Открыть список
Как стать автором
Обновить

Комментарии 25

Было интересно почитать. Задумался над новой политикой паролей. Больше всего конечно напрягает обилие сервисов, а менеджеры паролей работают только на личных устройствах, а если надо зайти на почту или в соцсесть с рандомной машины он уже не поможет.
Вот так время создает проблемы, которых могло и не быть
InstaHeat, некоторые известные мне промышленные серверы аутентификации предоставляют доступ к ресурсу в режиме реверс-прокси и предоставляют функционал SSO. Подключаетесь с любого устройства к этому серверу, а он уже откроет для вас остальные сайты с подставленными учетными данными. Такой облачный менеджер паролей получается.
Ну вообще такой способ есть, и даже пост от разработчика на хабре имеется:
У вас ссылка не добавилась
Я мечтаю, что со временем повсеместное внедрение менеджеров паролей позволит заменить пароли на криптографию с открытыми-закрытыми ключами. При регистрации генерируется закрытый ключи, сайт хранит у себя открытый ключ, а авторизация пользователей будет происходить по ЭЦП. Отпадают проблемы с кражей паролей, подбором паролей, повторением одного и того же пароля на разных сервисах, проблемы с хранением паролей на стороне сервера.
Главная проблема в такой схеме — безопасно хранить закрытые ключи на машине/устройстве пользователя.

Боюсь, таким мечтам не суждено сбыться. Как быть, если у меня, например, с десяток устройств, половина из которых может быть потеряна или украдена или взломана потому что китайцы не хотят выпускать андроидопрошивки с исправлениями безопасности? Или что если устройство одно, но просто навернётся винт, а бэкапов простой пользователь делать не будет? С вышеупомянутой проблемой входа с рандомной машины тоже туговато.


А вообще это давно встроено в любой браузер (клиентские SSL сертификаты), просто никому не надо.

Вы не рассматриваете вариант KeePass + облачное хранилище? Так можно не боятся потерять всё пароли и секретные ключи с поломкой одного устройства.
Я использую LastPass на Desktop и Android. Было бы здорово открыть github.com однажды и увидеть, что разработчики добавили эллиптическую криптографию в процесс авторизации, а мой LastPass уже всё поддерживает :) Эх, мечты, мечты…

Утекает мастер-пароль — прощайте, абсолютно все учётки? Или как это устроено?

В простейшем варианте — да. Но LastPass, например, предлагает 2-х факторную аутентификацию (или даже многофакторную со смарт-картами, сканерами отпечатков пальцев, с привличением SalesForce и других сервисов).
Главное, что отказ от паролей на сторонних сайтах позволит сфокусироваться на безопасности одного единственного хранилища. И тут нам помогут советы из статьи.
То то что ни новость о ластпассе — то очередная утечка данных… Зато с кучефакторной аутентификацией, зато сикурно.
sheknitrtch, а как может быть связано распространение менеджеров паролей и замена их на аутентификацию с использованием закрытого ключа?
Кстати, рекомендую вам ознакомиться с FIDO U2F.
Посмотрите, как сейчас выглядит процесс работы с приватными ключами в Github: Generating a new SSH key and adding it to the ssh-agent, Adding a new SSH key to your GitHub account. Или например инструкция от Bitbucket: Add an SSH key to an account (целых 11 шагов с картинками). Если регистрация на Facebook будет такой сложной, то не каждый программист справится :)
И тут, мне кажется, менеджеры паролей могут взять на себя функции генерации закрытого и открытого ключа, и хранение секретной части, чтобы весь процесс сводился к нажатию кнопки «Register with public key».
Но это пока только мои хотелки, нет ни web-стандартов, ни предложений со стороны разработчиков сайтов.
Это уже есть, и как ниже написали, называется U2F — это довольно широко поддержанный стандарт. Регистрируется токен как второй фактор, для входа нужно вставить его в usb (поднести к считывателю NFC) и нажать физическую кнопку. Всё.

Внутри понятное дело открытые/закрытые ключи и прочая криптография, обёрнутые в удобный сервис.
В документе, о котором я упоминал выше, Microsoft вторит рекомендации от NIST:
Откажитесь от требований к составу пароля

И, разумеется, Microsoft строго следует своим же собственным правилам, благодаря чему мой пароль в Скайпе сейчас очень похож на пресловутый 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗ@дницыЕслиТыНе ДашьМнеДоступПрямоБл%дьСейчас.
Вцелом статья очень здравая, но за это:
можно все-таки заблокировать аккаунт после еще нескольких неудачных попыток.

