• Самостоятельная регистрация второго фактора для двухфакторной аутентификации, основанной на протоколе RADIUS

      В этой статье мы хотим рассказать о нашем продукте TOTPRadius. Это RADIUS сервер, спроектированный для применения в системах двухфакторной аутентификации. Помимо стандартного для этого протокола фунционала, TOTPRadius предоставляет несколько дополнительных функций, одной из которых является возможность организации самостоятельной регистрации второго фактора для рядовых пользователей
      Читать дальше →
    • Фишинг на новом уровне: Cloudflare + Protonmail + Unvalidated Redirects – набор юного фишера

        «… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
        Вито Корлеоне

        Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.
        Читать дальше →
      • Google тестирует «беспарольный» вход

          Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
          Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
          Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:
          Читать дальше →
        • WifiOTP: Удобная двухфакторная аутентификация с помощью Wi-Fi SSID



            Проблема: двухфакторная аутентификация слишком сложна для большинства пользователей


            Классическая двухфакторная аутентификация подразумевает достаточно утомительную для пользователей процедуру. Опишем последовательность действий, необходимых для входа в тот же Gmail на персональном компьютере с использованием мобильного телефона в качестве генератора одноразовых паролей (OTP). После входа с помощью первого фактора (пароля), надо:
            1) Найти телефон
            2) Разблокировать его
            3) Найти приложение-OTP генератор (например, Google Authenticator или Token2 Mobile OTP)
            4) Подсмотреть OTP и ввести его с клавиатуры

            Примерно так же «сложно» с аппаратными ключами стандарта TOTP/HOTP (с U2F ключами чуть проще). Понятно, что у всего есть своя цена, но для обычных пользователей, особенно не сталкивавшихся прежде с компрометацией учетных записей, эта мера кажется лишней. Неудивительно, что в случаях, где двухфакторная аутентификация необязательна, только небольшой процент пользователей активирует эту опцию. По данным исследователей, в случае с Gmail, это около 6% [1]. В целом, для решения этой проблемы надо только найти альтернативный канал между основной системой (в нашем случае браузер на компьютере) и ключом (мобильным приложением).
            И такие решения есть
          • Международная конференция Augmented Human 2016


              А также гранты для поездки на конференцию в рамках программы научного сотрудничества между Швейцарией и странами Восточной Европы


              Седьмая международная конференция по расширению возможностей человека с помощью техники, Augmented Human 2016 (AH16), будет проходить в Женеве (Швейцария) с 25 по 27 февраля 2016 года.
              Читать дальше →
            • MS Lync: идентификация личных звонков

                Наш офис недавно перешел на использование MS Lync в качестве решения для телефонии: PABX от Siemens (кстати очень качественный и надежный) давно устарел и должен был быть заменен. Выяснилось, что из всех альтернатив MS Lync с Enterprise Voice является наиболее выгодным. Помимо цены, на выбор оказало влияние то, что некоторые филиалы компании в других странах уже использовали Lync, правда без телефонии, так как это Lync Online от Office 365. Тем не менее, возможность сосуществования этих систем (Lync Hybrid) показалась руководству полезной.

                Так или иначе, решение было принято; и помимо множества других проблем возникла необходимость идентификации личных звонков. Работникам разрешается использовать телефон в личных целях, но, конечно, и оплачивать их самим. Со «старым» PABX реализация была такая: после ввода личного пин-кода и до набора номера требовалось ввести 0 для звонка «по работе» или 1 для личных звонков. Эта информация сохранялась и периодически экспортировалась в формате CSV для последующего импорта в SAP с помощью WinShuttle. С MS Lync можно реализовать все точно так же (ну или почти), однако здесь есть одна существенная особенность: в отличии от классической телефонии, большинство звонков из Lync осуществляется не набором номера, а через поиск контакта (например, по имени) или даже кликом по полю отправителя электронного письма в Outlook — так что, идентификация личных номеров с помощью префикса больше не кажется идеальным решением. Кроме того, так как Lync клиент использует ту же базу контактов, что, например, и мобильный телефон пользователя, подключенный к корпоративному Exchange серверу, добавление префикса к номеру контакта будет мешать/усложнять совершать обычные (не Lync) звонки с помощью мобильного телефона.

