Адрес для входа в РФ: exler.world
Passkeys - будущее паролей в Сети
07.04.2023 10:14
14188
Комментарии (218)
Во многих профильных изданиях пишут о том, что в скором времени обычные логины-пароли в Сети будут заменяться ключами доступа (passkeys). (Вот, например, одна из таких статей "Why passkeys from Apple, Google, Microsoft may soon replace your passwords".) Эту систему, разработанную FIDO Alliance и World Wide Web Consortium, внедряют крупнейшие корпорации - Apple, Google, Microsoft, Best Buy, GoDaddy, PayPal, Kayak и eBay - и в их глобальных планах - полный перевод пользователей с системы паролей на ключи доступа. И это, замечу я, очень и очень правильно, потому что на порядки более безопасно, чем сильно устаревшие логины-пароли.
Что такое ключи доступа? Вы наверняка с подобным уже встречались - в каких-то сервисах, банковских приложениях и так далее. Это технология аутентификации, позволяющая входить в приложения и на веб-сайты без использования пароля: при этом производится аутентификация через телефоны/планшеты и криптография с открытым/закрытым ключом. Чтобы не копаться в деталях, это происходит следующим образом: чтобы зайти в какой-нибудь личный кабинет (приложение), вам сначала нужно будет каким-то образом идентифицировать себя (биометрия или легко запоминающийся PIN-код), после чего механизм аутентификации проверяет связь между открытым ключом, генерируемым сайтом/приложением с закрытым ключом, хранящимся локально на личном устройстве пользователя, и если связь подтверждается, то пользователю дают доступ.
Для пользователя это все выглядит просто, легко и знакомо - как, например, использование смартфона для оплаты, только тут вместо оплаты - вход в аккаунт или приложение, - а безопасность при этом увеличивается в разы. Все хорошо знают, какие проблемы существуют с обычными паролями, и от них, конечно же, обязательно нужно избавляться. (Замечу, что первоначально обычные пароли могут сохраняться как резервная форма аутентификации.)
Разработанные FIDO Alliance и World Wide Web Consortium стандарты позволяют также использовать Bluetooth для аутентификации на различных устройствах - это может использоваться для ускорения доступа в различные учетные записи, если устройство поблизости обнаруживает, например, доверенный смартфон. И что-то подобное уже используется некоторыми системами, однако тут речь идет о том, что все это будет работать глобально.
С этими стандартами, конечно, тоже существуют свои проблемы: например, что делать в случае утраты смартфона. Переход на новый смартфон при наличии старого делается элементарно - я сам это проделывал неоднократно, перенося все системы идентификации, работающие подобным образом. Но если доступа к старому устройству нет, то тут уже начинаются всякие проблемы, которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.
В общем, мы находимся на пороге великих свершений, и мы должны быть готовыми перейти на новые, намного более безопасные стандарты аутентификации. Аминь.
P.S. Нет, ну правда, пароли - это же такая архаика. У меня во всех важных приложениях/сервисах, где это позволяется, давным-давно установлены современные системы аутентификации. (Тот же Google Authenticator, например, много где можно использовать.)
Войдите, чтобы оставить комментарий.
Чем дальше, тем хуже. Компьютеры тормозят, надо бегать от телефона к компьютеру, приставке и обратно. А толку нет. Многие сервисы неспособны элементарно определить, с какого компьютера я захожу и каждый раз начинаются танцы с аутенфикатором и бубном. При всем при этом у меня спокойно увели суперзащищенный пароль от сайта, приложение которого я поставил на "смарт", поменяли адрес для вывода денег и вывели деньги. Это маниакальное стремление использовать смартфон для всего и во все дыры до хорошего не доведет.
Гугл аутотентифкатор, как я понимаю, далеко не панацея и безопасности разве что от диванных хакеров добавляет. Наверное, потому и хотят перейти на что-то посерьёзнее.
Гугл аутотентифкатор, как я понимаю, далеко не панацея и безопасности разве что от диванных хакеров добавляет.
- Скоро все пароли будут заменены RSA SecurID
[Сеть RSA взламывают, похищают ключи для привязки устройств к аккаунтам]
- @#$%^!!!
<== вы находитесь здесь
[Сеть RSA взламывают, похищают ключи для привязки устройств к аккаунтам]
- @#$%^!!!
<== вы находитесь здесь
Но если доступа к старому устройству нет, то тут уже начинаются всякие проблемы, которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.
Как уже писали, есть приложения, для которых важна хорошая защита (банки), но большинство создаёт трудности на ровном месте.
Сейчас я пользуюсь keepass с файлом на дропбоксе, периодическими бэкапами на NAS.
Из 100 с лишним паролей, подавляющее большинство не критично для взлома, т.к. даже получив доступ, у меня ничего не смогут украсть. Для них одинаковый пароль средней сложности, который можно запомнить, оптимальный вариант.
Есть несколько сервисов, где нужна улучшенная защита: например, у меня есть мили, достаточные для покупки билета у 2х авиакомпаний. Там стоят уникальные пароли минимум 10 символов. Без keepass я их не вспомню.
Далее идут банки и инвестменты. Сейчас там сложные пароли, которые хранятся в keepass, но желательно улучшить защиту.
Проблема с чем-то привязанным к телефону в том, что телефон могут украсть.
Двухфакторная аутентификация работает только там, куда доходят СМСки. (Например в заграничной поездке, если нет роаминга, или в круизе, где даже при наличии интернета, в банк не зайдёшь).
Ubikey и иже с ними хороши, но, опять же, если украдут за границей, то проблем будет дофига.
Как это всё улучшить? Очень просто.
- Стандартизировать уровни защиты: например ввести 3 уровня: сильный, средний и слабый. Для слабого не вводить серьёзных ограничений для пароля. Для среднего ввести минимумальное количество символов. Для сильного необходима двухфакторная.
Предоставлять пользователю выбирать необходимый уровень защиты в зависимости от чувствительной информации.Например, пользователь может зайти в банк и посмотреть остаток на счету с обычным паролем, но для операции по снятию и переводу нужна двухфакторная аутентификация. Не требовать средней и сильной аутентификации, там, где этого не надо.
Критерий - максимальная сумма денег, которые можно украсть. Например, на сайте электрической компании можно заплатить счёт и посмотреть потребление. Нафиг там требовать серьёзный пароль ?
- Стандартизировать устройства типа Ubikey (ок, пусть будет олигополия) таким образом, чтобы один и тот же ключ мог использвоваться для разных сайтов. То есть, чтобы я мог купить физический ключ, потом прийти в банк, привязать к счёту, а потом пойти в другой банк и привязать тот же ключ к счёту в другом банке.
- При заказе ключа чтобы можно было заказать дупликаты: один у меня, второй у жены, третий в сейфе в банке. Иными словами, этот ключ схож с обычным ключом от машины или от дома.
- Ключ использовать как часть двухфакторной аутентификации: то есть ключ не достаточен. Нужен ещё и пароль. (Это для тех, кто не знаком с Ubikey) . Это добавляет безопасности по сравнению с ключом от машины.
Сейчас я пользуюсь keepass с файлом на дропбоксе, периодическими бэкапами на NAS.
Из 100 с лишним паролей, подавляющее большинство не критично для взлома, т.к. даже получив доступ, у меня ничего не смогут украсть. Для них одинаковый пароль средней сложности, который можно запомнить, оптимальный вариант.
Есть несколько сервисов, где нужна улучшенная защита: например, у меня есть мили, достаточные для покупки билета у 2х авиакомпаний. Там стоят уникальные пароли минимум 10 символов. Без keepass я их не вспомню.
Далее идут банки и инвестменты. Сейчас там сложные пароли, которые хранятся в keepass, но желательно улучшить защиту.
Проблема с чем-то привязанным к телефону в том, что телефон могут украсть.
Двухфакторная аутентификация работает только там, куда доходят СМСки. (Например в заграничной поездке, если нет роаминга, или в круизе, где даже при наличии интернета, в банк не зайдёшь).
Ubikey и иже с ними хороши, но, опять же, если украдут за границей, то проблем будет дофига.
Как это всё улучшить? Очень просто.
- Стандартизировать уровни защиты: например ввести 3 уровня: сильный, средний и слабый. Для слабого не вводить серьёзных ограничений для пароля. Для среднего ввести минимумальное количество символов. Для сильного необходима двухфакторная.
Предоставлять пользователю выбирать необходимый уровень защиты в зависимости от чувствительной информации.Например, пользователь может зайти в банк и посмотреть остаток на счету с обычным паролем, но для операции по снятию и переводу нужна двухфакторная аутентификация. Не требовать средней и сильной аутентификации, там, где этого не надо.
