Show Posts
Один, два… много
На самом деле термин «двухфакторная аутентификация» уже устарел.
Крупные сервисы вроде Google и Facebook используют для обеспечения безопасности многофакторный анализ:
с какого устройства осуществляется вход в аккаунт, в каком браузере, из какой страны и города, нет ли в действиях пользователя чего-то необычного и так далее. Аналогичные системы применяют и банки для выявления мошеннических транзакций.
Так что будущее, вероятно, именно за продвинутыми многофакторными решениями, позволяющими сохранить разумный баланс между удобством и безопасностью.
Примером перспективных исследований в этой области может служить проект Abacus, обнародованный на недавней конференции Google I/O.
https://www.kaspersky.ru/blog/multi-factor-authentication/8705/
Четыре новых проекта Google: Soli, Jacquard, Vault и Abacus. Что это и зачем?
https://www.kaspersky.ru/blog/google-projects-soli-jacquard-vault/8175/
Идентификация, аутентификация и авторизация - в чём разница?
идентификация - определение (кто там?)
аутентификации - проверка (чем докажешь?)
авторизация - доступ (открываю!)
http://it-uroki.ru/uroki/bezopasnost/identifikaciya-autentifikaciya-avtorizaciya.html
В чем разница между двухэтапной и двухфакторной аутентификацией:
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда.
Граница между этими понятиями очень тонкая, поэтому их часто и не различают.
Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете.
Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.
Читать дальше: http://www.outsidethebox.ms/18372/
Всего есть 4 фактора:
1 - то, что ты знаешь, 2 - то, что имеешь, 3 - кем являешься и 4 - где находишься.
http://www.outsidethebox.ms/18372/
Соответственно: пароль, одноразовый пароль сгенерированый на устройстве, сканер отпечатка/сетчатки/и т.п. и гео-локация.
Реализация 2FA и 2SV у Google, Microsoft и Яндекс:
Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.
.
.
.
Microsoft
У Microsoft все очень похоже на Google (см. настройки аккаунта) поэтому я сфокусируюсь на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.
Приложения для аутентификации
На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды.
На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.
(Машу кое-кому ручкой
) https://bitcointalk.org/index.php?topic=2178539.msg22433240#msg22433240
Читать дальше:http://www.outsidethebox.ms/18372/
Небезопасность 2FA по SMS
Нужно отметить, что 2FA по SMS уже официально признана небезопасным методом аутентификации из-за неустранимых уязвимостей в сигнальной системе Signaling System 7 (SS7), которая используется сотовыми сетями для взаимодействия между собой.
Специалисты компании Positive Technologies ещё несколько лет назад показали, как происходит перехват SMS. Если вкратце, то атака представляет собой процедуру регистрации абонента в зоне действия «фальшивого» MSC/VLR. Исходными данными являются IMSI абонента и адрес текущего MSC/VLR, что можно получить с помощью соответствующего запроса в сети SS7. После регистрации абонента в зоне «фальшивого» MSC/VLR он перестанет получать входящие вызовы и SMS, а все его SMS будут приходить на узел атакующего.
https://habrahabr.ru/company/globalsign/blog/348124/
Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.
https://xakep.ru/2017/07/17/google-2sv/
Хаос двухфакторной аутентификации
https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.htm
Самая уязвимая точка двухфакторной аутентификации – мобильные операторы. Если вы можете взломать аккаунт оператора, который поддерживает номер телефона человека, вы можете перехватить любой звонок или текст, отправленный ему. Для мобильных приложений, вроде Signal, полностью привязанных к номеру телефона, этого может быть достаточно, чтобы похитить целый аккаунт.
twofactorauth.org
Сервис может сказать вам, какие сайты предлагают больше, чем просто вход через пароль, а также позволяет вам легко написать твит о компаниях, не предоставляющих такой возможности.
The TwoFactorAuth website should then be accessible from http://localhost:4000
https://github.com/2factorauth/twofactorauth
Кампания сработала: почти каждая компания теперь предлагает свою форму двухфакторной аутентификации.
Но победа оказалась странной. Сейчас существуют десятки различных вариантов двухфакторной аутентификации, выходящих за возможности простого перечисления. Некоторые присылают коды через СМС, другие используют email или приложения, такие как Duo и Google Auth.
Читать дальше: https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.html
Добавил ссылок:
Чем уязвимость в протоколе шифрования Wi-Fi угрожает криптовалютным кошелькам
https://bits.media/news/chem-uyazvimost-v-protokole-shifrovaniya-wi-fi-ugrozhaet-kriptovalyutnym-koshelkam/
Двухфакторная аутентификация, которой удобно пользоваться
Обзор, как включить 2фа на некоторых криптовалютных биржах.
http://hyipstat.top/blog.php?id_n=2066
Исследователь заявил о продаже эксплоита для обхода двухфакторной аутентификации Poloniex
Подробнее: https://www.securitylab.ru/news/487958.php
На самом деле термин «двухфакторная аутентификация» уже устарел.
Крупные сервисы вроде Google и Facebook используют для обеспечения безопасности многофакторный анализ:
с какого устройства осуществляется вход в аккаунт, в каком браузере, из какой страны и города, нет ли в действиях пользователя чего-то необычного и так далее. Аналогичные системы применяют и банки для выявления мошеннических транзакций.
Так что будущее, вероятно, именно за продвинутыми многофакторными решениями, позволяющими сохранить разумный баланс между удобством и безопасностью.
