфакторную авторизацию для своего проекта, и решили не следовать примеру Яндекса и изобретать свой новый стандарт, а воспользоваться существующим, а именно TOTP по rfc6238
            Алгоритмы генерации и валидации одноразовых кодов достаточно подробно описаны как в самом RFC, так и многочисленных имплементациях для всех языков и платформ.

            Примеры реализации есть как для серверной части, так и для клиентской (в случае если для TOTP используется не аппаратный ключ, а мобильное приложение). К сожалению, очень часто в команде может не оказаться ресурсов для создания своего мобильного приложения для генерации одноразовых паролей (имею ввиду как отсутствие мобильных разработчиков чтобы сделать самим или финансов для outsource).

            В этом случае наиболее распространенным выходом из положения является использование «чужого» приложения (например того же Google Authenticator-а), но в этом случае решение будет не полностью свое (вот на что намекает звездочка в заголовке).

            А хотите двухфакторную авторизацию полностью свою и за минимум вложений? Тогда вам под кат
            Читать дальше →
          • Реклама помогает поддерживать и развивать наши сервисы

            Подробнее
            Реклама
          • Bootstrapping мобильного приложения, или как немного сэкономить на разработке и публикации

              Token2.com предоставляет сервис двухфакторной аутентификации (2fa as a service) и изначально в качестве основного метода доставки одноразовых паролей (OTP) для второго фактора планировалось использовать SMS. На SMS завязывалось все, и сама технология и даже монетизация — сам сервис предоставляется совершенно бесплатно, пользователь платит только за пакет SMS. На данный момент планируется набрать базу пользователей и установить аппаратный шлюз для SMS — после этого себестоимость снизится, и будет возможно снизить цены для пользователей и начать получать прибыль с проекта.

              Однако, в процессе тестирования выяснилось, что надежность SMS оставляет желать лучшего: процент успешной доставки для многих операторов в странах СНГ не превышает 90% (тестировали как с интернет-шлюзами так и с аппаратными). Решение этой проблемы очевидно — авторизация с помощью мобильных приложений, однако никакого бюджета на это не предполагалось, а в команде людей с опытом разработки под мобильные платформы не было. В тоже время предлагать пользоваться другими приложениями (например Google Authenticator) не хотелось, а хотелось именно свое мобильное приложение, с функцинальностью не хуже, а в идеале, даже лучше существующих аналогов.

              В этой статье я кратко опишу как мы решили это проблему с минимумом затрат и без привлечения сторонних разработчиков.
              Читать дальше →
              • +7
              • 8,2k
              • 6
            • Двухфакторная аутентификация: еще раз о рисках при использовании SMS и голосовых вызовов

                Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
                Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
                Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
                Рассмотрим все риски более подробно.
                Читать дальше →
                • +15
                • 13,3k
                • 9
              • Полностью бесплатная двухфакторная аутентификация для Citrix Web Interface 5.x с использованием Mobile-OTP в качестве софт-токена

                  Двухфакторная аутентификация — предоставление информации для входа в систему от двух различных типов аутентификации, в большинстве случаев первым источником является имя пользователя и пароль, которые являются неизменными и могут быть скомпрометированы (троянами, кейлоггерами и.т.д.). Для этого и применяется второй тип аутентификации, какое либо устройство, которое генерирует уникальный временный пароль/код, действующий в течении короткого периода (5-30 секунд), что обеспечивает безопасность даже если временный пароль перехвачен.
                  Кроме того, временный пароль генерируется устройствами, не подверженными рискам перехвата, обычно аппаратными ключами, например такими:
                  image

                  Citrix Web Interface «из коробки» поддерживает двухфакторную аутентификацию с использованием аппаратных ключей Aladdin SafeWord и RSA SecurID, стоимость которых колеблется в пределах 25-50USD, а также двухфакторную аутентификацию с использованием RADIUS сервера, с помощью которой можно подключать ключи подешевле (около 5USD)

                  imageВ целях еще большей экономии для этой же цели можно воспользоваться софт-токенами на мобильных телефонах. Кстати, целью внедрения софт-токенов может быть также удобство для конечного пользователя — аппаратный ключ это дополнительное устройство, которое нужно всегда иметь при себе, а телефон у большинства юзеров и так все время под рукой.

                  Бесплатных софт-токенов для телефонов на рынке достаточно много, например Google Authenticator, но наш выбор пал на проект Mobile-OTP по следующим причинам:

                  • наличие клиентов для всех телефонов (а не только для ios/android/blackberry) — J2ME,WP7,PalmOS,webOS,Maemo,Openmoko
                  • дополнительная защита пинкодом (чего нет в Google Authenticator), то есть даже при утере устройства временный пароль без пина не сгенерится
                  • Наличие исходников для всех клиентов — можно пересобрать со своим брендингом, если очень надо

                  Читать дальше →
                Самое читаемое