Безопасность в плену архаичных технологий

Безопасность в плену архаичных технологий
Технология №1. E-mail

Обращали ли вы внимание, что наша персональная безопасность очень сильно привязана к нашей электронной почте, а точнее к ящику электронной почты? И дело даже не в том, что потеряв/забыв пароль к своему ящику, вы лишаетесь всей почты, возможно, за долгие годы. Дело в другом - именно к вашему e-mail привязаны многие сервисы в Интернет и электронная почта - единственный ваш идентификатор и аутентификатор. Могу ошибаться, но по моим ощущениям около 90% всех Интернет-сервисов опираются только на e-mail в вопросе установления подлинности пользователя. Достаточно украсть учетную запись и вы получаете доступ ко многим ресурсам, к которым раньше жертва имела доступ.

Рекомендация будет простой - беречь свой почтовый account с молоду :-) Задействуйте те защитные меры, которые предлагают почтовые сервисы - ограничения точек входа, контроль точки последнего входа и т.п.

Технология №2. Секретный вопрос

Вторая архаичная технология - "секретный вопрос", которая позволяет вам восстановить доступ к тем или иным ресурсам, включая и электронную почту, от которой забыт или украден пароль. И тут владельцы многих сервисов не слишком активно проявляют фантазию - список "секретных вопросов" о-о-о-о-чень ограничен. Либо это банальный "девичья фамилия матери", либо "имя домашнего животного". Очень мало кто выходит за рамки этих двух вопросов, которые при современном развитии технологий  OSINT  не дают шансов на скрытие этой информации от интересующегося ока. Достаточно зайти на страницу пользователя в Facebook, ВКонтакте, Одноклассниках, как первая же фотка будет с домашним котэ или псом, а в списке друзей обнаружится и мама, у которой в скобочках обычно стоит девичья фамилия. Номер школы, город поступления в первый класс, любимая музыкальная группа, любимый фильм, имя супруги... Ответы на все эти "секретные" вопросы узнаются за несколько минут не шибко кропотливого поиска.

Рекомендация будет простой - прежде чем выбирать секретный вопрос подумайте, а такой ли он секретный и не ответили ли вы на него в социальных сетях или на иных Интернет-ресурсах? Если вам предлагается возможность самостоятельно выбрать вопрос, то будьте нетривиальны и задайте то, что можете знать только вы и может быть еще 1-2 человека - "месяц, когда у вам был первый секс", "имя вашей первой любви" (тоже часто публикуется, но все лучше "девичьей фамилии матери"), "название пионерского лагеря" (для нынешней молодежи лучше не применять), "первая компьютерная игрушка", "модель второго компьютера"... Если уж вас ограничили в списке вопросов, то хотя бы модифицируйте ответ. Например, к девичьей фамилии добавьте какую-то комбинацию символов.

Технология №3. Текстовый пароль

Текстовый пароль - это, наверное, самая первая защитная технология, которая приходит на ум рядовому пользователю. И пароль этот обычно текстовый и долгоиграющий, потому что мы пока не привыкли к одноразовым паролям, аппаратным токенам, графическим или звуковым паролям, парольным фразам и другим способам повысить низкую защищенность применения классических паролей. Мы привыкли, что пароль должен быть сложным и пытаемся выбрать нечто совершенно неудобное, сложнозапоминаемое и легкозабываемое. Ну зачем в пароле использовать символы в разных регистрах и спецсимволы? Почему недостаточно только букв в одном регистре и цифр (а можно и без цифр)? Потому что кто-то когда-то вбил себе в голову, что мощность алфавита пароля как-то влияет на сложность его подбора. Влияет... но линейно. А вот длина пароля влияет экспоненциально. Но формулу Андерсона уже мало кто помнит (а кто-то и вовсе не учил) и поэтому мы регулярно видим на разных сайтах при попытке ввести "слабый" пароль предупреждение, что "Вы должны использовать комбинации символов в разных регистрах, с использованием букв, цифр и спецсимволов". А итог печален - пользователь не запоминает такой пароль и записывает его в "труднодоступном" месте - в смартфоне или на бумажке, забытой в столе.  Да и сама форма пароля в виде текста - это анахронизм, пришедший к нам из времен, когда компьютеры могли эффективно работать только с ASCII. Тогда только как тексовым пароль и не мог быть. Сегодня технологии шагнули далеко вперед и возможно применение разных методов ввода пароля - графический, звуковой, биометрический и т.п. Почему бы авторам разных сервисов для разных платформ не использовать РАЗНЫЕ варианты ввода пароля?

Рекомендация будет следующей - если уж вам не оставляют вариантов и предлагают только текстовый пароль, то ориентируйтесь не на отдельные слова, а лучше на целые фразы (или определенные символы в словах фразы). И концентрируйтесь не на мощности алфавита, а на длине пароля.
философия аутентификация
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас