Comments 44
> Сразу отметем попытки заставить людей использовать более безопасные пароли.
Это примерно как: «Сразу отметём попытки заставить солдат соблюдать устав и дисциплину». Или хотя бы как: «Сразу отметём попытки заставить работников соблюдать трудовую дисциплину и технику безопасности».
Это примерно как: «Сразу отметём попытки заставить солдат соблюдать устав и дисциплину». Или хотя бы как: «Сразу отметём попытки заставить работников соблюдать трудовую дисциплину и технику безопасности».
К сожалению или к счастью, но подавляющее большинство пользователей не являются солдатами и устав соблюдать ен обязаны. Более-менее удаётся заставить использовать приличные пароли админов или программистов. А в бухгалтерии всегда будет пароль максимально приближенный к идеальному «1111». Нужны 8 символов? «11111111». Нужны разные символы? «12345678». И так далее.
Всё просто: забытый пароль == невыполненная работа == лишение премий и штрафы. Украденный пароль? Проблемы фирмы.
Действенный способ — не давать пользователю задавать пароль самому и давать ему один из паролей сгенерированных APG. Для внутренних сайтов — годится. Но в интернете это плохо работает: пароли от сайтов, пароль от которых сложный, человек будет забывать — а значит они проиграют тем сайтам, где пароль «дракон!11» допустим.
Всё просто: забытый пароль == невыполненная работа == лишение премий и штрафы. Украденный пароль? Проблемы фирмы.
Действенный способ — не давать пользователю задавать пароль самому и давать ему один из паролей сгенерированных APG. Для внутренних сайтов — годится. Но в интернете это плохо работает: пароли от сайтов, пароль от которых сложный, человек будет забывать — а значит они проиграют тем сайтам, где пароль «дракон!11» допустим.
«А в бухгалтерии всегда будет пароль максимально приближенный к идеальному «1111». Нужны 8 символов? «11111111». Нужны разные символы? «12345678». И так далее.»
Откуда этот идиотский стереотип? Есть политика информационной безопасности компании, оформлена так же в виде допника к ТК, в нём например явно прописаны базовые «8 символов, стронг, память на 20 паролей назад, смена раз в 90 дней». Хотя я бы делал 10 и 30 дней.
Все, бумага подписана. Все остальные разговоры — с СБ компании и непосредственным руководством.
Для особо критичных вещей — смарт-карты.
И это УЖЕ будет лучше и эффективнее, чем классика про 123456, хотя пароли вида Октябрь2002 так же небезопасны.
Откуда этот идиотский стереотип? Есть политика информационной безопасности компании, оформлена так же в виде допника к ТК, в нём например явно прописаны базовые «8 символов, стронг, память на 20 паролей назад, смена раз в 90 дней». Хотя я бы делал 10 и 30 дней.
Все, бумага подписана. Все остальные разговоры — с СБ компании и непосредственным руководством.
Для особо критичных вещей — смарт-карты.
И это УЖЕ будет лучше и эффективнее, чем классика про 123456, хотя пароли вида Октябрь2002 так же небезопасны.
Откуда этот идиотский стереотип?Из опыта.
Есть политика информационной безопасности компании, оформлена так же в виде допника к ТК, в нём например явно прописаны базовые «8 символов, стронг, память на 20 паролей назад, смена раз в 90 дней». Хотя я бы делал 10 и 30 дней.В армии — такое прокатит. И то не факт. На гражданке… Вы можете прописать в политике что угодно, но бухгалтера будут стремиться к тому, чтобы пароль был максимально простым и легко запоминающися. В дело идут всякие дни рождения, имена кошек и собак — всё, что угодно, кроме случайных букв и цифр. А политика на 20 паролей назад будет тупо обойдена тем, что что будет введено 19 случайных паролей и потом — тот самый, родной и любимый, простой и хорошо заученный.
И это УЖЕ будет лучше и эффективнее, чем классика про 123456, хотя пароли вида Октябрь2002 так же небезопасны.Будет лучше — но не сильно, потому что бороться вам придётся не с мифическими взломщиками, а ленью ваших собственных сотрудников. А это — страшная сила, я вам скажу.
Для особо критичных вещей — смарт-карты.Вот это — уже лучше. Хотя PIN там всё равно будет «1111».
Заставлять кого-то делать что-то, это самый глупый, неэффективный и крайний метод.
Применять его стоит только тогда, когда осознал что, не в состоянии разработать такую систему, где никого не надо заставлять что-то делать.
Это справедливо не только с паролями. Это справедливо от воспитания детей и до управления государством.
Невозможно заставить ребенка скажем учить математику. Но создать условия в которых он сам захочет ее учить можно.
Невозможно заставить экономику страны развиваться, но создать условия при которых это будет не надо делать — вполне.
То же самое и с паролями.
Так что все верно — эти попытки надо отметать сразу, как малоэффективные.
Тоже кстати и с работниками. Помните статью где у механизма поднятия моста две кнопки?
Применять его стоит только тогда, когда осознал что, не в состоянии разработать такую систему, где никого не надо заставлять что-то делать.
Это справедливо не только с паролями. Это справедливо от воспитания детей и до управления государством.
Невозможно заставить ребенка скажем учить математику. Но создать условия в которых он сам захочет ее учить можно.
Невозможно заставить экономику страны развиваться, но создать условия при которых это будет не надо делать — вполне.
То же самое и с паролями.
Так что все верно — эти попытки надо отметать сразу, как малоэффективные.
Тоже кстати и с работниками. Помните статью где у механизма поднятия моста две кнопки?
UFO just landed and posted this here
Ну собственно да — неплохая идея. Не можешь заставить пользователя выбирать надежный пароль — сделай так чтобы он защищал что-нибудь такое, что всем надо, а для пользователя лично очень ценно.
А можно еще игру запустить — угадай пароль сотрудника. Кто угадал тому перечисляется премия того чей пароль угадали. Хотя это слишком прямолинейно.
А можно еще игру запустить — угадай пароль сотрудника. Кто угадал тому перечисляется премия того чей пароль угадали. Хотя это слишком прямолинейно.
Проблемы паролей понятны.
Я не понял из статьи, что предлагается делать. Сейчас.
Do something!
На самом деле желающих низвергнуть пароли много. Вот только раз за разом они предложить ничего не могут. Потому что предлагать нечего. (Вариант замена текстового пароля на не текстовый: нарисуйте картинку, решите головоломку, не рассматриваем, как не меняющий суть)
Пока не научились произвольно считывать память, мозг человека подобен криптопроцессору: пароль там создан, он там и остаётся. К сожалению, всё ещё возможен перехват по пути. Но от этого никакое решение особо не защищено. Безопасность канала связи — отдельная тема.
Соответственно, любое другое решение будет как минимум не лучше. Вынести пароль в брелок с генератором одноразовых паролей — его можно украсть. Голову украсть нельзя. Можно вынудить человека назвать пароль, можно использовать социальную инженерию в стиле Митника (позвонить и попросить пароль, копаться в мусоре, собирать личные данные), но это не делает пароли менее надёжными, чем брелок. Его можно украсть и подбросить похожий сбойный, так что человек, некоторое время будет думать, что его брелок сломан, а не украден.
Можно использовать биометрию. Но это фактически тот же пароль, только записанный не в голове и выдаваемый по желанию, а записанный в открытом виде на самом человеке. Кроме того, такой пароль не только хранится в открытом виде, но и вынуждает человека повторно использовать один и тот же пароль везде. Ведь у вас нет лишнего комплекта глаз и рук. Стоит одной системе оказаться скомпрометированной, как ваш пароль во всех системах станет известен злоумышленникам. Более того, его открытость приводит к возможности скрытой кражи. Уже известно, что удавалось обмануть сканер отпечатков на основе дистанционной съёмки руки человека на камеру высокого разрешения. Не удивлюсь, если и радужку так обмануть удастся.
Самым худшим в биометрии является то, что сменить скомпрометированный «пароль» нельзя. Не будете же вы пересаживать руки и глаза, после каждого взлома?
На самом деле желающих низвергнуть пароли много. Вот только раз за разом они предложить ничего не могут. Потому что предлагать нечего. (Вариант замена текстового пароля на не текстовый: нарисуйте картинку, решите головоломку, не рассматриваем, как не меняющий суть)
Пока не научились произвольно считывать память, мозг человека подобен криптопроцессору: пароль там создан, он там и остаётся. К сожалению, всё ещё возможен перехват по пути. Но от этого никакое решение особо не защищено. Безопасность канала связи — отдельная тема.
Соответственно, любое другое решение будет как минимум не лучше. Вынести пароль в брелок с генератором одноразовых паролей — его можно украсть. Голову украсть нельзя. Можно вынудить человека назвать пароль, можно использовать социальную инженерию в стиле Митника (позвонить и попросить пароль, копаться в мусоре, собирать личные данные), но это не делает пароли менее надёжными, чем брелок. Его можно украсть и подбросить похожий сбойный, так что человек, некоторое время будет думать, что его брелок сломан, а не украден.
Можно использовать биометрию. Но это фактически тот же пароль, только записанный не в голове и выдаваемый по желанию, а записанный в открытом виде на самом человеке. Кроме того, такой пароль не только хранится в открытом виде, но и вынуждает человека повторно использовать один и тот же пароль везде. Ведь у вас нет лишнего комплекта глаз и рук. Стоит одной системе оказаться скомпрометированной, как ваш пароль во всех системах станет известен злоумышленникам. Более того, его открытость приводит к возможности скрытой кражи. Уже известно, что удавалось обмануть сканер отпечатков на основе дистанционной съёмки руки человека на камеру высокого разрешения. Не удивлюсь, если и радужку так обмануть удастся.
Самым худшим в биометрии является то, что сменить скомпрометированный «пароль» нельзя. Не будете же вы пересаживать руки и глаза, после каждого взлома?
Вынести пароль в брелок с генератором одноразовых паролей — его можно украсть.Но если добавить сюда простейший PIN — то этот брелок окажется бесполезен.
Можно вынудить человека назвать пароль, можно использовать социальную инженерию в стиле Митника (позвонить и попросить пароль, копаться в мусоре, собирать личные данные), но это не делает пароли менее надёжными, чем брелок.Делает. Причём разница принципиальна. PIN в брелке имеет принципиальное отличие от пароля: его нельзя подобрать. Три (или там пять) попыток — и брелок стал тыквой.
Главное: кража брелков происходит в реальном мире и потому не масштабируется (чтобы получить миллион брелков вам нужно сделать миллион краж), подбор паролей — прекрасно осуществляется армией ботов…
Но если добавить сюда простейший PIN — то этот брелок окажется бесполезен.
И пароль всё равно остаётся в голове пользователя.
подбор паролей — прекрасно осуществляется армией ботов…
Вопрос стандартов реализаций. Даже секундная задержка приёма нового пароля здорово осложнит брутфорс. Ну, а с брелками вы будете таскать в кармане килограмм тамагочи для разных сервисов. :)
Нет, на самом деле многие идеи могут быть здравыми. Собственно, я сам пользуюсь менеджером паролей. Я хотел сказать другое. Ситуация аналогична термодинамике. Там в замкнутой системе вы не можете уменьшить энтропию, здесь вы не можете создать более безопасное решение, чем секрет в голове человека. Можете менее. Можете более удобное и столь же безопасное (или близко, потому что не факт, что брелок никак не взломать электронным микроскопом). Но столь же безопасное обязано включать в себя хоть какой-то секрет в голове.
Так что все варианты убийц паролей типа «я милого узнаю по походке» можно сразу отправлять в /dev/null.
> И пароль всё равно остаётся в голове пользователя.
Не совсем. Теперь он будет разделен на две части. Часть в голове, часть в кармане.
Не совсем. Теперь он будет разделен на две части. Часть в голове, часть в кармане.
Ну тут как в высказывании про снимать и бегать…
Давно работал в бооольшой конторе, там их СБ тоже сделала политику смены пароля каждый месяц, не менее 10 символов, и еще хранили все пароли что бы не повторялись. Память многих не бесконечна, и народ начал писать их на бумажках и клеить на монитор, класть под клаву или в стакане среди ручек… В общем во время обеда когда никого не было на рабочих местах, практически к 50% пользователям можно было войти в систему просто поисках бумажку на столе.
