Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор Mrak
Всем привет!
Поделитесь информацией об используемом вами приложении для учёта доходов и расходов. Кто чем пользуется?
Во времена виндовс-фонов испльзовал Finance Tracker Application. Отличная программа была. Умела всё, что мне нужно, не просила денег вообще.
Полез на iOS искать похожую, а там сплошные жадины-разработчики. За простейшую программу (ведь по идее это переделанный эксель, урезанный и с несколькими видами диаграмм) просят ежемесячные платежи, ежегодные платежи или фантастические разовые суммы (А ты точно будешь всю оставшуюся жизнь поддерживать программу, если я тебе 6000 рублей отдам сейчас? Что-то сомневаюсь).
В общем давайте обсудим, кто и что применяет. Или меньше знаешь, крепче спишь, не надо ничего считать?
-
Автор KL FC Bot
Информационный поток с каждым днем не уменьшается, и в 2025 году в нашей голове остается все меньше места для таких вещей, как пароль к той самой почте, которую вы завели в далеком 2020, чтобы зарегистрировать маму на маркетплейсе. Во Всемирный день пароля, выпадающий в этом году на 1 мая, День труда, предлагаем потрудиться и объединиться в борьбе против забывчивости, слабых паролей и хакеров.
Как уже не раз подтверждали наши эксперты, целевая компрометация пароля — лишь вопрос времени и средств, причем зачастую — очень короткого времени и копеечных средств. И наша задача — максимально усложнить этот процесс, напрочь отбив желание у взломщиков заниматься именно вашими данными.
В прошлогоднем исследовании мы выяснили, что 59% всех паролей мира могут быть взломаны менее чем за час при помощи умных алгоритмов, требующих мощной видеокарты вроде RTX 4090 или дешевой аренды облачных вычислительных мощностей. Сейчас мы проводим второй этап исследования и скоро расскажем, изменилась ли ситуация за год к лучшему или нет, так что подписывайтесь на наш блог или телеграм-канал, чтобы первыми узнать о результатах.
Сегодня мы не просто расскажем о наиболее безопасных методах аутентификации и способах создания сложных паролей, но и обсудим техники их запоминания, а также ответим на вопрос, почему использовать менеджер паролей в 2025 году — действительно хорошая идея.
Как безопаснее логиниться в 2025 году
Сейчас у нас достаточно вариантов, с помощью которых можно проходить аутентификацию в сервисах и на веб-сайтах:
классическая связка логин-пароль; аутентификация с помощью стороннего сервиса (VK, Яндекс, Apple, Google и т. д.); двухфакторная аутентификация с подтверждением: через SMS с одноразовым кодом; через приложение-аутентификатор (например, Kaspersky Password Manager, Google Authenticator или Microsoft Authenticator); с применением аппаратного ключа (например, Flipper, YubiKey или USB-токена); использование passkey и биометрической аутентификации. Разумеется, каждый из этих способов можно как усилить, например создать сложный пароль из 20+ случайных символов, так и ослабить, допустим, оставляя токен в USB-порту, а сам компьютер — без присмотра в публичных местах. И потому время «классических» паролей еще не прошло. Поэтому давайте разбираться, как мы можем усилить наши текущие позиции: придумать и запомнить незабываемый пароль.
View the full article
-
Автор KL FC Bot
Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
Мотивы перехода на passkeys в компании
Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.
View the full article
-
Автор KL FC Bot
Сейчас принято считать, что зумеры — несерьезные сотрудники: не хотят трудиться, ленятся, часто меняют одну работу на другую. А вот статистика говорит об обратном. Почти половина представителей поколения Z переключаются между фуллтаймом, фрилансом и прочими подработками. Злоумышленники это прознали — молодые люди с несколькими работами стали для них удобной мишенью.
Наши эксперты провели исследование и выяснили, какие неочевидные угрозы несет этот тренд. В этой статье разбираемся, как зумерам работать в нескольких местах без риска для собственной кибербезопасности.
Больше приложений – больше проблем
Основная проблема связана с корпоративными приложениями и доступами: звонок в Zoom на основной работе, мессенджер Slack — для другой, а задачки везде ставят в Notion. А между прочим, все эти приложения расширяют возможную поверхность атаки злоумышленников. Негодяи постоянно рассылают фишинговые письма, правдоподобно переписываются от лица работодателей и продвигают вредоносы под видом легитимного ПО для работы. Ставить фейковые поручения якобы от лица босса они тоже могут.
В период с последней половины 2024 до первой половины 2025 эксперты «Лаборатории Касперского» зафиксировали 6 млн атак с поддельными платформами. Чаще всего атакующие имитировали приложения из золотой троицы каждого корпоративного работника: Zoom, Microsoft Excel и Outlook.
Выглядеть это может так: злоумышленник отправляет письмо якобы от лица Zoom с просьбой обновить приложение. В письме — ссылка, которая ведет на фишинговый сайт, имитирующий оригинальную страницу Zoom и сразу же загружает на устройство фейковое приложение. Оно, в свою очередь, может красть данные контактов жертвы или вовсе получить доступ к рабочему окружению — возможных сценариев много.
Фишинговый сайт предлагает как можно скорее установить «новую версию Zoom»
View the full article
-
Автор KL FC Bot
Переход на ключи доступа (КД, passkeys) сулит организациям экономически эффективный способ надежной аутентификации сотрудников, увеличение продуктивности и достижение регуляторного соответствия. Все за и против этого решения для бизнеса мы подробно разобрали в отдельной статье. Но на успех проекта и саму его возможность влияют технические подробности и особенности реализации технологии в многочисленных корпоративных системах.
Поддержка passkeys в системах управления identity
Перед тем как решать организационные проблемы и писать политики, стоит разобраться, готовы ли к переходу на КД основные ИТ-системы в организации.
Microsoft Entra ID (Azure AD) полностью поддерживает КД и позволяет администраторам выбрать КД в качестве основного метода входа в систему.
Для гибридных внедрений, где есть on-prem-ресурсы, Entra ID может генерировать токены Kerberos (TGT), которые затем будет обрабатывать доменный сервер Active Directory.
А вот для входа через RDP и VDI и входа в AD, работающую только on-premises, нативной поддержки у Microsoft пока нет. Впрочем, с некоторыми ухищрениями организация может записывать passkey на аппаратный токен, например YubiKey, который будет одновременно поддерживать традиционную технологию PIVKey (смарт-карты) и FIDO2. Также для поддержки этих сценариев есть сторонние решения, но организации потребуется оценить, как их применение влияет на общую защищенность и регуляторное соответствие.
В Google Workspace и Google Cloud есть полная поддержка passkeys.
Популярные системы управления identity, такие как Okta, Ping, Cisco Duo, RSA ID Plus, поддерживают FIDO2 и все основные формы КД.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти