Про ГОСТы
В этом году у комитета (ТК 362), который пишет ГОСТы по защите информации, большие планы на создание новых рекомендаций. Будем за ними следить.
Ниже список того, что уже есть и интересно для разработчиков систем аутентификации и авторизации.
(Заметки о полезности авторства Константина Корсакова.)
ГОСТ Р ИСО/МЭК 15408-3-2013
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Дата введения 01.09.2014
https://docs.cntd.ru/document/1200105711
Фреймворк оценки доверия к системе. Описывает уровни, так называемые ОУД1-7, и требования к процессам и продукту, которым необходимо соответствовать. Важно при работе с госзаказчиками и при сертификации.
ГОСТ Р 57580.1-2017
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
Дата введения 01.01.2018
https://docs.cntd.ru/document/1200146534
Требования к банкам по безопасности, в том числе многое по аутентификации и авторизации. В основном касается сотрудников, но касающееся внешних пользователей тоже есть. Важно при работе с банками и системообразующими предприятиями.
ГОСТ Р 58833-2020
Идентификация и аутентификация. Общие положения
Дата введения 01.05.2020
https://docs.cntd.ru/document/1200172576
Устанавливает отечественную терминологию.
ГОСТ Р 59383-2021
Основы управления доступом
Дата введения 30.11.2021
https://docs.cntd.ru/document/1200179662
Описывает архитектуру централизованной авторизации. Основан на терминологии XACML, что радует.
ГОСТ Р 59548-2022
Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации.
Дата введения 01.02.2022, текст актуализирован 01.06.2022
https://docs.cntd.ru/document/1200182791
Содержит то, что и есть в названии, — рекомендации, что писать в аудит. Источник вдохновения, как улучшить свой аудит-лог.
ГОСТ Р 70262.1-2022
Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
Дата введения 01.01.2023
https://docs.cntd.ru/document/1200192541
Напоминает о важности регистрации (формальное название — первичная идентификация). Рассказывает о способах подтверждения идентичности и классификации уровней доверия. Важный документ, так как насколько ты поверишь пользователю при регистрации, столько твоего доверия и будет у него всю жизнь. По этому ГОСТу хорошо проверять аналитические уязвимости.
В этом году у комитета (ТК 362), который пишет ГОСТы по защите информации, большие планы на создание новых рекомендаций. Будем за ними следить.
Ниже список того, что уже есть и интересно для разработчиков систем аутентификации и авторизации.
(Заметки о полезности авторства Константина Корсакова.)
ГОСТ Р ИСО/МЭК 15408-3-2013
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Дата введения 01.09.2014
https://docs.cntd.ru/document/1200105711
Фреймворк оценки доверия к системе. Описывает уровни, так называемые ОУД1-7, и требования к процессам и продукту, которым необходимо соответствовать. Важно при работе с госзаказчиками и при сертификации.
ГОСТ Р 57580.1-2017
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
Дата введения 01.01.2018
https://docs.cntd.ru/document/1200146534
Требования к банкам по безопасности, в том числе многое по аутентификации и авторизации. В основном касается сотрудников, но касающееся внешних пользователей тоже есть. Важно при работе с банками и системообразующими предприятиями.
ГОСТ Р 58833-2020
Идентификация и аутентификация. Общие положения
Дата введения 01.05.2020
https://docs.cntd.ru/document/1200172576
Устанавливает отечественную терминологию.
ГОСТ Р 59383-2021
Основы управления доступом
Дата введения 30.11.2021
https://docs.cntd.ru/document/1200179662
Описывает архитектуру централизованной авторизации. Основан на терминологии XACML, что радует.
ГОСТ Р 59548-2022
Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации.
Дата введения 01.02.2022, текст актуализирован 01.06.2022
https://docs.cntd.ru/document/1200182791
Содержит то, что и есть в названии, — рекомендации, что писать в аудит. Источник вдохновения, как улучшить свой аудит-лог.
ГОСТ Р 70262.1-2022
Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
Дата введения 01.01.2023
https://docs.cntd.ru/document/1200192541
Напоминает о важности регистрации (формальное название — первичная идентификация). Рассказывает о способах подтверждения идентичности и классификации уровней доверия. Важный документ, так как насколько ты поверишь пользователю при регистрации, столько твоего доверия и будет у него всю жизнь. По этому ГОСТу хорошо проверять аналитические уязвимости.
docs.cntd.ru
ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности…
ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности / ГОСТ Р № ИСО/МЭК 15408-3-2013
Анализировали аутентификацию, получили инсайт про бизнес.
Однажды анализировали показатели процесса аутентификации в одном из личных кабинетов клиента. Были доступны не только события получения access_token, но и некоторый контекст, в частности, баланс пользователя в момент аутентификации.
Оказалось, что в подавляющем большинстве случаев пользователи заходили в личный кабинет при нулевом балансе. Предположение: хотели его пополнить или выяснить, почему он нулевой. Вся же концепция личного кабинета тогда была развернута в сторону доппродаж.
Так результаты анализа аутентификации стали поводом для старта большого проекта по переделке личного кабинета.
Однажды анализировали показатели процесса аутентификации в одном из личных кабинетов клиента. Были доступны не только события получения access_token, но и некоторый контекст, в частности, баланс пользователя в момент аутентификации.
Оказалось, что в подавляющем большинстве случаев пользователи заходили в личный кабинет при нулевом балансе. Предположение: хотели его пополнить или выяснить, почему он нулевой. Вся же концепция личного кабинета тогда была развернута в сторону доппродаж.
Так результаты анализа аутентификации стали поводом для старта большого проекта по переделке личного кабинета.
Forwarded from Банкста
Журналист в Великобритании взломал систему идентификации Lloyds Bank не имея хакерских навыков. Многие банки в США и Европе используют идентификацию пользователя по голосу, чтобы клиенты могли войти в свой аккаунт по телефону. Журналист загрузил образец своего голоса в нейросеть, и с её помощью генерировал ответы для диалога с банком. Так он получил доступ к своему счёту.
Эксперимент разрушает представление о том, что идентификация по голосу обеспечивает надежную защиту. Такой способ могут использовать мошенники для проникновения в личные кабинеты клиентов банков — им достаточно только получить фрагмент записи голоса жертвы. @banksta
Эксперимент разрушает представление о том, что идентификация по голосу обеспечивает надежную защиту. Такой способ могут использовать мошенники для проникновения в личные кабинеты клиентов банков — им достаточно только получить фрагмент записи голоса жертвы. @banksta
Можно как-то доработать IDM/IGA, чтобы получить CIAM?
Вопрос задал TAdviser, отвечал Алексей Хмельницкий.
В ряде случае IDM для сотрудников действительно можно использовать для управления доступом клиентов. Обычно это работает, пока бизнес маленький и терпит нагромождение костылей.
Важно помнить: надо держать руку на пульсе и при ближайшем же обновлении ИТ-инфраструктуры нарисовать для CIAM отдельный квадратик в схеме. Это идеальный момент все сделать правильно, другая такая возможность обычно возникает еще очень нескоро, а стоимость внедрения накапливается с каждым годом.
Что касается места для IDM в прекрасных архитектурах будущего, стоит помнить еще один момент. Современные бизнес-процессы допускают выход сотрудников за периметр безопасности своих компаний. У вас могут быть сотрудники на выезде, которым нужен ограниченный доступ во внутренний контур. Или удаленные сотрудники, рассредоточенные по всему миру, каждый со своей ролью и правами доступа. Или вообще целая аутсорсинговая команда, которая пилит отдельный сервис.
Поэтому все больше приложений для сотрудников строятся по принципам приложений для клиентов. В частности, это означает, что вход делается с использованием CIAM по модели безопасности Zero Trust, главный принцип которой — никогда не верить и всегда верифицировать, даже если сотрудник и так внутри периметра.
Подробнее см. интервью.
Вопрос задал TAdviser, отвечал Алексей Хмельницкий.
В ряде случае IDM для сотрудников действительно можно использовать для управления доступом клиентов. Обычно это работает, пока бизнес маленький и терпит нагромождение костылей.
Важно помнить: надо держать руку на пульсе и при ближайшем же обновлении ИТ-инфраструктуры нарисовать для CIAM отдельный квадратик в схеме. Это идеальный момент все сделать правильно, другая такая возможность обычно возникает еще очень нескоро, а стоимость внедрения накапливается с каждым годом.