Хотя двухфакторная тоже имеет большой минус когда нужно что-то часто. Как-то был расчетный счет в банке, и наши бухи закалебывались вводить код из СМС на каждую платежку, когда их от 50-100 в день было… потом банк сменили :)))
И при этом, в новом направлении Контура, она теперь ключи ЭЦП хранят у себя в «облаке», а не на токене у клиента. И что бы подписать отчетность в налоговую или какой-то документ, нужно ввести код из СМС… Так что теперь если ломанут Контур, то не только хэши паролей получат но и закрытые части ЭЦП :))))
Давно работал в бооольшой конторе, там их СБ тоже сделала политику смены пароля каждый месяц, не менее 10 символов, и еще хранили все пароли что бы не повторялись. Память многих не бесконечна, и народ начал писать их на бумажках и клеить на монитор, класть под клаву или в стакане среди ручек… В общем во время обеда когда никого не было на рабочих местах, практически к 50% пользователям можно было войти в систему просто поисках бумажку на столе.
Хотя двухфакторная тоже имеет большой минус когда нужно что-то часто. Как-то был расчетный счет в банке, и наши бухи закалебывались вводить код из СМС на каждую платежку, когда их от 50-100 в день было… потом банк сменили :)))
И при этом, в новом направлении Контура, она теперь ключи ЭЦП хранят у себя в «облаке», а не на токене у клиента. И что бы подписать отчетность в налоговую или какой-то документ, нужно ввести код из СМС… Так что теперь если ломанут Контур, то не только хэши паролей получат но и закрытые части ЭЦП :))))
В NYT как-то бред написан. Как так получилось, что им требовались именно пароли? В компании с ~1000 сотрудников всё было организовано так, что каждая информация сотрудника была закрыта(зашифрована?) его личным паролем? Администратор, имея доступ к сети (а может быть и физический, или у них там серверы из под завалов продолжали работать?), не смог обеспечить доступ или сменить пароли?
Ну, тогда это не довод против паролей, а против такой сети.
P.S. «incorrect» понравилось. Но тогда уж надо было полностью по классике, пароль: password.
Ну, тогда это не довод против паролей, а против такой сети.
P.S. «incorrect» понравилось. Но тогда уж надо было полностью по классике, пароль: password.
я не удивлюсь если там какой-нить адски упоротый торговый софт имелся в виду, который общей логике не подчиняется.
или например 2000 винда со включеным шифрованием. даже если агентом восстановления был центральный сервер или его бекап во второй башне, они оба уничтожены. а данные могли зеркалироваться еще и на третью точку, которая как раз не пострадала…
или например 2000 винда со включеным шифрованием. даже если агентом восстановления был центральный сервер или его бекап во второй башне, они оба уничтожены. а данные могли зеркалироваться еще и на третью точку, которая как раз не пострадала…
мы используем слишком простые пароли
Не мы, а Вы.
Google до конца этого года намерен допилить проект Abacus, идентифицирующий пользователя по поведению — по сути, о нас будут собирать большой объем информации, от манеры ходьбы до паттернов при наборе текста, и на основе множества признаков достаточно достверно отличать авторизованного пользователя от черт знает кого.Ну, офигеть теперь. Я лучше попользуюсь паролями(2х-факторными), чем расскажу какому-то дяде о себе всё, только лишь бы он разрешил полайкать видосики.
Я лучше попользуюсь паролями(2х-факторными), чем расскажу какому-то дяде о себе всё, только лишь бы он разрешил полайкать видосики.Ну зачем же рассказывать-то? Это вам дядя сможет рассказать о том, какие у вас привычки и что вам лучше сделать, чтобы стать досточным человеком.
Мертворождённо. Идентификация по поведению — разновидность биометрии, о которой я написал выше. С тем недостатком, что скрыто собрать данные, для того, чтобы выдать себя за другого ещё проще.
Я думаю никто не будет использовать это как основной и единственный метод. Скорее как некоторую дополнительную проверку. Допустим некто вошел в аккаунт с сохраненной авторизацией в сессии, но ведет себя странно — давай его попросим ввести пароль еще раз. Или одноразовый пароль или и то и другое, в зависимости от степени странности. Т.е. как допмера защиты.
С тем недостатком, что скрыто собрать данные, для того, чтобы выдать себя за другого ещё проще.Вы это серьёзно? Проще поставить трояна на комп, собрать данные для того, куда и как вы кликаете, а потом понять — что именно сайт проверяет?
Опять-таки разница между биометрией и поведенческой блокировкой та же, что и между паролем и PIN'ом на брелке. Первое — происходит на клиенте и, соответственно, может быть подобрано на клиенте. Второе — принципиально не брутится. Apple для решения этой проблемы сохраняет данные в зашифрованном виде и обрабатывает из в специальном чипе, там надёжность повыше… хотя возможность «тупого» снятия отпечатков всё равно остаётся…
А текст мы читаем не глазами, а каким-то другим местом…
Паттерны набора текста собираются где угодно. Они не меняются. Манера ходьбы — сложнее, но если гугл не будет высылать людей шпионить за каждым пользователем, то сбор информации будет осуществляться «обычными» методами, через датчики мобильного. А эту же информацию будут собирать и другие программы. Возможно изначально в тех же целях. Потом это начнёт утекать в сеть, собираться, объединяться и в один прекрасный момент — опа. У вас есть возможность достоверно прикинуться самыми разными людьми.
Насчёт «принципиально не брутится» — смешно. Принципиально оно пока новое и не слишком массовое. (Да, iPhone это пока не достаточно, раз есть способы проще.) Но стань оно общим решением — сразу появится интерес в инструментах взлома.
от манеры ходьбы до паттернов при наборе текста
Паттерны набора текста собираются где угодно. Они не меняются. Манера ходьбы — сложнее, но если гугл не будет высылать людей шпионить за каждым пользователем, то сбор информации будет осуществляться «обычными» методами, через датчики мобильного. А эту же информацию будут собирать и другие программы. Возможно изначально в тех же целях. Потом это начнёт утекать в сеть, собираться, объединяться и в один прекрасный момент — опа. У вас есть возможность достоверно прикинуться самыми разными людьми.
Насчёт «принципиально не брутится» — смешно. Принципиально оно пока новое и не слишком массовое. (Да, iPhone это пока не достаточно, раз есть способы проще.) Но стань оно общим решением — сразу появится интерес в инструментах взлома.
Насчёт «принципиально не брутится» — смешно.Это вам смешно. А мне грустно. Когда люди, ничего не понимающие в безопасности вообще начинают рассуждать о ней — добра не жди.
Но стань оно общим решением — сразу появится интерес в инструментах взлома.Я правильно понимаю, что решения типа такого — недостаточно «общи»? То есть миллионы пользователей и денежные переводы на миллиарды — это «фигня вопрос»? Не интересна?
Вот когда этот подход используется для того, чтобы Вася защитил свою переписку — вот только тогда «появится интерес в инструментах взлома» — так, что ли?
Вы бы хоть чуть-чуть историю вопроса изучили бы, перед тем, как чушь писать.
Сервис Have I Been Pwned? известного специалиста по безопасности Троя Ханта позволяет проверить, нет ли в утечках пароля, ассоциированного с вашим почтовым адресом.
Несколько месяцев назад подписал свой email на проверку в базе утечек. Это действительно удобно, чем отслеживать все новости и искать себя в списке. Жаль только, что информация об утечках на этом ресурсе появляется с некоторой задержкой. Например, Рамблера там пока нет.
Сегодня я попробую проанализировать, что именно плохого в паролях (короткий ответ — всё), что можно с этим сделать
Так, что же можно сделать?
В статье про это не слова. Написано, что делается и что это не лучше, чем пароль, хотя бы по тому, что сложнее в использовании.
Пароли просты в обслуживании. Задача сервисов — зарабатывать деньги. Если сервис предупредил пользователя о высокой вероятности потери чего бы то не было, в результате использования слабого пароля, хотя бы с использованием красно-жёлтой-зелёной индикации, а пользователь проигнорировал предупреждение, то это уже его проблемы. Заставить поменять пользователей пароли и выплатить компенсации особо упёртым в случае утечки значительно дешевле, чем потерять клиентов из-за сложной системы аутентификации.
Google до конца этого года намерен допилить проект Abacus, идентифицирующий пользователя по поведению
Не знаком с абакусом, но по описанию из этой статьи очевидно, что его предназначение прямо противоположное — обеспечить вход без ввода пароля. Но если пользователь только что приобрёл новое устройство, или заблокировал на какое-то время доступ, то ему нужно плясать с бубном у телефона с риском того, что телефон его не узнает. Зато если телефон разблокирован, то любой получивший к нему доступ, имеет доступ ко всему.
Мое предположение, что двухфакторная авторизация в любом виде — это промежуточный этап, который уже обеспечит неплохую защиту. А будущее — за системами вроде абакуса, где пароли действительно отменяются и заменяются на более сложный набор данных — такая многофакторная авторизация по десятку параметров. И да, с ними будут проблемы: от указанной вами проблемы покупки нового устройства (ок, отвяжут от устройства) до каких-нибудь непредвиденных глюков. В этом случае будет какая-то заковыристая процедура с отправкой скана паспорта или посещением местного Дворца Авторизации им. С. Брина.
Насколько я прав, станет понятно года через три.
Насколько я прав, станет понятно года через три.
Было бы забавно посмотреть на ввод пароля, если использовать гироскоп и датчик положения и акселерометр для генерации и ввода пароля… стоит человек танцует только ему известный танец в ему известном ритме. И вуаля доступ к сервису получен! А еще если будет популярно то можно весь мир заставить танцевать. Весело и полезно. А потом появятся танцоры хакеры и танцы будут сложнее и сложнее-прогресс!
Я представляю систему так:
Есть какой то цент авторизации как сейчас войти через google+ и тп.
есть аппаратный токен с беспроводным каналом и пин кодом.
на подобие брелка для авто.
пользователь заходит на сайт и жмет авторизация ему введите пин.
он вводит пин на брелке. для двухфакторной вводит код пришедший на телефон также вводит на брелке.
и входит на сайт. при утере брелка заявка на утерю и всё брелок заблокирован в системе.
В брелке анализатор на подобие абакуса сам брелок в формате фитнес трекера.
снимает биометрию непрерывно.
Есть какой то цент авторизации как сейчас войти через google+ и тп.
есть аппаратный токен с беспроводным каналом и пин кодом.
на подобие брелка для авто.
пользователь заходит на сайт и жмет авторизация ему введите пин.
он вводит пин на брелке. для двухфакторной вводит код пришедший на телефон также вводит на брелке.
и входит на сайт. при утере брелка заявка на утерю и всё брелок заблокирован в системе.
В брелке анализатор на подобие абакуса сам брелок в формате фитнес трекера.
снимает биометрию непрерывно.
Вы примерно описали системы, которые используют банки для авторизации крупных денежных переводов. Но, понимаете ли, это ж неудобно: брелок там, его забыть можно или потерять. Но да — эти технологии существуют уже 100 лет (ну хорошо, может не 100 — но 20 лет точно), работают и «каши не просят».
Но это ж не «иноовационно»! Зачем нам что-то что, что работает? Мы будем изобретать 100500 «велосипедов», но носить брелок нас не заставят ни-ко-гда.
Странно человек устроен, ой как странно…
Но это ж не «иноовационно»! Зачем нам что-то что, что работает? Мы будем изобретать 100500 «велосипедов», но носить брелок нас не заставят ни-ко-гда.
Странно человек устроен, ой как странно…
Все это вопрос стоимости взлома против получаемой выгоды и стоимости защиты против возможного убытка.
Вообще-то всё это используется для миллиардных транзакций. То есть возможный убыток — примерно таков же. Сломал защиту — и деньга прямо тебе в карман. Бесплатно и без SMS. Утрирую, конечно, но идея ясна, я надеюсь.
Цена же — не знаю во сколько оно обходится банку, но я знаю человека который в такую железку AES добавлял. Всовывая его в 256 байт на четырёхбитном процессоре. Большего ставить не хотели, так как себестоимость на сколько-то там центов могла возрасти.
Так что нет, здесь не проблема стоимости защиты — это скорее маркетинговые заморочки.
Цена же — не знаю во сколько оно обходится банку, но я знаю человека который в такую железку AES добавлял. Всовывая его в 256 байт на четырёхбитном процессоре. Большего ставить не хотели, так как себестоимость на сколько-то там центов могла возрасти.