Критерий - максимальная сумма денег, которые можно украсть. Например, на сайте электрической компании можно заплатить счёт и посмотреть потребление. Нафиг там требовать серьёзный пароль ?
- Стандартизировать устройства типа Ubikey (ок, пусть будет олигополия) таким образом, чтобы один и тот же ключ мог использвоваться для разных сайтов. То есть, чтобы я мог купить физический ключ, потом прийти в банк, привязать к счёту, а потом пойти в другой банк и привязать тот же ключ к счёту в другом банке.
- При заказе ключа чтобы можно было заказать дупликаты: один у меня, второй у жены, третий в сейфе в банке. Иными словами, этот ключ схож с обычным ключом от машины или от дома.
- Ключ использовать как часть двухфакторной аутентификации: то есть ключ не достаточен. Нужен ещё и пароль. (Это для тех, кто не знаком с Ubikey) . Это добавляет безопасности по сравнению с ключом от машины.
Телефон зло.
Мкб и сбер некогда печатали одноразовые пароли. Мкб даже на скретчкарте, сотри и введи. Альфа имела карту с еинк экраном и кнопкой.
Преимущества - одноразовые пароли просты и удобны. Абсолютно неломаемы. В любой момент перевыпускаемы. Легко бакапятся на листочек, который в конверт и в книжку положить можно.
В качестве быстрого пароля может быть банально формула, скажем этот форум может выдать два числа, и только вы знаете два арифметических действия и третье число. Это быстро, довольно надежно, и удобно.
Мкб и сбер некогда печатали одноразовые пароли. Мкб даже на скретчкарте, сотри и введи. Альфа имела карту с еинк экраном и кнопкой.
Преимущества - одноразовые пароли просты и удобны. Абсолютно неломаемы. В любой момент перевыпускаемы. Легко бакапятся на листочек, который в конверт и в книжку положить можно.
В качестве быстрого пароля может быть банально формула, скажем этот форум может выдать два числа, и только вы знаете два арифметических действия и третье число. Это быстро, довольно надежно, и удобно.
Ломаются кражей ключей привязки к счету и "перевыпуске" той самой "карты с экраном и кнопкой". Так взломали RSA SecurID, бывший практически стандартом в больших компаниях.
Проблема с чем-то привязанным к телефону в том, что телефон могут украсть.
Двухфакторная аутентификация работает только там, куда доходят СМСки.
У меня, кстати, мастер пароль на keepasXC как раз со вторым фактором – Yubikey
Для них одинаковый пароль средней сложности, который можно запомнить, оптимальный вариант.
подавляющее большинство не критично для взлома, т.к. даже получив доступ, у меня ничего не смогут украсть
Двухфакторная аутентификация работает только там, куда доходят СМСки. (
Предоставлять пользователю выбирать необходимый уровень защиты в зависимости от чувствительной информации
Нафиг там требовать серьёзный пароль ?
какая разница какие там требования, если все пароли хранить в парольном менеджере.
А как быть, когда под рукой нет телефона и своего компа?
На чужом компьютере логиниться в свой парольный менеджер?
Но для этого как минимум нужно зайти в почту и подтвердить свое новое местоположение.
Да, теперь и в кино / сериалах надо соответствовать, а то зрители засмеют 😉 "Rabbit Hole":
Ну не знаю… вот прям сейчас имею кучу гемора именно из-за этого самого аутентификатора.
Работаем мы с одним рестораном. Я и управляющий в их фейсбуке имеем права админа с полным доступом, однако вдруг оказалось, что доступ неполный есть еще более полный доступ. Оказалось, что у ресторана есть еще один эккаунт на фэйсбуке (непонятно на кого зарегистрированный, скорее всего на владельца, а может на его сына, который активно занимается управлением ресторана. Они не помнят, регистрировалось это все несколько лет назад, тогда этим занимался парниша, который давно уже у них не работает). Короче, мы знаем емайл адрес, на который зарегистрирован эккаунт, можем поменять пароль, но зайти не можем, так как требуется ввести код из аутентификатора, который неизвестно где. Хозяин и его сын регулярно меняют телефоны. Сейчас вот переписываюсь с саппортом, посмотрим, чем закончится. Борюсь, как бы вообще не прикрыли эккаунт, они ведь даже не помнят, на кого он зарегистрирован.
Работаем мы с одним рестораном. Я и управляющий в их фейсбуке имеем права админа с полным доступом, однако вдруг оказалось, что доступ неполный есть еще более полный доступ. Оказалось, что у ресторана есть еще один эккаунт на фэйсбуке (непонятно на кого зарегистрированный, скорее всего на владельца, а может на его сына, который активно занимается управлением ресторана. Они не помнят, регистрировалось это все несколько лет назад, тогда этим занимался парниша, который давно уже у них не работает). Короче, мы знаем емайл адрес, на который зарегистрирован эккаунт, можем поменять пароль, но зайти не можем, так как требуется ввести код из аутентификатора, который неизвестно где. Хозяин и его сын регулярно меняют телефоны. Сейчас вот переписываюсь с саппортом, посмотрим, чем закончится. Борюсь, как бы вообще не прикрыли эккаунт, они ведь даже не помнят, на кого он зарегистрирован.
У меня примерно такая же история с Инстаграм. Сменил номер телефона. Восстановить аккаунт невозможно.
Потерял ключи от сейфа. Не могу достать свои драгоценности. Сейф зло!
В случае е сейфом у меня был выбор, где хранить нажитое непосильным трудом. Могу хранить в банке, могу в трехлитровой банке, могу у тещи в огороде закопать, а могу в сейфе. В случае с аутентификаторами меня заставляют насильно это делать.
Могу хранить в банке, могу в трехлитровой банке, могу у тещи в огороде закопать, а могу в сейфе. В случае с аутентификаторами меня заставляют насильно это делать.
И как это сделать в случае с Фэейсбуком и судя по всему, гугловским аутентификатором? Я искренне интересуюсь. Мне вот саппорт ничего такого простого не предлагает. Подскажите, только медленно, как для альтернативно одаренных, я правда не знаю.
Гугловский, майкрософтовский и окта - позволяют сохранять резервные копии и восстановить конфиг при смене устройства. Был у меня еще OnePass, так вот это зло пришлось полностью пересинхронизировать.
UPD: Перепроверил. Окта не дает делать копии
UPD: Перепроверил. Окта не дает делать копии
как это сделать в случае с Фэейсбуком и судя по всему, гугловским аутентификатором?
Несколько лет назад умер телефон с гугл аутентификатором, до сих пор не могу часть доступов восстановить. Каждый сервис это целый квест на неделю. Хорошо, что еще номер телефона не сменил хотя обычно раз в 5 лет меняю.
Лично для меня возможность доступа из любой точки планеты с чужого компьютера и без телефона создает ощущение, что мои данные пока принадлежат мне. Понятно, что некоторые доступы требуют специальной защиты, но во-первых я бы предпочел сам выбирать какие, а во-вторых лично для меня это явно не сервисы гугл, эпл и майкрософт.
P.S. Ну подобрал кто-то пароль к моему аккаунту litres, ну и фиг с ним, пусть читает.
Лично для меня возможность доступа из любой точки планеты с чужого компьютера и без телефона создает ощущение, что мои данные пока принадлежат мне. Понятно, что некоторые доступы требуют специальной защиты, но во-первых я бы предпочел сам выбирать какие, а во-вторых лично для меня это явно не сервисы гугл, эпл и майкрософт.
P.S. Ну подобрал кто-то пароль к моему аккаунту litres, ну и фиг с ним, пусть читает.
Несколько лет назад умер телефон с гугл аутентификатором, до сих пор не могу часть доступов восстановить.
Я тут недавно делала новый доступ через аутентификатор, если там и есть какая возможность чего-то забэкапить, то она какая неочевидная простому пользователю.
если там и есть какая возможность чего-то забэкапить, то она какая неочевидная простому пользователю.
PS Но, справедливости ради, несколько лет назад этого не было и чтобы выцепить эти числа нужно было чуть ли не дамп памяти снимать 😉
PS2 ай, блин, эта зараза qr-коды генерит на экспорт. Ну, хоть так.
в самом начале нужно ввести число. Вот его и нужно забэкапить (обычно, система, предоставляющая этот код об этом предупреждает).
Также в меню есть строчка Transfer accounts с пунктами Export и Import. Уж не знаю насколько ещё очевиднее надо было сделать.
