Security Lab

Аутентификация

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, которая проводится с помощью криптографической обработки, позволяющей защитить передаваемые данные от злоумышленников.

Система аутентификации включает в себя несколько элементов: субъект (лицо, которое проходит процедуру аутентификации), характеристика субъекта (отличительная черта), человек, несущий ответственность и контролирующий работу системы аутентификации, механизм аутентификации, а также механизм, который предоставляет или лишает субъекта определенных прав доступа.

Одним из способов аутентификации является ввод учетных данных (логина и пароля) пользователя. Эталонные учетные данные хранятся в специальной базе данных. Вводимый субъектом пароль может передаваться по сети двумя способами: в незашифрованном виде, на основе протокола парольной аутентификации, а также с использованием шифрования или однонаправленных хэш-функций.

article-title

F5 предупреждает о новой критической уязвимости BIG-IP

Уязвимость связана с отсутствием проверки аутентификации, что потенциально позволяет злоумышленнику получить контроль над уязвимыми системами.

article-title

Недавняя атака на GitHub оказалась целенаправленной

Злоумышленник клонировал репозитории пользователей с помощью OAuth-токенов

article-title

Цель Маска в Twitter - аутентификация всех пользователей

В странах с более жесткими законами о клевете, чем в США, Twitter могут ожидать судебные тяжбы, если компания решит устанавливать личность своих пользователей.

article-title

Как злоумышленники могут обойти биометрию

Предоставление биометрической информации может быть опасным.

article-title

Дипфейки могут легко обмануть многие системы аутентификации Facial Liveness Verification

Некоторые современные модули обнаружения дипфейков настроены на устаревшие техники.

article-title

Microsoft отключит базовую аутентификацию в Exchange Online с октября 2022 года

Базовая аутентификация облегчает злоумышленникам кражу учетных данных пользователей.

article-title

CISA признало однофакторную аутентификацию плохой практикой

CISA рекомендует применять многофакторную аутентификацию для защиты любых учетных записей.

article-title

Систему аутентификации Windows Hello можно обмануть с помощью инфракрасного изображения

Для эксплуатации проблемы достаточно инфракрасного кадра человека и по крайней мере один RGB-кадр с любым изображением.

article-title

Cloudflare намерена избавиться от CAPTCHA

Специалисты разработали криптографическую аттестацию личности, занимающую всего 5 секунд.

article-title

Уязвимость BLURtooth подвергает Bluetooth-устройства риску кибератак

С помощью уязвимости BLURtooth злоумышленник может манипулировать компонентом CTKD для перезаписи ключей аутентификации Bluetooth.

article-title

Решение проблемы слабых паролей для разных категорий пользователей и зон аутентификации

article-title

Уязвимость в системе авторизации Microsoft позволяет взламывать учетные записи

Уязвимость позволяет злоумышленникам незаметно красть токены авторизации учетных записей.

article-title

Исправлены уязвимости ​​в системе аутентификации eIDAS ЕС

Эксплуатация уязвимостей позволяет выдать себя за любого члена ЕС во время официальных транзакций.

article-title

Microsoft реализовала функцию авторизации в сервисах с помощью ключей FIDO2

Пользователи Windows 10 теперь могут авторизоваться в сервисах Microsoft без паролей.

article-title

Операторы связи в США намерены взять на себя роль online-личности пользователей

Компании Verizon, AT&T, T-Mobile и Sprint представили инициативу «Project Verify», которая может заменить пароли.

article-title

Уязвимость в Oracle Access Manager позволяет обойти аутентификацию

С помощью уязвимости в OAM злоумышленник может выдать себя за любого пользователя.

article-title

Новый стандарт позволит использовать биометрию для авторизации на сайтах

Стандарт WebAuthn позволяет авторизоваться на сайтах с помощью приложений, аппаратных токенов или биометрических данных.

article-title

В etcd обнаружена серьезная уязвимость

В etcd аутентификация пользователей не является настройкой по умолчанию.

article-title

Ученые изобрели новый способ обмана систем распознавания лиц

Китайские исследователи создали устройство, помогающее не только скрыть личность, но и выдать себя за другого человека.

article-title

В продуктах компании RSA обнаружены две опасные уязвимости

Производитель уже выпустил обновления, исправляющие проблемы с безопасностью.