Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

•Transferir como PPT, PDF•

1 gostou•661 visualizações

qqlan

Tecnologia

Как я перестал боятся токенов и полюбил одноразовые пароли Сергей Гордейчик Дмитрий Евтеев Positive Technologies

Кто мы? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

О чем пойдет речь ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Аутентификация ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Аутентификация в Интернет-Банках ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Системы одноразовых паролей ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Почему OTP на token != Сертификат на Smartcard ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ При детальной ручной и автоматизированной оценке методами «черного» и «белого» ящика вероятность обнаружения уязвимости высокой степени риска достигает 97%.

Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ Распределение вероятности обнаружения уязвимости по классам WASC.

Проблемы с реализацией «Проверка» длины пароля осуществлялась на сервере с помощью серверных сценариев. Пример аутентификации в одном OTP-based приложении :

OTP – не (всегда) моментальные пароли Censored

OTP – не (всегда) моментальные пароли ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

OTP – не (всегда) одноразовые пароли ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Атаки на клиентов ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Резюме ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Mais conteúdo relacionado

Mais procurados

Тестирование на проникновение в сетях MicrosoftDmitry Evteev

Алгоритмы пентестов. BaltCTF 2012beched

Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev

Трудовые будни охотника на угрозыSergey Soldatov

Пост-эксплуатация веб-приложений в тестах на проникновениеbeched

Что общего у CTF и тестов на проникновение?beched

Уязвимости систем ДБО в 2011-2012 гг.Dmitry Evteev

Реальные опасности виртуального мира.Dmitry Evteev

KazHackStan - "><script>alert()</script>Дмитрий Бумов

XSS. Обходы фильтров и защит.Дмитрий Бумов

Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days

История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev

Sqa days2010 polazhenko_osstmAlexei Lupan

Как взламывают сети государственных учрежденийDmitry Evteev

Информационная безопасность и web-приложенияMaxim Krentovskiy

Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev

Sim sim-2gorad

Практика обнаружения атак, использующих легальные инструментыSergey Soldatov

Охота на угрозы на BIS summit 2016Sergey Soldatov

Криптология в анализе защищённостиbeched

Mais procurados (20)

Тестирование на проникновение в сетях Microsoft

Алгоритмы пентестов. BaltCTF 2012

Тестирование на проникновение в сетях Microsoft (v.2)

Трудовые будни охотника на угрозы

Пост-эксплуатация веб-приложений в тестах на проникновение

Что общего у CTF и тестов на проникновение?

Уязвимости систем ДБО в 2011-2012 гг.

Реальные опасности виртуального мира.

KazHackStan - "><script>alert()</script>

XSS. Обходы фильтров и защит.

Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП

История из жизни. Демонстрация работы реального злоумышленника на примере ата...

Sqa days2010 polazhenko_osstm

Как взламывают сети государственных учреждений

Информационная безопасность и web-приложения

Статистика по результатам тестирований на проникновение и анализа защищенност...

Sim sim-2

Практика обнаружения атак, использующих легальные инструменты

Охота на угрозы на BIS summit 2016

Криптология в анализе защищённости

Semelhante a Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

Безопасность для сайтаMaksym Balaklytskyi

Как взломать телеком и остаться в живых. Сергей ГордейчикPositive Hack Days

Евгений Кутя - Информационная безопасностьGAiN@ESD

Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev

Одноразовые паролиkzissu

Обнаружение необнаруживаемогоAleksey Lukatskiy

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink

Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy

Безопасность для сайтаMaksym Balaklytskyi

Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico

Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink

Модель угроз биометрииAleksey Lukatskiy

Модель угроз биометрииАйдар Гилязов

Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy

ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "Expolink

«Стой! Кто идет?»: аутентификация и авторизация в корпоративных системахCUSTIS

Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP

"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий КайдаловHackIT Ukraine

Разработка эксплойтов для АСУ ТП: двойная играКомпания УЦСБ

CyberArk 21.10.2014DialogueScience

Semelhante a Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008 (20)

Безопасность для сайта

Как взломать телеком и остаться в живых. Сергей Гордейчик

Евгений Кутя - Информационная безопасность

Развитие систем анализа защищенности. Взгляд в будущее!

