Это 100 основных концепций кибербезопасности, которые помогут вам создавать безопасные приложения.
Чтобы обеспечить удобочитаемость, я разделю их на несколько сообщений в блоге.
Информация, представленная в этой статье, никоим образом не является рекламой или призывом к использованию этих методов на других.
Ссылки на предыдущие части приведены ниже:
21. Аутентификация
Это процесс проверки личности пользователя перед предоставлением ему доступа к запрошенным ресурсам.
Проще говоря, это подтверждение того, что пользователь такой, каким он себя называет (его личность).
Аутентификация обычно выполняется перед авторизацией.
Например, это выполняется, когда кто-то пытается получить доступ к своей учетной записи Medium, используя свое имя пользователя и пароль.
22. Авторизация
Это процесс проверки наличия у пользователя доступа к запрошенным ресурсам.
Авторизация обычно выполняется после успешной аутентификации
Например, авторизация гарантирует, что доступ к внутренним серверам компании предоставляется только ее сотрудникам, а не пользователям ее продуктов.
23. ОAuth2.0
Это стандартный для отрасли протокол авторизации.
Протокол делегирует процесс авторизации сервису, на котором размещена учетная запись пользователя (Google, Facebook, Medium и т. д.).
Эта служба разрешает сторонним приложениям получать доступ к информации учетной записи этого пользователя.
Чтобы узнать больше о том, как работает OAuth, обратитесь к одной из моих статей ниже:
24. Социальная инженерия
Это процесс использования человеческой психологии для получения доступа к конфиденциальной информации пользователя.
Например, это когда кто-то обманывает кого-то, выдавая себя за сотрудника банка, запрашивая данные аутентификации.
Узнайте больше о недавнем реальном примере социальной инженерии здесь:
25. Принципы социальной инженерии
Социальная инженерия обычно работает, используя человеческие черты, как показано ниже:
- Социальное доказательство
Кого-то манипулируют, чтобы он предоставил свои данные для аутентификации, когда все остальные в компании делают это - Знакомство/последовательность
Это когда манипулятор устанавливает взаимопонимание и развивает связь, прежде чем запрашивать конфиденциальную информацию. - Власть
Манипулятор пытается продемонстрировать власть над кем-то, чтобы получить его конфиденциальную информацию. - Привлекательность
Манипулятор пытается понравиться кому-то, а затем убеждает его раскрыть желаемую информацию. - Взаимность
Манипулятор оказывает услугу кому-то и пытается получить желаемую информацию, когда другой стремится вернуть услугу. - Дефицит
Манипулятор пытается продемонстрировать дефицит.
Например, в этом случае он может позвонить кому-нибудь, чтобы сообщить, что есть отличная инвестиционная возможность, но она ограничена первых 50 клиентов, и им нужны их банковские реквизиты, чтобы воспользоваться этим. - Срочность
Манипулятор пытается продемонстрировать срочность.
Например, запрашивая конфиденциальные данные о том, что срок действия медицинской страховки пользователя истекает.
26. Фишинг
Это тип атаки социальной инженерии, когда злоумышленник отправляет поддельные сообщения (электронная почта/SMS/голосовое сообщение/поддельные страницы входа/манипулированные URL-адреса), направленные на раскрытие конфиденциальной информации пользователя.
Читайте о примере крупномасштабного фишингового мошенничества ниже:
27. Китобойный промысел
Это тип фишинговой атаки, направленной на важных лиц в организации (генеральные директора, технические директора и т. д.).
Узнайте больше о китобойном промысле в приведенном ниже примере:
28. Целевой фишинг
Это тип фишинговой атаки, направленной на конкретного человека, организацию или бизнес с целью взлома конфиденциальных данных в злонамеренных целях.
29. Опечатка на корточках
Это когда злонамеренная сторона регистрирует доменные имена на основе вариаций распространенных орфографических ошибок.
Когда пользователь случайно делает ошибку при наборе текста, он перенаправляется на фальшивую версию оригинального веб-сайта, который он собирался посетить.
Это помогает злоумышленнику получить конфиденциальную информацию.
Например, атака может зарегистрировать поддельные доменные имена, такие как www.goodle.com или www.goole.com, которые отображают поддельную страницу входа при перенаправлении.
30. Протоколы безопасности электронной почты
Это протоколы безопасности, которые помогают обеспечить защиту от кибератак по электронной почте.
Некоторые из распространенных протоколов безопасности электронной почты:
- Sender Policy Framework (SPF)
Он используется для аутентификации электронной почты.
Он позволяет принимающему почтовому серверу проверять, что почта, якобы отправленная с определенного домена, отправлена с IP-адреса. адрес, авторизованный администраторами этого домена. - Почта с идентификацией ключей домена (DKIM)
Это протокол проверки подлинности электронной почты, который позволяет получателю электронной почты проверять, что электронное письмо было отправлено и авторизовано владельцем этого домена, с использованием зашифрованной цифровой подписи. созданный отправителем. - Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC)
Он объединяет SPF и DKIM с использованием согласованного набора политик. - MTA-STS (строгая транспортная безопасность агента пересылки почты)
Это протокол безопасности, обеспечивающий безопасную передачу электронной почты по зашифрованному соединению. - SSL/TLS
Подробнее о них читайте здесь:
Большое спасибо за чтение этой статьи! Увидимся в следующей части!
