626 подписчиков

❕ Такое случается

22 января22 янв

2 мин

… Случается, что аккаунты компрометируют. Случается, что корпоративные. Случается, что через уязвимости SSO. Случается слишком часто. 🤓 В одной из недавних статей коллег по рынку анализ сводится к разбору четырёх критических уязвимостей: 🔵 Захват аккаунта через незащищённую ссылку смены почты. 🔵 Отсутствие ограничений на перебор кодов подтверждения. 🔵 Возможность массового брутфорса при регистрации. 🔵 Принятие JWT-токенов без проверки подписи. Разумеется, мы захотели рассказать пользователям и читателям, как эти проблемы решаются в продуктах Avanpost. Пойдём по порядку: 1️⃣ Механизм смены контактных данных (включая email) требует прохождения многофакторной аутентификации и не позволяет привязать чужой адрес без подтверждения со стороны владельца. Отдельно следует упомянуть адаптивную MFA на основе оценки рисков. Например, механизмы Unified SSO динамически проверяют контекст (поведение пользователя и параметры устройства), усложняя или вовсе запрещая аутентификацию. Все дейст

❕ Такое случается…

Случается, что аккаунты компрометируют. Случается, что корпоративные. Случается, что через уязвимости SSO. Случается слишком часто.

🤓 В одной из недавних статей коллег по рынку анализ сводится к разбору четырёх критических уязвимостей:

🔵 Захват аккаунта через незащищённую ссылку смены почты.

🔵 Отсутствие ограничений на перебор кодов подтверждения.

🔵 Возможность массового брутфорса при регистрации.

🔵 Принятие JWT-токенов без проверки подписи.

Разумеется, мы захотели рассказать пользователям и читателям, как эти проблемы решаются в продуктах Avanpost. Пойдём по порядку:

1️⃣ Механизм смены контактных данных (включая email) требует прохождения многофакторной аутентификации и не позволяет привязать чужой адрес без подтверждения со стороны владельца. Отдельно следует упомянуть адаптивную MFA на основе оценки рисков. Например, механизмы Unified SSO динамически проверяют контекст (поведение пользователя и параметры устройства), усложняя или вовсе запрещая аутентификацию. Все действия логируются, и администратор обладает функционалом, необходимым для оперативного реагирования на инциденты.

2️⃣ При восстановлении пароля или подтверждении Email используется механизм, ограничивающий повторные запросы кодов подтверждения как по частоте, так и по количеству попыток ввода. Поэтому ситуация, при которой злоумышленник вычисляет искомый OTP-токен методом перебора, не просто маловероятна. Она почти невозможна.

3️⃣ При регистрации нового аккаунта количество попыток ввода кода также ограничено, а повторный запрос кода подчиняется политике rate limiting (разрешение на запрос только по прошествии заданного времени). При необходимости администратор может и вовсе отключить самостоятельную регистрацию пользователей.

4️⃣ Что касается токенов: Avanpost FAM не принимает JWT без подписи. Все входящие токены проходят строгую валидацию подписи с использованием централизованно настроенных криптопровайдеров, включая ГОСТ Р 34.10-2012.

Помимо вышесказанного, механизм SSO реализован в рамках единой платформы Avanpost Unified SSO, которая обеспечивает кросспротокольный единый вход между ОС, веб-приложениями, десктопными клиентами и сетевыми сервисами. Все данные пользователя, включая факторы аутентификации и сессионные параметры, хранятся и передаются с соблюдением принципов минимальных привилегий и изоляции.

В завершение хочется сказать следующее. Случается, что аккаунты компрометируют. Но с продуктами Avanpost это случается значительно реже 👓

🅰️ Подписаться на Avanpost