MFA, SSO, SAML и OIDC

Что такое аутентификация с одним и несколькими факторами

от

«Аутентификация, это не только «введите пароль». Это архитектурное решение, которое определяет, насколько сложно злоумышленнику подделать личность пользователя. В российских реалиях, где требования 152-ФЗ и ФСТЭК диктуют необходимость защиты персональных данных, выбор между однофакторной и многофакторной аутентификацией перестаёт быть вопросом удобства, а становится требованием регулятора.» Уровни защиты: от одного фактора к нескольким Процесс доказательства личности системе … Читать далее

Как хакеры на самом деле обходят двухфакторную аутентификацию

от

"Двухфакторная аутентификация стала мантрой безопасности, но её обходят даже чаще, чем кажется. Дело не в технологиях, а в социальном давлении, устаревших протоколах и слепых зонах самой архитектуры." Как хакеры обходят двухфакторную аутентификацию за 60 секунд? Почему двухфактор — не панацея Ощущение защиты от двухфакторной аутентификации обманчиво. За последние годы сформировалась целая экосистема методов, которые сводят … Читать далее

Частичное внедрение MFA: почему защита работает не везде

от

“Многофакторная аутентификация стала мантрой в сфере ИБ. Но часто её внедряют с пробелами, закрывая самые очевидные двери и оставляя открытыми служебные люксы. Последствия этого — не абстрактные риски, а реальные инциденты, где злоумышленник обходит дорогие системы защиты по самому простому пути.” Что такое MFA и почему её «частичного» внедрения недостаточно MFA, или многофакторная аутентификация,, это … Читать далее

Как уязвимость SS7 в мобильных сетях ставит под угрозу двухфакторную аутентификацию по SMS

от

Да, это настоящая атака, и она использует уязвимости протокола, который работает в самой сердцевине мобильной связи. Недостаточно сменить пароль — здесь придётся думать о защите на другом уровне. https://seberd.ru/5661 Что такое SS7 и почему это проблема безопасности В основе мобильной связи лежит сеть сигнализации №7 (SS7). Этот протокол был разработан несколько десятилетий назад, когда в … Читать далее

Двухфакторная аутентификация: что она защищает, а что нет

от

«Двухфакторная аутентификация, это не щит, который делает тебя неуязвимым. Это дополнительный замок на двери, который заставляет злоумышленника потратить больше времени и сил, пока он пытается её выбить. Но если дверь — твой пароль — сделана из картона, то и второй замок не спасёт. Истинная безопасность начинается с понимания, что защищает 2FA, а что остаётся твоей … Читать далее

Почему ваши аккаунты уязвимы даже с двухфакторной аутентификацией

от

«Двухфакторная аутентификация, это не панацея. Это важный рубеж, который ломается по-разному: через устаревшую архитектуру восстановления доступа, социальную инженерию и сломанный жизненный цикл учётных записей. Пока вы ищете самый безопасный тип второго фактора, ваш аккаунт уже можно получить через телефонную сеть или забытый резервный email.» Защита не там, где её ищут Идея «неуязвимости» после включения 2FA … Читать далее

Как двухфакторная аутентификация спасла бизнес от фишинга

от

«Двухфакторная аутентификация, это не просто «галочка для регуляторов» и не функция для параноиков. Это простой и действенный механизм, который отделяет обычную утечку данных от полномасштабной катастрофы. На примере реальной истории покажу, как именно он работает в момент атаки и почему его отсутствие, это не вопрос «если», а вопрос «когда».» Сигнал, который не заметили Почти всегда … Читать далее

Методы аутентификации в информационной безопасности

от

«Переход на многофакторную аутентификацию, это не просто добавление шага входа. Это смена парадигмы: от веры в секретность данных к доказательству легитимности субъекта через контролируемые им независимые каналы. В России этот выбор предопределён не удобством, а жёсткими требованиями регуляторов, которые напрямую связывают метод аутентификации с юридической ответственностью за возможные инциденты». Три столпа доказательства личности Любой механизм … Читать далее