-
Похожий контент
-
От KL FC Bot
Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
В новой редакции стандарта формализованы понятия и описаны требования к:
passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
Аутентификация по паролю
Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
View the full article
-
От Zvex88
Всех приветствую. При попытке скачать игру через торрент словил себе майнер, который нагружает мне проц, при попытках его выловить через диспетчер задач он исчезает, при этом пакостит пытаясь закрывать оперу на разных сайтах по лечению вирусов, включая этот. Полечил CureIT'ом, но при перезапуске системы он снова появляется. Сейчас увидев данный раздел хочу попросить помощи, но почитав раздел "порядок оформления запроса о помощи", скачав Autologger и вроде бы сделав всё по инструкции - архив с логами не создаётся. Скачал автологгер, антивирус был Dr.Web, удалил его через "удаление программ", отключил брандмауэр, запускаю от имени администратора, открывается стандартное окно автологгера с предупреждением об выгрузке всех антивирусов и т.д, потом открываются Internet Explorer и Opera GX и автологгер тут же закрывается, никаких файлов с логами не создаётся. Сделал вот этот скрипт
который создал мне архив autologgerreport, файл прикрепил Вопрос - что я в данной ситуации делаю неправильно и как сделать так чтобы всё заработало?
Система Windows 10 x64
AutoLoggerReport.7z
-
От d_kid
При выборке событий "Критические события" в журнале выходят подобные ошибки:
Статус устройства 'pc' изменился на 'Критический': Заканчивается или закончился срок действия лицензии.
Обратил внимание, что подобные ошибки выходят у тех, у кого в лицензии-свойства-устройства Дата действителен до стоит 01.01.1970, хотя ключ распространял сразу на все машины. Как это исправить?
-
От НиколайАбырвалг
Не получить логи работы антивирусов с удаленных рабочих станций.
Неудобно особенно когда проблемы возникают далеко.
-
От KL FC Bot
В последние годы законодательства различных стран, регулирующие правила работы с персональными данными, ужесточаются. При этом количество утечек год от года только растет. Если раньше они грозили в основном судебными исками и репутационным ущербом, то теперь штрафы от регуляторов могут составлять значительную часть потерь компании в результате инцидента. Поэтому мы решили опубликовать ряд советов, которые помогут вам организовать безопасные процессы сбора, хранения и передачи данных в своей компании…
Сбор персональных данных
Главное: cобирайте данные, только если имеете на это достаточно юридических оснований. Таким основанием может быть закон страны, в которой ваша компания работает; договор, предусматривающий обработку ПДн; или же явно выраженное согласие в электронной или бумажной форме. Кроме того:
сохраняйте факт получения согласия на обработку и хранение на случай возникновения претензий или проверок регулятора; не собирайте данные, которые реально не нужны для ваших рабочих процессов (данные не могут собираться «на всякий случай»); если не требующиеся для работы данные были собраны в силу какой-либо ошибки или недопонимания, незамедлительно удалите их.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти