هویت – برگه 10 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

می 19, 2018

احراز هویت – اگر ما فقط nonce سرور و نه سرور nonce استفاده کنیم، کدام یک از بردارها حمله می شود؟

همانطور که همه ما می دانیم، nonce برای جلوگیری از حمله مجدد مورد نیاز است. هرچند که من در مورد nonce خواندم، می بینم که مشتری همیشه از سرور و می خواهد امنیت بیشتری را بهبود ببخشد، همچنین میتواند مشتری خود را (cnonce) اضافه کند.

درست مثل این نمودار:

توضیح تصویر را اینجا وارد کنید

این طرح یک سربار اضافی به سرور را اضافه می کند؛ و من سعی می کنم شکل بگیرد که بردارهای حمله ممکن خواهد شد، اگر ما فقط از nonce client استفاده کنیم و در سرور مطمئن باشیم که cnonces ها هرگز استفاده مجدد نمی شوند (برای اجتناب از ذخیره سازی تمام موجودات مورد استفاده، بدیهی است که ما فقط می توانیم از آن استفاده کنیم هر cnonce بعدی برای یک کلید API داده شده بزرگتر از قبلی است و فقط آخرین کلید برای کلید API داده شده را ذخیره می کند.

تا کنون موفق به پیدا کردن هر بردار جدیدی از حمله نیستم: با اطمینان از اینکه cnonces هرگز نمی تواند دوباره استفاده شود برای هر کلید API، حملات بازی را کاملا حذف می کنیم. آیا چیزی از دست رفته؟

می 18, 2018

x.509 تایید هویت امضاهای زنجیره ای – Exchange Security Stack Security Information

هنگامی که یک برنامه کاربردی مشتری یک پرونده گواهی برگ را از یک موجودیت صادر شده توسط CA صادر می کند، چگونه تأیید امضا های Cert را انجام می دهد؟

به طور مشخص، مشخص نیست که آیا یک امضای گواهی برگ فقط رمزنگاری است تایید شده توسط کلید عمومی public key (که در cert تعبیه شده است) یا در صورتی که بعضی از مدارک والد CA در فرآیند رمزگشایی / تأیید امضا وجود داشته باشد.

پس از تایید برگ برگ، و برنامه به زنجیره صادر کننده و براساس گواهی CA متوسط می پردازد، در تأیید امضا مرکزی CA، کلید عمومی کلید ریشه در برخی از راه ها دخالت دارد؟ یا آیا برنامه تنها نیاز به کلید عمومی CA متوسط برای تأیید امضا میانجی دارد؟

می 18, 2018

احراز هویت – ID شناسایی اتصال: دوم ID-Token تنها دارای ویژگی "sub" است

من راه حل client-IAM را با استفاده از WSO2 Identity Server 4.5.1 راه اندازی می کنم. یکی از (چند) برنامه های کاربردی که با من از طریق Open ID ارتباط برقرار می کنند، یک رفتار غیرمنتظره را کشف کرده اند، و اگر برای رفتار Open Id Connect مناسب است یا اگر محصول اشتباه رفتار می کند، نیاز به کمک دارد.

هنگامی که کاربر تأیید هویت می کند، شناسه شناسایی و مجوز-کد بازگردانده می شود. ID_Token شامل تمام ویژگی های کاربر و نقش های قابل اجرا است، و بنابراین نقطه پایانی Userinfo اگر درخواست پس از رونویسی کد رد و بدل شود. یک دوره زمانی که برنامه میخواهد جلسه خود را تازه کند و کاربر را به OP بازگرداند تا یک شناسه جدید شناسایی کند. این کار می کند، اما به دلایلی، ID-Token (و نقطه پایانی Userinfo) فقط "زیر" را در این رویکرد دوم به نمایش می گذارد.

Q: آیا این کار چگونه OIDC قرار است کار کند؟

از شما متشکرم .

PS.
رفتار عجیب دیگر که متوجه شدم (ممکن است به نوعی مرتبط با آن باشد) این است که access_tokens که در طول مبادله کد ایجاد شده برای این برنامه طول عمر 300.000 ثانیه را دارد. بیش از آنچه که من تنظیم کرده ام (هر جا!). هنگامی که access_tokens از طریق کمک ضمنی ارائه می شود اتفاق نمی افتد. من نمیتوانم دلیل دلیلی برای این اتفاق بیافتم، اما اگر وجود داشته باشد، خوشحال خواهم شد که آن را بشنوم.
DS

می 15, 2018

تأیید هویت – مدیریت رمزهای عبور حیاتی و اطلاعات در یک کسب و کار کوچک با تمرکز بر تداوم کسب و کار

من با یک راه اندازی کوچک در ابتدای دوره زندگی آن کار می کنم. من اخیرا برخی نگرانی های امنیتی را درباره تداوم تجارت و آمادگی اورژانسی مطرح کردم.