Что касается места для IDM в прекрасных архитектурах будущего, стоит помнить еще один момент. Современные бизнес-процессы допускают выход сотрудников за периметр безопасности своих компаний. У вас могут быть сотрудники на выезде, которым нужен ограниченный доступ во внутренний контур. Или удаленные сотрудники, рассредоточенные по всему миру, каждый со своей ролью и правами доступа. Или вообще целая аутсорсинговая команда, которая пилит отдельный сервис.
Поэтому все больше приложений для сотрудников строятся по принципам приложений для клиентов. В частности, это означает, что вход делается с использованием CIAM по модели безопасности Zero Trust, главный принцип которой — никогда не верить и всегда верифицировать, даже если сотрудник и так внутри периметра.
Подробнее см. интервью.
В 2015 Volvo заявила стратегию Vision 2020, согласно которой к 2020 году люди не должны будут погибать или получать тяжелые травмы в любых инцидентах, связанных с новыми автомобилями Volvo.
«Наша цель – разработать автомобиль, который вообще не будет попадать в аварии», — сказала потом Директор Центра безопасности Volvo Cars в Гётеборге Сесилия Ларссон на одном из семинаров по безопасности.
Zero Death Tolerance и даже больше.
То, как тогда Volvo подошла к вопросу, очень интересно.
И еще интереснее, что ровно с этим же подходом можно создавать и внедрять стратегию, в которой целью будет ноль взломов.
Zero Breach Vision.
В Volvo начали с определений. Что конкретно мы имеем в виду под «никаких смертей и тяжелый травм»? В каких авариях? С какими машинами? С какими другими вводными данными?
➖Что конкретно мы имеем в виду под Zero Breach?
Включили в уравнение не только водителя, машину и дорогу (инфраструктуру), но и других производителей, даже отрасль в целом, а также правительство, образовательные учреждения и страховщиков.
➖Приложение, пользователь, админ, сеть, сервер, дверь в серверную… а также правительство, образовательные учреждения и страховщики )
Про инфраструктуру подумали и вширь (устройство не только самой улицы/трассы, но и того, что вокруг нее), и вглубь (материалы, их свойства).
➖Думаем про инфраструктуру ИБ вширь и вглубь.
Не забыли про то, что объяснять правила безопасного поведения нужно понятным языком, а также неплохо бы устраивать поощрения тем, что ведет себя безопасно.
➖Установил 2ФА, возьми +0.5% по депозиту на месяц.
Сказали, что в одиночку, конечно, не справиться. Нужно сотрудничество, буквально, со всеми. Распределили этих «всех» на группы, прописали, о чем хотят сотрудничать.
Аварии разобрали «по косточкам».
▪️Кто с кем: машина с машиной (встречные, боковые, сзади), машина с пешеходом, машина с лосем, машина со столбом и т.д.
▪️Из-за чего: водитель, машина, дорога, что-то еще.
▪️До - во время - после: что происходит, почему так происходит, как приблизиться к идеальному результату.
▪️Если из-за водителя, то почему: отвлекся, устал, под веществами, не умеет водить, что-то еще.
▪️И так далее.
И самое прекрасное, что они вспомнили второй закон ненадежности Джилба: «Любая система, зависящая от человеческой надежности, ненадежна».
Что бы ни было, все равно водитель оказаться новичком, или может устать, отвлечься, или сесть за руль пьяным.
Так устроены люди и это нужно брать в расчет.
➖Придумывать и помнить длинные разные пароли трудно, бабушки не понимают, что такое двухфакторная аутентификация, люди по темную сторону социальной инженерии никогда не исчезнут, но всегда будут хотеть есть.
Ссылку на презентацию Volvo положим в комментарии. Там гораздо больше, чем поместилось в пост.
P.S. Во всем этом Volvo умудрились не потерять такие штуки, как водительский опыт, динамику вождения и дизайн машины.
«Наша цель – разработать автомобиль, который вообще не будет попадать в аварии», — сказала потом Директор Центра безопасности Volvo Cars в Гётеборге Сесилия Ларссон на одном из семинаров по безопасности.
Zero Death Tolerance и даже больше.
То, как тогда Volvo подошла к вопросу, очень интересно.
И еще интереснее, что ровно с этим же подходом можно создавать и внедрять стратегию, в которой целью будет ноль взломов.
