CB2FA — двухфакторная аутентификация через сообщество
В большинстве реализаций 2FA всё держится на устройствах и секретах: телефонах, кодах, токенах. Это удобно, пока не теряешь доступ. А что если бы вторая проверка шла не через устройство — а через людей, которым ты доверяешь? Так появилась CB2FA (Community-Based Two-Factor Authentication) — проект, где вход подтверждается живыми людьми в Matrix-чате. Без телефонов. Без TOTP. Без внешних сервисов.
[Перевод] $$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS
Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются! В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории. Я скрою название цели (довольно популярной), но отмечу, что один из ее сервисов связан с механизмом безопасности, предназначенным для защиты веб-сайтов и приложений при сохранении конфиденциальности пользователей. Этот механизм разработан для предотвращения автоматизированных злоупотреблений и атак, при этом обеспечивает легитимное взаимодействие с веб-сайтом без чрезмерного отслеживания или сбора данных. Методология Я не проводил никакой разведки, вместо этого я сразу сосредоточился на основном домене. Я начал с посещения страницы , чтобы создать новый аккаунт и завершить процесс регистрации. Цель предлагает различные тарифные планы, от бесплатных услуг до корпоративных решений. Я выбрал версию "Pro" и активировал бесплатный пробный период. После завершения регистрации я вошел в систему с использованием своих учетных данных и был перенаправлен на страницу . Там я начал изучать различные функции. В настройках профиля я активировал двухфакторную аутентификацию (2FA) и добавил ключ безопасности как дополнительный метод аутентификации, что позволяет входить в систему без ввода пароля каждый раз.
https://habr.com/ru/articles/896684/
#bugbounty #bughunting #багхантинг #2faаутентификация #cors #взлом_аккаунта
Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или...
Надоело постоянно пользоваться телефоном, поэтому написал замену Google Authenticator в виде TUI
Мне надоело постоянно использовать Google Authenticator и переключаться между ПК и телефоном для подтверждения двухфакторной (мультифакторной) аутентификации. Красивых и функциональных TOTP (Time-based one-time password) хранилок в терминале я не нашел, поэтому сделал эту TUI, которая позволит хранить, управлять, просматривать, копировать 2FA ключ в пару нажатий с поддержкой VIM управления. Ну и просто мне было интересно, какого это создавать свои TUI приложения.
https://habr.com/ru/articles/871520/
#go2fa #github #opensource #security #totp #2fa #2faаутентификация #tui
Как сделать регистрацию и аутентификацию на сайтах под CMS ModX с помощью Exolve
Из-за участившихся случаев утечек информации с сайтов крупных организаций, наша компания озаботилась защитой и безопасностью сайта и клиентских данных. Первой линией защиты стало внедрение на сайте SMS-подтверждения регистрации и аутентификации. В этой статье речь пойдет о ресурсе, основанном на CMS ModX. Обеспечивать же безопасность данных пользователей и самого ресурса поможет API-платформа
https://habr.com/ru/companies/exolve/articles/859600/
#modx #sms_api #2faаутентификация #подтверждение_телефона #аутентификация_пользователей #php
Сквозное шифрование и двухфакторная аутентификация в современном интернете
Сегодня практически каждый пользователь интернета знаком с такими терминами, как "сквозное шифрование" (E2EE) и "двухфакторная аутентификация" (2FA). Этому во многом поспособствовали маркетологи, сделав технические термины массово узнаваемыми. Почему они стали так популярны? Разбираемся в этой статье. Каноничный пример использования E2EE и 2FA можно найти в мессенджерах, где предусмотрено сквозное шифрование для защиты сообщений. Более того, популярные мессенджеры заявляют, что используют как сквозное шифрование, так и двухфакторную аутентификацию для защиты учетных записей. Когда вы входите в мессенджер с нового устройства, нужно ввести пароль и код из СМС — это пример двухфакторной аутентификации (2FA). Однако даже после успешного входа все сообщения, файлы и звонки остаются зашифрованными благодаря сквозному шифрованию (E2EE). Никто, кроме вас и вашего собеседника не сможет прочитать переписку. Чтобы получить доступ к ней киберпреступники используют различные методы и сценарии атак: их может интересовать не только ваша персональная информация, но и любые другие незашифрованные данные. Прочитать про основы
https://habr.com/ru/articles/857106/
#e2ee #2fa #2faаутентификация #аутентификация #автори #шифрование
Как настроить регистрацию и аутентификацию на Drupal с помощью SMS API
Подтверждение регистрации и аутентификация через SMS API — эффективный инструмент на множестве сайтов. Такая функция помогает уменьшить количество спам-аккаунтов, улучшить взаимодействие с пользователями и предоставить ценные данные для целевых кампаний. Разберёмся, как реализовать такое подтверждение через
https://habr.com/ru/companies/exolve/articles/846438/
#yaml #sms_api #аутентификация_пользователей #подтверждение_телефона #регистрация #php #smsсервис #2faаутентификация #drupal
Двухфакторная аутентификация (OTP) в OpenVPN с использованием FreeRADIUS и LDAP
Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP‑кодов и плагинов аутентификации OpenVPN libpam-radius-auth , openvpn-plugin-auth-pam , openvpn-auth-ldap и имеют ряд недостатков как для пользователя так и для администратора. Поскольку и OpenVPN, и FreeRADIUS позволяют подключать плагины мы можем, написав собственный плагин, реализовать такую схему, которая позволит нам: • использовать для аутентификации пользователей логин и пароль из LDAP‑каталога. • удобно вводить логин, пароль, OTP в отдельные независимые поля интерфейса, а не после пароля или вместо пароля. • реализовать различные комбинации использования логина, пароля, OTP в зависимости от задач. • обеспечить отказоустойчивость, возможность использования нескольких серверов аутентификации. • использовать LDAP‑каталог для централизованного управления пользователями. • хранить seed‑значения для генератора OTP независимо от того, какой LDAP‑каталог используется (ActiveDirectory, FreeIPA, lldap или другие). • передать функцию создания, обновления seed‑значений для генератора OTP техподдержке без необходимости подключаться к серверам OpenVPN. • использовать на смартфонах любое приложение для генерации OTP (Яндекс.Ключ, FreeOTP Authenticator и др.). • не зависеть от работоспособности облачных провайдеров 2FA. Система рассчитана на следующие сценарии использования: • доступ пользователей через OpenVPN в инфраструктуру компании. • резервный самодостаточный безопасный удаленный доступ в инфраструктуру для администраторов на случай аварий или сбоев. В обоих сценариях: • не предполагается использование персональных сертификатов для каждого пользователя. Однако, это не исключает использования сертификатов в качестве дополнительной меры защиты. • для аутентификации используется логин, пароль и OTP.
https://habr.com/ru/articles/834160/
#openvpn #2fa #mfa #freeradius #ldap #2faаутентификация #freeipa #activedirectory
[Перевод] Настройка аутентификации с одноразовым паролем в OpenAM
Аутентификация с паролем является, пожалуй, самым распространенным методом аутентификации. Но она не является достаточной надежной. Часто пользователи используют простые пароли или используют один и тот же пароль для разных сервисов. Таким образом пароль пользователя может быть скомпрометирован. Для увеличения безопасности в процесс аутентификации добавляют второй фактор. (Two Factor Authentication, 2FA). Второй фактор в аутентификации это дополнительный уровень защиты учетной записи. Помимо логина и пароля для аутентификации нужно ввести код из SMS, ввести биометрические данные, использовать аппаратный токен и так далее. Таким образом, даже если пароль учетной записи будет скомпрометирован, злоумышленник не сможет получит доступ к учетной записи, т.к. при аутентификации требуется пройти еще один уровень защиты. В данной статье мы настроим аутентификацию в OpenAM с использованием одноразовых кодов, сгенерированных от времени - Time-based One-Time Password Algorithm (TOTP, RFC 6238 ).
Усиленные пароли или 2FA
Двухфакторная аутентификация (2FA) и усиленная парольная политика - два разных подхода к повышению безопасности учетных записей. Оба метода направлены на защиту от несанкционированного доступа, но они существенно различаются в реализации и уровне обеспечиваемой защиты. Давайте разберем каждый вариант подробнее, что бы понять, какой из них выбрать.
Внедряем двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально
Еще в пандемийные годы стало понятно, что жить без двухфакторки на удаленке, как минимум, рискованно. И хоть большинство приложений и обеспечивают 2FA, все-таки существуют сервисы, для которых защищенный доступ из коробки недоступен. Я Саша Зеленов, архитектор Читать дальше
https://habr.com/ru/companies/cloud_ru/articles/778632/
#2faаутентификация #2fa #oauth2 #oauth2client #кейс #безопасность #безопасность_вебприложений #двухфакторная_аутентификация
Habr
