Комментарии 235
— А кто вам сказал, что невыгодно менять пароли?
— А Херли.
Извините, не смог удержаться.
— А Херли.
Извините, не смог удержаться.
Осталось дождаться от Microsoft Research доклада о том, что не выгодно менять операционную систему!!!
Ну понятно, что сарказм, но все-таки поясню. Разумеется, все «там» понимают, что юзеры выгоднее всего 1 раз поставить ОСь и автоматом ее обновлять без всяких там 2000 — xp — vista — seven. Но, разумеется, тогда как майкрософт будет получать прибыль. Хотя опять же возникает мысль, что можно было б просто ввести абонентскую плату за ОС, но тут же пришла другая мысль, что тогда слишком много мароки будет у крупных предприятий, возможно больше, чем раз в 3 года обновить ОС.
уже давно есть. Не выгодна категорически. А главное, абонентская плата не отменяет необходимости апгрейдить софт.
У меня есть лицензионная Windows 7 и установленная лицензионная Windows XP. Менять XP на 7 — значит несколько дней не работать, ставить программы, разбираться с новыми глюками. Зачем менять, если всё и так работает?
Правильно мыслите. Но майкрософт это тоже понимают, и начинают переставать обновлять старые ОС, например на геймеров воздействовали с помощью directX'a. Иначе бы никто и не покупал новые оси, и не было бы профита.
вот ты странный
я переставляю винду xp с официальной сборки sp3 от ms
потом ставлю софт
трачу 2 часа
я переставляю винду xp с официальной сборки sp3 от ms
потом ставлю софт
трачу 2 часа
MSR-то может и сделает такой доклад, но кто ж их послушает =)
К сведению, разница между Microsoft и Microsoft Research — удивительна огромна! Почти две разные организации.
К сведению, разница между Microsoft и Microsoft Research — удивительна огромна! Почти две разные организации.
Новость на уровне «Британские учёные заявили»
>Например, ежегодный ущерб банков от фишинга составляет около $60 млн.
А ущерб пользователей какой?
А ущерб пользователей какой?
Использование логина и пароля для авторизации — в принципе идея не очень удачная во всех отношениях, но удобнее для широкого пользователя еще все равно ничего не придумали
eToken нужно внедрять поактивнее.
Вон для онлайн-игр уже есть давно, а для Gmail пока не вижу. Я б купил сразу же.
Вон для онлайн-игр уже есть давно, а для Gmail пока не вижу. Я б купил сразу же.
Для широких-то масс? eToken? Вряд ли
Вот когда смарт-карты будут нативно поддерживаться, тогда да. А сейчас — удел компаний и «бухгалтеров на дому».
Про CCID не рассказывайте. ;)
Про CCID не рассказывайте. ;)
Не так давно, да и там проблемы со взломом были.
НЛО прилетело и опубликовало эту надпись здесь
В Приват24 используют еще и мобильный телефон (для каждой транзакции). Достаточно надежно ИМХО.
Да ладно, просто расписались в том, что пользователям их ОС это всё никак не поможет, зачем напрягаться? Трояну всё равно, какой пароль у вас, qwerty или Gjnfu%676*F32KTeqbve~` и как часто вы его меняете. И на «окошки с сертификатами» нужно наср*ть, всё одно у вас уже давно установлены доверенные корневые CA из комплекта с трояном.
Возможно это не совсем по теме, но меня давно интересует один вопрос: если бы, например, линукс был бы так же популярен, как виндовс, было бы под него написано такое же множество троянов и прочих и были бы они так же опасны?
Если бы, к примеру, было совершенно так же, то тогда, разумеется, иначе почему бы не аналогично, если оно, вероятно, всё ровно так, а не наоборот? Так-то оно так, ежели конечно, а чуть чего коснись — вот тебе и пожалуйста, поэтому, наверное, сложно сказать, так оно на самом деле или всё же немного не так.
С большой долей уверенности могу сказать: нет, так много не было.
Простой пример: на домашнем компьютере вы как правило всегда находитесь в системе с правами администратора (читай: полный доступ ко всему), соответственно трояну гораздо легче внедриться в систему, прописать себя в автозагрузку, в системные папки и проч. Заодно и для себя сделать исключение в правилах фаервола, чтобы хакеру высылать информацию или ждать команды для DoS-атаки.
Простой пример: на домашнем компьютере вы как правило всегда находитесь в системе с правами администратора (читай: полный доступ ко всему), соответственно трояну гораздо легче внедриться в систему, прописать себя в автозагрузку, в системные папки и проч. Заодно и для себя сделать исключение в правилах фаервола, чтобы хакеру высылать информацию или ждать команды для DoS-атаки.
НЛО прилетело и опубликовало эту надпись здесь
Они установятся от имени текущего пользователя, с правами на выполнение? Сомнева-а-аюсь.
НЛО прилетело и опубликовало эту надпись здесь
Не забудте к трояну инструкцию приложить.
sudo chmod +x troyan.sh
./troyan.sh
sudo chmod +x troyan.sh
./troyan.sh
Если троян нашел способ сохраниться на диск, почему он не найдет способ выполниться? Тупо «sh ./troyan.sh» не прокатит? Выполняясь из-под юзера он не испортит систему, но может натворить дел в юзерской паке (rm -rf ~/* никому не понравится)
Кто запустит это самое«sh ./troyan.sh»?
НЛО прилетело и опубликовало эту надпись здесь
~/.chsrc
~/.login
~/.chsrc
~/.profile
~/.shrc
Это то, что я нашёл у себя во фряхе. Все эти файлы прекрасно обновляются с правами пользователя и запускаются при логине.
Запомните, сидеть под юзером — это не защита от зловредов. Это мера предосторожности, не более.
~/.login
~/.chsrc
~/.profile
~/.shrc
Это то, что я нашёл у себя во фряхе. Все эти файлы прекрасно обновляются с правами пользователя и запускаются при логине.
Запомните, сидеть под юзером — это не защита от зловредов. Это мера предосторожности, не более.
Каким образом нужная строчка попадёт в один из этих файлов?
Если мы получили remote execution и смогли что-то записать на диск от имени текущего пользователя, то добавить строчку в скрипт не составляет труда, не находите? int 80h никто не отменял, как мне известно.
Ну, тут ключевое слово — «если».
Если мы получили remote execution, то дел можно натворить — ой-ой-ой.
Если мы получили remote execution, то дел можно натворить — ой-ой-ой.
Понимаете, если у пользователя винды комп выключен, то с ним тоже ничего не произойдёт. Уязвимости берутся не с пустого места и линуксовый софт страдает ими ни чем не меньше.
В данной ветке обсуждения мы подразумеваем, что RE возможен. Во-первых, потому, что даже в ядре Linux время от времени находят их (а тут уже права не то что рута, самого ядра!), а во-вторых, потому, что без RE шансы подцепить зловреда под виндой минимальны. Хотя идиотов запускающих аттачи хватает до сих пор. Но мы не будем о клинических идиотах, ладно? Потому что они и без компьютера представляют для самих себя опасность похуже бластера с сассером вместе взятых (:
Также хочу добавить, что количество находимых уязвимостей в системе прямопропорционально её популярности. За каждую найденную успешную дырку люди получают настоящие деньги. И суммы прямопропорционально зависят от популярности платформы. Таким образом займи Linux 90% рынка RE к нему будут находится каждый день.
А вот чуть ниже я написал почему, полагаться на разнообразие дистрибутивов и сидение под простым юзером являются сомнительными средствами «безопасности» от напастей.
В данной ветке обсуждения мы подразумеваем, что RE возможен. Во-первых, потому, что даже в ядре Linux время от времени находят их (а тут уже права не то что рута, самого ядра!), а во-вторых, потому, что без RE шансы подцепить зловреда под виндой минимальны. Хотя идиотов запускающих аттачи хватает до сих пор. Но мы не будем о клинических идиотах, ладно? Потому что они и без компьютера представляют для самих себя опасность похуже бластера с сассером вместе взятых (:
Также хочу добавить, что количество находимых уязвимостей в системе прямопропорционально её популярности. За каждую найденную успешную дырку люди получают настоящие деньги. И суммы прямопропорционально зависят от популярности платформы. Таким образом займи Linux 90% рынка RE к нему будут находится каждый день.
А вот чуть ниже я написал почему, полагаться на разнообразие дистрибутивов и сидение под простым юзером являются сомнительными средствами «безопасности» от напастей.
>… а во-вторых, потому, что без RE шансы подцепить зловреда под виндой минимальны. Хотя идиотов запускающих аттачи хватает до сих пор. Но мы не будем о клинических идиотах, ладно?
Почему не будем? Давайте как раз будем, т.к. это как раз самый перспективный рынок :) Зачем ломиться в закрытую дверь, подбирать ключи, вытачивать отмычку (т.е. искать уязвимости в ядре и компонентах и писать эксплойт), когда можно сказать юзеру «открой дверь» — и он сам откроет?
Разница в том, что в Винде любой экзешник по умолчанию имеет права на исполнение (да, начиная с Висты есть UAC, но кто его слушает?), а в Линуксе — не имеет. Вот и вся разница. Поэтому для того, чтобы затроянить Винду, юзеру нужно тыкнуть на файл и жмякнуть не читая на «ОК» в предупреждении UAC (что он и так уже привык делать). В Линуксе ему нужно либо открыть консоль и напечатать «sh ./pamela_anderson_siski.sh», либо дать файлу права на исполнение, что тоже нетривиально, а потом уже запускать. При этом в том же Гноме вылезет окно «Этот файл является скриптом, что Вы хотите с ним сделать?» и варианты ответа «Запустить», «Посмотреть», «Отменить».
Согласитесь, неравнозначные задачи?
И сдаётся мне, именно таким способом распространяется большинство троянов (вместо того, чтобы искать уязвимости и писать эксплойты), ибо дёшево и просто. Ну а те, которые эксплуатируют уязвимости — тут не попишешь, они опасны в обеих системах.
Почему не будем? Давайте как раз будем, т.к. это как раз самый перспективный рынок :) Зачем ломиться в закрытую дверь, подбирать ключи, вытачивать отмычку (т.е. искать уязвимости в ядре и компонентах и писать эксплойт), когда можно сказать юзеру «открой дверь» — и он сам откроет?
Разница в том, что в Винде любой экзешник по умолчанию имеет права на исполнение (да, начиная с Висты есть UAC, но кто его слушает?), а в Линуксе — не имеет. Вот и вся разница. Поэтому для того, чтобы затроянить Винду, юзеру нужно тыкнуть на файл и жмякнуть не читая на «ОК» в предупреждении UAC (что он и так уже привык делать). В Линуксе ему нужно либо открыть консоль и напечатать «sh ./pamela_anderson_siski.sh», либо дать файлу права на исполнение, что тоже нетривиально, а потом уже запускать. При этом в том же Гноме вылезет окно «Этот файл является скриптом, что Вы хотите с ним сделать?» и варианты ответа «Запустить», «Посмотреть», «Отменить».
Согласитесь, неравнозначные задачи?
И сдаётся мне, именно таким способом распространяется большинство троянов (вместо того, чтобы искать уязвимости и писать эксплойты), ибо дёшево и просто. Ну а те, которые эксплуатируют уязвимости — тут не попишешь, они опасны в обеих системах.
Если вы внимательно читаете хабр, то наверное заметили несколько постов про бот-неты. В частности посты про Zeus. В одном из них (лень искать, ивзините) был приведён список способов «доставки» трояна юзерам — сплошные remote execution! Для всех браузеров и для кучи плагинов (flash, adobe reader и т.д.). На аттачи он не расчитывает. Кроме того троян целиком и полностью работает в юзер-моде и админских прав не требует.
И чтобы вы думали? Это самый мощный ботнет! И умеет он всё на свете — тырить данные, подставлять в ваш любимый файрфокс фейковые страницы вашего банка (да-да! если он стоит у вас, то управляющий может именно вам лично показать то, что он хочет) и т.д.
Таким образом лично я сразу откидываю аттачи и прочий детский сад — это не целевой рынок. Прошли уже те времена, когда все поголовно тыкали на pamela_anderson.exe.
И чтобы вы думали? Это самый мощный ботнет! И умеет он всё на свете — тырить данные, подставлять в ваш любимый файрфокс фейковые страницы вашего банка (да-да! если он стоит у вас, то управляющий может именно вам лично показать то, что он хочет) и т.д.
Таким образом лично я сразу откидываю аттачи и прочий детский сад — это не целевой рынок. Прошли уже те времена, когда все поголовно тыкали на pamela_anderson.exe.
Ботнеты — да, но троян — далеко не всегда нода ботнета. Банальные «порно-блокираторы» и прочая мелкая шушера (которая составляет подавляющее большинство гуляющей заразы) сляпаны в расчёте на глупость юзера. Ибо эти мелочи не стоят тех затрат, которые нужны для обнаружения и эксплуатации уязвимостей.
Разумеется, «шедевры» пишутся так, что пользователю вообще неизвестно, когда и каким образом троян попал на его машину. Был у нас случай, когда 3 реально классных специалиста бились 2 дня — но так и не обнаружили зловреда на машине (машина, к слову, была регулярно обновляема, за натом, с антивирем). Тупо не обнаружили, что на машине что-то есть. При этом машина генерила пару тысяч запросов в секунду на определённый сайт. Испробовали ВСЕ возможные (и невозможные :)) средства диагностики — фиг там, ни одного лишнего процесса, ни один из «нелишних» не ведёт себя подозрительно, но при этом — участие в мощной DDoS-атаке налицо. Просил оставить шедевр для более детального изучения — не дали, машина срочно понадобилась, поэтому тупо форматнули и перезалили Винды.
Но такие случаи — реально единицы.
>Прошли уже те времена, когда все поголовно тыкали на pamela_anderson.exe
Вы очень, очень сильно удивитесь… :)
Разумеется, «шедевры» пишутся так, что пользователю вообще неизвестно, когда и каким образом троян попал на его машину. Был у нас случай, когда 3 реально классных специалиста бились 2 дня — но так и не обнаружили зловреда на машине (машина, к слову, была регулярно обновляема, за натом, с антивирем). Тупо не обнаружили, что на машине что-то есть. При этом машина генерила пару тысяч запросов в секунду на определённый сайт. Испробовали ВСЕ возможные (и невозможные :)) средства диагностики — фиг там, ни одного лишнего процесса, ни один из «нелишних» не ведёт себя подозрительно, но при этом — участие в мощной DDoS-атаке налицо. Просил оставить шедевр для более детального изучения — не дали, машина срочно понадобилась, поэтому тупо форматнули и перезалили Винды.
Но такие случаи — реально единицы.
>Прошли уже те времена, когда все поголовно тыкали на pamela_anderson.exe
Вы очень, очень сильно удивитесь… :)
.bashrc?
А что мешает закрыть доступ на запись к конфигам в домашней папке? Отдать их во владение root'у, и всё. В Windows такое тоже можно сделать, только там, на самом деле, конфигов в 100500 раз больше, и разбросаны они по всему диску и реестру. Гораздо сложнее этого добиться.
Не совсем. Основная причина даже не в том, что линукс такой мега-пупер защищённый, а винда — дырявое ведро, а в том, что линуксы — РАЗНЫЕ. А винды _ОДИНАКОВЫЕ_. И это ключевой момент. Разница между двумя системами под линуксом может быть просто архиколоссальная. Разные ядра (с разными патчами), разные графические оболочки, разные браузеры и почтовые клиенты. Дятел для i386 файрфокса версии 3.6 совершенно не интересует пользователя x86_64 opera. А ведь там на горизонте, но всё ближе, армовские железки, которые без особых усилий вроде qemu i386-код в принципе не умеют выполнять.
Т.е. «универсальный троян под линукс» это что-то вида
./configure
make
make-dep
make install
Причём, ./configure обламается на первых 20 строчках, ибо у пользователя нет ни make, ни gcc, ни кучи *-dev.
Этот принцип есть и в природе, как средство борьбы с эпидемиями, паразитами и грибками. Называется, «видовое разнообразие». Чем больше разных систем, тем сложнее написать под все их что-то, что против воли будет работать на их машинах. А главная «вина» майкрософт (помимо авторана в XP и существования activex) в унификации компьютеров пользователей, браузеров и комплектов ПО. Десять уязвимостей в десяти видах ПО совершенно не помогут массовой эпидемии, если это ПО имеет каждое по 0.5-2% пользователей.
Т.е. «универсальный троян под линукс» это что-то вида
./configure
make
make-dep
make install
Причём, ./configure обламается на первых 20 строчках, ибо у пользователя нет ни make, ни gcc, ни кучи *-dev.
Этот принцип есть и в природе, как средство борьбы с эпидемиями, паразитами и грибками. Называется, «видовое разнообразие». Чем больше разных систем, тем сложнее написать под все их что-то, что против воли будет работать на их машинах. А главная «вина» майкрософт (помимо авторана в XP и существования activex) в унификации компьютеров пользователей, браузеров и комплектов ПО. Десять уязвимостей в десяти видах ПО совершенно не помогут массовой эпидемии, если это ПО имеет каждое по 0.5-2% пользователей.
Антивирусы тоже разные, но вирусы как-то умудряются их всех обойти разом.
На самом деле статик-линкед x86 код будет нормально работать и на x64. Эльф конечно-же )
А запакованные в sh-selfgz несколько видов бинарников ( скажем x86, x64, *bsd ) либо sh-загрузчик с сайта «провайдера» решают проблемы совместимости. И вообще export LD_PRELOAD=./troyan.so ;)
А запакованные в sh-selfgz несколько видов бинарников ( скажем x86, x64, *bsd ) либо sh-загрузчик с сайта «провайдера» решают проблемы совместимости. И вообще export LD_PRELOAD=./troyan.so ;)
>Причём, ./configure обламается на первых 20 строчках, ибо...
… троян не сумеет запустить configure, т.к. для того, чтобы запустить configure, ему нужно запустить какой-то скрипт, а этого сделать он не сможет, т.к. у него нет прав на исполнение. А чтобы дать себе права на исполнение ему нужно запуститься, а для этого ему нужны права на исполнение. В общем, ему нужно быть бароном Мюнхгаузеном, чтобы вытянуть себя за волосы из болота :)
… троян не сумеет запустить configure, т.к. для того, чтобы запустить configure, ему нужно запустить какой-то скрипт, а этого сделать он не сможет, т.к. у него нет прав на исполнение. А чтобы дать себе права на исполнение ему нужно запуститься, а для этого ему нужны права на исполнение. В общем, ему нужно быть бароном Мюнхгаузеном, чтобы вытянуть себя за волосы из болота :)
Ещё один милый миф (:
Чтобы вредоносный код очутился в каком-либо виде на компьютере пользователя мы должны либо засставить пользователя этот код скачать и запустить (спам с аттачами и т.д.), либо найти уязвимость. Предположим, что это сделано и мы получили возможность в данный момент времени выполнить немного кода, иначе до стадии ./configure мы не дойдём в принципе, верно?
И так, у нас на руках возможность выполнить небольшой кусок кода из памяти с правами текущего пользователя, возможно кросс-платформенный кусок кода (например, в виде JS-скрипта для Firefox).
Во-первых, мы должны что-то записать на диск в домашнюю папку, что потом будет нашим полноценным трояном, ведь уязвимость — это всего-лишь первый этап инсталлятора, но никак не сам троян. Этим чем-то лучше всего будет шелл-скрипт. Второй шаг — запуск скрипта. Оба этих шага весьма тривиальны, и, так как, скорее всего для разных платформ remote execution будет разный, то мы каждому юзеру подсунем небольшую порцию прям под его машину. Тут немного вариантов: x86, x64, arm — это бОльшая часть рынка и она нас интересует в первую очередь. Ну и int 80h внутри позволит нам без всяких либ и ./configure записать небольшой текстовый файлик в пару килобайт на диск и выполнить его.
Следующий важный этап — шелл-скрипт. Видимо вы недооцениваете возможности шелла в Linux (: У большинства пользователей стоит хотя бы один скриптовый язык: perl, php, ruby, python, tcl. Стоят они хотя бы потому, что многие пакетные менеджеры активно используют эти интепретаторы в своей работе. Следовательно смысл шелл-скрипта в том, чтобы:
1. узнать чем стучаться на http/ftp (перебор wget, fetch, ftp, curl и т.д.).
2. узнать какой интепретатор стоит.
3. скачать троян под найденный интерпретатор с мастер-серверов.
4. запустить троян.
Если интепретаторы не найдены, то можно попробовать в тихаря поставить какой-то в папку пользователя с помощью менеджера пакетов (: Но, думаю, в большинстве случаев этот шаг для домашних пользователей можно опустить.
Ну и последний шаг — троянчик запускается, прописывает себя в один из логин скриптов и дальше делает всё, что его душе угодно.
С правами текущего пользователя он может спокойно тырить личные данные из файлов и слать куда скажут. Сохранённые пароли из Firefox, например. Они же в ~/ лежат (: А если и не лежат, то доступ на чтение 100% имеется. Также он может спокойно гонять http траффик и крутить в фоне баннеры принося копеечку автору. Он может сделать комп юзера частью ботнета и потреблять ресурсы компа по мере необходимости на те же банальные DDoS-ы. А ещё он может ставить какой-то софт в папочку пользователя, если мощностей perl-а не хватает. Ну и кей-логгер можно прикрутить при желании.