Zero Breach Vision.
В Volvo начали с определений. Что конкретно мы имеем в виду под «никаких смертей и тяжелый травм»? В каких авариях? С какими машинами? С какими другими вводными данными?
➖Что конкретно мы имеем в виду под Zero Breach?
Включили в уравнение не только водителя, машину и дорогу (инфраструктуру), но и других производителей, даже отрасль в целом, а также правительство, образовательные учреждения и страховщиков.
➖Приложение, пользователь, админ, сеть, сервер, дверь в серверную… а также правительство, образовательные учреждения и страховщики )
Про инфраструктуру подумали и вширь (устройство не только самой улицы/трассы, но и того, что вокруг нее), и вглубь (материалы, их свойства).
➖Думаем про инфраструктуру ИБ вширь и вглубь.
Не забыли про то, что объяснять правила безопасного поведения нужно понятным языком, а также неплохо бы устраивать поощрения тем, что ведет себя безопасно.
➖Установил 2ФА, возьми +0.5% по депозиту на месяц.
Сказали, что в одиночку, конечно, не справиться. Нужно сотрудничество, буквально, со всеми. Распределили этих «всех» на группы, прописали, о чем хотят сотрудничать.
Аварии разобрали «по косточкам».
▪️Кто с кем: машина с машиной (встречные, боковые, сзади), машина с пешеходом, машина с лосем, машина со столбом и т.д.
▪️Из-за чего: водитель, машина, дорога, что-то еще.
▪️До - во время - после: что происходит, почему так происходит, как приблизиться к идеальному результату.
▪️Если из-за водителя, то почему: отвлекся, устал, под веществами, не умеет водить, что-то еще.
▪️И так далее.
И самое прекрасное, что они вспомнили второй закон ненадежности Джилба: «Любая система, зависящая от человеческой надежности, ненадежна».
Что бы ни было, все равно водитель оказаться новичком, или может устать, отвлечься, или сесть за руль пьяным.
Так устроены люди и это нужно брать в расчет.
➖Придумывать и помнить длинные разные пароли трудно, бабушки не понимают, что такое двухфакторная аутентификация, люди по темную сторону социальной инженерии никогда не исчезнут, но всегда будут хотеть есть.
Ссылку на презентацию Volvo положим в комментарии. Там гораздо больше, чем поместилось в пост.
P.S. Во всем этом Volvo умудрились не потерять такие штуки, как водительский опыт, динамику вождения и дизайн машины.
Каскадная отправка OTP
Суть
Проектируем последовательность каналов получения OTP. Например, flash call - push - sms. Если код по какой-то причине не получен по первому каналу, он генерится заново и отправляется по следующему каналу.
Цель
1) Сэкономить. При настройке последовательности сначала используются каналы с наименьшей ценой и с тарификацией только за успешно доставленные сообщения.
2) Повысить доставляемость. Пользователь может быть без мобильной связи, но в зоне Wi-Fi — и код все равно придет.
Суть
Проектируем последовательность каналов получения OTP. Например, flash call - push - sms. Если код по какой-то причине не получен по первому каналу, он генерится заново и отправляется по следующему каналу.
Цель
1) Сэкономить. При настройке последовательности сначала используются каналы с наименьшей ценой и с тарификацией только за успешно доставленные сообщения.
2) Повысить доставляемость. Пользователь может быть без мобильной связи, но в зоне Wi-Fi — и код все равно придет.
Аутентификация и авторизация pinned «Про ГОСТы В этом году у комитета (ТК 362), который пишет ГОСТы по защите информации, большие планы на создание новых рекомендаций. Будем за ними следить. Ниже список того, что уже есть и интересно для разработчиков систем аутентификации и авторизации. …»
Последили за частным инвестфондом Thoma Bravo, который, такое ощущение, что собрался скупить весь верхний правый квадрант Гартнера по теме управления доступом. Весь, конечно, не скупил, но продвинулся серьезно.
https://www.it-world.ru/it-news/reviews/191774.html
https://www.it-world.ru/it-news/reviews/191774.html
ИТ Медиа | ИТ-рынок
Управление доступом становится привлекательным активом
Общемировая тенденция покупки публичных компаний крупными инвестфондами с последующим делистингом с биржи не обошла стороной и отрасль IAM. Давайте поговорим о том, что интересного в ней сейчас происходит за пределами России.
