Оказывается, существуют USB-ключи и смарт-карты ФОРОС http://smart-park.ru/index.php/products/forosnew.html
Интересно, какая сейчас ёмкость у рынка аппаратных средств аутентификации, раз всё новые и новые игроки находят себе на нём место?…
Как связаны аутентификация и теория относительности? Учёные ищут способы защиты ATM за гранью физики
__В ноябре Nature опубликовал работу учёных Женевского университета (UNIGE) и канадского Университета Макгилла, которые решили заменить привычную систему PIN-кодов на более безопасную. В поисках сверхнадежной аутентификации исследователи предложили пересмотреть фактор владения и опираться на метод математического доказательства с нулевым разглашением в связке со специальной теорией относительности. __
Уязвимости протокола OAuth 2.0: опасно ли аутентифицироваться через профиль в соцсетях
OAuth 2.0 — протокол авторизации, позволяющий входить на сайты с помощью профиля в социальных сетях. Протокол имеет гибкую структуру, в нём отсутствуют обязательные функции безопасности, что повышает вероятность успешной атаки со стороны злоумышленников. Наличие уязвимостей в OAuth 2.0 зависит от правильности применения потоков протокола, а также от использования его параметров.
В сервисы «Яндекса» будут пускать по паспорту. ИТ-гигант внедрит авторизацию через ЕСИА
__Российский ИТ-гигант «Яндекс» планирует запустить новую систему доступа пользователей к своим профилям. Для входа в личный кабинет во всех сервисах «Яндекса» россиянам можно будет использовать Единую систему идентификации и аутентификации. Другими словами, будут использоваться данные, применяемые для доступа к порталу госуслуг.
О скором внедрении ЕСИА в сервисы «Яндекса» сообщил действующий глава российского Минцифры Максут Шадаев. Министр подчеркнул, что в скором будущем эта практика распространится и на другие популярные у россиян веб-сервисы, но не уточнил, на какие именно.__
Сканер отпечатков пальцев MacBook и iPad взломали с помощью фото, клея и плёнки
На видео длиной всего одну минуту показывают, насколько прост процесс взлома: достаточно взять фото отпечатка, перевести его в чёрно-белый вариант без оттенков серого и распечатать получившуюся картинку на лазерном принтере на ацетатной плёнке. Напечатанный отпечаток будет объёмным. Дальше достаточно будет нанести на этот отпечаток обычный столярный клей и подождать, пока он затвердеет.
«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах
В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.
«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах
В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.
Израильская армия использует технологии распознавания лиц для отслеживания палестинцев
__Израильские военные используют технологии распознавания лиц для отслеживания палестинцев на оккупированном Израилем Западном берегу реки Иордан. Бывшие израильские солдаты рассказали изданию The Washington Post о программном обеспечении для смартфонов под названием Blue Wolf, которое делает фотографии палестинцев и сопоставляет их с большой базой данных. Затем телефон оповещает солдата, следует ли арестовать, задержать или оставить данного человека в покое.
Израильская армия последние два года наполняла базу данных тысячами изображений палестинцев и даже проводила так называемые «конкурсы», награждая солдат за то, что они фотографировали как можно больше людей.__
Facebook откажется от использования системы распознавания лиц
__Компания Meta, которой принадлежит соцсеть, удалит шаблоны более одного миллиарда людей, поскольку регуляторы пока не регламентировали применение этой технологии.
«Мы прекращаем работу системы распознавания лиц в Facebook. Люди, которые соглашались ее использовать, больше не будут автоматически определяться на фото и видео»,— отметили в Meta.
По словам вице-президента по искусственному интеллекту в Facebook Джерома Песенти, регуляторы еще не создали определенный набор требований к использованию системы распознавания лиц, поэтому необходимо пока ограничить ее. Предполагается, что компания удалит шаблоны лиц к декабрю 2021 года.__
SSL сертификаты. Для чего они нужны, какие бывают, от чего защищают, кто использует, как долго действуют, есть ли гарантия? Разберем основные вопросы – кратко, в режиме твиттера – не более 280 символов на ответ.
ФБР получило ордер на разблокировку устройства с помощью биометрии
__Для получения информации о деятельности мужчины, обвиняемого в участии в захвате Капитолия 6 января 2021 года и нападении на полицейских с применением перцового баллончика, ФБР использовало один из самых противоречивых своих методов.
Как сообщает Forbes, 4 февраля нынешнего года агенты ФБР получили ордер на обыск по месту жительства подозреваемого в городе Юнионтаун (штат Пенсильвания, США) и разблокировку устройств с помощью его отпечатков пальцев, лица или других биометрических данных. Попав внутрь помещения, они обнаружили, что подозреваемый Питер Шварц (Peter Schwartz) использовал для разблокировки своего Samsung S10 отпечаток большого пальца.__
Сноуден: Не сдавайте свою биометрию в обмен на криптовалюту
__На днях новый стартап венчурного инвестора Сэма Альтмана Woldcoin вышел из режима секретности, раскрыв некоторые подробности о своих разработках. Компания создала устройство для сканирования радужки глаза и планирует выплачивать согласившимся пройти сканирование награду в собственной криптовалюте. Реализован проект на блокчейне Ethereum.
Разработчики заверяют, что как такового сбора биометрии в базу данных не происходит. Скан радужной оболочки глаза преобразуется в цифровой код прямо в устройстве. После этого исходные данные удаляются, а код хранится в распределенном реестре, служа уникальным идентификатором пользователя. Восстановить скан по коду невозможно.
Эдвард Сноуден, известный сторонник конфиденциальности, раскритиковал создание базы биометрических данных стартапом Worldcoin. Сноуден призвал своих подписчиков в Twitter не обменивать свои биометрические данные на криптовалюту.__
__Пользователи очень любят простые пароли. Причины этого могут быть разные - кто-то просто не задумывается о сложности пароля, кому-то лень запоминать, а кому-то просто нравится когда в качестве пароля используется распространенное, но крутое слово.
Адекватной реакцией на эту проблему со стороны разработчиков является проверка пользовательских паролей и, соответственно если пароль слишком прост, предложение создать пароль посерьезней. Давайте рассмотрим как можно реализовать наиболее распространенные проверки.__
**И снова про безопасность банков и СМС
**
Сегодня меня попытались “развести” интернет-мошенники. Схема обычная и нехитрая - “у вас скомпрометирована карта, пришлите код из СМС чтобы мы заблокировали операцию”. Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные “утекли” и что с подобным кодом могли сделать жулики, я проверил - и мне стало реально страшно.
Правительство разрешило собирать биометрию водителей каршеринга и такси
__Правительство утвердило перечень случаев, в которых нефинансовые организации смогут собирать и обрабатывать в информационных системах персональные биометрические данные физлиц. Соответствующее постановление подписал премьер-министр Михаил Мишустин. Документ опубликован на официальном портале правовой информации.
Документ разрешает использование биометрических данных для идентификации и аутентификации водителей легковых такси и автомобилей каршеринга.
В Минцифры заверили, что в постановлении правительства описана ситуация, когда владельцы такси или каршеринга по собственной инициативе используют коммерческие биометрические системы. Они смогут предоставлять услуги по биометрической идентификации только при условии наличия аккредитации на предмет соответствия требованиям по информационной безопасности и хранению биометрических персональных данных. Ее будет проводить Минцифры с 2022 года.
Постановление вступит в силу 1 марта 2022 года и будет действовать шесть лет.__
Новый метод на базе ИИ позволяет подсмотреть вводимый PIN-код в банкоматах
__Исследователи из Италии и Нидерландов разработали метод машинного обучения, способный определять вводимый человеком PIN-код в банкомат. Новый метод работает даже в тех случаях, когда клиент банкомата прикрывает рукой панель ввода.
Поскольку экран банкомата вряд ли будет скрыт во время ввода PIN-кода, время нажатия клавиши может быть установлено путем синхронизации движений руки с появлением «замаскированных» цифр (обычно звездочек), которые появляются на экране банкомата в ответ на запрос пользователя. Синхронизация показывает точное расположение рук в «скрытом» сценарии в момент ввода.
Рассматривая меры противодействия существующим системам, исследователи считают, что реально действенных средств защиты от такого рода атак не существует. Увеличение минимального числа необходимых цифр в PIN-коде затруднит запоминание чисел, случайный порядок расположения цифровых клавиш на программной клавиатуре сенсорного экрана также вызывает проблемы с удобством использования, а защитные пленки для экрана не только будут дорогими для установки на существующие банкоматы, но и, возможно, сделают способ атаки еще более простым в реализации. Исследователи утверждают, что их атака работоспособна даже тогда, когда скрыто 75% клавиатуры (закрытие большего количества затрудняет ввод текста пользователем).__
7-Eleven собрала биометрические данные 1,7 млн человек без их согласия
__Австралийский комиссар по информации обнаружил , что оператор крупнейшей сети небольших магазинов 7-Eleven нарушал приватность своих клиентов, собирая биометрическую информацию без их согласия.
С июня 2020-го по август 2021 года компания 7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами. Эти планшеты, установленные в 700 магазинах, захватывали изображения лиц участников опроса два раза - в процессе заполнения и после.
Узнав об этом в июле прошлого года, Управление австралийского комиссара по информации (Office of the Australian Information Commissioner, OAIC) инициировало расследование.__
Власти решили перенести переход бизнеса на новый формат электронной подписи
__Власти приняли решение перенести последний этап реформы электронной подписи на более поздние сроки. Об этом сообщил РБК со ссылкой на источники среди участников рынка. Изначально планировалось, что бизнес с 1 января 2022 г. перейдет на машиночитаемые доверенности — электронные документы, подтверждающие, что сотрудник имеет право подписывать документ от имени организации.
Представитель аппарата вице-премьера Дмитрия Чернышенко подтвердил, что на совещании у вице-премьера было принято решение, что в 2022 г. будет введен переходный период для использования так называемых машиночитаемых доверенностей. В течение следующего года такие электронные документы можно будет применять добровольно, а аккредитованные удостоверяющие центры смогут, как и раньше, выпускать на сотрудников электронные подписи с привязкой к организации.__
Мэрия Москвы планирует контролировать ношение масок в ТЦ с помощью камер
__Мэрия Москвы потребовала от торговых центров записи с камер, которые подключат к городской системе видеонаблюдения, чтобы следить за соблюдением масочного режима, __сообщил __«Коммерсантъ» со ссылкой на источник, присутствовавший на совещании в департаменте торговли и услуг Москвы 13 октября.
Торговые центры получили указание до 20 октября интегрировать видеокамеры с входных групп объектов с единым центром хранения данных (ЕЦХД) мэрии города. В инструкции для ТЦ говорится, что разрешение камеры должно быть не ниже 720p, частота кадров — 15-25 кадров в секунду.
Администрация ТЦ должна назначить ответственного для взаимодействия с департаментом информационных технологий (ДИТ) Москвы. На запрос издания в ДИТ не ответили__.
**Банки попросили ЦБ отложить обязательную выдачу кредитов по биометрии
**
Банки не успевают выполнить новые требования так называемого антиотмывочного закона о запуске с 1 января 2022 года возможности дистанционного открытия счетов, вкладов и выдаче кредитов с помощью Единой биометрической системы (ЕБС). Ассоциация банков «Россия» (АБР), в которую входят крупнейшие кредитные организации, попросила ЦБ фактически перенести срок вступления этих требований на 1 января 2023 года — до этого времени регулятору предлагается не применять к банкам меры воздействия (закон о ЦБ включает в их число штрафы, ограничение операций, ограничение компенсирующих выплат сотрудникам, назначение временной администрации и т.д.).
Дипфейк-голоса могут обмануть IoT-устройства и людей после пяти секунд обучения
__Исследователи из Чикагского университета протестировали программы синтеза дипфейк-голосов, доступные на сайте сообщества разработчиков с открытым исходным кодом Github, с целью узнать, могут ли они обойти системы распознавания голоса в Amazon Alexa, WeChat и Microsoft Azure.
По словам разработчиков программе требуется всего пять секунд для создания приемлемой имитации. Созданный «набор инструментов для клонирования голоса в реальном времени» был в состоянии обмануть Microsoft Azure примерно в 30% случаев и в 63% случаев успешно обманывал WeChat и Amazon Alexa.