Ну да, мы не сможем поставить рут-кит и перекомпилять ядро, но кому это надо? Вся личная информация как на ладони и нужна именно она. И троян на 10 метров не нужен (:
Смысл моего комментария в том, что строить безопасность системы на том, что вы сидите не под рутом и на разнообразии дистрибутивов мягко говоря не профессионально. Поверьте, эти две штуки не такая хитрая штука по сравнению с рандомизацией адресов в новых процах. А на фоне работ одной милой девушки, которая смогла вылезти из виртуальной машины с хардверным Intel VT и поработить всю систему данные «меры предосторожности» вообще детский сад.
Мне бы хотелось, чтобы вы сделали правильные выводы. Во-первых, если вы в серьёз думаете о защите себя и своих личных данных, то надо этим заняться серьёзно, а не надеяться на то, что вы сидите обычным юзером. Второе, компьютерная безопасность — это очень обширная тема и никогда не знаешь откуда получишь удар ножом, поэтому доверяй, но проверяй. То есть в любом случае было бы неплохо время от времени проводить хоть какой-то аудит системы. Даже если вы сейчас забетонируетесь, но перестанете следить за состоянием своей системы, то с каждый днём риски получить «подарок» будут только увеличиваться.
Чтобы вредоносный код очутился в каком-либо виде на компьютере пользователя мы должны либо засставить пользователя этот код скачать и запустить (спам с аттачами и т.д.), либо найти уязвимость. Предположим, что это сделано и мы получили возможность в данный момент времени выполнить немного кода, иначе до стадии ./configure мы не дойдём в принципе, верно?
И так, у нас на руках возможность выполнить небольшой кусок кода из памяти с правами текущего пользователя, возможно кросс-платформенный кусок кода (например, в виде JS-скрипта для Firefox).
Во-первых, мы должны что-то записать на диск в домашнюю папку, что потом будет нашим полноценным трояном, ведь уязвимость — это всего-лишь первый этап инсталлятора, но никак не сам троян. Этим чем-то лучше всего будет шелл-скрипт. Второй шаг — запуск скрипта. Оба этих шага весьма тривиальны, и, так как, скорее всего для разных платформ remote execution будет разный, то мы каждому юзеру подсунем небольшую порцию прям под его машину. Тут немного вариантов: x86, x64, arm — это бОльшая часть рынка и она нас интересует в первую очередь. Ну и int 80h внутри позволит нам без всяких либ и ./configure записать небольшой текстовый файлик в пару килобайт на диск и выполнить его.
Следующий важный этап — шелл-скрипт. Видимо вы недооцениваете возможности шелла в Linux (: У большинства пользователей стоит хотя бы один скриптовый язык: perl, php, ruby, python, tcl. Стоят они хотя бы потому, что многие пакетные менеджеры активно используют эти интепретаторы в своей работе. Следовательно смысл шелл-скрипта в том, чтобы:
1. узнать чем стучаться на http/ftp (перебор wget, fetch, ftp, curl и т.д.).
2. узнать какой интепретатор стоит.
3. скачать троян под найденный интерпретатор с мастер-серверов.
4. запустить троян.
Если интепретаторы не найдены, то можно попробовать в тихаря поставить какой-то в папку пользователя с помощью менеджера пакетов (: Но, думаю, в большинстве случаев этот шаг для домашних пользователей можно опустить.
Ну и последний шаг — троянчик запускается, прописывает себя в один из логин скриптов и дальше делает всё, что его душе угодно.
С правами текущего пользователя он может спокойно тырить личные данные из файлов и слать куда скажут. Сохранённые пароли из Firefox, например. Они же в ~/ лежат (: А если и не лежат, то доступ на чтение 100% имеется. Также он может спокойно гонять http траффик и крутить в фоне баннеры принося копеечку автору. Он может сделать комп юзера частью ботнета и потреблять ресурсы компа по мере необходимости на те же банальные DDoS-ы. А ещё он может ставить какой-то софт в папочку пользователя, если мощностей perl-а не хватает. Ну и кей-логгер можно прикрутить при желании.
Ну да, мы не сможем поставить рут-кит и перекомпилять ядро, но кому это надо? Вся личная информация как на ладони и нужна именно она. И троян на 10 метров не нужен (:
Смысл моего комментария в том, что строить безопасность системы на том, что вы сидите не под рутом и на разнообразии дистрибутивов мягко говоря не профессионально. Поверьте, эти две штуки не такая хитрая штука по сравнению с рандомизацией адресов в новых процах. А на фоне работ одной милой девушки, которая смогла вылезти из виртуальной машины с хардверным Intel VT и поработить всю систему данные «меры предосторожности» вообще детский сад.
Мне бы хотелось, чтобы вы сделали правильные выводы. Во-первых, если вы в серьёз думаете о защите себя и своих личных данных, то надо этим заняться серьёзно, а не надеяться на то, что вы сидите обычным юзером. Второе, компьютерная безопасность — это очень обширная тема и никогда не знаешь откуда получишь удар ножом, поэтому доверяй, но проверяй. То есть в любом случае было бы неплохо время от времени проводить хоть какой-то аудит системы. Даже если вы сейчас забетонируетесь, но перестанете следить за состоянием своей системы, то с каждый днём риски получить «подарок» будут только увеличиваться.
Это понятно, понятно. Но ведь уровень сложности при этом реально другой. Я к тому, что именно массовое засилие вирусов, как индустрии, требует одинаковых платформ для размножения. Чтобы однократное большое усилие по нахождению дятла в браузере дало бы какой-то профит.
Ведь чтобы сделать базу эксплоитов для разных систем, каждая из которых более-менее up-to-date придётся просто офигенно много работать. Несравнимо с тем, что нужно для взлома одной программы на одной операционке.
Условно говоря, вопрос как с гигиеной. Понятно, что если мыть руки и пить кипячёную воду, то это совсем не спасёт от чумы. Но статистически, заболеваемость по региону уменьшит. А уменьшение платформы для ботнетов с увеличением накладных расходов на построение этих ботнетов сделает бизнес менее интересным/прибыльным. Т.е. снизит число зарабатывающих на этом и заинтересованных в дальнейшем развитии.
А средства индивидуальной защиты — это да, совсем другой разговор. И использование печатной машинки с одноразовым барабаном — не такая уж плохая идея иногда.
Ведь чтобы сделать базу эксплоитов для разных систем, каждая из которых более-менее up-to-date придётся просто офигенно много работать. Несравнимо с тем, что нужно для взлома одной программы на одной операционке.
Условно говоря, вопрос как с гигиеной. Понятно, что если мыть руки и пить кипячёную воду, то это совсем не спасёт от чумы. Но статистически, заболеваемость по региону уменьшит. А уменьшение платформы для ботнетов с увеличением накладных расходов на построение этих ботнетов сделает бизнес менее интересным/прибыльным. Т.е. снизит число зарабатывающих на этом и заинтересованных в дальнейшем развитии.
А средства индивидуальной защиты — это да, совсем другой разговор. И использование печатной машинки с одноразовым барабаном — не такая уж плохая идея иногда.
> Ведь чтобы сделать базу эксплоитов для разных систем, каждая из которых более-менее up-to-date придётся просто офигенно много работать.
Тем не менее именно так всё под винду и работает (: Почитайте про Zeus тут на хабре — винду тоже универсально не сломать. Понимаете ли, во-первых, все винды тоже разные, а во-вторых, совсем не дырявые. Посчитать ремоуты именно операционки можно по пальцам двух рук.