Как только начинаете проектировать сценарии логина, сразу планируйте проектировать сценарии логаута.
Варианты сценариев логаута (завершения сессии)
▪️По кнопке «выход».
▪️По таймауту. Через заданное время безусловно и через заданное время, если пользователь был какое-то время неактивен. Важный момент: бесконечно сессию продлевать должно быть нельзя.
▪️Принудительно по событиям безопасности.
▪️Пользователь завершает свою сессию на каком-то устройстве с другого устройства. Открыл приложение в Москве, посмотрел список активных сессий, увидел в нем сессию из Антарктиды, нажал «завершить сессию».
Бонус трек для Single Sign On.
Варианты реализации.
▪️Логаут из одного сервиса означает безусловный логаут из всех сервисов.
▪️Логаут из одного сервиса означает выход только из этого сервиса. В этом случае нужно пересмотреть условия Single Sign On, например, требовать пройти упрощенную аутентификацию при переходе в этот сервис из других. Например, вы залогинились (пароль + OTP) в экосистему, где есть сервисы «Почта» и «Фото», затем вышли из «Фото». Далее при попытке переключиться с «Почты» на «Фото» вас попросят ввести OTP.
P.S.
Несколько длиннее на эту же тему Session Management Cheat Sheet от OWASP https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html
Варианты сценариев логаута (завершения сессии)
▪️По кнопке «выход».
▪️По таймауту. Через заданное время безусловно и через заданное время, если пользователь был какое-то время неактивен. Важный момент: бесконечно сессию продлевать должно быть нельзя.
▪️Принудительно по событиям безопасности.
▪️Пользователь завершает свою сессию на каком-то устройстве с другого устройства. Открыл приложение в Москве, посмотрел список активных сессий, увидел в нем сессию из Антарктиды, нажал «завершить сессию».
Бонус трек для Single Sign On.
Варианты реализации.
▪️Логаут из одного сервиса означает безусловный логаут из всех сервисов.
▪️Логаут из одного сервиса означает выход только из этого сервиса. В этом случае нужно пересмотреть условия Single Sign On, например, требовать пройти упрощенную аутентификацию при переходе в этот сервис из других. Например, вы залогинились (пароль + OTP) в экосистему, где есть сервисы «Почта» и «Фото», затем вышли из «Фото». Далее при попытке переключиться с «Почты» на «Фото» вас попросят ввести OTP.
P.S.
Несколько длиннее на эту же тему Session Management Cheat Sheet от OWASP https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html
cheatsheetseries.owasp.org
Session Management - OWASP Cheat Sheet Series
Website with the collection of all the cheat sheets of the project.
Наблюдаем за курсом акций
Наблюдатель — Алексей Хмельницкий
Аутентификация — отличный интегральный показатель всего IT.
Она же второстепенна! Да, она всегда лишь обслуживает бизнес-процесс, который и приносит деньги. Но она обязательна.
Защищенный доступ является неотъемлемой частью почти любой ИТ-системы.
Поэтому, наблюдая за отношением рынка к аутентификации можно следить за отношением рынка ко всему ИТ.
О чем же сейчас говорит наш интегральный показатель?
На мой взгляд, мы видим, как digital снова становится рутиной.
Когда в 2020 началась пандемия, ИТ стал спасителем глобальной экономики. Всё должно было стать удаленным, должен был появиться новый тип работы, независимой от местонахождения человека. Вжух – и человечество создаст полностью распределенную и географически независимую среду, объединенную новым типом информационных систем.
Но пандемия закончилась, а вместе с ней оборвался и новый рыночый виток. Зрелые ИТ-компании продержались молодцом, но и не предложили миру ничего великого. И рынок хорошо показал отношение к этому – большие ожидания в начале 2020 закончились обвалом в конце 2021 (см. в комментарии график курса акций Okta за 5 лет).
Это не хорошо и не плохо. Это — стабилизация и взросление. В последние пару лет было особенно интересно наблюдать за публичной битвой трёх identity-слонов: Okta Identity, Ping Identity и Forgerock. Не так давно Ping и Forgerock были выкуплены частным инвестфондом. Их перестроят, пересоберут менеджмент и активы, а потом выпустят на рынок как зрелые компании. Время бурного роста digital на дешевых деньгах подходит к концу.
