Столкнулся в этом году с новшеством в системе авторизации пользователей у крупных сервисов. Первым был Google, а позже подтянулись Microsoft. Новшество заключается в том, что если вы забыли пароль и запрашиваете восстановление, то ввести старый пароль вам не дают, а требуют новый. При этом система точно знает, как минимум 3 предыдущих пароля. И всё это выглядит странно для меня.

Странность заключается в том, что это создает лишние проблемы, если просто забыли пароль, т.е. ввести прежний нельзя, то следом за изменением пароля следует изменения пароля на всех устройствах и программах, где пароль хранится для авторизации. И с этим растёт и вероятность, что этот пароль будет забыт, потому что он новый.

Ну и самый сок. Если система сообщает, что такой пароль был, то она его хранит и как-то сравнивает. А вот это уже отдает сбором базы и ставит под угрозу кучу паролей, а еще и алгоритмы, по которым пользователи корректируют пароль, чтобы система схавала.

Как уже ясно, настроен я к этому параноидально. А что вы думаете об этом?

P.S. Да-да, щас меня успокоют, а сами уже уязвимости пошли искать. :D

Между тем, нашел на официальном форуме тему, в которой было обсуждение целесообразности запрета на использование старого (предыдущего) пароля. Прочитать можно на английском: https://answers.microsoft.com/en-us/outlook_com/forum/osecur...

Независимый исследователь Айдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, которую компания не может исправить. Эксплуатация бага может привести к автоматической загрузке вируса прямо со страницы логина.

В своем блоге Вудс рассказал, что проблема заключается в том, что Google разрешает использование на странице авторизации GET-параметра «continue=[ссылка]». Данный параметр, по сути, сообщает серверу Google, куда перенаправить пользователя после аутентификации. Понимая, что такое решение может доставить немало проблем, разработчики Google ограничили его использование только доменами компании, то есть подойдут только домены *.google.com/*.

Вудс пишет, что ссылки на drive.google.com и docs.google.com параметр continue тоже воспринимает как должно, то есть разрешает их использование. Таким образом, атакующий может разместить практически любой вирус в Google Drive или Google Docs и скрыть ее в URL официальной страницы авторизации. Пользователь, который нажмет на такую ссылку, скорее всего, ничего не заподозрит, так как действительно попадет на страницу логина Google. Но как только жертва пройдут процедуру авторизации и нажмет на кнопку Sign In, на компьютер без ведома пользователя будет загружен вредоносный файл.

Исследователь честно попытался сообщить о проблеме специалистам Google, однако те закрыли все три баг-репорта Вудса. В блоге исследователь приводит свою переписку с сотрудниками компании и пишет, что они, похоже, не до конца понимают важность проблемы.

«Мы провели расследование вашего отчета и приняли решение не классифицировать это как проблему безопасности. К сожалению, данный отчет не будет принят нашим VRP. Мы рассматриваем только первые отчеты о технических уязвимостях, которые явно затрагивают конфиденциальность или целостность данных наших пользователей, и мы считаем, что описанная вами проблема не дотягивает до этой планки :(«, — сообщил специалист Google Вудсу.

Исследователь надеется, что публичное раскрытие информации о баге наконец привлечет внимание Google к проблеме. Вудс даже снял видео, в котором детально продемонстрировал работу уязвимости. Ролик можно увидеть ниже.

Источник

Один из пользователей сайта Reddit рассказал, что он был приглашён протестировать новую функцию, которая упрощает вход в аккаунт Google. По его словам, новый способ заключается в том, чтобы рядом с вами находился ваш смартфон, где вы уже авторизованы в сервисах Google, а на устройствах поблизости вам нужно будет лишь ввести свою электронную почту, минуя ввод пароля и прохождение двухфакторной проверки.

При попытке авторизоваться и ввести адрес своей электронной почты на компьютере, на экране монитора появляется некоторое число,

а на смартфоне - сразу три разных числа, одно из которых идентично первому. Вам будет необходимо выбрать то же число, что и на мониторе перед вами.

Как только вы выберите правильный номер, на компьютере автоматически пройдёт авторизация.