Уже давно не ломают винду, ломают IE, Adobe Reader, Flash и Firefox. Ломать винду слишком дорого выходит. А учитывая тот факт, что для связки IE8 + Win7 ремоутов по пальцам посчитать, но началась эпидемия атак на продукты Adobe, не сложно сделать вывод, что связка IE + винда теперь тоже «дорожает».
Никто не будет ломать ядро Linux, оно слишком маленькое. А вот вокруг него — тысячи сладких софтин.
Тем не менее именно так всё под винду и работает (: Почитайте про Zeus тут на хабре — винду тоже универсально не сломать. Понимаете ли, во-первых, все винды тоже разные, а во-вторых, совсем не дырявые. Посчитать ремоуты именно операционки можно по пальцам двух рук.
Уже давно не ломают винду, ломают IE, Adobe Reader, Flash и Firefox. Ломать винду слишком дорого выходит. А учитывая тот факт, что для связки IE8 + Win7 ремоутов по пальцам посчитать, но началась эпидемия атак на продукты Adobe, не сложно сделать вывод, что связка IE + винда теперь тоже «дорожает».
Никто не будет ломать ядро Linux, оно слишком маленькое. А вот вокруг него — тысячи сладких софтин.
старая песня. Тут есть принципиальное различие — среда linux, в отличие от win — весьма гетерогенна, существует множество дистрибутивов, сборок, вариантов, версий. Вирусу для успешности необходимо поразить как можно большее количество машин, что непросто сделать, когда они все друг от дружки чем-то (порой серьезно) отличаются, нужно найти общую для всех уязвимость, что бывает весьма редко. Кроме того, обновления систем linux выходят чаще, ядро тоже обновляется гораздо чаще, поэтому получить среду для быстрого, массового распространения вируса непросто. С ростом популярности конечно же появится какое-то количество заразы, но архитектурные принципы самой ОС также не способствуют легкому распространению.
НЛО прилетело и опубликовало эту надпись здесь
Шаттлворт именно так и мечтает, что убунта станет самой модной. Может так и произойдет, а может и нет. Время покажет.
Но помимо «популярности» остаются архитектурные принципы, особенно непозволение работы от имени root и дефолтный noexec для пользовательских ФС
Но помимо «популярности» остаются архитектурные принципы, особенно непозволение работы от имени root и дефолтный noexec для пользовательских ФС
Справедливости ради, это и многое другое — не архитектурные принципы (при желании, одной строчкой в конфиге включается root через ssh и т.п.), а банальные принципы чистоплотности, сформировавшиеся за 40 лет развития юникс-систем.
Сюда же, к примеру, входит и отсутствие текущего каталога в PATH по умолчанию, и стандартизированная иерархия корневой ФС.
Сюда же, к примеру, входит и отсутствие текущего каталога в PATH по умолчанию, и стандартизированная иерархия корневой ФС.
согласен, такая формулировка более точная.
Но вот принцип «наименьших привилегий» — всё же архитектурный, на мой взгляд. Простой пример: в linux для выполнения действий, требующих доп. привилегии, нужно стать «немножко рутом», в win же обратная ситуация — тот же UAC «понижает» права админа, делая его «немножко юзером».
Но вот принцип «наименьших привилегий» — всё же архитектурный, на мой взгляд. Простой пример: в linux для выполнения действий, требующих доп. привилегии, нужно стать «немножко рутом», в win же обратная ситуация — тот же UAC «понижает» права админа, делая его «немножко юзером».
Угу. UAC — судорожная попытка MS сделать нормальные права, не ломая совместимости третьесторонних прог, которые за 2 десятка лет привыкли, что корни дисков доступны на запись. В юниксах тоже делают изменения для более тонкого контроля доступа (selinux и т.п.), но всё же, обычному банальному пользователю достаточно стандартных пользователей-групп, ценой некоторого усложнения обучения пользователя.
Скорее даже больше. В Linux пока дырок больше. Учитывая к тому же разнообразие софта.
Но после дикого запада наступило бы затишье. Дырки бы позакрывали.
Но после дикого запада наступило бы затишье. Дырки бы позакрывали.
НЛО прилетело и опубликовало эту надпись здесь
Меня недавно порадовал коллега, вплотную занявшийся вопросом безопасности, составил список всех ресурсов где он сидит, сделал категории (получилось 12) и для каждой назначил свой пароль, примерно такого вида: Ho?72%4Gh&y)tO (была ещё одна категория, туда попадали сайты, где невозможно было установить подобный пароль). Итог, он удалил документ со всеми паролями и категориями, и забыл практически все. Но самое обидное забыл пароль на почту и ответ на контрольный вопрос. В большинстве я соглашусь пожалуй с Херли (как-то неприлично звучит:)), особенно в той части где написано, что постоянно менять пароли бессмысленно.
У меня на компьютере программа специальная, которая к каждому сайту автоматически придумывает уникальный зубодробительный пароль :)
P.S. Правильно – Хёрли, и ничего неприличного.
P.S. Правильно – Хёрли, и ничего неприличного.
А зачем? Как правило такие пароли все дружно складывают в файлик. И оттуда копипастом его вгоняют.
А если комп не свой? Из инет-кафе надо по SSLVPN зацепиться?
Без файлика вообще швах будет :)
А если комп не свой? Из инет-кафе надо по SSLVPN зацепиться?
Без файлика вообще швах будет :)
На этот случай зашифрованная база паролей у меня есть в той же программе на телефоне.
Осталось потерять ключ доступа на закрытый ключ шифрования и… вуа-ля! :)
Только если мне полностью отшибет память. Но тогда врядли мои пароли будут иметь для меня какую-либо пользу :)
Я хранил почти все свои пароли в подобной программе, везде поставил автоматически сгенеренный 40символьные пароли. Недавно, не попользовавшись программой несколько недель, я не смог вспомнить пароль от базы — вернее, я был уверен, что набирпю его на 110% правильно, но он не подходил. Вирусы — no way: даже если предположить, что виндовую базу взломали, у меня был бекап в линуксе (вернее, я пользовался программой и там и там). Слава робатам, в браузере был залогинен на своей почте и почти все удалось восстановить. Сейчас опять подмывает начать пользоваться такой программой, но теперь о оффлайн хранении пароля я подумаю более тщательней :)
Можно воспользоваться флешкой, защищенной паролем, или смарт-картой, на которой хранятся ключи :)
Т.е. все тупо сводится к взлому/краже одного пароля :)
Нет уж: если есть понятие «то что я знаю», то пусть оно и будет таким. ИМХО :)
Нет уж: если есть понятие «то что я знаю», то пусть оно и будет таким. ИМХО :)
Случилось страшное и вы похерили все свои хранилища заветного файлика (дом сгорел, телефон украли) — что дальше делать будем? Кроме того, если негодяй сможет поломать ваш заветный файлик, то он получит доступ ко ВСЕМ вашим паролям… Красота!
А какая разница — если иметь одинаковый пароль на всех сайтах, то ничего даже и ломать не надо.
PassworkMaker решает проблему. Открытый исходный код, пароли он НЕ хранит, а генерирует по куче параметров, доступен отовсюду, легок в использовании.
У меня похожая программа ещё и хранит.
только представить себе — более двух сотен логинов только моих + логины всех клиентов (около сотни), которым когда либо создавал сайты (а это минимум: хостинг, доступ к домену, к БД, к CMS и почте).
запускается с флешки.
Кстати, весьма удобно.