من تلاش کرده ام تا به اهمیت داشتن برنامه ای برای پاسخگویی در حوادث، مانند توانایی ثبت علائم بحرانی و کلمه عبور یا سایر مدارک دسترسی در صورت وقوع حادثه یا فاجعه امنیتی (از جمله اسناد و مدارک یا پروتکل هایی حاوی اطلاعات حساس برای پوشش دادن چیزهایی مانند نیاز به مجدد محیط زیست ما) و یا دسترسی به خدمات و حساب های حیاتی خاص را بدون در نظر گرفتن دسترسی افراد خاص که این حساب ها را دارند، به عنوان یک تیم چند ملیتی. در حال حاضر، ما در مورد این منطقه سازمان زیادی نداریم. حساب هایی با صاحبان وجود دارد که دیگر در تیم شرکت نمی کنند و بسیاری از موارد "اگر شکست بخورد، ما باید امیدوار باشیم که این یک مرد در کشور را وارد کنید در اینجا در وسط شب در دسترس خواهد بود" [19659002] من از طریق برخی از گزینه ها را نگاه کردم، و به نظر می رسد که مدیران رمز عبور حداقل برای برخی از این موارد لایحه را در نظر بگیرند. چند نفر KeePassX را در سؤالات مربوطه توصیه می کنند، اما نمی توانم بگویم که آیا برای اعضای تیم چندان مفید خواهد بود و من باید آن را بررسی کنم تا ببینم آیا این چیزی است که به راحتی قابل حمل است یا خیر. به نظر نمی رسد مستندات زیادی وجود داشته باشد و بخشی از وب سایت آنها پایین آمده است که باعث می شود من تعجب کنم که چطور مشروع است. من شخصا از 1Password استفاده می کنم و به نظر می رسد که یک برنامه تمرکز تیمی دارند که حاوی یک داشبورد مدیر برای مدیریت مجوز ها و دسترسی است اما گزینه های حسابرسی مانند تغییر / دسترسی به سیاهه ها بدون ارتقا به طرح کسب و کار دو برابر هزینه است. هزینه عامل مهمی در هر راه حل است زیرا هر گونه افزایش بودجه (حتی کوچک) در این مرحله دشوار است، اما اگر یک راه حل پرهزینه است که بهترین راه حل است، من می توانم آن را امتحان کنم و امیدوارم بهترین باشد.

آیا کسی گزینه های بهتر را می داند؟
آیا من در مسیر درست فکر می کنم یا بیش از حد در مدیران رمز عبور تمرکز می کنم که راه حل دیگری ممکن است مناسب تر باشد؟
آیا می توانم مسائل امنیت بیشتری را با تلاش برای قرار دادن تمام این اطلاعات حساس در یک نقطه ایجاد کنم؟
آیا بهتر است یک راه حل فیزیکی (مثلا خرید یک ایمنی) را در نظر بگیریم، حتی اگر هیچ یک از ما در یک مکان قرار نگرفته باشیم؟

My هدف این است که بدانیم که گزینه های من چیست، کدام گزینه / خدمات / محصول به تناسب نیازهای ما مطابقت دارد، برای تحقیق در مورد چگونگی استفاده از بهترین گزینه ها و این تصمیم نهایی به سرپرستانی من.

می 15, 2018

احراز هویت – حفاظت از کاربر از دسترسی غیر مجاز

بنابراین ما در حال برنامه ریزی برای اضافه کردن یک ویژگی به برنامه ما است که شبیه آنچه گوگل انجام می دهد، اما کمی سخت تر:

شما لیستی از جلسات که به عامل کاربر و آدرس IP (؟) ( گوگل یک مکان را نشان می دهد)
2FA مورد نیاز است تنها زمانی که شما سعی می کنید از یک دستگاه که برای 30 روز گذشته تایید نشده است وارد شوید.
اگر تلاش ورود به سیستم از یک جفت کاربر / agent / IP جدید ساخته شود ، ما می خواهیم یک پیوند را با یک نشانه برای آدرس ایمیل خود برای تأیید ورود به سیستم ارسال کنیم.
هنگامی که روی پیوند کلیک می کنند، اگر 2FA فعال باشد، خواهیم از 2FA برای تایید ورود به سیستم

چند چیز ما در مورد:

با ایجاد کاربر اقدام به تایید ورود به سیستم، به جای گوگل که در آن فقط به شما می گوید از ورود … ما امیدواریم برای جلوگیری از تعداد بیشتری از ورود به سیستم های غیر مجاز. (در حال حاضر ما هر بار که کاربر وارد سیستم می شود، هر بار که وارد سیستم می شود، ما به آنها عامل کاربر و منطقه می گوئیم.)
با درخواست از 2FA برای استفاده از لینک، ما امیدواریم که بیشتر از ورود نامحدود محافظت کنیم (در حالی که می توانید از طریق ایمیل دسترسی، ما قبل از ورود به صفحه برای ورود به گذرواژه جدید بعد از کلیک روی پیوند بازنشانی، باید قبل از ورود به سیستم 2FA را مجددا اتخاذ کنیم.)
بزرگترین نگرانی ما این است که ما به طور تصادفی اشتباه نمیکنیم و برخی از کاربران باید پرش کنند از طریق این حلقه یک میلیارد بار در همان جلسه، زیرا حامل تلفن همراه خود را به طور مداوم IP خود را تغییر دهید … و غیره

بنابراین من متوجه است که محدودیت IP بر اساس احتمالا خیلی خوب نیست … بنابراین شاید نگاه کردن منطقه از طریق IP و فقط سفید لیست منطقه؟ اما پس از آن یک هکر فقط می تواند به راحتی عامل کاربر را فریب دهد و از یک پروکسی استفاده کند.

توجه: من درک می کنم این ما توقف همه برای امنیت نیست، اما ما می خواهیم این لایه را اضافه کنیم تا موارد دسترسی غیر مجاز را کاهش دهیم.

سوال من: چه مدل کلی برای محدودیت جلسه / ورود به یک توازن خوب بین "جلوگیری از هکرها / jerks جدید از ورود به سیستم به عنوان شما زمانی که رمز عبور خود را حدس زد / فیشش آن" و "کاربر مزاحم همیشه با لینک های پست الکترونیکی "؟