Yubico是一家为双因素认证物理安全密钥制造商，它今天宣布推出基于Lightning闪电接口的YubiKey设备，该设备旨在与Apple的iPhone和iPad配合使用。Yubico长期以来一直为PC，Mac和移动设备提供基于USB-A，USB-C和NFC的YubiKey选项， 使用YubiKey 5Ci，用户可以使用硬件身份验证锁定其1Password，Bitwarden Idaptive，LastPass和Okta应用程序。目前，它还适用于iOS的Brave浏览器，验证来自Twitter，Login.gov，GitHub，Bitbucket，...

Auth0 是最大的身份即服务平台之一，近日被爆出存在严重身份验证绕过漏洞，该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。Auth0 为大量平台实施基于令牌的身份验证模型，每天管理 4,200 万次登录，并为 2000 多家企业客户管理每月登录数十亿次。 2017 年 9 月，来自安全公司 Cinta Infinita 的研究人员发现了 Auth0 的 Legacy Lock API 中的一个漏洞，并且测试了使用该服务进行身份验证的某个应用程序。专家们利用这个问题绕过了使用跨站点请求伪造（CSRF / XSRF）攻击触发 CVE-2018-6874 ...

HackerNews.cc 11 月 25 日消息，网络安全公司 CyberArk Labs 研究人员于近期设计了一种新型入侵攻击技术 Golden SAML，允许黑客创建虚假的企业信息后伪造身份验证，从而窃取云应用资源。目前，CyberArk 已推出一款新黑客工具 shimit， 研究人员表示，这些攻击的先决条件极其重要，因为此技术不易在真正的攻击场景中使用。另外，如果想要减轻 Golden SAML 攻击也并不容易，因为它既不依赖 SAML 2.0 漏洞，也未通过 AWS / ADFS 漏洞进行，事实上，攻击者主要通过获取域管理员访问权限实施此类活动。此外，...