Программа смогла обмануть и человеческие уши — из 200 добровольцев, которых просили определить настоящие голоса среди дипфейков, примерно в половине случаев ответы были неправильные.__
Google раздал 10 тысяч флэшек с ключами безопасности
__Google бесплатно раздал USB-ключи безопасности 10 тыс. пользователям с высоким риском быть взломанными хакерами. Как сообщает «Би-би-си», это специальные флешки с паролями от аккаунтов, обеспечивающие дополнительный уровень безопасности.
Флэшки с ключами безопасности были розданы, в первую очередь, людям с высоким риском взлома. К ним относятся политики и правозащитники. С помощью USB-ключей пользователи смогут настроить двухфакторную аутентификацию.__
Баг LibreOffice и OpenOffice позволяет подделать подписанные документы
__Разработчики LibreOffice и OpenOffice выпустили обновления, призванные устранить уязвимость в этих офисных пакетах. Согласно описанию, брешь позволяет злоумышленникам замаскировать файлы под документы, подписанные надёжным источником.
Несмотря на то что баг получил среднюю степень риска, его эксплуатация может привести к печальным последствиям, поскольку пользователи склонны доверять подписанным документам. С помощью бреши любой может выдать документ за доверенный, а потом выполнить вредоносный код на компьютере жертвы.__
__Говорят, что лучший менеджер паролей — это наш мозг. В этом утверждении есть смысл, но иногда приходится задействовать и внешние ресурсы. Сегодня мы хотим рассказать о лучших менеджерах паролей 2021 года, которые могут сделать вашу жизнь немного проще.
Выбрать удобный и надёжный менеджер паролей — непростая задача. Вы должны действительно доверять сервису. В конце концов, именно он будет хранить ваши секретные данные.
Мы протестировали два десятка менеджеров паролей и выбрали десять, которые являются лучшими с точки зрения функциональности, безопасности и удобства. Все оценки субъективны, конечно же.__
Avanpost FAM обеспечит многофакторную аутентификацию для Microsoft Exchange
__«Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, успешно интегрировала систему Avanpost FAM с корпоративной почтой Microsoft Exchange.
Avanpost FAM помогает обеспечить централизованный контроль доступа пользователей к корпоративной почте Microsoft Exchange и использует для ее защиты современные способы многофакторной аутентификации. При этом система позволяет защитить почту не только веб-клиентов, но и пользователей мобильных приложений Outlook, подключаемых по Exchange ActiveSync. Данное решение позволяет отказаться от стандартного подхода к многофакторной аутентификации в Exchange с использованием облачного сервиса MFA, позволяя реализовать аутентификацию в on-premise-инфраструктуре организации.__
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet
**
**Администратор форума RAMP и бывший оператор шифровальной группировки Babuk выложил реквизиты доступа к полумиллиону скомпрометированных устройств Fortinet. Уязвимости в них устранены, но администраторы забыли сменить логины и пароли.
__Европарламент проголосовал за резолюцию, призывающую к полному запрету биометрических систем массового слежения, использующих технологии искусственного интеллекта. Речь идет в первую очередь о системах распознавания лица.
Основным мотивом для озабоченности европарламентариев стали риски дискриминации, необъективности и несправедливости при использовании данных систем правоохранительными органами. В ходе обсуждения были представлены многочисленные примеры, доказывающие несовершенство и ошибочность работы систем распознавания лиц.__
__Российские власти готовятся к очередному этапу цифровизации страны. Минцифры создало рабочую группу, в рамках которой будет разрабатываться механизм внедрения усиленных квалифицированных электронных подписей (УКЭП) в SIM-карты граждан. Это позволит в перспективе полностью избавиться от необходимости в физических подписях документов.
В сообщении Минцифры сказано о том, что усиленные квалифицированные электронные подписи (УКЭП) можно будет ставить на базе стандартных сим-карт для телефонов. Поскольку такая подпись защищена и программно, и юридически, сопоставима по значимости с личной, такой подход избавит россиян от многих проблем при проведении критически важных и рискованных операций, а также избавит от необходимости личного посещения различных инстанций. Как именно будет реализована технология УКЭП на сим-картах, не уточняется.__
Google самостоятельно подключит пользователей к двухфакторной аутентификации
__Американская корпорация Google к концу 2021 года автоматически подключит к двухфакторной аутентификации свыше 150 млн пользователей, а также более 2 млн авторов на YouTube. В компании считают, что это поможет усилить безопасность учетных записей.