нужно глаз на задницу натягивать!

Как можно не догонять, что этот подход дает возможность любому кулхацкеру держать заблокированным любой аккаунт неограничено долго? Голову иногда включать надо.
Это, на самом деле, самые базовые вещи: не задавайте маленькую длину и не урезайте конечные символы у предложенного пользователем пароля.

Особенно это хочется сказать тем банкам, что выпускают карты China UnionPay, используя VisaPVV алгоритм для проверки.
Для карт CUP PIN требуется 6 цифр, а VisaPVV алгоритм использует только 4.


Забавно как удивляется народ, когда говоришь "а ты попробуй последние две цифры PIN другими ввести" и получить нал в банкомате.


(не все… не все банки..)

Люди не могут придумывать и заучивать надежные, уникальные пароли для каждого сервиса, полагаясь только на свою память

Тренировать память тоже полезно. Хорошо запоминаются ассоциативные пароли типа kozel$$kapusta. Все равно основа безопасности останется в голове конкретного человека.
У меня в кипасе сейчас порядка 300 записей, в идеале, каждая должна быть длиной под 30 случайных символов. Очень сомневаюсь, что существуют люди способные надёжно запомнить такой объём рандомной информации :) А какой-нибудь пароль может понадобиться и через десять и через пятьдесят лет. В базе надёжность хранения не зависит от срока давности, а в голове — очень даже.
Такие люди, конечно, есть, но их очень немного.
Думаю, у большинства записей значительно меньше и их можно поделить на значимые (у меня их около 20) и не очень (к которым подходит шутка: если ты узнал мой пароль, ты узнал все мои пароли). Если запись потребуется через 10 лет — ее можно восстановить.
А мнемонику всем рекомендую — помогает не только запоминать, но и мышление развивает.
Специально проверил свой парольный менеджер — 524 записи
Возможно, сотней паролей вы не воспользуетесь, но не в этом дело.
На мой взгляд, хай теком 21 века станут методики обучения человека, точнее, раскрытия его способностей. Поскольку они, также как Фейсбук, изменят общество. Память человека безгранична. Это не природный дар, а технология, в которой задействовано образное мышление и эмоции, то есть то, чего у машины нет и никогда не будет, в связи с чем машина всегда будет проигрывать. Сейчас почему-то эти технологии на задворках, хотя по идее, должны использоваться с первого класса.
Представьте, что каждый помнит несколько тысяч человек. Другое общество с другими коммуникациями. И это не сказка, а технология, которая есть и которую надо развивать и продвигать.
Людям не нужны сверхспособности, людям нужны сверхспособные помощники. Сколько память не тренируй, а Гугл не переплюнешь. Память — не безгранична и это сжатие с потерями, это всё сказки про сверхмышление и прочее, на грани с псевдонаукой типа парапсихологии или телекинеза. А вот жесткие диски — вполне реальная штука и позволяет запомнить «несколько тысяч человек» и даже несколько миллиардов и на порядок детальнее, чем даже они сами себя помнят.
Никто не мешает развивать способности и создавать машины. Тем более, это не сверхспособности, а просто более правильное использование того, что есть. Воображение дано человеку не для того, чтобы строить воздушные замки, а интуитивный ум не переплюнет никакая машина. Опыт с Шерешевским показал, что память человека не имеет ясных границ. Есть интересное видео, когда читают 20 иностранных слов с переводом, потом без перевода, аудитория запомнила 3-5 слов, а потом лектор читает другие слова с переводом, но с использованием ассоциаций, и сразу резко вырастает запоминание до 17-20 слов из 24. У людей память вдруг стала лучше? Нет, конечно, это просто технология. Будет время, напишу статью.
Следует заметить, что с рекомендацией использовать менеджеры паролей (МП), не все так просто.
По своей сути это перераспределение ответственности. Эффективность централизованной атаки ресурса методом брутфорса снижается, владельцы ресурса могут меньше волноваться о мониторинге, необходимости внедрения многофакторной аутентификации и т.п., ведь пользователи используют хорошие пароли. Вместо этого для злоумышленников становится более привлекательной атака самого МП, процесса переноса пароля из МП.
В конечном счете, выиграет ли что-то в плане безопасности сам пользователь еще вопрос.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.