Примером перспективных исследований в этой области может служить проект Abacus, обнародованный на недавней конференции Google I/O.
https://www.kaspersky.ru/blog/multi-factor-authentication/8705/
Четыре новых проекта Google: Soli, Jacquard, Vault и Abacus. Что это и зачем?
https://www.kaspersky.ru/blog/google-projects-soli-jacquard-vault/8175/
Идентификация, аутентификация и авторизация - в чём разница?
идентификация - определение (кто там?)
аутентификации - проверка (чем докажешь?)
авторизация - доступ (открываю!)
http://it-uroki.ru/uroki/bezopasnost/identifikaciya-autentifikaciya-avtorizaciya.html
В чем разница между двухэтапной и двухфакторной аутентификацией:
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда.
Граница между этими понятиями очень тонкая, поэтому их часто и не различают.
Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете.
Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.
Читать дальше: http://www.outsidethebox.ms/18372/
Всего есть 4 фактора:
1 - то, что ты знаешь, 2 - то, что имеешь, 3 - кем являешься и 4 - где находишься.
http://www.outsidethebox.ms/18372/
Соответственно: пароль, одноразовый пароль сгенерированый на устройстве, сканер отпечатка/сетчатки/и т.п. и гео-локация.
Реализация 2FA и 2SV у Google, Microsoft и Яндекс:
Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.
.
.
.
Microsoft
У Microsoft все очень похоже на Google (см. настройки аккаунта) поэтому я сфокусируюсь на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.
Приложения для аутентификации
На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды.
На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.
(Машу кое-кому ручкой
) https://bitcointalk.org/index.php?topic=2178539.msg22433240#msg22433240Читать дальше:http://www.outsidethebox.ms/18372/
Небезопасность 2FA по SMS
Нужно отметить, что 2FA по SMS уже официально признана небезопасным методом аутентификации из-за неустранимых уязвимостей в сигнальной системе Signaling System 7 (SS7), которая используется сотовыми сетями для взаимодействия между собой.
Специалисты компании Positive Technologies ещё несколько лет назад показали, как происходит перехват SMS. Если вкратце, то атака представляет собой процедуру регистрации абонента в зоне действия «фальшивого» MSC/VLR. Исходными данными являются IMSI абонента и адрес текущего MSC/VLR, что можно получить с помощью соответствующего запроса в сети SS7. После регистрации абонента в зоне «фальшивого» MSC/VLR он перестанет получать входящие вызовы и SMS, а все его SMS будут приходить на узел атакующего.
https://habrahabr.ru/company/globalsign/blog/348124/
Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.
https://xakep.ru/2017/07/17/google-2sv/
Хаос двухфакторной аутентификации
https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.htm
Самая уязвимая точка двухфакторной аутентификации – мобильные операторы. Если вы можете взломать аккаунт оператора, который поддерживает номер телефона человека, вы можете перехватить любой звонок или текст, отправленный ему. Для мобильных приложений, вроде Signal, полностью привязанных к номеру телефона, этого может быть достаточно, чтобы похитить целый аккаунт.
twofactorauth.org
Сервис может сказать вам, какие сайты предлагают больше, чем просто вход через пароль, а также позволяет вам легко написать твит о компаниях, не предоставляющих такой возможности.
The TwoFactorAuth website should then be accessible from http://localhost:4000
https://github.com/2factorauth/twofactorauth
Кампания сработала: почти каждая компания теперь предлагает свою форму двухфакторной аутентификации.
Но победа оказалась странной. Сейчас существуют десятки различных вариантов двухфакторной аутентификации, выходящих за возможности простого перечисления. Некоторые присылают коды через СМС, другие используют email или приложения, такие как Duo и Google Auth.
Читать дальше: https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.html
Добавил ссылок:
Чем уязвимость в протоколе шифрования Wi-Fi угрожает криптовалютным кошелькам
https://bits.media/news/chem-uyazvimost-v-protokole-shifrovaniya-wi-fi-ugrozhaet-kriptovalyutnym-koshelkam/
Двухфакторная аутентификация, которой удобно пользоваться
Quote
Алгоритм простой: человек ошибся с вводом кода, всё, надо ждать следующего. Натуральным образом (при ttl 30с) это даёт всего 2880 попыток в сутки. А дальше простой алгоритм, который увеличивает задержку после каждой следующей попытки.
Вы учитываете, что злоумышленник может открыть одновременно много сессий?
То, что не следуете RFC — плохо.
Кажется, я объяснил логику, почему существующие RFC нас не удовлетворяют. Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.
https://habrahabr.ru/company/yandex/blog/249547/Вы учитываете, что злоумышленник может открыть одновременно много сессий?
То, что не следуете RFC — плохо.
Кажется, я объяснил логику, почему существующие RFC нас не удовлетворяют. Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.
Обзор, как включить 2фа на некоторых криптовалютных биржах.
http://hyipstat.top/blog.php?id_n=2066
Исследователь заявил о продаже эксплоита для обхода двухфакторной аутентификации Poloniex
Подробнее: https://www.securitylab.ru/news/487958.php
Благодарю за подробный разбор темы! Тему можно переименовать в "Безопасность нового форума - мы за многофакторную аутентификацию" еще бы стало ясно, когда он будет этот новый форум...
Блин и просто баннеры для новичков, чтоб читали о безопасности, какая торговля без нее
