Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет

Reading Time: 11 minutes

Несколько лет назад я перешел из Offensive в Defensive и пытаюсь вместе с командой решить одну из главных задач отдела Application Security — усложнить массовый захват аккаунтов и самое сложное — таргетированные атаки. И, как оказалось, если ваш сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц — вы попадаете в ловушку из-за отсутствия безопасных и доступных подходов аутентификации пользователей. Давайте обо всем по порядку — пройдемся по текущим механизмам, выделим их проблемы и сделаем предположение, как мы бы все-таки могли исправить текущую ситуацию.

Захват аккаунта может произойти на трех стадиях:

  1. Вход в аккаунт
  2. В аккаунт уже вошли и перехватили сессию
  3. Восстановление аккаунта

Удостоверься, что ко мне пришел тот же пользователь, что и проходил регистрацию

Задача аутентификации в типичном веб-приложении
Читать далее «Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет»