Теги → аутентификация
Быстрый переход

Google принудительно включит двухфакторную аутентификацию для 150 млн пользователей

В мае этого года компания Google объявила о намерении активнее использовать двухфакторную аутентификацию (с помощью пароля и SMS-сообщения с кодом) для защиты пользовательских аккаунтов. Теперь же разработчики объявили, что к концу года эта функция будет по умолчанию активирована для 150 млн пользователей сервисов компании. Это будет очередной шаг по продвижению более безопасного метода идентификации пользователей.

Изображение: Alex Castro / The Verge

Изображение: Alex Castro / The Verge

В 2018 году Google заявила, что только 10 % активных аккаунтов задействуют двухфакторную аутентификацию. С тех пор компания прикладывала определённые усилия, чтобы подтолкнуть людей к использованию этой функции. Тем не менее, всего у Google около 3,5 млрд пользователей, так что принудительное включение двухфакторной аутентификации для 150 млн пользователей не такой глобальный шаг, как могло показаться.

Согласно имеющимся данным, вместе с миллионами пользователей Google на двухфакторную аутентификацию до конца года будут переведены более 2 млн авторов контента на YouTube. В сообщении отмечается, что пользователи также смогут использовать для авторизации аппаратные ключи безопасности, которых только Google ежегодно выпускает более 10 тыс. экземпляров. 

Диспетчер паролей является ещё одним надёжным инструментом обеспечения безопасности учётных записей. Согласно имеющимся данным, Google ежедневно проверяет более 1 млрд паролей с помощью встроенного в браузер Chrome диспетчера паролей, которые также интегрирован в платформу Android и приложение Google. Диспетчер паролей компании также доступен и на устройствах с iOS, где Chrome может использоваться для автоматического заполнения полей авторизации в разных приложениях. В скором времени разработчики добавят возможность генерации надёжных паролей для других приложений, а также функцию просмотра списка сохранённых паролей в меню приложения Google.

Как организовать совместную работу с паролями в компании?

Защита конфиденциальных сведений имеет приоритет №1 в любых организациях, и пароли в данном случае не являются исключением. Обеспечить безопасность последних позволяет российский программный комплекс «Пассворк», способный вывести работу с корпоративными паролями на новый уровень.

«Пассворк» повышает безопасность при работе с корпоративными паролями

«Пассворк» повышает безопасность при работе с корпоративными паролями

«Пассворк» существенно упрощает работу с паролями в корпоративной среде, и особенно ярко преимущества продукта проявляются в крупных компаниях, насчитывающих сотни работников и имеющих распределённую структуру с региональными офисами. Программа использует защищённые хранилища, хранит пароли в удобном структурированном виде, поддерживает совместную работу, позволяет настраивать права пользователей, а также отслеживать все действия сотрудников и вносимые ими изменения.

«Пассворк» подходит для компаний любого размера

«Пассворк» подходит для компаний любого размера

Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях. Кроме того, если сотрудник увольняется, то система автоматически анализирует, какие пароли он просматривал, помечает их как потенциально скомпрометированные, уведомляет об этом службу безопасности и предлагает сменить пароли. Такой подход минимизирует вероятность подбора паролей и риски их утечки, даже в тех случаях, когда компанию покидает такая ключевая фигура как IT-администратор и «уносит» с собой все пароли организации.

Аудит безопасности паролей

Аудит безопасности паролей

Коробочная версия менеджера паролей «Пассворк» хранит данные в зашифрованном виде на сервере компании, при этом для защиты информации может быть применён алгоритм AES-256 или соответствующий требованиям регуляторов стандарт шифрования ГОСТ. Для работы продукта требуются интерпретатор PHP и СУБД MongoDB, поддерживается установка на Windows Server и Linux с Docker или без него.

Менеджер использует серверные мощности компании. Как результат, все пароли хранятся внутри IT-периметра организации

Менеджер использует серверные мощности компании. Как результат, все пароли хранятся внутри IT-периметра организации

В «Пассворке» можно хранить пароли от любых систем (веб, серверы, приложения), а также небольшие файлы (ключи, сертификаты). Для удобной работы с паролями от веб-ресурсов у «Пассворка» есть браузерные расширения (для Chrome, Firefox, Edge, Safari), которые автоматически заполняют формы авторизации на сайтах, а также предлагают сохранить новые пароли в «Пассворке».

Браузерное расширение позволяет сохранять, изменять и генерировать пароли, а также авторизовываться на сайтах в пару кликов (доступно для Chrome, Safari, Edge, Firefox)

Браузерное расширение позволяет сохранять, изменять и генерировать пароли, а также авторизовываться на сайтах в пару кликов (доступно для Chrome, Safari, Edge, Firefox)

Механизм разграничения прав доступа позволяет предоставлять сотрудникам доступ лишь к определённым паролям. Для этого в системе реализована возможность настройки ролей пользователей и уровней доступа. Например, сотрудники бухгалтерии не будут иметь доступа к паролям IT-отдела. Тот или иной пароль можно безопасно переслать в виде ссылки другому пользователю. Предусмотрена возможность приглашения сотрудников в общие сейфы для совместной работы. Такая функция может быть востребована не только для коммуникаций и оперативного обмена паролями между сотрудниками одного отдела, занимающими одинаковые должности, но и в случае, например, когда пароль хранится у одного из работников, который сейчас в отпуске. Как показывает практика, такие ситуации возникают довольно часто.

Управление пользователями и настройка ролей

Управление пользователями и настройка ролей

Важной отличительной особенностью «Пассворка» является то, что в настоящий момент это единственный менеджер паролей, зарегистрированный в реестре отечественного программного обеспечения. Наличие в реестре Минцифры не только подтверждает российское происхождение продукта, но и допускает его использование в государственных и муниципальных организациях, реализующих проекты в сфере импортозамещения ПО. К тому же, в отличие от иностранных аналогов, компания-разработчик «Пассворка» официально зарегистрирована в России как юридическое лицо и имеет русскоязычную техническую поддержку. Всё это допускает участие продукта при государственных закупках, реализуемых в рамках контрактов по 44-ФЗ (закупки госучреждений) и 223-ФЗ (закупки госкомпаний, в которых не менее 50% принадлежит государству).

«Пассворк» подходит для внедрения в госструктуры и хорошо вписывается в политику импортозамещения

«Пассворк» подходит для внедрения в госструктуры и хорошо вписывается в политику импортозамещения

Не оставлен без внимания разработчиками вопрос интеграции менеджера паролей в IT-инфраструктуру заказчика. Программный комплекс имеет собственный API для настройки обмена данными с используемыми в организации системами, поддерживает интеграцию Active Directory/LDAP и авторизацию с помощью SAML SSO, а также гибкий импорт и экспорт данных в форматах JSON и CSV.

Интеграция с AD/LDAP

Интеграция с AD/LDAP

Для компаний, предъявляющих высокие требования к безопасности обрабатываемых данных и надёжности используемого софта, предусмотрены возможности двухфакторной аутентификации пользователей, настройки репликации и развёртывания системы «Пассворк» на нескольких серверах (до 5 машин), а также в защищённом контуре без доступа в интернет. Стоит отметить, что «Пассворк» поставляется с открытым для аудита кодом.

Открытый для аудита исходный код позволяет убедиться в отсутствии уязвимостей и скрытых функций

Открытый для аудита исходный код позволяет убедиться в отсутствии уязвимостей и скрытых функций

Платформа «Пассворк» представлена в редакциях «Старт», «Бизнес», «Премиум» и «Энтерпрайз», разнящихся количеством поддерживаемых пользователей, набором доступных функций и ценой. Стоимость продукта — от 29 900 рублей. В эту сумму включен один год подписки на техническую поддержку и обновления. По окончанию подписки программа продолжит работать. Если через год вы захотите обновить продукт или получить поддержку, то подписку можно будет приобрести отдельно, что очень удобно. Для оценки функциональных возможностей системы предусмотрена пробная версия с ограничением в 5 пользователей. Дополнительные сведения о программном решении, а также документацию, можно найти на сайте passwork.ru.

Стоимость продукта зависит от редакции и типа приобретаемой заказчиком лицензии

Стоимость продукта зависит от редакции и типа приобретаемой заказчиком лицензии

И последнее. Разработки российских программистов всегда славились инновационным подходом к решению конкретных задач, высоким качеством кода и новизной технологий. «Пассворк» является ярким тому подтверждением. Продукт активно используется компаниями различных размеров и сфер деятельности в 85 странах мира. Примечательно, что в списке таких организаций фигурирует немало финансовых и банковских предприятий, знающих толк в проверенных софтверных решениях и лишний раз доказывающих надёжность упомянутого менеджера паролей.