Так что нет, здесь не проблема стоимости защиты — это скорее маркетинговые заморочки.
Позвольте и мне флагами помахать!
Во-первых все банковские СМС прилетают на мой кнопочный телефон, в котором я даже Java отключил.
Во-вторых, все пароли храню в JPassword (есть множество других хранилок паролей, не онлайновых).
Да, на меня подействовало длительное сотрудничество с безопасником компании ( паранойя заразительна ).
Но принятые мной меры рекомендую и вам. Всем добра и уютной приватности =)
Во-первых все банковские СМС прилетают на мой кнопочный телефон, в котором я даже Java отключил.
Во-вторых, все пароли храню в JPassword (есть множество других хранилок паролей, не онлайновых).
Да, на меня подействовало длительное сотрудничество с безопасником компании ( паранойя заразительна ).
Но принятые мной меры рекомендую и вам. Всем добра и уютной приватности =)
UFO just landed and posted this here
На самом деле все совершенно не так. Проблема не в паролях, а в тех, кто ими пользуются. Люди не хотят и не будут вводить пароль из 20 символов только чтобы посмотреть на 20-ю за день картинку милого котенка, со всеми вытекающими последствиями.
С развлечениями у нас в Лос-Аламосе было неважно, нам приходилось
развлекать себя самим, и возня с мозлеровским замком моего шкафа была одним
из моих развлечений. Как-то раз я сделал интересное наблюдение: когда замок
был открыт, ящик выдвинут, а лимб оставлен на 10 (именно в таком состоянии
люди оставляли свой шкаф, когда они его открывали и вынимали из него
документы), запирающий стержень все еще оставался в нижнем положении. Что же
это означало, что стержень был внизу? Это означало, что стержень продет
через прорези всех трех дисков, которые, следовательно, все еще стоят друг
против друга. Ага.
…
Я сообразил, что то же можно проделать и для второго числа: если я знаю
последнее число, я могу прокрутить лимб в обратную сторону и снова, шагами
по пять делений, постепенно повернуть второй диск в такое положение, при
котором стержень перестанет проходить через него. Предшествовавшее этому
число будет вторым числом комбинации
В статье какая-то вода, никаких толковых предложений нет. Насчет поведения человека — это очень плохая идея. Сейчас мы на реактивном двигателе летим в эпоху, когда все знают все обо всех. Человек стал товаром, о нем известно очень многое соцсетям, ОПСОСам, поисковикам, гуглу/эплу/амазону/государству (шапочка у меня есть, спасибо). Всю информацию о человеке уже можно считать публичной.
Кроме того, как и у биометрии, у поведенческой аутентификации есть фатальная проблема — если один раз что-то было скопроменитровано, то пиши пропало — новый глаз или палец вы себе не сделаете, внезапно не станете гопарем из кандидата наук. Ну и параметры могут изменяться со временем.
Я ожидал увидеть в этой статье что-нибудь новое. Да в ней даже токены не упомянуты (только в комментариях написали)!
Кроме того, как и у биометрии, у поведенческой аутентификации есть фатальная проблема — если один раз что-то было скопроменитровано, то пиши пропало — новый глаз или палец вы себе не сделаете, внезапно не станете гопарем из кандидата наук. Ну и параметры могут изменяться со временем.
Я ожидал увидеть в этой статье что-нибудь новое. Да в ней даже токены не упомянуты (только в комментариях написали)!
А почему бы сервисам не генерировкть устойчивые пароли самостоятельно, и раздавать пользователям? Или же сохранять измененную каким-либо шифром версию пароля?
Так есть же множество сервисов и приложений, которые хэшируют данные пользователя на сервисе:
$password = hash_func($соль. $имя_сервиса. $имя_пользователя),
И в самой программе ничего не хранится. Но как-то не прижились эти решения.
$password = hash_func($соль. $имя_сервиса. $имя_пользователя),
И в самой программе ничего не хранится. Но как-то не прижились эти решения.
По всё той же причине: люди не будут этим пользоваться. Там где у пользователей выбора нет — да, прокатывает…
Sign up to leave a comment.
Краткая история паролей от П до Ь: рождение, смерть и зомби-апокалипсис