Сейчас Google автоматически включает двухэтапную аутентификацию в тех аккаунтах, где указан номер телефона или резервный адрес электронной почты. Ранее, в мае 2021 года, Google разрешила поставить пароль на историю действий на сайтах, в приложениях и сервисах Google, поисковые запросы, историю просмотров YouTube и вопросы «Google Ассистенту».
__
https://www.kommersant.ru/doc/5018924
«Яндекс» будет предупреждать о скомпрометированных паролях
__Российская компания «Яндекс» объявила об усилении безопасности аккаунтов пользователей. Теперь при входе в учетную запись пароль будет проверяться на надежность: если он был скомпрометирован, «Яндекс» попросит поменять пароль.
«Яндекс» будет осуществлять проверку по базе из 1,2 млрд скомпрометированных паролей, пополняемых из открытых источников. Будут учитываться пароли, раскрытые в результате утечек данных. Если пароль был скомпрометирован, то «Яндекс» попросит его сменить и подтвердить права на аккаунт через СМС. Также «Яндекс» теперь будет присылать уведомления обо всех входах в учетную запись, чтобы можно было сразу принять меры и защитить аккаунт.__
Mozilla: Бэтмен и Человек-паук чаще всего фигурируют в слитых паролях
__Пароли с отсылками к фильмам про супергероев стали чаще фигурировать в базах скомпрометированных учётных данных. Об этом говорит исследование, которое недавно провели специалисты компании Mozilla.
В этот раз исследователи решили выяснить, какие пароли чаще всего встречаются в утечках. Удивительно, но пользователи довольно часто задействуют имена супергероев для защиты своих аккаунтов. Например, Супермен встретился аналитикам 368 397 раз, Бэтмен — 226 327 раз, Человек-паук — 160 030. Росомаха и Железный человек тоже фигурировали в тысячах утечек.__
Касперская посоветовала россиянам не сдавать биометрические данные
__Президент InfoWatch Наталья Касперская посоветовала не сдавать биометрические данные из-за отсутствия понимания, как их будут защищать, сообщили «РИА Новости».
«Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на удобство. Их практически с гарантией украдут, продадут, сольют. Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников. При этом мне лично непонятно, а зачем вообще нужно использование биометрии?» — сказала она.__
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
The Rise of One-Time Password Interception Bots - пост Брайна Кребса про сервисы перехвата одноразовых паролей (One-Time Password):
__Клиент (злоумышленник) OTP Agency (прим. - __это один из таких сервисов) вводит номер телефона и имя жертвы, а затем служба инициирует автоматический телефонный звонок, который предупреждает этого человека о несанкционированной активности в его аккаунте. Далее голосовой бот предлагает пользователю ввести OTP-пароль, сгенерированный мобильным приложением его телефона («для целей аутентификации»), после чего этот полученный код сообщается злоумышленнику через веб-сайт OTP Agency.
SRP-6a. Безопасная аутентификация по небезопасному каналу
Как аутентифицировать пользователя без передачи пароля на сервер? Возможно ли проверить, что пользователь ввёл правильный пароль, не передавая пароль на сервер. Да, такое возможно, благодаря доказательству нулевого разглашения.
Вывод (спойлер):
SRP является отличным протоколом парольной аутентификации, устойчив к перебору по словарю, прослушиванию, подмены. Аутентификационные данные хранятся на сервере в виде, не позволяющем извлечь первоначальный пароль. Более того, алгоритм может использоваться для шифрования передаваемых данных.
Баг в драйвере AMD CPU может раскрыть пароли пользователей Windows
Американская компания AMD, производящая процессоры, настоятельно рекомендует пользователям операционной системы Winodws установить все вышедшие обновления. Оказалось, что разработчики пропатчили опасную уязвимость, с помощью которой злоумышленники могут снять дамп системной памяти и украсть конфиденциальные данные. Эта брешь отслеживается под идентификатором CVE-2021-26333 и затрагивает компьютеры с процессорами от AMD. Как объяснил сооснователь ZeroPeril, обнаруживший уязвимость, основная проблема заключается в драйвере AMD Platform Security Processor (PSP), который, по сути, является эквивалентом Intel SGX.
