英国计划要求科技公司必须提供身份验证工具以应对匿名恶意用户
英国政府拟议中的一项措施将迫使科技公司开发工具,让用户过滤掉任何被认为 “合法但有害”的材料。这些新措施被添加到英国即将出台的《网络安全法案》中,该法案将强制要求数字平台承担起保护用户免受有害内容影响的责任。 根据英国政府周五宣布的新计划,Facebook、Google和Twitter等科技平台将被要求引入身份验证工具,以帮助用户阻止网上的匿名恶意用户。这些建议意味着网络平台需要为用户提供一种验证其身份的方法,并允许他们阻止任何未经验证的账户向他们发送或回复信息。 政府说,科技公司将有责任决定如何进行身份检查,并补充说这可能包括使用面部识别软件来验证用户的个人资料照片。双因素认证技术,向某人发送短信,要求他们验证自己的身份。在创建或更新社交账户时,要求提供政府颁发的身份证件,如护照。英国政府已责成英国媒体监督机构Ofcom制定关于公司如何履行用户验证要求的指南。 另一项措施将迫使科技公司开发工具,让用户过滤掉任何被认为”合法但有害”的材料。政府说,这可能包括新的设置,防止用户收到关于某些主题的推荐,或在这些材料上放置”敏感内容”。这些新措施被添加到英国即将出台的《网络安全法案》中,该法案将强制要求数字平台承担保护用户免受有害内容影响的责任。 如果不遵守规定,可能会被罚款,罚款额度最高为公司全球年收入的10%。监管机构还将有权阻止不符合规定的服务在英国被访问。该法案尚未定稿,在成为法律之前必须得到议会批准。 (消息及封面来源:cnBeta)
Yubico 推闪电接口 YubiKey 5Ci 安全密匙 用于 iOS 设备物理安全身份验证
Yubico是一家为双因素认证物理安全密钥制造商,它今天宣布推出基于Lightning闪电接口的YubiKey设备,该设备旨在与Apple的iPhone和iPad配合使用。Yubico长期以来一直为PC,Mac和移动设备提供基于USB-A,USB-C和NFC的YubiKey选项,但这是第一次提供基于Lightning闪电接口的安全配件。 对于那些不熟悉YubiKey的人来说,它是一个基于硬件的双因素身份验证设备,旨在与数百种服务配合使用,使您的登录更加安全。它通常比基于软件的双因素身份验证更方便,因为不需要输入安全代码,用户只需连接它并点击进行身份验证即可。 这款名为YubiKey 5Ci的产品,于今年1月在CES上首次推出,一端配有Lightning闪电端口,另一端配有USB-C端口,因此可与Apple最新的iOS设备和Mac配合使用,但iPad Pro除外,因为它目前与USB-C端不兼容。 使用YubiKey 5Ci,用户可以使用硬件身份验证锁定其1Password,Bitwarden Idaptive,LastPass和Okta应用程序。目前,它还适用于iOS的Brave浏览器,验证来自Twitter,Login.gov,GitHub,Bitbucket,1Password等网站的登录。 例如,使用1Password应用程序,您可以使用YubiKey设置双因素身份验证,为您的1Password帐户添加额外的保护层。这将需要您的主密码和物理YubiKey解锁您的密码库,1Password应用程序指示您插入YubiKey并触摸侧按钮进行确认。那些对YubiKey 5Ci感兴趣的人可以从Yubico网站以70美元的价格购买这款产品。 (稿源:cnBeta,封面源自网络。)
Autho 身份验证出现漏洞,致使企业遭受攻击
Auth0 是最大的身份即服务平台之一,近日被爆出存在严重身份验证绕过漏洞,该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。Auth0 为大量平台实施基于令牌的身份验证模型,每天管理 4,200 万次登录,并为 2000 多家企业客户管理每月登录数十亿次。 2017 年 9 月,来自安全公司 Cinta Infinita 的研究人员发现了 Auth0 的 Legacy Lock API 中的一个漏洞,并且测试了使用该服务进行身份验证的某个应用程序。专家们利用这个问题绕过了使用跨站点请求伪造(CSRF / XSRF)攻击触发 CVE-2018-6874 漏洞,对 Auth0 身份验证的应用程序绕过登录身份验证。 稿源:freebuf,封面源自网络;
新型攻击技术 Golden SAML 可伪造企业身份验证窃取云应用资源
HackerNews.cc 11 月 25 日消息,网络安全公司 CyberArk Labs 研究人员于近期设计了一种新型入侵攻击技术 Golden SAML,允许黑客创建虚假的企业信息后伪造身份验证,从而窃取云应用资源。目前,CyberArk 已推出一款新黑客工具 shimit,可以实现 Golden SAML 攻击技术。 SAML (Security Assertion Markup Language)协议是用户与服务供应商交换身份验证和授权数据的开放标准,而黑客可以通过 Golden SAML 攻击技术伪造 “身份验证对象”,并使用 SAML 2.0 协议作为 SSO 机制的所有服务验证,从而获取用户最高特权。此外,在 Golden SAML 攻击中,黑客还可访问所有支持 SAML 认证的应用程序(如 Azure、AWS、vSphere等)并拥有其任一特权。 研究显示,由于 SAML 协议中的每条声明都是通过存储在用户环境中的特定 RSA 密钥进行信任与签名。因此,为了进行该攻击活动,其黑客需要使用一私有密钥,并与 Active Directory 联合身份验证账户、令牌签名私钥、IdP 公共证书、IdP 名称、所扮演的角色名称、域/用户名,以及 AWS 中的角色会话名称与亚马逊帐户 ID 等共同操作才可完成攻击活动。(其中红色标记部分为必备字段) 研究人员表示,这些攻击的先决条件极其重要,因为此技术不易在真正的攻击场景中使用。另外,如果想要减轻 Golden SAML 攻击也并不容易,因为它既不依赖 SAML 2.0 漏洞,也未通过 AWS / ADFS 漏洞进行,事实上,攻击者主要通过获取域管理员访问权限实施此类活动。此外,一旦该攻击技术被恶意使用,其系统将很难检测出来。 然而,值得注意的是,研究人员特意令 Golden SAML 的命名与此前一种臭名昭着的攻击技术 “Golden Ticket” 类似,其原因是他们想通过前者设计验证后者的危害程度,所以这两种技术具有极其相似的攻击性质。据悉,后者在 Kerberos 环境中可持久性获得任一类型访问权限并还可通过操纵 Windows Server Kerberos 身份验证框架,完全控制目标 IT 基础设施。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。