Наблюдатель — Алексей Хмельницкий
Аутентификация — отличный интегральный показатель всего IT.
Она же второстепенна! Да, она всегда лишь обслуживает бизнес-процесс, который и приносит деньги. Но она обязательна.
Защищенный доступ является неотъемлемой частью почти любой ИТ-системы.
Поэтому, наблюдая за отношением рынка к аутентификации можно следить за отношением рынка ко всему ИТ.
О чем же сейчас говорит наш интегральный показатель?
На мой взгляд, мы видим, как digital снова становится рутиной.
Когда в 2020 началась пандемия, ИТ стал спасителем глобальной экономики. Всё должно было стать удаленным, должен был появиться новый тип работы, независимой от местонахождения человека. Вжух – и человечество создаст полностью распределенную и географически независимую среду, объединенную новым типом информационных систем.
Но пандемия закончилась, а вместе с ней оборвался и новый рыночый виток. Зрелые ИТ-компании продержались молодцом, но и не предложили миру ничего великого. И рынок хорошо показал отношение к этому – большие ожидания в начале 2020 закончились обвалом в конце 2021 (см. в комментарии график курса акций Okta за 5 лет).
Это не хорошо и не плохо. Это — стабилизация и взросление. В последние пару лет было особенно интересно наблюдать за публичной битвой трёх identity-слонов: Okta Identity, Ping Identity и Forgerock. Не так давно Ping и Forgerock были выкуплены частным инвестфондом. Их перестроят, пересоберут менеджмент и активы, а потом выпустят на рынок как зрелые компании. Время бурного роста digital на дешевых деньгах подходит к концу.
К опросу об активности регулирующих органов в части требований к инфобезу.
Роскомназдор, число плановых проверок организаций на соответствие законности процессов обработки персональных данных.
До 2022 года — в среднем 500 проверок в год.
2022 год — более 1200 проверок.
Почти в 2.5 раза больше.
Данные с официального сайта Роскомнадзора.
Роскомназдор, число плановых проверок организаций на соответствие законности процессов обработки персональных данных.
До 2022 года — в среднем 500 проверок в год.
2022 год — более 1200 проверок.
Почти в 2.5 раза больше.
Данные с официального сайта Роскомнадзора.
К вопросу о детальном проектировании систем защиты.
Если пытаться открыть этот замочек снаружи, просунув в щель какой-то плоский предмет, то он просто будет соскальзывать вверх по крючку. Все потому, что петелька для запирающего конца крючка прикручена ниже, чем его основание.
Если бы она была прикручена вровень или выше, открыть было бы существенно легче.
Трудоемкость прикручивания на любой высоте одинаковая. Степень защиты была повышена на этапе проектирования.
Если пытаться открыть этот замочек снаружи, просунув в щель какой-то плоский предмет, то он просто будет соскальзывать вверх по крючку. Все потому, что петелька для запирающего конца крючка прикручена ниже, чем его основание.
Если бы она была прикручена вровень или выше, открыть было бы существенно легче.
Трудоемкость прикручивания на любой высоте одинаковая. Степень защиты была повышена на этапе проектирования.
Типы приложений
Как можно классифицировать приложения, куда мы аутентифицируем пользователей.
Вообще не пользовательское приложение
▫️OS (Windows, Linux) — операционная система сама по себе.
▫️Network (VPN, WiFi) — устройства, предоставляющие сетевые сервисы: VPN, WiFi, SDN.
▫️IoT Device — устройство с доступом в интернет и без пользовательского интерфейса (датчик, актуатор).
Степень доверенности канала
▫️Наше собственное приложение, любое.
▫️Партнерское приложение — стороннее приложение, действующие от своего имени или от лица пользователя с его согласия.
Интерфейсы пользовательского приложения
▫️Нативное (Desktop) приложение, как свое, так и унаследованное.
▫️Веб-приложение.
▫️Mobile/Tablet App — приложение для мобильного телефона или планшета.
▫️Kiosk (ATM, POS) — нестандартное устройство с пользовательским интерфейсом, например киоск, платежный терминал, банкомат. Всё что не входит в рамки Desktop, Tablet, Mobile App.
Как можно классифицировать приложения, куда мы аутентифицируем пользователей.