Входить в учётную запись Microsoft скоро можно будет без пароля — предлагается сразу три альтернативы

В последние годы Microsoft много говорила о будущем, в котором пользователи смогут обходиться без паролей благодаря использованию проверочных кодов, биометрических идентификаторов или мобильных приложений. Сегодня редмондская компания сообщила, что такое будущее наступит в ближайшие недели.

tomshardware.com

tomshardware.com

Сообщается, что для отказа от паролей пользователи смогут задействовать приложение Microsoft Authenticator для Android или iOS, распознавание отпечатков пальцев или распознавание лиц Windows Hello. Для того, чтобы удалить пароль со своего аккаунта, пользователям нужно будет перейти на account.microsoft.com, войти в систему, перейти в пункт «Дополнительные параметры безопасности» и выбрать опцию «Учётная запись без пароля». Если пользователь в конечном итоге сочтёт вход без пароля неудобным, его можно будет снова добавить в учётную запись.

Microsoft заявляет, что её усилия в этом направлении обусловлены тем, что пароли неудобны для пользователей и сами по себе представляют угрозу безопасности. Тем не менее, её методы тоже не безупречны. Например, при использовании Microsoft Authenticator пользователям всегда нужно иметь при себе авторизованный смартфон, что может быть не совсем удобно.

Google усилит защиту пользовательских аккаунтов YouTube

Google активно продвигает двухфакторную (двухэтапную) аутентификацию во всех своих сервисах. На этой неделе компания сообщила, что этот метод подтверждения личности будет в обязательном порядке использоваться авторами контента на YouTube.

arstechnica.com

arstechnica.com

В твите TeamYouTube компания подтвердила планы по усилению защиты пользовательских аккаунтов. Требование вступит в силу с 1 ноября текущего года и в первую очередь касается доступа к YouTube Studio.

Впрочем, обычные пользователи, не являющиеся членами партнёрской программы YouTube Partner Program смогут загружать видео, используя прежние, упрощённые механизмы защиты.

Партнёрская программа, доступная в том числе в России и других странах, предполагает монетизацию видео и именно поэтому требует дополнительной защиты. Кроме того, её участники должны соответствовать ряду требований — иметь свыше 1000 подписчиков, более 4000 часов просмотра за последние 12 месяцев, привязанный аккаунт AdSense и т. п.

Двухэтапная аутентификация доступна в настройках аккаунта. Обычно при подобном способе защиты требуется вводить коды из SMS, коды из заранее сохранённого списка или использовать другие способы вроде мобильного приложения Google Authenticator.

WhatsApp вскоре будет использовать звонок для подтверждения аккаунта

В настоящее время при покупке нового телефона для восстановления аккаунта в мессенджере WhatsApp пользователю с целью проверки высылается SMS с шестизначным кодом. Однако вскоре компания начнёт применять ещё один метод подтверждения учётной записи пользователя — флеш-звонок (Flash Call).

WhatsApp

WhatsApp

Согласно данным Twitter-аккаунта WABetaInfo, публикующего новости, связанные с работой мессенджера, разработчики приложения тестируют эту возможность на платформе Android. Пользователь сможет выбрать в качестве опции для подтверждения получение звонка вместо SMS с кодом. WhatsApp совершит короткий звонок, на который не требуется отвечать.

Даже когда эта функция появится в мессенджере, её будут использовать только для смартфонов на платформе Android, поскольку iOS не позволяет приложениям читать историю звонков.

WABetaInfo сообщил, что, хотя приложение будет обращаться к пользовательскому журналу вызовов для сравнения последней записи, оно не будет использовать эти данные ни для каких других целей.

Примечательно, что Instagram тестирует функцию получения проверочных кодов через WhatsApp вместо использования SMS.

Google начнёт автоматически включать двухфакторную аутентификацию, чтобы повысить безопасность пользователей

Google собирается предпринять серьёзный шаг, который поможет повысить безопасность учётных записей пользователей: теперь поисковый гигант будет автоматически включать двухфакторную аутентификацию для аккаунтов, «настроенных должным образом».

theverge.com

theverge.com

После подключения двухэтапной проверки данных при входе в аккаунт пользователи будут получать на смартфон запрос, действительно ли они пытаются сейчас войти в свою учётную запись. Google считает, что аутентификация при помощи мобильного устройства гораздо более надёжная и безопасная, чем SMS-пароли, которые можно перехватить.

theverge.com

theverge.com

Эта инициатива является частью стремления Google к «будущему, в котором однажды вообще отпадёт необходимость в паролях». Символично, что как раз сегодня отмечается Всемирный день паролей. В рамках этого события Google напомнила, что 66 процентов американцев по-прежнему используют один пароль на нескольких сайтах. Это повышает риск того, злоумышленники получат доступ ко всем этим учётным записям, взломав лишь одну из них.