только представить себе — более двух сотен логинов только моих + логины всех клиентов (около сотни), которым когда либо создавал сайты (а это минимум: хостинг, доступ к домену, к БД, к CMS и почте).
запускается с флешки.
Кстати, весьма удобно.
самый лучший способ (имхо):
иметь (и помнить в голове) один общий пароль,
и один способ его изменения в зависимости от сайта, где он применяется.
допустим, общий пароль у вас vasyaiscool (в реальности сложнее, конечно :))
а правило — что-то типа vasya( 1 )is( 2 )cool, где (1) и (2) — изменяемые части, зависящие от сайта
скажем, (1) — первые две буквы названия сайта, а (2) — третья и четвёртая буквы…
или (1) — первые две согласные буквы, а (2) — первые две гласные…
на практике удобно :)
иметь (и помнить в голове) один общий пароль,
и один способ его изменения в зависимости от сайта, где он применяется.
допустим, общий пароль у вас vasyaiscool (в реальности сложнее, конечно :))
а правило — что-то типа vasya( 1 )is( 2 )cool, где (1) и (2) — изменяемые части, зависящие от сайта
скажем, (1) — первые две буквы названия сайта, а (2) — третья и четвёртая буквы…
или (1) — первые две согласные буквы, а (2) — первые две гласные…
на практике удобно :)
Удобство разобьется о первый же велосипед, где какой-то идиот ограничит длину пароля 6-тью символами :)
ну, для таких сайтов я использую укороченную версию vasyaiscool :)
он у меня и сам (vasyaiscool) не слишком легко угадывается, да и сайты такие… ну, не самые важные, что ли :)
он у меня и сам (vasyaiscool) не слишком легко угадывается, да и сайты такие… ну, не самые важные, что ли :)
Я пришёл к выводу, что для большинства задач достаточно иметь 4 пароля:
пароль на рабочую станцию (если есть), пароль к почте (при смене поставщика почты обязательно менять), 6-8 значный дефолтный пароль и 6-8 значный дефолтный пароль для джанксайтов.
пароль на рабочую станцию (если есть), пароль к почте (при смене поставщика почты обязательно менять), 6-8 значный дефолтный пароль и 6-8 значный дефолтный пароль для джанксайтов.
а потом такие юзеры приходят в какие то структуры государственные и ставят свой любимый qwerty-like пароль, или пароль что он использовал на каком то форуме.
Да пускай в Microsoft Research не меняют, ради бога.
Странно, что простейшая мысль «стоимость защиты не должна быть выше стоимости информации» так активно вдруг всплыла :) Это вроде как аксиома.
А в случае со сменой пароля… Пароли на разные ресурсы конечно должны быть разные. Типа
{STRONGPART}mail
{STRONGPART}corp
{STRONGPART}pc
{STRONGPART}whatever
Первая часть обеспечит защиту от брютфорса, а вторую легко запомнить.
А вот заставлять пользователя постоянно менять свой пароль мне тоже кажется глупостью. Скорее всего пользователя будет или перебирать 2 очень похожих пароля, либо сделает их слишком простыми, чтобы легко запоминать.
ЗЫ Вообще, судя по количеству публикаций, система с паролями скоро должна быть свергнута :) Уж больно много «народного недовольства». Биометрия нас спасет?
А в случае со сменой пароля… Пароли на разные ресурсы конечно должны быть разные. Типа
{STRONGPART}mail
{STRONGPART}corp
{STRONGPART}pc
{STRONGPART}whatever
Первая часть обеспечит защиту от брютфорса, а вторую легко запомнить.
А вот заставлять пользователя постоянно менять свой пароль мне тоже кажется глупостью. Скорее всего пользователя будет или перебирать 2 очень похожих пароля, либо сделает их слишком простыми, чтобы легко запоминать.
ЗЫ Вообще, судя по количеству публикаций, система с паролями скоро должна быть свергнута :) Уж больно много «народного недовольства». Биометрия нас спасет?
Спасибо большое! Великолепная идея с составным паролем!
Ну это… не за что :)
Этой рекомендации 100 лет в обед :)
Есть ещё рекомендация по поводу того, как сделать этот самый STRONGPART понятным себе.
Берем какую-нить приятную фразу, например,
«Где-то за лесом кактус гниет!»
Берем от нее от каждого слова по 2 буквы, можем менять а на @ а о на 0, у каждого двубуквия первую букву делаем заглавной
ГдЗ@ЛеК@Гн!
Можно для понта ещё и в английской раскладке набирать.
Достаточно запомнить саму фразу и метод построения.
В случае чего сменить все пароли будет не сложно: надо изменить парольную фразу на новую и по тому же алгоритму сделать все пароли.
Этой рекомендации 100 лет в обед :)
Есть ещё рекомендация по поводу того, как сделать этот самый STRONGPART понятным себе.
Берем какую-нить приятную фразу, например,
«Где-то за лесом кактус гниет!»
Берем от нее от каждого слова по 2 буквы, можем менять а на @ а о на 0, у каждого двубуквия первую букву делаем заглавной
ГдЗ@ЛеК@Гн!
Можно для понта ещё и в английской раскладке набирать.
Достаточно запомнить саму фразу и метод построения.
В случае чего сменить все пароли будет не сложно: надо изменить парольную фразу на новую и по тому же алгоритму сделать все пароли.
и дописывать две первых буквы имени сайта — вот и супер пароль.
к тому же человек устроен так, что если САМ что нибудь придумает, то уж точно не забудет.
к тому же человек устроен так, что если САМ что нибудь придумает, то уж точно не забудет.
и дописывать две первых буквы имени сайта — вот и супер пароль.А потом попадётся какой-нить сайт, где его придурошный автор ограничил пароль по длине и/или почему-то решил, что в пароле нельзя использовать знаки $&@!?%#, а только буквы и цифры. И вся ваша стройная и универсальная система формирования паролей идёт нафиг.
не пойму почему?
я могу для любой системы напридумывать искусственных ограничений.
придумаю другое слово, в чем проблема?
я могу для любой системы напридумывать искусственных ограничений.
придумаю другое слово, в чем проблема?
придумаю другое слово, в чем проблема?Если ваша универсальная схема формирования пароля предполагает большую длину пароля или использование спец-символов, то на этом сайте она споткнётся и придётся отказаться от универсальности для этого сайта и постоянно помнить это.
В итоге цель (упростить запоминание пароля) не будет достигнута.
«Моллюски откусили мои гарцующие генеталии» вспомнилось =)
О да. По работе вместо баша можно было читать бумажки «для съедения» с предлагаемыми парольными фразами :)
На самом деле тема вечная. Есть ряд критериев, в том числе по стоимости защиты/цены ущерба, но такие статьи мне напоминают разбитый елочный шарик.
Вот шарик — это безопасность. Мы его раздробили на кусочки и секьюрим то пароли, то сеть то самого юзера.
Поидее для каждой системы не очень сложно хотябы понять какие средства есть у нарушителя и оттуда для самых уязвимых мест реализовать усиленную защиту, которая не вызовет у пользователя приступ эпилепсии с пеной из рта и проклятиями в адрес админов-небожителей.
На самом деле тема вечная. Есть ряд критериев, в том числе по стоимости защиты/цены ущерба, но такие статьи мне напоминают разбитый елочный шарик.
