Как работает пароль?
От автора: публикую главы из своей книги "Прекрасный, опасный, кибербезопасный мир". Она была написана еще в благодатные доковидные времена, когда мир был совсем другим. Многое изменилось, но базовые вещи относительно безопасности остались те же, так что книжка по-прежнему неплоха.
От подбора пароля к WiFi до пентеста серверов Apple: разговор с топовыми багхантерами из Synack и HackerOne
Привет! На связи команда Standoff Bug Bounty. Недавно мы провели откровенный разговор с топовыми багхантерами — теми, кто превратил поиск уязвимостей в профессию. Они рассказали, как начинали свой путь, поделились личными историями и профессиональными секретами. В этой статье вас ждет рассказ иностранных исследователей о самых запоминающихся репортах в их практике, уязвимостях, которые всегда в топе у исследователей, must-have инструментах для поиска багов и о роли ИИ в багхантинге. Читать
https://habr.com/ru/companies/pt/articles/914018/
#интервью #багхантеры #standoff_365 #standoff_bug_bounty #багбаунти #ssrf #xss #burp_suite #брутфорс #парольная_защита
Привет! На связи команда Standoff Bug Bounty. Недавно мы провели откровенный разговор с топовыми багхантерами — теми, кто превратил поиск уязвимостей в профессию. Они рассказали, как начинали свой...
Передача пароля по интернету: что безопаснее — хэширование или TLS?
В этой статье мы рассмотрим, какие методы передачи пароля через интернет наиболее безопасны. Хэширование паролей или протокол TLS — что выбрать для защиты данных? Разберемся, как работают эти технологии и какие риски скрываются за каждой из них. Читать полностью
https://habr.com/ru/articles/895968/
#sslсертификаты #ssl #tls_12 #хэширование #хэш #хэширование_паролей #пароль #пароли #парольная_защита #tls
[Перевод] Как новые ИИ-агенты трансформируют атаки с использованием похищенных учетных данных
Атаки с использованием похищенных учетных данных оказали огромное влияние в 2024 году, подпитываемые порочным кругом заражений инфостилерами и утечек данных. Но ситуация может усугубиться еще больше с появлением "Компьютерных агентов" (Computer-Using Agents) – нового типа ИИ-агентов, которые обеспечивают недорогую и простую автоматизацию обычных веб-задач, включая те, которые часто выполняются злоумышленниками.
https://habr.com/ru/articles/890260/
#ииагенты #кибербезопасность #учетные_данные #openai #информационная_безопасность #атаки #парольная_защита #инфостилеры #saas
Менеджер паролей для бизнеса — большой обзор 2025
Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему?
https://habr.com/ru/articles/878346/
#менеджер_паролей #управление_учетными_записями #управление_паролями #корпоративный_менеджер_паролей #менеджер_паролей_для_бизнеса #пароли #парольный_менеджер #парольная_защита #password #обзор
Парольная защита статичной HTML-страницы на JS
Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Стандартный способ: .htaccess и htpasswd . Но что, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решают инструменты StatiCrypt и Portable Secret . Для шифрования HTML перед публикацией StatiCrypt использует AES-256 и WebCrypto, а расшифровка происходит с помощью ввода пароля в браузере на стороне клиента, как показано в демо (пароль test ). StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг, в том числе бесплатный сторонний хостинг, такой как GitHub Pages.
https://habr.com/ru/companies/globalsign/articles/868780/
#StatiCrypt #AES256 #WebCrypto #парольная_защита #PBKDF2 #Portable_Secret #шифрование_файлов
Голосовая аутентификация через GPT
Около трёх месяцев назад я задумался о том, что в ближайшем будущем взаимодействие человека с техносферой (программно-аппаратно-сетевой инфраструктурой) будет происходить скорее через мессенджеры, такие как Telegram, чем через привычный браузер. Частое использование чатов на смартфоне быстро подтолкнуло меня к попытке снова попробовать голосовой ввод вместо привычных тапов по виртуальной клавиатуре или набора слов жестами. К моему приятному удивлению, распознавание голоса сейчас достигло очень высокого уровня как на Android, так и на iPhone. Причём настолько высокого, что STT ( speech-to-text ) стал для меня основным способом ввода текста в чатах, включая браузер . Поскольку искусственный интеллект в целом, и технологии OpenAI в частности, уже практически стали повседневной нормой (по крайней мере, для меня), я, естественно, начал использовать голосовое общение и в GPT-чатах. А узнав о действиях (actions) в настраиваемых GPT-чатах, я сразу загорелся идеей соединить GPT-чат с каким-нибудь внешним приложением. Однако на этом этапе встал вопрос: как аутентифицировать пользователей чата во внешнем приложении? Несмотря на то что OpenAI предлагает использовать OAuth 2.0 для интеграции, в этой статье я рассмотрю альтернативный вариант — парольную аутентификацию, которая, на мой взгляд, лучше подходит для голосового взаимодействия.
https://habr.com/ru/articles/864598/
#gpt #openai #интеграция #вебприложения #аутентификация #парольная_защита #эксперимент
Большой обзор менеджеров паролей для бизнеса
Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными. Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их.
https://habr.com/ru/articles/854998/
#менеджер_паролей #управление_учетными_записями #управление_паролями #корпоративный_менеджер_паролей #менеджер_паролей_для_бизнеса #пароли #парольный_менеджер #парольная_защита #password #обзор
Тёмная сторона IT: зловещие истории про пароли, скупердяйство и DDoS
Когда духи приходят в наш мир и магия становится не просто мифом, а чем-то реальным, случиться может все что угодно. Например, все сервера внезапно перегреются, задымятся, и у пользователей пропадет доступ к вашим сервисам. Или, что не менее ужасно, хакер зашифрует данные клиентов и будет требовать много-много денег за расшифровку. Ни то ни другое в нашем облаке не случается, потому что мы защищаемся ИБ-сервисами. Но если вы забыли договориться с потусторонними силами, то прочитайте несколько страшных сказок от наших ребят. Они вполне могут стать реальностью, если с киберзащитой не все гладко, а пароли хранятся на стикерах, приклеенных к монитору.
https://habr.com/ru/companies/nubes/articles/854900/
#парольная_защита #киберзащита #информационная_безопасность #менеджер_паролей #firewall
[Перевод] Практики парольной безопасности
Эта статья - перевод Password security Guidance от Национального центра кибербезопасности Канады . Про пароли много всего доступного в интернетах, но в этом руководстве очень компактно и понятно собраны ключевые моменты, связанные с паролями.
Habr