Google советует пользователям пройти быструю проверку безопасности на своём сайте, чтобы убедиться, что настройки конфиденциальности их учётных записей выбраны правильно.

Amazon в своих гастрономах разрешила оплачивать продукты ладонью

Американская компания Amazon у себя на родине владеет сетью продуктовых магазинов, которые использует для испытаний новых технологий. Инициатива по отказу от кассиров не нашла поддержки в связи со сложной обстановкой на рынке труда, а вот технологию оплаты товаров взмахом руки интернет-гигант уже внедрил в фирменных торговых точках в окрестностях штаб-квартиры.

Источник изображения: Reuters

Источник изображения: Reuters

Впервые о наличии подобной технической возможности Amazon заговорил ещё в сентябре прошлого года, но на практике функцию оплаты продуктов посредством бесконтактного сканирования ладони компания реализовала в сети фирменных магазинов в Сиэтле только сейчас. С сегодняшнего дня, как сообщает Reuters, в магазинах Whole Foods в этом американском городе клиенты могут оплатить покупки одним взмахом руки. Специальный сканер распознает совокупность биометрических параметров, по которым можно однозначно идентифицировать владельца, и позволит списать с его счёта необходимую сумму. Для оплаты таким способом даже не потребуется учётная запись Amazon, клиенту достаточно будет заранее зарегистрироваться в сервисе Amazon One, сообщив номер банковской карты и телефона, а также отсканировать ладонь.

Позже такой механизм оплаты покупок будет принят на вооружение в других магазинах сети в ближайшие месяцы. Как отмечают в компании, покупателей всё равно будут обслуживать кассиры, сканирующие товары из корзины, но расчёт будет осуществляться через сканирование ладони бесконтактным методом. К сокращениям рабочих мест внедрение этой технологии не приведёт.

В России появится реестр для доступа к биометрическим данным, оператором которого будет «Ростелеком»

В России в будущем появится реестр государственных и коммерческих организаций, которые будут иметь доступ к Единой биометрической системе (ЕБС). Помимо уже имеющих доступ к системе банков и страховых компаний, к ней смогут подключаться и другие организации, внесённые в реестр.

Согласно проекту приказа Минцифры, опубликованному на портале правовых актов, ведением реестра участников ЕБС будет заниматься в качестве оператора системы «Ростелеком». Сам реестр будет находиться в открытом доступе на сайте bio.rt.ru, сообщили ресурсу Ведомости в «Ростелекоме». Участие в реестре оформляется договором с «Ростелекомом», плата за участие взиматься не будет. Обязательным условием внесения в реестр является подтверждение компанией или организацией возможности обеспечения требований безопасности персональных данных, установленных федеральным законодательством (ФЗ № 152), а также установка и настройка биометрических терминалов.

«Ростелеком» получает плату за запрос к ЕБС за идентификацией, который обходится в 200 руб. По данным одного из банков, доля оператора составляет 100 руб., остальную часть суммы делят между собой организация, зарегистрировавшая конкретную персону в ЕБС (например, банк) и компания, обеспечивающая функциональность ЕБС (в системе используются решения нескольких разработчиков, например, VisionLabs и NTechLab).

Система ЕБС функционирует в России с 2018 г. В конце 2020 г. Был принят закон о ЕБС, который сделал доступными сервисы удалённой идентификации для других финансовых организаций, помимо банков, и компаний из других секторов экономики. С 1 января 2021 г. граждане России могут удалённо проходить идентификацию и получать с помощью биометрии целый ряд финансовых и государственных услуг.

Наличие данных в ЕБС и Единой системе идентификации и аутентификации (ЕСИА) позволяет получать услуги без предъявления паспорта. В базе ЕСИА (на портале госуслуг) персональные данные хранятся в зашифрованном и обезличенном виде, а ЕБС хранит математически обработанные модели лица и голоса человека. На конец прошлого года в ЕБС имелись образцы 160 тыс. пользователей. В настоящее время право на сбор данных имеют 232 банка и МФЦ.

Как полагает представитель крупной финансовой организации, для того, чтобы ЕБС стала широко востребованной, в ней должно гораздо больше слепков — минимум 50 млн. Российские банки создают собственные биометрические базы, которые пользуются у клиентов большей популярностью и доверием, чем ЕБС. У «Сбера», например, более нескольких миллионов образцов клиентов, у ВТБ – более 130 тыс.

На текущий момент коммерческие организации не видят в подключении к ЕБС понятных преимуществ для своего бизнеса, зато предполагают серьёзные финансовые издержки и риски, связанные с защитой данных, считает аналитик Российской ассоциации электронных коммуникаций Карен Казарян. По словам директора направления исследований в сфере человеческого капитала Аналитического центра НАФИ Людмилы Спиридоновой, жители России пока слабо осведомлены о ЕБС — согласно опросам, 48 % россиян вообще не знают о ней.

Facebook сообщила, что некоторых пользователей выбросило из системы из-за «изменения конфигурации»

В пятницу пользователи приложения Facebook для iOS сообщили о проблемах с повторным входом в систему при использовании двухступенчатой идентификации. Facebook сообщила, что некоторых пользователей неожиданно «выбросило» из их учётных записей в пятницу из-за «изменения конфигурации» — проблема была устранена в субботу.

Illustration by Alex Castro / The Verge

Illustration by Alex Castro / The Verge

«22 января в результате изменения конфигурации некоторых людей выбросило из их учётных записей Facebook. Мы изучили проблему и устранили её для всех пользователей сегодня утром. Приносим извинения за неудобства», — сказал представитель компании Facebook в электронном письме журналистам The Verge.

Если говорить точнее, то проблемы начались вечером в пятницу по североамериканскому восточному времени, когда пользователи на форумах Reddit в ветке r/Facebook сообщали, что они начали получать от своих приложений Facebook запросы на повторный вход, хотя не выходили из системы.

Ресурс Engadget обнаружил, что владельцы iPhone, по всей видимости, больше всего пострадали от этого сбоя, отметив, что в особенности трудности испытывали пользователи приложения Facebook для iOS при повторном входе в свои учётные записи, защищённые двухфакторной аутентификацией. Большинству из них удалось снова войти в систему, но необходимые коды идентификации долго не поступали на смартфоны.

Сервис видеоконференцсвязи Zoom получил поддержку двухфакторной аутентификации

Термин Zoombombing стал широко известным с тех пор, как приложение для видеоконференций Zoom обрело популярность на фоне пандемии коронавируса. Это понятие подразумевает под собой злоумышленные действия лиц, входящих в Zoom-конференции через лазейки в системе безопасности сервиса. Несмотря на многочисленные доработки продукта, такие ситуации по-прежнему случаются.

phonearena.com

phonearena.com

Однако вчера, десятого сентября, Zoom наконец-то представила действенное решение проблемы. Теперь администраторы видеоконференций смогут использовать двухфакторную аутентификацию для доступа пользователей в виртуальные конференц-комнаты. Двухфакторная аутентификация требует от пользователя использования двух или более способов подтверждения личности. Эти дополнительные методы могут включать в себя пароли, подтверждения с помощью мобильного устройства и даже сканирование отпечатка пальца. При этом риск того, что в вашу учётную запись войдёт посторонний человек, существенно снижается, это становится практически невозможным.

Стоит заметить, что идея использования двухфакторной аутентификации уже не нова. Этим способом можно защитить аккаунты в подавляющем большинстве современных онлайн-сервисов. Для того чтобы активировать функцию в Zoom, необходимо в панели управления приложением зайти в подменю «Безопасность» меню «Дополнительно», а затем активировать пункт «Вход с двухфакторной аутентификацией».

Браузер Apple Safari позволит авторизоваться на сайтах с помощью Face ID и Touch ID

Браузер Safari 14, который будет поставляться вместе с iOS 14 и macOS 14, позволит пользователям проходить аутентификацию на веб-сайтах с помощью Face ID или Touch ID. Как и многое другое, данная функция была представлена разработчиками на недавней конференции WWDC 2020.

Наличие функции авторизации на сайтах с помощью Face ID или Touch ID было подтверждено в бета-версии Safari. Функция построена на базе компонента WebAuthn и стандарта FIDO2. Она призвана сделать процесс входа на сайты таким же простым, как авторизация в приложениях, защищённых от постороннего доступа с помощью Face ID или Touch ID.