Вот шарик — это безопасность. Мы его раздробили на кусочки и секьюрим то пароли, то сеть то самого юзера.
Поидее для каждой системы не очень сложно хотябы понять какие средства есть у нарушителя и оттуда для самых уязвимых мест реализовать усиленную защиту, которая не вызовет у пользователя приступ эпилепсии с пеной из рта и проклятиями в адрес админов-небожителей.
«Сорок тысяч обезьян в жопу сунули банан»
угу, все сразу вспомнили про P@ssw0rd. :)
Мне на работе до доменной учетной записи, которой я не пользуюсь почти, приходится циклически перебирать 24 пароля все время. Паранойя IT-департамента не излечима :)
а у нас заставляют менять каждые месяца два, и всем тем, кто не сидит в домене, но сидит за впн и пользуется почтой надо заходить на веб морду почты и менять пароль там. бррр, приходится просто дописывать новую циферку в цонке! :)
А какая политика блокировки после n-ного числа неверно введенных паролей? 24 это многовато.
А чего их перебирать? Берём один пароль, фигачим в конец цифру от 1 до 24. Все так делают :)
подтверждаю :) для корпоративного пароля именно так и делаю :)
все так делают, но у нас, например, особо умный алгоритм, и он так делать НЕ ДАЕТ. приходится менять более глобально.
учитывая то, что таких паролей у меня 7, приходится на бумажке записывать :(
очевидный security issue, но ничьей памяти не хватит на 7 сложных ежемесячно меняющихся паролей.
ах да, они еще довольно быстро блокируются при неправильном наборе.
учитывая то, что таких паролей у меня 7, приходится на бумажке записывать :(
очевидный security issue, но ничьей памяти не хватит на 7 сложных ежемесячно меняющихся паролей.
ах да, они еще довольно быстро блокируются при неправильном наборе.
Я так и делаю. Но когда ты этот пароль редко вводишь, начинаешь забывать, какая у него цифра на конце, а после трех попыток система блокирует аккаунт.
скорее стоимость взлома должна быть >> ценности информации
Не во всех члучаях подходит. Владелец сайта domain.com, которому вы дали пароль
{STRONGPART}domain.com, может догадаться об остальных
{STRONGPART}domain.com, может догадаться об остальных
а кто то хранит пароли в открытом виде?
Зачем же минусовать. Достаточно сказать:
1) да есть такие люди, с некоторыми знаком лично.
2) наивно надеяться, что таких людей нет.
3) некоторые владельцы сайтов, специально исследуют пароли своих жертв.
А так выглядит, что это сделал человек, который сам хранит пароли своих пользователей в открытом виде и даже против других вариантов.
1) да есть такие люди, с некоторыми знаком лично.
2) наивно надеяться, что таких людей нет.
3) некоторые владельцы сайтов, специально исследуют пароли своих жертв.
А так выглядит, что это сделал человек, который сам хранит пароли своих пользователей в открытом виде и даже против других вариантов.
3) некоторые владельцы сайтов, специально исследуют пароли своих жертв.Заведомо рассматривать пользователей/клиентов сайта как жертвы — это сильно!
Я так над знакомыми прикалывался, в деЦтве.
Стырю пароль к аське, потом говорю типа вот программулину написал, пароль от аськи подбирает. Запускаешь её, вводишь уин, смотришь на красивую анимацию подбора пароля, потом она его выводит и время взлома. Если потом попросит кому-нибудь ещё взломать, кого нет в программе, все-равно запускаешь, но прога выдает какую-то умную ошибку, почему не может подобрать.
Прога была написана под впечатлением рассказа, где учитель информатики с учениками с помощью пустой коробки подключенной к компу взламывал сервер пентагона. Он там писал прогу на паскале эмулирующую взлом, а ученики думали, что все правда. К сожалению ни автора ни название рассказа уже не помню.
Стырю пароль к аське, потом говорю типа вот программулину написал, пароль от аськи подбирает. Запускаешь её, вводишь уин, смотришь на красивую анимацию подбора пароля, потом она его выводит и время взлома. Если потом попросит кому-нибудь ещё взломать, кого нет в программе, все-равно запускаешь, но прога выдает какую-то умную ошибку, почему не может подобрать.
Прога была написана под впечатлением рассказа, где учитель информатики с учениками с помощью пустой коробки подключенной к компу взламывал сервер пентагона. Он там писал прогу на паскале эмулирующую взлом, а ученики думали, что все правда. К сожалению ни автора ни название рассказа уже не помню.
пользователь сайта не знает в каком виде хранят пароль.
если (как это было в сраном mail.ru до недавнего времени), по запросу восстановления вам присылают существующий пароль — не нужно быть слишком умным чтобы понять что его не хэшируют =)
Кстати как вариант — его могут шифровать. Это как бы не есть в открытом виде, но при том ПО и админ смогут-таки получить исходный пароль.
ну это защитит только от кражи БД, но не от недобросовесных админов.
От ректотермальногокриптоанализа вообще ни что не защитит.
Думаю, за что минусанули? А точно, забыл добавить это => [ТАБЛИЧКА САРКАЗМ]
Вдумайтесь сами в значение «от недобросовесных админов». Я не знаю, каким идиотом должен быть ваш «недобросовесный» админ, чтобы ему было трудно узнать, какой вы пароль указали на ЕГО сайте.
// Не повторяйте это на своем сайте
if($_POST['user'] == %username%) file_put_contents(«Password_of_%username%», $_POST['password']);
Вдумайтесь сами в значение «от недобросовесных админов». Я не знаю, каким идиотом должен быть ваш «недобросовесный» админ, чтобы ему было трудно узнать, какой вы пароль указали на ЕГО сайте.
// Не повторяйте это на своем сайте
if($_POST['user'] == %username%) file_put_contents(«Password_of_%username%», $_POST['password']);
шикарно! даже не знаю, что тут сказать.
не знал о таком факте раньше.
не знал о таком факте раньше.
я обычно беру хеш от чего-то подобного и ввожу как пароль.
>перебирать 2 очень похожих пароля
в банке, где я работал, система хранила последние 10 паролей. Продвинутым юзерам объяснил простую схему — слово+число от 1 до 12, ибо слушать жалобы, что кончилась фантазия вводить «косые»(термин юзеров, имеется в виду комбинация типа 1qaz), просто надоело.
>система с паролями скоро должна быть свергнута :)
у Стивена Леви в «Хакерах, героях компьютерной революции» подобная система описывалась. Успеха она не имела. Правдо о биометрии речи тоже не шло:)
в банке, где я работал, система хранила последние 10 паролей. Продвинутым юзерам объяснил простую схему — слово+число от 1 до 12, ибо слушать жалобы, что кончилась фантазия вводить «косые»(термин юзеров, имеется в виду комбинация типа 1qaz), просто надоело.
>система с паролями скоро должна быть свергнута :)
у Стивена Леви в «Хакерах, героях компьютерной революции» подобная система описывалась. Успеха она не имела. Правдо о биометрии речи тоже не шло:)
очень просто догадаться.
я вот думал когда-то что-то типа мд5 от
{STRONGPART}mail
{STRONGPART}corp
{STRONGPART}pc
{STRONGPART}whatever
или на крайний случай перемешивать {STRONGPART} и вторую часть.