то все - аутентификатор не восстановить,
Многообещающе 😉
YOUR CUSTOMERS DESERVE
a frictionless experience
YOUR CUSTOMERS DESERVE
a frictionless experience
Помню в 0х при доступе в клиент-банк дискетку посовывали.
Один, но очень жирный недостаток аутентификации, подобной Гугл/ФБ - это прененепременный SingleSignOn сквозным образом через все сайты и приложения. А это не есть гут, я абсолютно не желаю использовать тот идентитет, что для банковских операций, для посещения всяких помоек соцсетей, типа мордокниги.
Совершенно не разбираюсь в компьютерной безопасности, но я давно уже недоумеваю, зачем какие-то пароли, если у меня телефон в кармане?
Как мне кажется, все запароленные сайты должны быть двух типов: куда для входа достаточно просто наличия телефона где-то рядом, и более защищённые, где этот телефон должен проверить, что я это я. А все прочие системы защиты это только для каких-то особых случаев.
Как мне кажется, все запароленные сайты должны быть двух типов: куда для входа достаточно просто наличия телефона где-то рядом, и более защищённые, где этот телефон должен проверить, что я это я. А все прочие системы защиты это только для каких-то особых случаев.
зачем какие-то пароли, если у меня телефон в кармане?
Или нет?
Для 95% пользователей подойдёт идеально. А те несколько процентов, которым есть что и от кого прятать (плюс ещё какое-то количество параноиков), могут озаботиться хоть ключами доступа, хоть многофакторной идентификацией, и ещё всем чем угодно, лишь бы им было спокойно и комфортно. Остальных-то зачем мучать?
Остальных-то зачем мучать?
Ах да, вы по нему еще и звонили.
И всё это происходит где-то вне вашего дома.
Вы спотыкаетесь, телефон падает и разбивается. Или
Или
А на телефоне - проездной билет, кредитные карточки
А если телефон сломал, а там проездной билет?! Ну значит всё, придётся пешком идти. Скажите, а как раньше до смартфонов, если у человека украли или он потерял билеты, то что он тогда делал?
Скажите, а как раньше до смартфонов, если у человека украли или он потерял билеты, то что он тогда делал?
как будто должен, просто обязан быть выход из любых ситуаций.
С такими рассуждениями никакая защита невозможна, всегда будет вариант когда что-то пойдёт не так.
а как раньше до смартфонов, если у человека украли или он потерял билеты, то что он тогда делал?
Если билет упадет на землю - им можно будет потом пользоваться, а можно ли будет телефоном?
Если билет слегка повредится, им можно будет пользоваться, а можно ли будет телефоном?
Ответ на оба вопроса - возможно, да, но далеко не факт и уж точно с куда меньшей вероятностью, чем в случае с билетом.
А кроме того, если у вас испортится билет, сможете ли вы пользоваться паспортом или кредитками? А если у вас украдут билет, сможете ли вы пользоваться паспортом или кредитками? Тут на оба вопроса ответ однозначный - да в случае с билетом и нет в случае с телефоном.
Так что, придется мне снова стать неоригинальным: зачем класть все яйца в одну очень хрупкую корзину?
покупал новые.
А теперь в духе как тут пишут "а если":
- А если билеты украли/потерял и нет денег на покупку новых?
- А если билеты уже все раскупили?
- А если до поезда-самолёта осталось 10 минут и нет времени покупать?
и т.д.
Это в идеальном случае.
Как программист, выскажусь про безопасность. Большая часть "безопасности" в интернете — такой же театр, как в аеропорту, и примерно по таким же причинам. Вы бы ужаснулись, если бы узнали, какое количесто сайтов хранит ваши супер-длинные пароли в открытом или почти открытом виде, или имеет другие подобные дыры.
А сами ограничения вводятся как с ковидом — чтобы не отвечать за реальные последствия. Сколько раз с фейсбука и ему подобных площадок воровали инфу миллионов пользователей? Ну, у вас же пароль был... Наверное, небезопасный, сами виноваты.
Гипертрофируем и возьмём самый жёсткий пример: банки. Вроде бы, ну уж там-то безопасность, и понятно зачем она, да? Но на самом деле лучшей безопасностью банка была бы возможность отменить любой платёж. Тогда не так уж важно, какой у вас там пароль или ключ или секретный вопрос. Всё это всё равно ломается, сами знаете примеры. А зато любая мутная контора может брать и списывать у вас какие-нибудь "долги" — а именно это настоящая "безопасность" должна бы предотвращать. Ах, вы "агентство по недвижимости" и считаете, что съехавший от вас жилец оставил вам пятно на полу, и за это вы хотите с него снять деньги за перестилание всего паркета? Идите в суд, куда угодно, но просто так никаких денег вы с него не получите — ведь мы, банк, на стороне нашего клиента и безопасности его денег. Ах, вы какое-то приложение и решили "автоматически" списать денег за мошенническую "подписку"? Мы на стороне... Ну, вы поняли.
И так же с любым другим сервисом — возможность отменить содеянное или нормально обращаться со своими данными убирает большую часть необходимости вообще в каких бы то ни было паролях. Но нет, это никому не хочется делать.
В общем, с этим такая же проблема как и в целом с бизнесом, законами и т.п. — защищать нужно слабого и маленького от больших, а получается всё время наоборот.
А сами ограничения вводятся как с ковидом — чтобы не отвечать за реальные последствия. Сколько раз с фейсбука и ему подобных площадок воровали инфу миллионов пользователей? Ну, у вас же пароль был... Наверное, небезопасный, сами виноваты.
Гипертрофируем и возьмём самый жёсткий пример: банки. Вроде бы, ну уж там-то безопасность, и понятно зачем она, да? Но на самом деле лучшей безопасностью банка была бы возможность отменить любой платёж. Тогда не так уж важно, какой у вас там пароль или ключ или секретный вопрос. Всё это всё равно ломается, сами знаете примеры. А зато любая мутная контора может брать и списывать у вас какие-нибудь "долги" — а именно это настоящая "безопасность" должна бы предотвращать. Ах, вы "агентство по недвижимости" и считаете, что съехавший от вас жилец оставил вам пятно на полу, и за это вы хотите с него снять деньги за перестилание всего паркета? Идите в суд, куда угодно, но просто так никаких денег вы с него не получите — ведь мы, банк, на стороне нашего клиента и безопасности его денег. Ах, вы какое-то приложение и решили "автоматически" списать денег за мошенническую "подписку"? Мы на стороне... Ну, вы поняли.
И так же с любым другим сервисом — возможность отменить содеянное или нормально обращаться со своими данными убирает большую часть необходимости вообще в каких бы то ни было паролях. Но нет, это никому не хочется делать.
В общем, с этим такая же проблема как и в целом с бизнесом, законами и т.п. — защищать нужно слабого и маленького от больших, а получается всё время наоборот.
Начал про "возможность отменить любой платёж", а оба примера - про отказ в проведении платежа на выдуманных банком условиях. Что и до санкций было и бесило, а теперь вообще непонятно, при какой погоде какой платёж может пройти.
С каких пор банк решает, мошенническое приложение или нет? Мне как-то раз пришлось объяснять по телефону, что услуги, условно, "педрильного клуба любителей почесать очко" действительно необходимы. И я не чувствовал себя при этом более защищённо.
С каких пор банк решает, мошенническое приложение или нет? Мне как-то раз пришлось объяснять по телефону, что услуги, условно, "педрильного клуба любителей почесать очко" действительно необходимы. И я не чувствовал себя при этом более защищённо.
А кто сказал, что это банк должен решать? Я имел в виду, что решаете именно вы. Вам — уведомление с вопросом, добрым человеческим тоном: "вот такие хотят снять с вас, уважаемый клиент, вот столько денег, вы согласны или нет?", и если нет — то уже "им" приходит холодный роботический ответ: мы, дескать, банк на защите наших клиентов, а клиент послал вас на три буквы — так что денег не получите и всё тут. Обращайтесь в инстанции, если угодно.
Так это уже сейчас и есть, приходят SMS либо с кодом для подтверждения отправки, либо с "ответьте на это сообщение для возврата" при снятии.
Сколько раз с фейсбука и ему подобных площадок воровали инфу миллионов пользователей?
Вспомнилась страшная история про чёрный ноутбук.
В одной семье умер один дедушка. Когда он умирал, то попросил, чтобы его похоронили вместе с его любимым ноутбуком и оплачивали бы потом каждый месяц ему Интернет.
Но как только дедушка умер, папа сказал, что старик выжил из ума, и вместо ноутбука положил дедушке в гроб калейдоскоп.