Вообще не пользовательское приложение
▫️OS (Windows, Linux) — операционная система сама по себе.
▫️Network (VPN, WiFi) — устройства, предоставляющие сетевые сервисы: VPN, WiFi, SDN.
▫️IoT Device — устройство с доступом в интернет и без пользовательского интерфейса (датчик, актуатор).
Степень доверенности канала
▫️Наше собственное приложение, любое.
▫️Партнерское приложение — стороннее приложение, действующие от своего имени или от лица пользователя с его согласия.
Интерфейсы пользовательского приложения
▫️Нативное (Desktop) приложение, как свое, так и унаследованное.
▫️Веб-приложение.
▫️Mobile/Tablet App — приложение для мобильного телефона или планшета.
▫️Kiosk (ATM, POS) — нестандартное устройство с пользовательским интерфейсом, например киоск, платежный терминал, банкомат. Всё что не входит в рамки Desktop, Tablet, Mobile App.
Forwarded from Банкста
Компания Mercedes-Benz отключила российским собственникам автомобилей электронный сервис Mercedes me ID. Он позволял водителям удалённо закрывать автомобиль, запускать двигатель или кондиционер. Также с помощью сервиса можно было припарковать машину стоя рядом с ней и найти её на парковке. @banksta
Совсем уже не новость (случилось в марте), но есть к чему присмотреться.
Маск отключил HОТР (текстовый второй фактор) для бесплатных аккаунтов Твиттера. OTP по SMS стоит компании денег, поэтому если пользователь не платит подписку, ему доступен только TOTP (второй фактор в приложении-аутентификаторе).
https://www.dailymail.co.uk/sciencetech/article-11881423/Twitter-shuts-text-two-factor-authentication-heres-account-safe.html
- За свою безопасность платишь либо деньгами (платная подписка с привычным OTP по SMS), либо временем и интеллектуальными усилиями (разобраться, что за зверь такой TOTP).
- Превращение «это ценно, мы должны это обеспечивать» в "«это ценно, за это можно брать деньги». В данном случае ценность — аутентичность чего-либо (информации, человека, факта, точки происхождения товара).
P.S. Для тех, кто почему-то обращает на это внимание — у Твиттера 6 цифр в HOTP.
Маск отключил HОТР (текстовый второй фактор) для бесплатных аккаунтов Твиттера. OTP по SMS стоит компании денег, поэтому если пользователь не платит подписку, ему доступен только TOTP (второй фактор в приложении-аутентификаторе).
https://www.dailymail.co.uk/sciencetech/article-11881423/Twitter-shuts-text-two-factor-authentication-heres-account-safe.html
- За свою безопасность платишь либо деньгами (платная подписка с привычным OTP по SMS), либо временем и интеллектуальными усилиями (разобраться, что за зверь такой TOTP).
- Превращение «это ценно, мы должны это обеспечивать» в "«это ценно, за это можно брать деньги». В данном случае ценность — аутентичность чего-либо (информации, человека, факта, точки происхождения товара).
P.S. Для тех, кто почему-то обращает на это внимание — у Твиттера 6 цифр в HOTP.
Mail Online
Twitter makes MAJOR security change as it shuts down text message two-factor authentication – here's how to keep YOUR account safe
Twitter has done away with a form of two-factor authentication today, which protects accounts from being accessed by cybercriminals. Users can no longer receive a security code over text.
Unity App интеграции с IAM .pdf
529.1 KB
Решали задачу интеграции с приложением, написанном в среде Unity (которая для игр и других трехмерных приложений). Составили таблицу, чтобы облегчить выбор, каким образом интегрироваться.
Исследование. 47 компаний, оказывающих транспортные B2B услуги.
У 43% нет личного кабинета для клиентов.
https://blog.arealidea.ru/articles/portal/research-result
У 43% нет личного кабинета для клиентов.
https://blog.arealidea.ru/articles/portal/research-result
Написали ликбез про проверку паролей по словарям и базам утекших.
https://vc.ru/dev/709611-proverka-paroley-po-slovaryam-i-bazam-utekshih-dannyh
https://vc.ru/dev/709611-proverka-paroley-po-slovaryam-i-bazam-utekshih-dannyh
vc.ru
Проверка паролей по словарям и базам утекших данных — Разработка на vc.ru
«Не менее 8 символов, включая цифры и заглавные буквы», — требует очередной сервис. «Gfhjkm2023», — набирает пользователь, не задумываясь, что он уже взломан.
