条目标记“身份验证”

第1页共24页

对双因素认证的实时攻击

攻击者是瞄准双因素身份验证系统:

代表伊朗政府工作的攻击者收集了有关目标的详细信息,并利用这些信息编写专门针对目标操作安全级别的矛式网络钓鱼电子邮件,安全公司Certfa实验室的研究人员说博客。电子邮件包含一个隐藏的图像,当目标查看消息时,该图像会实时提醒攻击者。当目标在假的Gmail或雅虎安全页面输入密码时,攻击者几乎同时将凭证输入真实的登录页面。如果目标公司的账户受到2FA的保护,攻击者将目标重定向到请求一次性密码的新页面。

这不是新的。我在年写过关于这次袭击的文章二千零五二千零九

12月14日发布,2018年上午10:02·查看评论188滚球网站

利用机器学习创建假指纹

研究人员 能够的 创造假指纹导致20%的假阳性率。

问题是,这些传感器只能获取用户指纹的部分图像——在用户与扫描仪接触的地方。该报指出,由于部分印刷品不如完整印刷品那么独特,一部分打印与另一部分匹配的可能性很高。

人工生成的指纹,研究人员称之为“deepmasterprints”,利用上述漏洞在数据库中准确地模仿五分之一的指纹。该数据库最初被认为只有千分之一的错误率。

研究人员利用的另一个弱点是一些自然指纹特征的高普及率,如环和螺纹,与其他人相比。有了这样的理解,该团队生成了一些包含这些常见特性的打印。他们发现这些人造指纹更有可能与其他指纹相匹配。

如果这个结果是可靠的——而且我认为它在未来几年将会得到改进——它将使当前一代的指纹识别仪作为安全的生物识别技术而过时。这也开启了生物识别认证系统和假生物识别技术之间的军备竞赛的新篇章,假生物识别技术可以愚弄他们。

更有趣的是,我想知道类似的技术是否可以应用于其他生物识别技术。

研究

斜板线

11月23日发布,2018年上午6:11·查看评论188滚球网站

特洛伊狩猎密码

Troy Hunt有好文章关于为什么密码会留在这里,尽管存在安全问题:

这就是为什么密码在可预见的将来不会出现在任何地方,也就是为什么[在这里插入东西]不会杀死它们。如果只关注密码有多糟糕,或者有多少账户被破解,或者当人们无法访问他们的账户时,所需的费用,那么这一切都不会改变。(此处插入东西)的技术威力也不会改变讨论,因为它根本无法与密码竞争,而密码是组织如此关注的一个衡量标准:可用性。肯定的是,会有一些边缘案例当然也会有一些情况下更高的摩擦是合理的要么是资产被保护的性质要么是受众的人口结构,但你不会看到你的日常电子商务,社会媒体,甚至银行网站都在大规模变化。

他正确地指出,生物特征认证系统——比如苹果的面部识别和指纹认证——会增强密码,而不是取代密码。我想补充一下,好的双因素系统,像哆一样,还可以增加密码而不是替换密码。

黑客新闻线

11月5日,2018年上午10:24·查看评论188滚球网站

Facebook正在使用你的双因素认证电话号码来定位广告

喀什米尔·希尔

Facebook不满足于使用你自愿放入Facebook个人资料中的联系信息进行广告宣传。它还使用您出于安全目的而移交的联系信息和您根本没有移交的联系信息,但这是从其他人的通讯录中收集的,金宝搏博彩公司Facebook有一层隐藏的关于你的信息,我称之为“影子联系信息”。我设法在艾伦面前放置了一个广告,通过瞄准他的影子档案误导了他。这意味着你为折扣或可疑的网上购物而提供的垃圾邮件地址很可能与你的账户有关,并被用来投放广告。

这是研究报告。山:

他们发现,当用户给Facebook一个电话号码进行双因素身份验证,或者是为了接收关于用户帐户新登录的警报,这个电话号码在几周内就被广告商瞄准了。因此,那些希望自己的账户更安全的用户不得不做出隐私权衡,让广告商更容易在社交网络上找到他们。

10月2日发布,2018年上午5:53·查看评论188滚球网站

使用智能手机的麦克风和扬声器窃听密码

令人惊讶的是,这甚至是可能的。”声纳:主动声侧信道攻击“:

文摘:我们报告了第一次主动声侧信道攻击。扬声器用来发出人耳不见的声音信号,通过麦克风记录回声。把智能手机的音响系统变成声纳系统。回波信号可用于描述用户与设备的交互。例如,受害者的手指移动可以推断为窃取安卓手机解锁模式。在我们的实证研究中,攻击者必须尝试在三星S4安卓手机上验证自己身份的候选解锁模式数量,使用这种新颖的声学侧通道最多可减少70%。我们的方法可以很容易地应用于其他应用场景和设备类型。总体而言,我们的工作突出了一系列新的安全威胁。

新闻文章

9月5日发布,2018年6点05分·查看评论188滚球网站

关于量子密钥分发的全球通信总部

英国政府通信总部(GCHQ)则直言不讳评估量子密钥分配:

QKD协议只解决了为加密数据约定密钥的问题。无处不在的随需应变现代服务(如验证身份和数据完整性,建立网络会话,提供访问控制,自动软件更新)更多地依赖于身份验证和完整性机制,如数字签名,而不是加密。

QKD技术不能替代当前公钥签名提供的灵活的身份验证机制。QKD似乎也不适合未来的一些重大挑战,例如确保物联网(IOT)的安全,大数据,社会化媒体,或云应用程序。

我同意他们的看法。这是个好主意,但实际上根本没用。在量子计算机已经打破了传统的公钥算法的世界里,我甚至不认为这只是一个利基解决方案。

把整件事都读一遍。它很短。

发布于8月1日,2018年下午2:07·查看评论188滚球网站

2因素身份验证和iOS自动填充之间的交互带来的反常漏洞

苹果正在推出一种称为安全代码自动填充的iOS安全可用性功能。其基本思想是,操作系统会扫描接收到的短消息中的安全代码,并在自动填充中建议它们,这样人们就可以不用记忆或打字就可以使用它们了。

听起来真是个好主意,但是安德烈亚斯古特曼指出的那样这可能成为一个漏洞的应用程序:当对事务进行身份验证时:

事务验证,与用户身份验证不同,用于证明操作意图的正确性,而不仅仅是用户的身份。它最广为人知的是网上银行,它是防御复杂攻击的重要工具。例如,对手可以试图欺骗受害者将钱转到一个不同的帐户。为了实现这一点,对手可能会使用社会工程技术,如网络钓鱼和网络钓鱼和/或工具,如Man-in-the-Browser恶意软件

事务身份验证用于抵御这些对手。存在不同的方法,但在其中一个相关的方法中——这是目前最常用的方法之一——银行将总结任何交易请求的显著信息,用针对该信息而定制的TAN来扩充该摘要,并通过短信息将这些数据发送到注册的电话号码。用户,或者银行客户,应核实摘要,并如果这个总结符合他或她的意图,将短信中的棕褐色复制到网页中。

这个新的iOS功能为在事务验证中使用SMS带来了问题。应用于2FA,用户将不再需要打开和读取已方便地提取和显示代码的SMS。除非该特性能够可靠地在事务身份验证中区分2FA中的OTPs和tan,我们可以预期,用户也可以在没有显著信息上下文的情况下提取和呈现其TAN,例如交易的金额和目的地。然而,准确地验证这些重要信息对于安全至关重要。这个场景的应用示例包括一个中间人攻击用户从他们的移动浏览器访问网上银行业务,或者用户手机上的恶意网站或应用程序访问银行的合法网上银行服务。

这是两个安全系统之间有趣的交互。安全代码自动填充消除了用户查看短信息或记忆一次性代码的需要。事务验证假定用户在使用一次性代码之前读取并批准了SMS消息中的附加信息。

发布于6月20日,2018年6点51分·查看评论188滚球网站

恶意更改某人的地址

某人改变了UPS公司总部到他自己芝加哥公寓的地址。三个月后,公司发现了它。

问题,当然,是否在美国没有任何地址变更认证提交:

据邮政部门说,2017年提交了近3700万个地址变更请求,即PS表3575。形式,可以亲自填写,也可以在网上填写,在签名行下方包含一条警告:“任何提交虚假或不准确信息的人”可能会受到罚款和监禁。

为了减少可能的欺诈行为,邮局在变更时向新地址和旧地址发送确认函。这封信包括一个免费电话号码,可以打电话举报任何可疑的事情。

每一年,只有很小一部分的请求会提交给邮政检查员进行调查。美国一位发言人说邮政检查局无法向论坛提供具体的号码,但官员们此前曾表示,一年内地址变更调查的总数通常不超过1000次。

虽然涉及地址变更表单的欺诈长期以来都与身份窃贼有关,目标通常是毫无戒心的人,不是大公司。

发表于5月18日,2018年6点20分·查看评论188滚球网站

普林斯顿的物联网检查员工具

普林斯顿大学的研究人员公布物联网检查员,一种分析物联网设备的安全性和私密性的工具,通过检查它们通过互联网发送的数据。他们已经用这个工具研究了一系列不同的物联网设备。从他们博客

发现3:许多物联网设备与一大批不同的第三方联系

在许多情况下,消费者希望他们的设备与制造商的服务器联系,但是,与其他第三方目的地的通信可能不是消费者期望的行为。

我们发现许多物联网设备与第三方服务通信,消费者通常不知道。我们在物联网设备网络流量分析中发现了许多第三方通信实例。一些例子包括:

  • 三星智能电视。开机后的第一分钟,电视与谷歌Play对话,双击,Netflix,FandangoNOWSpotify,哥伦比亚广播公司微软全国有线广播电视公司,美国橄榄球联盟迪泽Facebook——即使我们没有在他们中的任何一个注册或创建帐户。

  • AMCREST WiFi安全摄像头。摄像头使用HTTPS与cellphonepush.quickddns.com积极通信。QuickDDNS是由大华运营的动态DNS服务提供商。大华也是一家安全摄像机制造商,虽然Amcrest的网站没有提到大华。AMCREST客户服务部通知我们,大华是原设备制造商。

  • 光环感烟探测器。智能烟雾探测器与broker.xively.com进行通信。xively提供MQTT服务,这使得制造商可以与其设备进行通信。

  • 吉利灯泡。Geeni智能灯泡与gw.tuyaus.com、由图雅经营,一家中国公司,也提供MQTT服务。

我们还研究了一些其他设备,例如三星智能相机和TP-Link智能插头,发现了与第三方的通信,从NTP池(时间服务器)到视频存储服务。

他们的前两个发现是“许多物联网设备缺乏基本的加密和认证”,“用户行为可以从加密的物联网设备流量中推断出来”,这一点也不奇怪。

博宁波音邮递

相关:物联网羞耻殿

5月1日发布,2018年上午6:32·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性