Ночью, когда поминки закончились, папа сел за дедушкин ноутбук, и тут все услышали страшный папин вопль.
Когда все сбежались, то увидели, что папа топчет ноутбук и кричит, что дед унёс в могилу не только калейдоскоп, но и пароль.
©
В одной семье умер один дедушка. Когда он умирал, то попросил, чтобы его похоронили вместе с его любимым ноутбуком и оплачивали бы потом каждый месяц ему Интернет.
Но как только дедушка умер, папа сказал, что старик выжил из ума, и вместо ноутбука положил дедушке в гроб калейдоскоп.
Ночью, когда поминки закончились, папа сел за дедушкин ноутбук, и тут все услышали страшный папин вопль.
Когда все сбежались, то увидели, что папа топчет ноутбук и кричит, что дед унёс в могилу не только калейдоскоп, но и пароль.
©
Прошлым летом у знакомого американца украли сумку с паспортом и смартфоном где было пару современных аутентификаторов (passkey), кстати украли в Барселоне.
Из Испании уехал со справкой, всё нормально, но на родине пару вещей делал несколько недель вместо дней, как раз из-за аутентификаторов. Дайте документ - нет документа, нет аутентификатора, а чтобы получить этот документ нужен был доступ к сервису, где он всмето пароля установил двойную авторизацию.
Вот он по кругу набегался, и первое что сделал, когда всё восстановил - убрал в одном месте аутентифиактор и поставил обычный, старый ламповый пароль.
...
Из Испании уехал со справкой, всё нормально, но на родине пару вещей делал несколько недель вместо дней, как раз из-за аутентификаторов. Дайте документ - нет документа, нет аутентификатора, а чтобы получить этот документ нужен был доступ к сервису, где он всмето пароля установил двойную авторизацию.
Вот он по кругу набегался, и первое что сделал, когда всё восстановил - убрал в одном месте аутентифиактор и поставил обычный, старый ламповый пароль.
...
Кстати, в прошлом году Cloudflare продавали своим клиентам Yubikey со скидкой 50%. Я как раз прибарахлился.
Ну и любой андроид телефон работает как хардварный ключ безопасности по bluetooth.
Ну и любой андроид телефон работает как хардварный ключ безопасности по bluetooth.
"С этими стандартами, конечно, тоже существуют свои проблемы: например, что делать в случае утраты смартфона. "
В Эстонии это реализовано на привязке сим-карты к ID карте - Mobiil ID. У оператора можно заказать именно такую карту. При утере телефона покупаешь новый. Номер, прижелании, тоже можно изменить. Всё, что нужно - получить новую симку и лично подтвердить привязку симки к ID карте.
Все банки, госорганзации и многие интернет магазины используют такой способ авторизации. Логины и пассворды ушли в прошлое.
В Эстонии это реализовано на привязке сим-карты к ID карте - Mobiil ID. У оператора можно заказать именно такую карту. При утере телефона покупаешь новый. Номер, прижелании, тоже можно изменить. Всё, что нужно - получить новую симку и лично подтвердить привязку симки к ID карте.
Все банки, госорганзации и многие интернет магазины используют такой способ авторизации. Логины и пассворды ушли в прошлое.
Майор может заказать у оператора такую карту. И злоумышленник может. И смысл?
Майор может заказать у оператора такую карту. И злоумышленник может. И смысл?
Да заколебали со своей безопасностью. Можно Я буду решать, какой уровень безопасности мне нужен, а? Если речь идёт о моей личной почте, или даже банковском аккаунте. Может, я специально этот аккаунт завёл, чтобы держать там деньги на карманные расходы.
Нельзя. Может, ты нормальный. А, может, ты из тех полудурков или хитрожопых, из-за которых потом в инструкциях пишут, что кошку нельзя стирать в стиралке с барабаном, а горячий кофе в самом деле горячий.
Лучше перестраховаться, испортив жизнь 99% нормальным людям, чтобы не выплачивать огромные бабки 1% особенных.
Лучше перестраховаться, испортив жизнь 99% нормальным людям, чтобы не выплачивать огромные бабки 1% особенных.
Лучше перестраховаться, испортив жизнь 99% нормальным людям, чтобы не выплачивать огромные бабки 1% особенных.
Ну, давайте я где-нибудь подпишусь, что я нормальный.
Ну, давайте я где-нибудь подпишусь, что я нормальный.
Подобное разрушит концепцию Master/Slave в куче общественных систем и отношений.
А она фундамент.
Что бы подписывать такие документы нужно получить статус Master.
Как много выплачено бабок пользователям, которые заявили, что под их аккаунтом залогинился злоумышленник, укравший пароль и произвел злонамеренные действия?
Во всех этих изменениях у меня вызывает подозрение одна вещь.
Вы все меньше контролируете вашу безопасность и приватные ключи генерируются "кем-то" для вас.
Вы все меньше контролируете вашу безопасность и приватные ключи генерируются "кем-то" для вас.
приватные ключи генерируются "кем-то" для вас.
Раньше было лучше..... Ты и только ты отвечал за то, что убежишь от тигра или не съешь ядовитое растение.....
А вы как обычно генерируете приватный ключ?
ssh-keygen -t rsa -b 4096 -C "mymail@mail.com"
А что, можно как-то по другому? 😄
Примерно так:
ssh-keygen -t rsa -b 4096 -C "mymail@mail.com"
А что, можно как-то по другому? 😄
ssh-keygen -t rsa -b 4096 -C "mymail@mail.com"
А что, можно как-то по другому? 😄
Раньше было лучше..... Ты и только ты отвечал за то, что убежишь от тигра или не съешь ядовитое растение.....
Примерно так:
Пошел смотреть как на сайт exler.ru можно залогинится не используя архаичный метод... 😄
С юбикеями и другими системами Passkeys ситуация в точности как с магнитными кабелями для зарядки: если делаешь, то сразу для всего "в доме". Но, к сожалению, далеко не все онлайн сервисы поддерживают данную штуку сейчас, во-вторых - все далеко не просто с офлайн приложениями на вашем компе.. сервере.. телефоне. Ну и с резервным устройством и синхронизацией ключей - тот еще вопрос, я к нему и не подошел близко, завязнув в болоте вопросов как это правильно и надежно сделать. И вместе с disaster recovery планом, из серии - я в отпуске и у меня в отеле крадут сумку с ноутом и кеем.
я взял для теста юбикей себе. круто и красиво и выглядит и читается про него, установил на пару сервисов в качестве одного из вариантов аутентификации.. но прошло пару месяцев - вообще не помню на какие установил...
я взял для теста юбикей себе. круто и красиво и выглядит и читается про него, установил на пару сервисов в качестве одного из вариантов аутентификации.. но прошло пару месяцев - вообще не помню на какие установил...
которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.
Не привело бы это к тому, что в мире образуются 2-4 якодзуна, между которыми будет битва стандартов, а в проигрыше, как всегда, будет юзер, который в ненужное время в ненужном месте окажется с ненужным стандартом, и ой...
Есть одна проблемка - люди не любят делать лишние телодвижения. А еще любят надежность.
А тут всё как-то сомнительно, устройства какие-то дополнительные, отпечатки какие-то сдавать куда-то.
Доступ может быть с телефона, с десктопа, может быть с чужого устройства. Где-то нет камеры, где-то нет USB. Потеря телефона, нет доступа к телефону в текущий момент и т.д. Всё это как-то не особо решено.
И кстати слитый пароль можно поменять, а как поменять слитые отпечатки?
А тут всё как-то сомнительно, устройства какие-то дополнительные, отпечатки какие-то сдавать куда-то.
Доступ может быть с телефона, с десктопа, может быть с чужого устройства. Где-то нет камеры, где-то нет USB. Потеря телефона, нет доступа к телефону в текущий момент и т.д. Всё это как-то не особо решено.
И кстати слитый пароль можно поменять, а как поменять слитые отпечатки?
Нет ни одного абсолютно надежного человеческого решения. Или за него нужно заплатить много-много денег - и то не всегда помогает.
Пароли забываются, мобильники ломаются и теряются, интернета кое-где нет. Всё ненадежно. А жизнь коротка.
Не помню ни одного сообщения о базе слитых отпечатков. Наверное потому, что обычно отпечатки хранятся только у вас в мобиле или ноуте, никуда не передаются и зашифрованы вполне надежно.
Пароли забываются, мобильники ломаются и теряются, интернета кое-где нет. Всё ненадежно. А жизнь коротка.