ЦИПР, Нижний Новгород, сессия «Нейросети на страже кибербезопасности»,
Руслан Юсуфов, управляющий партнёр MINDSMITH
(Конспект, местами цитаты, местами пересказ)
Что нас ждёт.
1. Целевые атаки.
Киберкастомизация социнженерии. Фейки аудио и видео. Профилирование на максималках, определение и формирование индивидуальных стрессоров. Кукуха будет отъезжать очень быстро. Представьте ребенок уехал в лагерь, а вам идёт видеозвонок со стримом насилия над ним.
2. Промывка мозгов. Таргетированные также на конкретного человека информационные и политические кампании.
3. Управляемое корпорациями взросление детей.
Мама, папа и планшет. Мама, папа и колонка.
4. Цифровой разрыв сегодня на уровне доступа к технологиям, а завтра на уровне когнитивных возможностей. Но можем ли мы себе позволить вживлять в нашего человека чип Илона Маска.
Взлом человека обретет другое значение.
5. Новые риски в метамирах. Сейчас город встаёт, когда gps глючит. Что будет, если сломается расширенная реальность.
6. Социальные рейтинги. Они уже здесь. Мы придем от программ лояльности к программам сегрегации. Чем больше цифровизации, тем больше у физического человека проблем при сбое автоматики и последующем доказывании что ты не верблюд. Отвалился gps, каршеринг прислал айайай, что ты поехал через Москва реку на скорости 250 км/час и понизил тебе рейтинг.
7. Можно ли говорить о биологическом оружии. А вот мы все геномы секвенировали, а база потом утекла. Индивидуальный ковид?
8. Все хорошее в людях разовьем с помощью ИИ. Но и все плохое!
9. Более изощрённые атаки. Отравление больших данных. Атаки на выборки.
10. Ядерное сдерживание лежит в области вычислительных мощностей. И кажется, не получится конкурировать везде. Нужно хорошо оценивать, на чем концентрироваться.
Bonus track
Таксист: Кажется, мы живём в симуляции, потому что шанс родиться в эпоху настолько быстрых перемен крайне мал.
Руслан Юсуфов, управляющий партнёр MINDSMITH
(Конспект, местами цитаты, местами пересказ)
Что нас ждёт.
1. Целевые атаки.
Киберкастомизация социнженерии. Фейки аудио и видео. Профилирование на максималках, определение и формирование индивидуальных стрессоров. Кукуха будет отъезжать очень быстро. Представьте ребенок уехал в лагерь, а вам идёт видеозвонок со стримом насилия над ним.
2. Промывка мозгов. Таргетированные также на конкретного человека информационные и политические кампании.
3. Управляемое корпорациями взросление детей.
Мама, папа и планшет. Мама, папа и колонка.
4. Цифровой разрыв сегодня на уровне доступа к технологиям, а завтра на уровне когнитивных возможностей. Но можем ли мы себе позволить вживлять в нашего человека чип Илона Маска.
Взлом человека обретет другое значение.
5. Новые риски в метамирах. Сейчас город встаёт, когда gps глючит. Что будет, если сломается расширенная реальность.
6. Социальные рейтинги. Они уже здесь. Мы придем от программ лояльности к программам сегрегации. Чем больше цифровизации, тем больше у физического человека проблем при сбое автоматики и последующем доказывании что ты не верблюд. Отвалился gps, каршеринг прислал айайай, что ты поехал через Москва реку на скорости 250 км/час и понизил тебе рейтинг.
7. Можно ли говорить о биологическом оружии. А вот мы все геномы секвенировали, а база потом утекла. Индивидуальный ковид?
8. Все хорошее в людях разовьем с помощью ИИ. Но и все плохое!
9. Более изощрённые атаки. Отравление больших данных. Атаки на выборки.
10. Ядерное сдерживание лежит в области вычислительных мощностей. И кажется, не получится конкурировать везде. Нужно хорошо оценивать, на чем концентрироваться.
Bonus track
Таксист: Кажется, мы живём в симуляции, потому что шанс родиться в эпоху настолько быстрых перемен крайне мал.