                Мы пришли к трем вариантам решения этой проблемы. Подробная информация под катом.
                Читать дальше →
              • MyTOTP — полностью своя* двухфакторная авторизация по rfc6238

                • Tutorial
                Итак, вы решили внедрить двухфакторную авторизацию для своего проекта, и решили не следовать примеру Яндекса и изобретать свой новый стандарт, а воспользоваться существующим, а именно TOTP по rfc6238
                Алгоритмы генерации и валидации одноразовых кодов достаточно подробно описаны как в самом RFC, так и многочисленных имплементациях для всех языков и платформ.

                Примеры реализации есть как для серверной части, так и для клиентской (в случае если для TOTP используется не аппаратный ключ, а мобильное приложение). К сожалению, очень часто в команде может не оказаться ресурсов для создания своего мобильного приложения для генерации одноразовых паролей (имею ввиду как отсутствие мобильных разработчиков чтобы сделать самим или финансов для outsource).

                В этом случае наиболее распространенным выходом из положения является использование «чужого» приложения (например того же Google Authenticator-а), но в этом случае решение будет не полностью свое (вот на что намекает звездочка в заголовке).

                А хотите двухфакторную авторизацию полностью свою и за минимум вложений? Тогда вам под кат
                Читать дальше →
              • Bootstrapping мобильного приложения, или как немного сэкономить на разработке и публикации

                  Token2.com предоставляет сервис двухфакторной аутентификации (2fa as a service) и изначально в качестве основного метода доставки одноразовых паролей (OTP) для второго фактора планировалось использовать SMS. На SMS завязывалось все, и сама технология и даже монетизация — сам сервис предоставляется совершенно бесплатно, пользователь платит только за пакет SMS. На данный момент планируется набрать базу пользователей и установить аппаратный шлюз для SMS — после этого себестоимость снизится, и будет возможно снизить цены для пользователей и начать получать прибыль с проекта.

                  Однако, в процессе тестирования выяснилось, что надежность SMS оставляет желать лучшего: процент успешной доставки для многих операторов в странах СНГ не превышает 90% (тестировали как с интернет-шлюзами так и с аппаратными). Решение этой проблемы очевидно — авторизация с помощью мобильных приложений, однако никакого бюджета на это не предполагалось, а в команде людей с опытом разработки под мобильные платформы не было. В тоже время предлагать пользоваться другими приложениями (например Google Authenticator) не хотелось, а хотелось именно свое мобильное приложение, с функцинальностью не хуже, а в идеале, даже лучше существующих аналогов.

                  В этой статье я кратко опишу как мы решили это проблему с минимумом затрат и без привлечения сторонних разработчиков.
                  Читать дальше →
                  • +7
                  • 8,3k
                  • 6
                • Двухфакторная аутентификация: еще раз о рисках при использовании SMS и голосовых вызовов

                    Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
                    Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
                    Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
                    Рассмотрим все риски более подробно.
                    Читать дальше →
                    • +15
                    • 13,4k
                    • 9
                  • Вход в web-приложение с использованием распознавания лица



                      В первый раз я столкнулся с системой входа в систему, основанной на распознавании лица на ноутбуке от Lenovo. Было забавно, но как ни странно, работало. Проверял при разном уровне освещения, со слегка модифицированной мимикой, с приближением и удалением от камеры. Качество распознавания удивляло, ложных срабатываний не было. Большой ложкой дегтя, конечно, была возможность аутентификации с помощью распечатанной фотографии.

                      Наша компания предлагает решения для двухфакторной аутентификации, которые уже можно назвать классическими: одноразовые пароли по SMS, аппаратные ключи и мобильные приложения, генерирующие одноразовые пароли на смартфонах пользователей. Параллельно, мы рассматриваем дополнительные методы «второго фактора», в данном конкретном случае в исключительно научных целях — по вполне понятным причинам.

                      Итак, представленный ниже метод биометрической аутентификации не рекомендуется для промышленной эксплуатации в качестве замены первого фактора (пароля). Риск при использовании метода в качестве второго фактора существенно меньше, но все еще существует — решайте сами. Я просто расскажу, как и с помощью каких инструментов можно организовать аутентификацию для веб приложения с использованием распознавания и валидации изображения человеческого лица. Аппаратная реализация — обычная web-камера.
                      Читать дальше →