Не помню ни одного сообщения о базе слитых отпечатков. Наверное потому, что обычно отпечатки хранятся только у вас в мобиле или ноуте, никуда не передаются и зашифрованы вполне надежно.
Не помню ни одного сообщения о базе слитых отпечатков
никуда не передаются
Или снятие отпечатка со стакана в кафе.
Современные системы вполне умеют уже отличать "живой" палец от картинки.
Так, я правильно понимаю, что для этого нужно иметь при себе телефон с работающей связью? Или нет? А если такого телефона нет, то я доступ не получу? Офигительная идея.
Да, именно так. И в статьях об этой системе об этом говорят, что это их недостаток.
Похожая альтернатива: у вас должен быть мобильник, но на нем должно быть приложение, где генерится случайный код каждую минуту и вы должны его ввести (тогда хотя бы интернет не нужен).
И еще раз скажу - потеря мобильника в современном мире равносильна потере документов. Естественно, что это куча лишних проблем. Не теряйте мобильники )
Если вам кажется, что иметь телефон при себе - это очень накладно, то подумайте, что вы предпочтете - думать о том, есть ли мобильник под рукой, или чтобы из-за ненадежного пароля у вас угнали ваши деньги со счета или вы вляпались в какие-то проблемы с утратой identity?
Похожая альтернатива: у вас должен быть мобильник, но на нем должно быть приложение, где генерится случайный код каждую минуту и вы должны его ввести (тогда хотя бы интернет не нужен).
И еще раз скажу - потеря мобильника в современном мире равносильна потере документов. Естественно, что это куча лишних проблем. Не теряйте мобильники )
Если вам кажется, что иметь телефон при себе - это очень накладно, то подумайте, что вы предпочтете - думать о том, есть ли мобильник под рукой, или чтобы из-за ненадежного пароля у вас угнали ваши деньги со счета или вы вляпались в какие-то проблемы с утратой identity?
что вы предпочтете - думать о том, есть ли мобильник под рукой, или чтобы из-за ненадежного пароля у вас угнали ваши деньги со счета или вы вляпались в какие-то проблемы с утратой identity?
Плюсую )) Но именно из-за этого и происходит 99% хакерских атак и сливов.
И еще раз скажу - потеря мобильника в современном мире равносильна потере документов. Естественно, что это куча лишних проблем. Не теряйте мобильники )
Так, я правильно понимаю, что для этого нужно иметь при себе телефон с работающей связью? Или нет? А если такого телефона нет, то я доступ не получу? Офигительная идея.
Но в целом, почти все токены, в том числе и из приложений работают автономно без онлайна. Онйлан нужен только на момент регистрации.
у вас должен быть мобильник, но на нем должно быть приложение, где генерится случайный код каждую минуту и вы должны его ввести (тогда хотя бы интернет не нужен)
Другая сторона знает все необходимое для генерации OTP (алгоритм, уникальный ID, хэш,...).
А на вашей стороне вместо телефона пароль может генерировать даже примитивное устройство в формфакторе миникалькулятора, которое от одной батарейки работает 3-5 лет.
Процесс может выглядеть так: другая сторона показывает вам некий набор цифр вы их вводите в токен (тот самый миникалькулятор), токен дает в ответ свой набор цифр. Вы в течение 1-3 мин (обычно дают минуты 3 вроде) отправляете ответ другой стороне. Все.
А на вашей стороне вместо телефона пароль может генерировать даже примитивное устройство в формфакторе миникалькулятора, которое от одной батарейки работает 3-5 лет.
Процесс может выглядеть так: другая сторона показывает вам некий набор цифр вы их вводите в токен (тот самый миникалькулятор), токен дает в ответ свой набор цифр. Вы в течение 1-3 мин (обычно дают минуты 3 вроде) отправляете ответ другой стороне. Все.
Собственно, процесс не отличается от списка одноразовых паролей на бумажке, только список бесконечный (пока батарейка в токене не сядет).
Такие токены появились у банков уже очень давно. Минимум лет 20-30 назад. Т.е. намного раньше идеи рассылать ОТР в СМС.
И, конечно же, такой токен намного безопаснее дебильных костылей в виде СМС с паролем из банка.
Такие токены появились у банков уже очень давно. Минимум лет 20-30 назад. Т.е. намного раньше идеи рассылать ОТР в СМС.
И, конечно же, такой токен намного безопаснее дебильных костылей в виде СМС с паролем из банка.
Если список бесконечен, значит это алгоритм и не одноразовый блокнот, а значит уязвим.
Токеном может быть голова. Ее не украдут, не используют насильно как палец.
Т.е. у вас нет телефона, нет связи но нужен доступ к онлайн ресурсу. Удивительное стечение обстоятельств. 😄Но в целом, почти все токены, в том числе и из приложений работают автономно без онлайна. Онйлан нужен только на момент регистрации.
Токеном может быть голова. Ее не украдут....
Замечательный процесс, никаких возражений! Только где здесь случайный код, о котором пишет уважаемый yuriyg?..
не одноразовый блокнот
а значит уязвим.
А уж как пароль через СМС уязвим..., зато дешево, т.е. практически даром.
Если список бесконечен, значит это алгоритм и не одноразовый блокнот, а значит уязвим.
Замечательный процесс, никаких возражений! Только где здесь случайный код, о котором пишет уважаемый yuriyg?..
В роуминге в разных странах совершенно стандартная ситуация. Именно так - на телефон хрен чего получишь, и вообще стоит симка местного провайдера, а залогиниться надо срочно из какого нибудь левого интернет кафе.
Нет, ну правда, пароли - это же такая архаика.
Больше достают корпоративные политики по смене пароля, которые требуют их регулярно менять.
Причем нужно соблюсти кучу дурацких требований - не меньше X символов длиной, содержать буквы в разных регистрах, цифры и спецсимволы, не должны совпадать ни с одним предыдущим паролем за последним 100 замен, не должны частично совпадать (т.е. не прокатит замена MoiParol1234# на 846#5MoiParolNew) и т.п.
Придумывание и запоминание нового пароля требует времени и, честно говоря, безопасность не повышает нифига.
Что-то у вас админу сильно злобствуют )) Я с регулярной сменой пароля сталкивался в нескольких компаниях и везде можно было менять MoiParol1234# на MoiParol1235# ну в крайнем случае на MoiParol2345# )) ну или заведите менеджер паролей )
Не админы, безопасники. Их целый департамент.
Менеджер паролей не подойдёт - на комп ничего поставить нельзя, политики такие. Да и не хочется, т.к. мониторинг ведётся регулярно и если что-то не из реестра корпоративного ПО найдут, настучат по шапке или уволят. С бозопасностью строго.
Менеджер паролей не подойдёт - на комп ничего поставить нельзя, политики такие. Да и не хочется, т.к. мониторинг ведётся регулярно и если что-то не из реестра корпоративного ПО найдут, настучат по шапке или уволят. С бозопасностью строго.
Что-то у вас админу сильно злобствуют ))
Во-вторых, это, как правило, регламентируется внутренними политиками безопасности, с соответствующим уровнем секретности (только для сотрудников), с которыми, как правило, ознакомляют при приёме на работу (и иногда со сдачей экзамена).
Ну и регулярное проведение внешнего аудита безопасности с пенетрейшн-тестами показывает, что если в политиках этого не предусмотрено, то ломаются такие "будто-бы поменяные пароли" гораздо легче, чем реально уникальные.
не должны частично совпадать
Даа, жуть )
Есть мобильные приложения менеджеров паролей. Хоть собственный мобильник можно использовать? (хотя слышал, что вроде кое-где и этого нельзя)
Есть мобильные приложения менеджеров паролей. Хоть собственный мобильник можно использовать? (хотя слышал, что вроде кое-где и этого нельзя)
Кстати, да. Как они могут знать о частичном совпадении, если хранится хеш? ))
Это требование означает что ваши админы *знают* ваш пароль (ну или могут легко его расшифровать в случае необходимости.
"введите старый"
два раза
"введите новый"
старый проверили - да, он. есть что сравнить с двумя новыми.
Ну, тогда вы можете легко обойти это требование 😄
А, ну если так, то можно просто сделать два шаблона паролей MoiParol****# и Bezopasnost****# а потом менять их по циклу
Это требование означает что ваши админы *знают* ваш пароль (ну или могут легко его расшифровать в случае необходимости.
Это только при смене и работает для двух паролей - текущего и нового, когда они оба есть в чистом виде. В БД, понятно, хранятся криптографические хэши.
три поля в окошке:
Не админы, безопасники. Их целый департамент.Менеджер паролей не подойдёт - на комп ничего поставить нельзя, политики такие. С бозопасностью строго.
Кажется , что ужесточение политики безопасности улучшает безопастность. Однако это далеко не всегда так.
Ну, тогда вы можете легко обойти это требование, поскольку это чисто клиентская проверка 😄
т.е. я понимаю о чем вы, но как-то не задалось с опытом подобных работ 😉
А, ну если так, то можно просто сделать два шаблона паролей MoiParol****# и Bezopasnost****# а потом менять их по циклу
хороший повод проверить на какой-то из корпоративных систем с подобными требованиями к паролям.
Это требование означает что ваши админы *знают* ваш пароль (ну или могут легко его расшифровать в случае необходимости.
Ну, тогда вы можете легко обойти это требование, поскольку это чисто клиентская проверка
Обходится, как уже заметили, двумя паролями, меняемыми по кругу.
один коллега давал всем своим гостям собственный логин и пароль. Он был написан у него в комнате на доске, большу-ущими буквами
Ой, я вас умоляю. Пароли, ха. У меня у самого три уровня паролей и три разных аутентификатора на девайсе, слава богу, корпоративном - на аккаунт, на впн, на проект, и постоянная ротация не в такт. И да, нельзя три последних, нельзя последовательные, высокая сложность и тэпэ, что, как обычно, решается файликом "пароли.тхт".
Так вот, это всё фигня. Больше всего радует регулярная рассылка от безопасников "мойте руки перед едой и не верьте фишинговым письмам". Основной признак фишинга - "грамматические ошибки и опечатки", что уже отдельно весело в сильно международном холдинге, где у многих родной язык - javascript.
И когда приходит письмо, ну одно из полусотни в день, которые не отправляются автоматически в "меня не касается", с ошибками - например, нет точки в конце предложения - и ты недостаточно ещё задолбан, чтоб на это обратить внимание, естьдва стула два варианта: ты отправляешь письмо в спам и сообщаешь безопасникам, или ты кликаешь там на ссылку и видишь "агага! попался!" и тебе назначают обязательный тренинг по кибербезу, где ты смотришь видосы, как не кликать куда попало.
А вот если ты написал безам, что пришёл фишинг, то тебе тоже назначают этот тренинг с формулировкой "отлично, но пересмотреть ещё раз лишним не будет".
И так примерно раз в два месяца.
Так вот, это всё фигня. Больше всего радует регулярная рассылка от безопасников "мойте руки перед едой и не верьте фишинговым письмам". Основной признак фишинга - "грамматические ошибки и опечатки", что уже отдельно весело в сильно международном холдинге, где у многих родной язык - javascript.
И когда приходит письмо, ну одно из полусотни в день, которые не отправляются автоматически в "меня не касается", с ошибками - например, нет точки в конце предложения - и ты недостаточно ещё задолбан, чтоб на это обратить внимание, есть
А вот если ты написал безам, что пришёл фишинг, то тебе тоже назначают этот тренинг с формулировкой "отлично, но пересмотреть ещё раз лишним не будет".
И так примерно раз в два месяца.
— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1грёбанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1грёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1грёбанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНеДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1грёбанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1грёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1грёбанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНеДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
Обходится, как уже заметили, двумя паролями, меняемыми по кругу.
В одном секретном институте пересчитывали перфокарты (были такие ИТ-технологии) при входе и выходе. Листы в блокноте тоже. А через месяц даже пропусков не спрашивали, историю с протезом я когда-то рассказывал.
Не обходится. Хранить хеши старых паролей для истории
Ротация паролей каждый 3 месяца это строгое требование PCI DSS 3.* к примеру. PCI DSS 4.0 уже не требует ротации, но пароль должен быть не менее 12 символов длиной и должна применяться MFA.
Все требования по длине, сложности и ротации паролей не каприз CISO а требования стандартов безопасности.
Все требования по длине, сложности и ротации паролей не каприз CISO а требования стандартов безопасности.
А причем тут PCI DSS? Тут же не про процессинг речь идёт, а про логины в корпоративной сети.
А причем тут PCI DSS? Тут же не про процессинг речь идёт, а про логины в корпоративной сети.
Логины в корпоративной сети, в которой работают те же люди, что и с CDE так же должны соответствовать.
В чем смысл применять требования стандарта там, где они не требуются? Работает девочка офис-менеджер, кофе и бумагу заказывает для коллег. Нафига ей для ее работы нужно каждые 90 дней менять пароли в сеть, когда у нее рабочих инструментов - Word, Excel и Outlook?
означает что ваши админы *знают* ваш пароль
Нафига ей для ее работы нужно каждые 90 дней менять пароли в сеть, когда у нее рабочих инструментов - Word, Excel и Outlook?
Для общего понимания, при взломе первый этап - попасть внутрь сети. Не важно под какой именно учетков, главное попасть внутрь. И в этом случае девочка офис-менеджер вполне подойдет.
И? Как от этого защитит смена пароля?
Будет девочка ставить безропотно пароли, каждый раз все больше запутываясь, а потом начнет их на бумажку записывать в открытом виде. Секьюрно получится?
Будет девочка ставить безропотно пароли, каждый раз все больше запутываясь, а потом начнет их на бумажку записывать в открытом виде. Секьюрно получится?
а потом начнет их на бумажку записывать в открытом виде. Секьюрно получится?
но это вопрос уже не к ИТ безопасности.
Потому что простые пароли ей никто не мешает записывать на листике и это действительно так.
Но вероятность того, что человек таки будет записывать на листике пароли в случаях:
А) если они сложные и их регулярно надо менять
Б) если пароль может быть простым и тебя его менять не заставляют
- эта самая вероятность в случае "А" гораздо выше.
А выбор между А и Б как раз политикой безопасности в организации и устанавливаются. Не сама же девочка придумала себе правила и мучается, в самом деле?
Насколько я понимаю, в систему, которая содержит данные платежных карт, должен быть доступ под отдельными УЗ и именно к ним применяются эти требования.В чем смысл применять требования стандарта там, где они не требуются? Работает девочка офис-менеджер, кофе и бумагу заказывает для коллег. Нафига ей для ее работы нужно каждые 90 дней менять пароли в сеть, когда у нее рабочих инструментов - Word, Excel и Outlook?
И? Как от этого защитит смена пароля?
Но защищать надо всех.
Не правильно понимаете. Через учетку девочки-офисменеджера можно попасть внутрь сети и начать атаку. Что кстати уже было в парочке знакомых организаций.
Я говорю про PCI DCC, он относится к обработке данных пластиковых карт. Если в организации вообще не обрабатываются такие данные, то как он применим?
Ок, давайте упростим.Я говорю про PCI DCC, он относится к обработке данных пластиковых карт. Если в организации вообще не обрабатываются такие данные, то как он применим?
Многие отмечают, что главные недостатки Passkeys - это возможное отсутствие интернета и утеря девайса. Альтернатива с отпечатками пальцами и распознанием лица - та еще проблема. Здесь тоже не всё однозначно, т.к. некоторые девайсы плохо распознают пальцы, особенно после того, как на них попадает вода и т.п. Про распознавание лица Эппл говорит, что это "супернадежно", ну как всегда, но вы же сами понимаете, что проснулся не с той ноги - и не распознает оно тебя... Почему-то распознавание по глазу тоже не делают в телефонах особо - видно тоже есть ограничения. Поэтому идеального метода нет вообще, пока, во всяком случае. И обычно, сейчас их комбинируют, а телефоны требуют, чтобы был и пароль и отпечаток пальца - и регулярно пароль переспрашивают, даже если вы хотите только отпечатками пользоваться.
То, что пароли должны уйти - это несомненно, учитывая постоянные взломы баз и то, что большинство людей не могут придумать более надежные пароли (хотя в корпоративной среде - всё больше ужесточают требования и уже "1234" просто не прокатит).
PS: В чем особенное преимущество именно Passkeys не очень понимаю. Уже сейчас есть аутентификаторы (Гугл, Майкрософт и т.п.), которые позволяют на втором шаге либо ввести код из мобильного приложения, либо запросить разрешение с девайса (но нужен интернет) либо ввести код (вызов) который показали при логине.
То, что пароли должны уйти - это несомненно, учитывая постоянные взломы баз и то, что большинство людей не могут придумать более надежные пароли (хотя в корпоративной среде - всё больше ужесточают требования и уже "1234" просто не прокатит).
PS: В чем особенное преимущество именно Passkeys не очень понимаю. Уже сейчас есть аутентификаторы (Гугл, Майкрософт и т.п.), которые позволяют на втором шаге либо ввести код из мобильного приложения, либо запросить разрешение с девайса (но нужен интернет) либо ввести код (вызов) который показали при логине.
В чем особенное преимущество именно Passkeys не очень понимаю. Уже сейчас есть аутентификаторы (Гугл, Майкрософт и т.п.), которые позволяют на втором шаге либо ввести код из мобильного приложения,
некоторые девайсы плохо распознают пальцы
Поставили разблокировку по пальцу. Проверили, все отлично. Прошло несколько дней, телефон явно видит палец (дребезжит иконкой замка на экране), но разблокироваться не желает. То же самое с левой рукой. Все, тупик.
Разблокировался он при попытке протирки сканера ворсистой тряпочкой и переходил сразу в платежную систему - пользуйся, не хочу. Ладно, платежная система - это мы сами так настроили, но разблокировка тряпочкой немало говорит о качестве алгоритма распознавания. Эксперимент был повторен много раз и повторяемость оказалась на высоте, так что это была не случайность.
Уже не помню, как я вышел на настройки, но как-то все же вышел и вернул авторизацию по паролю, после чего наступила тишь да благодать.
проснулся не с той ноги - и не распознает оно тебя...
Я бы, скорее, волновался насчёт внешне похожих людей.
А вот отпечатки... моя мать всегда ругалась на сканеры отпечатков. У неё отпечатки вообще еле-еле распознаются, в том числе на пограничном контроле. Сканер в телефоне не распознаёт её отпечатки вообще.
аутентификаторы не спасают от шпионского ПО, которое точно так же отправит ваш код злоумышленнику.
Код действителен минуту, так что вряд ли злоумышленник от этого что-то выиграет.
И как эта целенаправленная атака должна выглядеть?
И как эта целенаправленная атака должна выглядеть?
Какая СМС-ка, если речь об аутентификаторе?
Какая СМС-ка, если речь об аутентификаторе?
processer.media
Вы буквально написали: «аутентификаторы не спасают от шпионского ПО». Я не знал, что это означает двухфакторную аутентификацию.
А этот Cerberus, как я понимаю, может гораздо больше. Слишком мощная штука, чтобы от него защищаться на уровне отдельных приложений. Так что, да, от этого аутентификатор не спасёт — но от него вообще ничего не спасёт, кроме перехода с андроида на iOS.
А этот Cerberus, как я понимаю, может гораздо больше. Слишком мощная штука, чтобы от него защищаться на уровне отдельных приложений. Так что, да, от этого аутентификатор не спасёт — но от него вообще ничего не спасёт, кроме перехода с андроида на iOS.
аутентификаторы не спасают от шпионского ПО, которое точно так же отправит ваш код злоумышленнику.
. Я не знал, что это означает двухфакторную аутентификацию.
ссылка - это один из примеров, которой был первый в поиске гугла. Вариантов может быть больше, та же банальная социальная инженерия, когда "сотрудник банка" уговорит жертву просто произнести полученный код или нажать на нужную кнопку.
Все хорошо знают, какие проблемы существуют с обычными паролями
Какие проблемы, к примеру, с паролем типа "0b4HUbDIlwFJpRC"? Легко запоминается, а подбирается разве что теоретически.
А вот мне иногда нужно с чужой машины заглянуть на свою почту, причем всегда неожиданно. Постоянно таскать с собой приватный ключ? Так себе идея, КМК.
Таскать мобильник, на котором будет приватный ключ. А он сейчас есть везде и у всех. Проблема с паролем в том, что его могут слить из базы, даже хотя он и сложный. Поэтому второй шаг нужен, т.к. там второй код генерится случайным образом раз в минуту (обычно).
А при потере поломки/мобильника что делать? Тем более учитываем что потеряется/поломается все по закону подлости, в самый неподходящий момент))
Лучше обе. Пароль + биометрия + сгенерированный ключ.
В базе не хранятся пароли, хранятся хэши.
Сейчас многие банковские системы привязаны к мобильному номеру и тому подобное. Так что в современном мире - потеря мобильника где-то равносильна потере документов. Да, будут проблемы. Если же говорить об этих системах - то в них предусмотрена возможность переноса на другие девайсы, для этого обычно они еще требуют электронную почту и/или номер телефона (да, опять привязка к мобильнику, но сейчас часто у людей по два номера) - куда могут прислать код. В общем, с потерей/поломкой мобильника у вас проблемы будут, но они решаемы, если вы об этом подумали заранее. Привыкайте, что тут можно сказать. Да, я сам этого боюсь, но что делать - другого лучшего пути, пока нет.
Я знаю, но тем не менее, регулярно сливают именно пароли, видно, не все разработчики знают об этом )) или я не знаю как это получается...
А при потере поломки/мобильника что делать?
Есть и виндовсфоны и линуксофоны. Некоторые ходят с кнопочными или прочими ретрофонами.
Я знаю, но тем не менее, регулярно сливают именно пароли, видно, не все разработчики знают об этом )) или я не знаю как это получается...
Сливают, видимо, с компьютеров владельца, троянами или ещё какими-то зловредами, где они хранятся в файликах записанные.
В случае потери телефона - банковское можно на пару дней притормозить обычному человеку, ибо если вы нормальный человек, то условные n долларов стрельнуть у друзей и родственников можно на пару дней.
А вот в экстренной ситуации получить доступ к контактам, Ватсаппу, мейлу и прочее - бесценно. А если весь доступ зациклен на телефон, то.... То потеря/поломка телефона, если в шаговой доступности нет друзей - очень забавная будет.
А вот в экстренной ситуации получить доступ к контактам, Ватсаппу, мейлу и прочее - бесценно. А если весь доступ зациклен на телефон, то.... То потеря/поломка телефона, если в шаговой доступности нет друзей - очень забавная будет.
типа "0b4HUbDIlwFJpRC"? Легко запоминается
Ну давайте реально оценим: какова вероятность потерять телефон или его поломки? Я конечно, вас не знаю, какой образ жизни вы ведете, где вы живете и т.п. Но среднестатистически вроде это случается не так часто, разве нет? Я же говорю, сейчас мобильник - это аналог документов, его нужно беречь. Насчет поломок - покупать надежные мобильники. Не знаю, у меня среди друзей / родственников / знакомых - даже не припомню, чтобы у кого-то он ломался. Я не говорю, что там происходит со всеми, но вроде они достаточно надежные сейчас и ломаются через годы использования. Или нет?
Тут, видимо, какая-то мнемоника
Я знаю, но тем не менее, регулярно сливают именно пароли, видно, не все разработчики знают об этом
Именно поэтому на всех сайтах есть функция "сбросить пароль", но ни на одном не видел "напомнить пароль", то есть, изменить его можно, а вот увидеть - нет.
Ну, не знаю, может и есть идиоты, которые этому правилу не следуют, но вряд ли их заметное количество (да, эта неистребимая вера в человеческую разумность, ничего не могу с этим поделать).
Что-то никак не могу понять каким образом он легко запоминается. Тут, видимо, какая-то мнемоника, понятная для вас, но от меня ускользающая.
Какие проблемы, к примеру, с паролем типа "0b4HUbDIlwFJpRC"? Легко запоминается, а подбирается разве что теоретически.
Сейчас многие банковские системы привязаны к мобильному номеру и тому подобное. Так что в современном мире - потеря мобильника где-то равносильна потере документов. Да, будут проблемы.
Так что в современном мире - потеря мобильника где-то равносильна потере документов. Да, будут проблемы.
но они решаемы, если вы об этом подумали заранее
То есть внезапно приходит письмо, что у вас какая-то подозрительная активность за границей, поэтому залогиньтесь, пожалуйста, взад. Код мы вам послали на номер такой-то, спасибо, других каналов мы не поддерживаем, хотя вы их и указывали. И двухфакторка включена.
Восстановление доступа у эппл занимает в среднем три недели, и нет, ускорить его нельзя никак, об этом пишут в первом же письме. К AWS доступ восстановить не удалось вообще, все письма уходят на обучение ChatGPT уже скоро год - а там, на минуточку, платные подписки. Благо, не дорогие и не очень важные. Гугль вообще параноик, я хз как прокатило, потому что по предыдущему опыту восстановить к нему доступ можно только чудом.
Банковские приложения, что интересно, не без приключений, но отработали все.
В базе не хранятся пароли, хранятся хэши.
В базе не должны храниться пароли. Но что именно и как хранится в базе знает только ее владелец. Вы же, на форме логина, вводите и передаете свой пароль в открытом виде, поэтому он запросто может быть где-то сохраненным в силу различных причин.
Hub, dll, Japan и Release Candidate
Это была шутка.
Ну, а кроме этого, часто используемые пароли надо набирать ручками, вот и все. Не запоминать в броузере, не копировать из текстового файлика, и не создавать себе SSH токен. На самом деле, это совсем не сложно.
Был, кстати, случай, когда я был ну очень далеко от компа, а чуваку срочно нужен был пароль на одну базку. Он и охренел, когда я сходу продиктовал по телефону 10 символов с цифрами и апперкейзами.
Как человек, однажды внезапно оказавшийся за границей с неработающей симкой
просто отправить вас на фишинговую страницу
Но со многими сработает. Знаю даже одного весьма грамотного человека, который когда-то всех призывал зайти на какой-то мутнейший сайт, где Viber, якобы, раздавал подарки в честь своего юбилея. Ну ОК, тут убедил. И все же потенциальных проблем от ключей в мобильнике вижу больше.
Это вам кто рассказал? Владелец сервиса?В базе не должны храниться пароли. Но что именно и как хранится в базе знает только ее владелец
То есть, мне не надо залезать в продакшн базу Гугла, чтобы быть уверенным, что там моего суперсложного пароля qwerty1234 нету, и "скачать" его оттуда не выйдет.
То есть, мне не надо залезать в продакшн базу Гугла, чтобы быть уверенным, что там моего суперсложного пароля qwerty1234 нету, и "скачать" его оттуда не выйдет.
На а цена этим "стандартам" отлично винда как на пентестах, так и по количетсву утечек и крупных игроков на рынке.
А что мешает просто использовать эти слова целиком без всяких вставок
В принципе, ничего, но подбор по словарю - одна из тех страшилок, в которые можно поверить..
Fotoclub ru. Редко захожу и забыл пароль. Мне прислали именно мой пароль по запросу. 😄
Первый раз такое встречаю.
Первый раз такое встречаю.
В производстве подобного рода приложений есть определённые стандарты. И согласно этим стандартам в базе более-менее серьёзного приложения, куда заходят больше чем раз в год полтора калеки, никогда не хранятся пароли в текстовом виде.
То есть, мне не надо залезать в продакшн базу Гугла, чтобы быть уверенным,
И это в условном "гугле". А утечки базы паролей (пусть даже шифрованных) регулярны и это не студенческие поделия. Почему люди до сих пор хранят пароли, а не хэши неизвестно, но факт налицо и пока с этим ничего не поделать.
И все же потенциальных проблем от ключей в мобильнике вижу больше.
Там DIl, а не Dll. i заглавное, а не L строчное.
пока будете достаточно регулярно пользоваться
#админ, сбрось пароль!
Довольна высокая, у меня. Я могу упасть с мопеда и разбить телефон и я раздолбай и могу его тупо в кафе оставить. Да и тут уровень криминала чуть выше чем в России, могут, наверное, и не улице немесиного ограбить. Пока нет было, но тоже есть вероятность
Приходится дома держать старую нокию с банковскими симкартами и привязанными учетками. Благо давно уже никто на физический номер не звонит.
И для меня да, гибель российский сим-карты сейчас катастрофа. Благо хоть зарплатную банковскую карту оставил дома)))
Приходится дома держать старую нокию с банковскими симкартами и привязанными учетками. Благо давно уже никто на физический номер не звонит.
И для меня да, гибель российский сим-карты сейчас катастрофа. Благо хоть зарплатную банковскую карту оставил дома)))
Больше чем вы думаете.
А есть какие-то надежные мобильники?
В каком-то кине Брюс ругался, что все сделано на Тайване...
В каком-то кине Брюс ругался, что все сделано на Тайване...
Вы же, на форме логина, вводите и передаете свой пароль в открытом виде
Давно уже Юбикей пользуюсь
а вот мне бы хотелось USB ключ для доступа к веб сервисам с собственным дисплеем и кипадом. Чтобы при запросе на аутентификацию (с провереной ключом подписью) ключ показывал мне источник запроса прежде чем я дам подтверждение. Естественно, ключ должен требовать ввода пина (на самом ключе) прежде чем начать подтверждать запросы.
>>>вам сначала нужно будет каким-то образом идентифицировать себя
T.e. сначала ввести обычный пароль/PIN.
T.e. сначала ввести обычный пароль/PIN.
>>>вам сначала нужно будет каким-то образом идентифицировать себяT.e. сначала ввести обычный пароль/PIN.
Пока (только пока) это работает так, но просто знание обычного пароля или PIN при такой системе ничего не дает - оно не предоставляет доступ.
В более продвинутых системах еще предусматривают возможность послать код на имейл и/или телефонный номер. Иначе сложно будет при потере токена доказать, что ты - это ты.
В более продвинутых системах еще предусматривают возможность послать код на имейл и/или телефонный номер
Для восстановления токена обязаны быть другие процедуры с дополнительной валидацией владельца.
нет, это очень плохая идея, знают специалисты по информационной безопасности
Специалисты? На medium.com?
Ну, не то, чтобы прямо очень плохая. Там скорее обсуждение имплементации Passkeys и именно у Эппл. А Алекс вообще писал в общем, а не только именно об этой имплементации.
Я за биометрию.
Осталось только вспомнить, где у тебя логин-пароль, а где вход через гугл-фб.
Только браузер и помнит
Только браузер и помнит
Счастливый человек, который 20 лет работает на одном компе? ) Можно только позавидовать )
А по сути: гуглите "менеджер паролей" - полезная штука. Пытался объяснять некоторым людям зачем оно - а они "да я помню один и тот же пароль для всех сайтов" ) это опасно, а если их варьировать, то можно не угадать и потерять доступ...
Счастливый человек, который 20 лет работает на одном компе? ) Можно только позавидовать )
Я предпочитаю не синхронизировать ) У меня интересы меняются, рабочие потребности меняются, и т.п. А некоторые пароли (для простых сайтов) у меня Гугл помнит. Не знаю насколько это надежно, но думаю, что могу вкатить иск на 1 млрд. долларов, если Гугл зафейлит свою секьюрити. Шучу.
А по сути: гуглите "менеджер паролей" - полезная штука. Пытался объяснять некоторым людям зачем оно - а они "да я помню один и тот же пароль для всех сайтов" ) это опасно, а если их варьировать, то можно не угадать и потерять доступ...
я не очень понимаю, как менджер паролей улучшает безопасность. Достаточно злоумышленнику узнать пароль от менеджера паролей, и все, он знает все ваши пароли.
Наиболее частый сценарий взлома: утекает ваш пароль на сайт XXX. Дале, зная этот пароль и меня в нем пару символов пытаются подобрать ваш пароль к другим ресурам. В большинстве своем, как показывает практика, у людей если и разные, то все равно крайне схожие пароли, поэтому такой подбор весьма эффективен.
Менеджер паролей устраняет данную уязвимость, так как позволяет использовать уникальные пароли любой сложности при одинаковом уровне удобства.
я не очень понимаю, как менджер паролей улучшает безопасность
Достаточно злоумышленнику узнать пароль от менеджера паролей,
>У меня интересы меняются, рабочие потребности меняются, и т.п.
В Хроме для этого есть профили. Я начал с "дом" и "офис", и понеслось...
В Хроме для этого есть профили. Я начал с "дом" и "офис", и понеслось...
Но если доступа к старому устройству нет, то тут уже начинаются всякие проблемы, которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.
В яблочных устройствах ты просто поднимаешь копию из бэкапа и она полностью идентична, даже если новое устройство другой модели. Я так переехал с SE на 12 мини и с iPad Mini 4 на iPad 9 Не подтянулись только карты в эппл пэй.
В яблочных устройствах ты просто поднимаешь копию из бэкапа и она полностью идентична, даже если новое устройство другой модели. Я так переехал с SE на 12 мини и с iPad Mini 4 на iPad 9 Не подтянулись только карты в эппл пэй.
Да везде это уже есть.
Это как? Я могу ксиоми сменить на хуавей и одной кнопкой поднять полный бакап - приложения с их настройками и кешами, смс, рингтоны, файлики которые я положил в папочку системную чтоб никто не нашел?
FIDO вечно
- Наши взяли вокзал?! (с)
ЭТО ТЕСТ. МЕЯ ВИДО?
ФИДО ГЕИАЛЬАЯ СЕТЬ.
Ну ты и ламо! Сначала голого деда пропач!
Теги
Информация
Что ещё почитать
Обзор смартфона Samsung Galaxy A55 5G
19.06.2024
87
Одинокие волки
07.10.2024
108