WebAuthn представляет собой API, стремящийся сделать авторизацию на веб-сайтах проще и безопаснее. В отличие от паролей, которые зачастую подбираются злоумышленниками и уязвимы к фишинговым атакам, WebAuthn задействует шифрование и может использоваться с другими средствами обеспечения безопасности, такими как биометрические данные или аппаратные ключи безопасности. Сайтам потребуется добавить поддержку подтверждения личности таким способом, чтобы пользователи могли проходить авторизацию через Face ID или Touch ID.

Это не первый случай, когда Apple реализует поддержку функций на основе стандарта FIDO2. В прошлом году в iOS 13.3 появилась поддержка физических ключей безопасности, совместимых с FIDO2, а не так давно у пользователей появилась возможность авторизации таким образом в учётной записи Google на устройствах с iOS. Аппаратный ключ безопасности обеспечивает дополнительную защиту учётной записи, поскольку злоумышленникам потребуется иметь физический доступ к нему, чтобы пройти авторизацию в учётной записи вместо пользователя.

Microsoft: 150 млн человек используют решения компании для аутентификации без пароля

Компания Microsoft объявила о том, что её решения для аутентификации без пароля используют 150 млн человек, тогда как в ноябре прошлого года этот показатель был равен 100 млн. Эта цифра охватывает пользователей онлайн-сервисов Microsoft, в том числе Azure, GitHub, Office и Xbox.

Общая аудитория формируется из пользователей Windows Hello (распознавание отпечатков пальцев или лица), официального приложения Microsoft Authenticator и ключей безопасности на основе FIDO2, которые позволяют входить в разные учётные записи без паролей.

Одна из текущих задач Microsoft заключается в том, чтобы подтолкнуть пользователей к работе с инструментами многофакторной аутентификации и с технологиями аутентификации без пароля. Компания ссылается на улучшенные функции безопасности таких средств по сравнению с обычными паролями. В прошлом году Microsoft заявила о том, что с помощью многофакторной аутентификации блокируется около 99,9 % атак, в ходе которых злоумышленники пытаются захватить контроль над учётными записями. Также было сказано о том, что атаки, в ходе которых удалось обойти многофакторную аутентификацию, настолько редки, что у компании даже нет статистики касательно данного вопроса.

В Microsoft считают, что технологии аутентификации без пароля не только повышают уровень безопасности, но также способны принести экономическую выгоду за счёт снижения трат на поддержку пользователей. Когда пользователь авторизуется в учётных записях без пароля, он не может забыть свой пароль, для сброса которого требуется обращаться в поддержку. Согласно имеющимся данным, многие сотрудники Microsoft уже перешли на использование средств аутентификации без пароля.

ФСТЭК России сертифицировала средства криптографической защиты «Рутокен» по требованиям доверия

Российский производитель программно-аппаратных средств информационной безопасности «Актив» сообщил о завершении дополнительных испытаний смарт-карт «Рутокен» на соответствие требованиям доверия Федеральной службы по техническому и экспортному контролю.

Напомним, с 1 июня 2019 года вступили в силу новые требования по безопасности ФСТЭК России, устанавливающие уровни доверия к средствам защиты информации. Устройства «Рутокен» успешно прошли данную проверку по четвёртому уровню доверия.

Смарт-карты «Рутокен» могут использоваться для строгой двухфакторной аутентификации в различных IT-системах (в том числе в виртуальной инфраструктуре), криптографической защиты информации и для электронной подписи (ЭП). Устройства поддерживают новые российские алгоритмы ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 с длиной ключа 256 и 512 бит, а также схемы выработки сессионного ключа (RFC 7836).

Выданный ведомством сертификат допускает использование средств криптографической защиты «Рутокен» в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных, а также в информационных системах общего пользования 2 класса, обрабатывающих сведения ограниченного доступа, в том числе персональные данные, служебную, коммерческую и иные виды конфиденциальной информации.

Инженеры Cisco научились взламывать смартфоны и ПК с помощью 3D-моделей отпечатков пальцев

С момента появления биометрической аутентификации методом сканирования отпечатков пальцев не утихают споры о надёжности предложения. Инженеры компании Cisco решили поставить если не точку в этом споре, то хотя бы обозначить более-менее чёткие границы уязвимости подобной защиты.