Одноразовые пароли

Обнаружение необнаруживаемого

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...

Обнаружение атак - из конца 90-х в 2018-й

Безопасность для сайта

Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...

Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"

Модель угроз биометрии

Борьба с вредоносным кодом: от базовых мер к целостной стратегии

ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "

«Стой! Кто идет?»: аутентификация и авторизация в корпоративных системах

Expose the underground - Разоблачить невидимое

"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов

Разработка эксплойтов для АСУ ТП: двойная игра

CyberArk 21.10.2014

Mais de qqlan

D1 t1 t. yunusov k. nesterov - bootkit via smsqqlan

Kaspersky SAS SCADA in the Cloudqqlan

Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan

ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...qqlan

Best of Positive Research 2013qqlan

Web-style Wireless IDS attacks, Sergey Gordeychikqqlan

G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...qqlan

SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]qqlan

Pt infosec - 2014 - импортозамещениеqqlan

SCADA StrangeLove Kaspersky SAS 2014 - LHCqqlan

Firebird Interbase Database engine hacks or rtfmqqlan

SCADA StrangeLove 2: We already knowqqlan

Internet connected ICS/SCADA/PLCqqlan

SCADA deep inside:protocols and software architectureqqlan

Techniques of attacking ICS systems qqlan

Positive Technologies Application Inspectorqqlan

Database honeypot by designqqlan

Positive Technologies Application Inspectorqqlan

Black Hat: XML Out-Of-Band Data Retrievalqqlan

ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2qqlan

Mais de qqlan (20)

D1 t1 t. yunusov k. nesterov - bootkit via sms

Kaspersky SAS SCADA in the Cloud

Миссиоцентрический подход к кибербезопасности АСУ ТП

ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...

Best of Positive Research 2013

Web-style Wireless IDS attacks, Sergey Gordeychik

G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...

SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]

Pt infosec - 2014 - импортозамещение

SCADA StrangeLove Kaspersky SAS 2014 - LHC

Firebird Interbase Database engine hacks or rtfm

SCADA StrangeLove 2: We already know

Internet connected ICS/SCADA/PLC

SCADA deep inside:protocols and software architecture

Techniques of attacking ICS systems

Positive Technologies Application Inspector

Database honeypot by design

Positive Technologies Application Inspector

Black Hat: XML Out-Of-Band Data Retrieval

ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2

Último

Ransomware_Q3 2023. The report [RU].pdfХроники кибер-безопасника

MS Navigating Incident Response [RU].pdfИрония безопасности

СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfХроники кибер-безопасника

CVE. The Fortra's GoAnywhere MFT [RU].pdfХроники кибер-безопасника

Cyberprint. Dark Pink Apt Group [RU].pdfХроники кибер-безопасника

Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfХроники кибер-безопасника

2023 Q4. The Ransomware report. [RU].pdfХроники кибер-безопасника

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности

Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

1. Как я перестал боятся токенов и полюбил одноразовые пароли Сергей Гордейчик Дмитрий Евтеев Positive Technologies

6. Актуальные векторы угроз

8. Как это работает?

10. Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ При детальной ручной и автоматизированной оценке методами «черного» и «белого» ящика вероятность обнаружения уязвимости высокой степени риска достигает 97%.

11. Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ Распределение вероятности обнаружения уязвимости по классам WASC.

12. Проблемы с реализацией «Проверка» длины пароля осуществлялась на сервере с помощью серверных сценариев. Пример аутентификации в одном OTP-based приложении :

13. OTP – не (всегда) моментальные пароли Censored

14.

15.

16.

17.

18. Спасибо за внимание! [email_address]

Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

Semelhante a Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008 (20)

Mais de qqlan

Mais de qqlan (20)

Último

Último (9)

Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008