Pull to refresh

Comments 65

Спасибо за статью, теперь я знаю какой фильм буду смотреть сегодня вечером))
кстати, в этом фильме потрясающий саундтрек.
его написал Paul Oakenfold, талантливейший dj и музыкант своего времени.
upd: похоже, я тоже последую вашему примеру и пересмотрю классику :)
UFO just landed and posted this here
UFO just landed and posted this here
А насколько сложно подобрать пароль в виде фразы, введенной в иной раскладке? А то в начале 2000-х этот способ часто упоминался, а сейчас практически нигде не услышишь. А ведь удобно запоминать, в том числе с буквами в разных регистрах.
а потом невероятно удобно набирать такой пароль на мобильных устройствах
На самом деле после определенного количества вводов, начинаешь делать это механически, проблема только при смене телефона если другой размер экран. Я без проблем набираю такой пароль на телефоне, но вот например на писать его на бумажке не смогу.
да, есть такое :) у меня жена такими пользуется, сам я предпочитаю случайные последовательности. но тут и минус, много я не запомню, поэтому у меня их всего 3 на все случаи жизни

Я тоже так делал, имел 4 пароля на десятки разных сервисов, а потом как то раз скачал эту базу https://m.habr.com/post/357402/ и нашел там 2 из них. Теперь у меня все пароли уникальны и хранятся в keepassX.

Запоминаю и генерирую в ключнице Apple, не надо руками вводить — не надо запоминать
Последнее время часто слышу о таком подходе. Но ведь это довольно неудобно на мобильных устройствах.

ОС сама придумывает длинный пароль, ОС сама подставляет OTP из SMS, ОС сама подставляет пароль в мобильных приложениях и в браузерах по одному клику и прикладыванию пальца. Более чем удобно.

Если бы все было так гладко :) Не во всех приложениях все еще сделано заполнение. И если регистрация осуществляется через приложение, не всегда система предлагает сохранить данные. Плюс довольно ограниченное количество данных можно привязать.
Скажем, в одну запись имя пользователя и почту уже не запихнешь


Поэтому не всегда можно самим кейчейном обойтись.

Проблема в разработчиках приложений у которых форма ввода или смены пароля не является веб формой — ОС ее не распознает как я понимаю.
Если нельзя ввести и логин и почту — войдите 2 раза, у вас просто будет 2 записи в Ключнице, далее проблемы не будет, да и какая разница через логин или почту входить, простоту входа не отменяет.

Ну, еще может понадобиться какой-нибудь ответ на секретный вопрос сохранить, или что-то в таком духе.
Да, для этого даже есть специальные приложения, пишешь по русски, переводит в текст, набранный на англ. раскладке
Именно соответствие раскладки или транслит?
Если первое, и приложение мобильное, то может быть вы вспомните его название. Буду признателен.
Именно по раскладке, не транслит. Могу подсказать только для андроида, вбейте в поиске rus2lat там несколько будет приложений, все с похожим функционалом.
Спасибо, отличный вариант :)
Клавиатура hacker's keyboard такое умеет из коробки
Это большая проблема, после долгих и безуспешных поисков на PlayMarket клавиатуры имитирующей обычную, пришлось запомнить свои пароли и немного внести цифр.
Кстати, может кто таки знает такую клавиатуру? :)

Haker's keyboard. Даже стрелочки на месте.

Спасибо, но или плохо искал или не нашел настройки, где бы одновременно было видно две раскладки (как на PC клавиатуре).
А, в этом плане имитирующая. Тогда Key2Lay, правда я ей не пользовался, в отличие от Haker's keyboard.
То что надо, еще раз спасибо, плюсанул бы, да пока маловат :)
Как ни странно, но многие сайты, «проверяющие» стойкость пароля такой вариант часто пропускают как надежный. Но однажды я встретил в одном из словарей для брута как раз свой вариант фразы. Сейчас уже скрывать нечего, давно применяю другую систему. А потому зацените что было в словаре: pjkjnjqgbplsrjkgfr и dbynjdrf'njghfplybrdctktnbndgbple (последний не везде проходил тогда по длине, стоял только на домене). Но в защиту этого метода могу сказать, что дополнить парой цифр и расставить каким-нить не особо очевидным способом заглавные (например в конец слова) и вполне себе надежный пароль при нормальной запоминаемости. На мобильных только не очень удобно набирать.
Нет :). Это если Вы предположили мою сегодняшнюю систему. Сегодня у меня один пароль с разными модификаторами.
Мой первый пароль на Webmoney {jxeNfy.[eDst,fnm (Фраза на русском)
Заклинание помогло? :)
Вам не стоит говорить ваш пароль Татьяне
Если легко угадать само слово на русском языке, то одной сменой раскладки не защитишься. Встречаются готовые словари с такими паролями.
Текстовые пароли это прошлый век. Что-то сродни навесному замку. Самый правильный вариант в 21 веке — это биометрическая аутентификация. В ближайшие 10 лет она окончательно избавит нас от необходимости помнить пароли.
А здесь в игру вступает паранойя. Как сайт будет использовать эти данные? как они хранятся? Слив таких данных куда опаснее, чем утрата паролей, которые могут быть разные. Так что биометрическая аутентификация, имхо, под большим вопросом.
+ сложность реализации и администрирования.
Может будет хранится хеш от биометрических данных.

Ваша биометрия стала доступна хакерам. Пожалуйста, смените биометрию.

Такой вопрос, если после определенного количества неправильных вводов паролей делать таймаут или капчу, это же надежно защитит от брута? если да, то почему так не делают все?
Агрессивно настроенная парольная политика на контроллере домена создаст дополнительный объем работы для службы поддержки ИТ ;)

А ещё можно для настроенной таким образом системы устроить своеобразный DDoS: заблокировать все или почти все учётные записи, несколько раз введя для них неверные пароли.
Кстати, лично меня жутко раздражает капча по поводу и без на странице авторизации, например, для интернет-магазина детских товаров. Но, с другой стороны, удивляют жалобы пользователей в комментариях к банковским приложениям а-ля "задолбался уже вводить пин-код/пароль каждый раз, уберите эту проверку!" :)
Так что, как говорится, it depends.

устроить своеобразный DDoS: заблокировать все или почти все учётные записи


Причем любой троянец, пытающийся брутить пароли, сделает это на пару минут.
Логины как узнает? Даже в случае, если мы говорим про домен...., даже изнутри периметра (трой в письме)?

Логины легко вытащить LDAP-запросом к базе Active Directory. Для этого достаточно прав рядового пользователя AD. Это если внутри.
Снаружи — тоже можно. Как вариант: зная учетные данные одного пользователя, получить список email'ов из адресной книги через выставленный наружу веб-интерфейс почты. Как показывает практика, email очень часто соответствует логину.
Эх, уже прям вредные советы пошли… :)

По второму пункту у меня радость, списки адресной книги в веб-морде не публикуются. Но остаются утерянные гаджеты с незапароленным почтовым клиентом. Это надо обдумать. Но снаружи спасает wail2ban и аналоги.
Про первый вариант — буду и сам кубатурить и админов наших попытаю, чем у нас ответить есть на такую атаку. Хотя я помню, что как-то разрешал эту ситуацию (полный бан доменных учеток) в далеком 2006 (кажись sasser это был). Допускаю, что ответ есть, просто «сделал и забыл», но это не правильно.
В целом — огромное спасибо. Мы регулярно проводим «учения по безопасности» в стиле «Пацаны!!! Нас дрючат». Вы определили тему учений на ближайшие выходные. Еще раз спасибо.

Теперь чувствую себя виноватым: испортил пацанам выходные. :)

Ничего не испортили. И я сам и мои сотрудники работают не только за зп. Тем более, что учения плановые и в любом бы случае состоялись. Вы просто подсказали интересный вектор.
Делают. Причем на многих уровнях. IDS с определенным модулем. WAF, наконец само приложение.
Вспомнилось классическое:
«Постоянно забываю пароль. И адрес почты, которую дала для напоминания тоже забываю. И контрольный вопрос забываю. Забываю куда записываю, и записные книжки тоже забываю. Что мне делать?»
Простой пароль плюс второй фактор бы помог!
Так у Яцутко же было:
Сюppеалистическое сyщество — секpетаpша диpектоpа. «Учится» заочно на филфаке.
Слов почти не знает. Робеет пеpед всем. Все докyменты деpжит в одном файле, фоpматиpyет всё пpобелами. Hедавно пpитаpанила дискетy и к ней запискy: «Файл В.doc — pаспечатать _или_ пеpеименовать». Сегодня пpишла, пpотягивает ещё однy запискy: «Visual Basic, Классика, Вагнеp, Моцаpт Sи-Dеpом». Раз в тpи недели пытается «откpыть адpес» (т.е. — пpовеpить почтy). Пpи этом каждый pаз забывает а) паpоль и логин, б) что такое «паpоль» и «логин», в) кyда и зачем их вводить.
Простой пароль плюс второй фактор бы помог!