Сотрудники подразделения Talos компании Cisco Systems провели многомесячные исследования возможных технологий изготовления копий или муляжей пальцев с рисунком отпечатков пальцев, а также изучили наиболее простые способы получения данных об отпечатках пальцев потенциальных жертв.

Так, рисунок папиллярных линий на подушечках пальцев может быть получен тремя способами: прямым отпечатком с пальцев жертвы, находящейся в невменяемом состоянии, с помощью снятия отпечатка с предметов, например, со стеклянной посуды в общественных местах, а также с помощью отпечатков, полученных из ведомственных баз данных, к примеру, утечек с таможни.

Эксперименты показали, что наилучший результат по взлому защиты дают муляжи, изготовленные на основе прямых слепков. Снятые отпечатки с предметов, особенно со стеклянной посуды, оказываются не намного хуже для последующего взлома аутентификации, чем прямой слепок. Базы данных с отпечатками граждан, что интересно, оказались наименее надёжным источником данных для изготовления 3D-моделей пальцев. Этому помешало сравнительно низкое качество изображений отпечатков, хранящихся в базах.

Оранжевым цветом на графике показан взлом с помощью слепка, а синим - с помощью отпечатка, снятого со стеклаекле

Оранжевым цветом на графике показан взлом с помощью слепка, а синим — с помощью отпечатка, снятого со стекла

Муляж подушечки пальца с рисунком папиллярных линий изготавливался из эластичного материала, в качестве которого лучшими были признаны клеи на основе силикона и для склейки текстиля. Форму для изготовления муляжа напечатали на обычном 3D-принтере с разрешением не хуже 50 микрон. Жёсткая форма, как вы понимаете, не годится для имитации подушечки пальца. Чтобы емкостная система аутентификации реагировала на муляжи, в клей добавляли токопроводящий алюминиевый порошок или графит. Кроме оптической и емкостной, проверялись также ультразвуковые датчики. Кстати, самым сложным в подборе муляжей для взлома оказалось подобрать размер отпечатка. Но это лишь увеличивает число попыток, что не принципиально.

В результате экспериментов выяснилось, что разработанная инженерами методика в среднем помогает взломать дактилоскопическую защиту примерно в 80 % случаев. Но паниковать не нужно. При утере или краже телефона взломать устройство можно только тогда, когда владельца устройства возьмут в серьёзный оборот. В противном случае вряд ли кто-то будет охотиться за отпечатками человека, чтобы получить доступ к ворованному устройству.

Самыми стойкими к взлому с помощью муляжей пальцев оказались устройства HP Pavilion x360, Samsung A70 и Lenovo Yoga. Ни один из опробованных инженерами Cisco методов не позволил обойти систему аутентификации. Зато взломать Samsung Galaxy S10 и Apple iPhone 8 удалось в 80 % случаев (попыток). Ноутбук MacbookPro и вовсе открылся в 95 % случаев.

Учётные записи на смартфонах Samsung теперь требуют двухуровневой аутентификации

Samsung давно добавила возможность включения двухуровневой аутентификации (2FA) в приложение Samsung Account. Но после того, как учётные записи многих знаменитостей в Южной Корее были взломаны, и вслед за недавним инцидентом с утечкой данных, связанного с уведомлениями Find My Mobile, Samsung решила сделать 2FA обязательной с помощью своего последнего обновления приложения учётной записи Samsung Account.

Новым или существующим владельцам учётных записей Samsung, которые будут входить в систему, потребуется аутентифицироваться, введя свой номер телефона для получения кода. Это произойдёт независимо от того, включена ли в существующей учётной записи 2FA или нет — теперь это просто обязательно.

Как ни странно, пользователям, которые вошли в свои учётные записи (думается, таковых большинство), не предлагается пройти повторную аутентификацию после обновления. Конечно, их учётные записи будут по-прежнему в безопасности, если кто-то попытается войти в систему, используя чужие учётные данные: они столкнутся с обязательным экраном 2FA.

Тем не менее, многие пользователи, вероятно, не будут знать об этом изменении, пока не выйдут из системы и не войдут снова по собственному желанию. Стоит отметить, что обновление ещё доступно не всем пользователям. И в отличие от большинства других приложений Samsung, которые можно проверить на наличие обновлений вручную, Samsung Account этого не поддерживает — пользователям в некоторых регионах придётся подождать какое-то время.

window-new
Soft
Hard
Тренды 🔥