نوشته‌شده در

آیا یک آدرس IP ثابت می تواند یک شناسه کاربری قابل اعتماد در محیط امن باشد؟

آیا می توان یک عمل قابل قبول بود اگر ما یک مشتری (فرد یا شرکت) را با مرتبط کردن آدرس IP های ثابت خود برای ثبت اقدامات ایمن که فقط مشتریان مجاز می توانند انجام دهند، ثبت نام کنیم؟ من به پاسخ هایی پاسخ دادم که محدود کردن مشتریان توسط آدرس های IP ثابت آنها یک حفاظت اضافی خوب است و دروغ کردن آدرس IP یک حمله عملی در ارتباط دو طرفه نیست. من می خواهم بدانم که از دیدگاه امنیتی قابل قبول است و از IP استاتیک مشتری استفاده می کند که تنها وسیله ای برای تأیید اعتبار مشتری است. چطوری خطرات مشخصی در رابطه با این روش وجود دارد؟

نوشته‌شده در

تأیید اعتبار – یک رمز گذار چیست؟

در حالی که بحث در مورد اعتبار / صداقت بایگانی برای مدت طولانی و مشکل به طور بالقوه مجدد در هنگام مصالحه، فرد با اصطلاح "trans-cipher" (یا "trans-encryption") آمد.

من تلاش کرد تا کل اینترنت را برای این جستجو جستجو کند، اما نمی توانست معنی این را بیابد. آیا می توانم کسی مرا روشن کند؟

توجه: در زمینه معتبر بودن آرشیو طولانی مدت، این اصطلاح در حالی که در حال صحبت کردن با امضای تایید است و مشکل زمانی که یک کلید خصوصی به مخاطره می افتد یا زمانی که الگوریتم برای کلید عمومی / خصوصی منسوخ شده (به عنوان مثال با توجه به قدرت سخت افزاری سخت افزاری که به نقطه ای رسید که در گذشته فاکتور مشکل دشوار بود، بی اهمیت می شود).

PS: ممکن است اصطلاح دقیق کمی متفاوت از "trans-cipher" باشد. در این پروژه رد دیجیتال برای اثر انگشت دیجیتالی (همچنین نام تابع رمزنگاری هش) …

نوشته‌شده در

تأیید هویت – کاربر معتبر بر اساس شناسه دستگاه تلفن همراه

من یک بازی تلفن همراه فرضی است که بازیکنان لزوما نیاز به ایجاد حساب برای بازی ندارند. داده های آنها از یک شناسه دستگاه مانند یک شناسه تبلیغاتی (IDFA) یا IdentifierForVendor شناسه اپل یا شناسه Android

کلید شده است. برای GDPR، باید تمام کاربران را مجاز به دانلود داده های خود کنم. آیا استفاده از یک شناسه دستگاه برای تأیید هویت کاربر ایمن است؟

به عنوان مثال، آیا این شناسه ها می توانند دروغین و حدس بزنند؟

نوشته‌شده در

احراز هویت – چرا با انواع خاصی از 2fa مضطرب می شوند اگر آنها می توانند به راحتی کنار گذاشته شوند؟

بله، TOTP و HOTP (علاوه بر ایمیل، اس ام اس و غیره) برای این آسیب پذیرند. چرا از آن ها استفاده می کنیم؟ از آنجا که آنها آسان برای پیاده سازی، و آنها انجام ارائه برخی از حفاظت. تا زمانی که اکثریت مردم از هر نوع عامل دوم استفاده نمی کنند ، فیشر بیشتر کاربران را هدف قرار می دهد، زیرا فیشینگ MitM (بحث انگیز) تلاش بیشتری می کند.

من این را قبلا گفتم و من آن را دوباره می گویم، زمانی که اکثر مردم برای استفاده از 2FA خود برای حساب های مهم خود شروع کرده اند، این نوع فیشینگ MitM بسیار شایع خواهد بود. راه برای جلوگیری از این U2F یا webauthn است، که هر دو از رمزنگاری کلید عمومی برای تأیید هویت به سرور استفاده می کنند و با مرورگر ارتباط برقرار می کنند تا مطمئن شوند که نام دامنه ای که بازدید کرده اید، با دامنه ای که کلید آن را ثبت کرده اید، مطابقت دارد.

If شما می خواهید یک وبلاگ طولانی تر و (به نظر من) پست وبلاگ کمتر متعلق به این موضوع را ببینید، من این پست وبلاگ Evilginx 2 را حذف کرده ام و به نظر می رسد همه چیز را به خوبی پوشش می دهد (و حتی در مورد اینکه چگونه دامنه های فیشینگ می توانند از اسکنرهایی که سعی می کنند جلوگیری کنند برای جلوگیری از آنها).