Носите пароль на флэшке. Только ее никому не давайте в руки.

правда в том, что трудно запомнить все эти сложные пароли для нескольких сайтов без помощи менеджеров, но один совет — не устанавливать что-то из unkonwn источников, чтобы обеспечить безопасность как avast cleanup
Помню давным давно когда не было менеджеров паролей, а почта уже существовала я придумал просто способ хранить пароли:
1) Берёшь название песни/альбома/группы/книги/фильма, которое 100% запомнишь из 1-3 слов
2) Переводишь половину букв в верхний регистр
3) Делаешь замены, например, а на @, i на 1, O на 0
Брутфорсом практически нереально.
Ога, а потом, лет через 10, пытаешься вспомнить пароль от какого-нибудь древнего архива — И понимаешь, что музыкальные вкусы НЕМНОГО поменялись :)

alexdorofeeff
Саша, привет. Спасибо за статью. Особенно заинтересовали наблюдения как пользователи упрощают свою жизнь при политиках по смене пароля. Вспоминаешь и за собой некоторые из этих паттернов :)


Хотел дополнить по следующим моментам:


Вариант 3. Наиболее распространенные учетные записи и записи по умолчанию.
Во многих системах есть учетные записи по умолчанию. <...> Соответственно, имеет смысл заглянуть в руководства администраторов систем, которые вы хотите тестировать.

Понятно, что в результате сканирования, скорей всего определится целый зоопарк софта и железок от разных вендоров, лезть в инструкцию не вполне удобно, встречал в сети ряд проектов, от тупых списков типа http://www.defaultpassword.com/ до более системного подхода, например Mitre DPE (Default Password Enumeration, тут — налицо аналогия с CVE,CWE) где в структурированном виде хранится описание креденшиалов кучи вендоров с маппингом на CPE. Было бы здорово, если бы сканер безопасности (например Сканер-ВС) на основе типов продетектенного софта сформировывал бы адаптированные словари с учетом реальной инфраструктуры объекта.


Помимо default паролей софта и железа есть тулы-мутаторы типа cupp принимающие на вход структурированную информацию о жертве (ФИО, дом. животное, бизнес партнеры и т.п.) а на выходе генерирующие словари перебора.


Вообще если взглянуть философски, то можно воспринимать парольный подбор, как одну из разновидностей фаззинга, а создание словарей перебора (которое описано, как искусство, согласно заголовку статьи), тоже конечно было бы здорово автоматизировать хотя бы в фазе сборки самого словаря.


Вот ещё список из 5 тулов-генераторов словарей


Ну и конечно, вспоминая прошлогодний отчёт Tripwire важно хорошо выполнять политику удаления устаревших учёток (например бывших сотрудников)


У ФБР тоже есть консерны об этом


A review of recent FBI investigations discovered businesses incur costs ranging from $5,000 to $3 million due to incidents involving disgruntled or former employees

По-моему, тоже один из перспективных функционалов для сканеров безопасности.
Данные по ФИО покинувших работу сотрудников легко сопоставить с экспортом из ActiveDirectory, выдачей rpcclient и т.д. и т.п.


Широкое применение внешних облачных сервисов создаёт потребность в экзотических решениях: как рассказывал в Радио-Т директо по технологиям Яндекс Григорий Бакунов, у яндекса например есть телеграмм бот, автоматический удаляющий из всех корпоративных чатов в Telegram (куда его внесли ) людей не в штате компании. :)


Ну и хочется лишний раз напомнить, что сами по себе пароли это — во многом анахронизм, и предпочтительно там где их можно не использовать, лучше не использовать (сертификаты в WiFi: WPA-802.1X вместо WPA-PSK и т.д. и т.п.)

культовом фильме начала двухтысячных «Пароль «Рыба-меч»

Это в самом деле так? Мне лично запомнилось это кино исключительно как полное убожество.
Это могло бы стать поводом для ожесточенной дискуссии)
Мне лично запомнилось это кино исключительно как полное убожество


Большинство из тех, кто вообще помнит этот фильм — помнит только один этот конкретный эпизод.
(Проверено путем неоднократных опросов )

Я уверен что простые пароли это не следствие тупости, по крайней мере не всегда. Часто человеку просто плевать на аккаунт, он регистрируется по требованию другого сервиса либо ради интереса. Вот и не зачем защищаться раз терять нечего

Знаете чем юзер от хакера отличается? Юзер на набирает пароль с пятого раза, а хакер подбирает с третьего.

Only those users with full accounts are able to leave comments. Log in, please.