я вот думал когда-то что-то типа мд5 от
{STRONGPART}mail
{STRONGPART}corp
{STRONGPART}pc
{STRONGPART}whatever
или на крайний случай перемешивать {STRONGPART} и вторую часть.
ой, не дошёл до этого коммента, и написал похожий…
Есть еще третий вариант — просто напишут на бумажке и приклеют к мониторы, как тут
НЛО прилетело и опубликовало эту надпись здесь
Если у них нет какой-то ценной информации, то зачем тратить силы и время на защиту. Теперь Microsoft подтвердила это официально.
У меня стойкое подозрение, что в Microsoft Research есть несколько британских ученых…
С такой же точкой зрения можно с уверенностью сказать, что капча при попытке авторизоваться на сайте не имеет смысла, если хотели бы — все равно взломали. Плюс к этому, она тратит приличное время, а оно не бесплатно
Не соглашусь: с т.з. сайта аутентификация — это идентификация пользователя и определение его прав. Как без этого определишь, кто зашел и на какую часть инфы он волен рассчитывать?
Кстати, да. Капча для регистрации — нормально. Капча при авторизации — маразм. Не понимаю, для чего она может понадобиться.
Для защиты от брута и чтобы пользователи своих роботов не писали.
От брута можно защититься не создавая неудобств пользователю. Например, делая паузы между попытками.
Роботы? Зачем? Вот на хабре стоит эта капча при входе (кстати, не помню больше ни одного примера). Кто-то может захотеть написать бота, который самостоятельно заходит на хабр и читает его? Даже если так, читать, вроде, можно и не логинясь. Писать что-то осмысленное бот вряд ли сможет. Зачем еще может быть нужен бот на хабре и стоит ли это «зачем» того, чтобы создавать неудобства всем пользователям?
Роботы? Зачем? Вот на хабре стоит эта капча при входе (кстати, не помню больше ни одного примера). Кто-то может захотеть написать бота, который самостоятельно заходит на хабр и читает его? Даже если так, читать, вроде, можно и не логинясь. Писать что-то осмысленное бот вряд ли сможет. Зачем еще может быть нужен бот на хабре и стоит ли это «зачем» того, чтобы создавать неудобства всем пользователям?
Кстати, капча на хабре реально раздражает. Меня раз в несколько дней/недель разлогинивает по какой-то причине, и приходится заново логиниться. Мало того, что раздражает каждый раз лазить за паролем для хабра в хранилище паролей, так ещё и капчу обычно удаётся ввести только со второго раза. Случайные пароли на все ресурсы и зашифрованные мастер-паролем хранилища паролей это, конечно, правильно, но если приходится слишком часто за этими паролями лазить, то так и подмывает сменить стойкий пароль на что-то простое и запоминающееся — т.е. фактически эффект от защиты логина на хабре прямо противоположный, если даже такой параноик как я подумывает о смене пароля на простой.
Всё же, на хабре есть закрытые топики.
Однако идейно поддерживаю. Есть ощущение, что многие вместо того, чтобы придумать удобную защиту делают капчу просто потому, что так принято.
Да везде так. Люди, хоть и люди, тоже люди. (В. Дыркин)
Однако идейно поддерживаю. Есть ощущение, что многие вместо того, чтобы придумать удобную защиту делают капчу просто потому, что так принято.
Да везде так. Люди, хоть и люди, тоже люди. (В. Дыркин)
НЛО прилетело и опубликовало эту надпись здесь
Я и говорю — паранойя. Если настоящие регистрации начнут рассылать спам, их можно заблокировать одним движением руки. И остальные будут бояться и лучше предохраняться. Кстати, много примеров можете привести, когда подобное случалось, да еще на айтишном ресурсе, где пользователи, все-таки, не совсем чайники?
ИМХО, боты страшны как раз как средство регистрации новых акков — вот их замучаешься блокировать. Но как раз такая атака хабру не грозит.
ИМХО, боты страшны как раз как средство регистрации новых акков — вот их замучаешься блокировать. Но как раз такая атака хабру не грозит.
Если у них нет какой-то ценной информации, то зачем тратить силы и время на защиту. Теперь Microsoft подтвердила это официально.
Дак вот где работает кэп!
Херли приводит такой расчет: если брать близкую к минимальной стоимость оплаты труда, то одна минута в день стоит обществу примерно...
Какие знакомые слова. У меня одного дежавю?
А по теме — конечно, бурное развитие IT форсирует внимание к ИБ, и, пока в этом есть особенный раш, мало кто задумывается насколько это действительно разумно в финансовом плане. Вскоре напишу статью про анализ рисков.
Даже самая надежная защита перестанет работать, когда пользователи перестанут ее правильно использовать. Первое, что должна делать защита — не мешать работать.
Black hats love Microsoft.
Мне приходилось слышать любопытное объяснение, зачем нужно менять пароль. А именно: если ваш коллега решил пошпионить и подсматривает, как вы вводите пароль, то сначала он запомнит первые 2 вимвола, потом третий, потом четвертый и т.п… Когда-то давно это, наверное, была единственная возможность взлома.
одна минута в день — это 6 часов в год
для 200 млн. пользователей — это 12 млрд в год, а не 16… кто обсчитался?
для 200 млн. пользователей — это 12 млрд в год, а не 16… кто обсчитался?
> Например, ежегодный ущерб банков от фишинга составляет около $60 млн.
Это при соблюдении процедур, как я понимаю. А вот без их соблюдения какой будет ущерб интересно.
Это при соблюдении процедур, как я понимаю. А вот без их соблюдения какой будет ущерб интересно.
а вот на работе, например, пароль должен быть от 12 до 14 символов, меняется каждые 3 недели и 15 последних паролей должны различаться.
интересно, кто нибудь придумал что нибудь круче, чем какое нибудь длинное слово и счетчик в конце?
интересно, кто нибудь придумал что нибудь круче, чем какое нибудь длинное слово и счетчик в конце?
какое-нибудь длинное слово и счетчик в конце и всё это написано на стикере и приклеено к монитору
или листок под стеклом:
1-й пароль (на включение компа)
2-й пароль (на домен)
3-й пароль (на вход в АБС)
причем пароли идентифицируются именно как 1-й, 2-й, 3-й (без понимания того, какой для чего).
А те, у кого пароли не записаны, иногда стесняются их сказать (по телефону), но не из-за того, что безопасность не дремлет, а пароли просто дурацкие: Таньчик99.
1-й пароль (на включение компа)
2-й пароль (на домен)
3-й пароль (на вход в АБС)
причем пароли идентифицируются именно как 1-й, 2-й, 3-й (без понимания того, какой для чего).
А те, у кого пароли не записаны, иногда стесняются их сказать (по телефону), но не из-за того, что безопасность не дремлет, а пароли просто дурацкие: Таньчик99.
Счётчик в начале :)
У нас хватает шести букв и менять нужно раз в три месяца, уже дошёл до цифры 5.
У нас хватает шести букв и менять нужно раз в три месяца, уже дошёл до цифры 5.
Я придумал список из ≈ 30 несложных английских слов, которые используются в основе паролей. Слова абсолютно разные, но подчиняются определенному правилу упорядочивания, по которому можно сразу назвать слово, следующее за текущим. Если список забуду, его легко нагуглить, зная, что оно такое на самом деле :)
Применяю только для тех паролей, которые принудительно заставляют менять (то есть, на работе). А для всего остального — файлик KeePass'a, синхронизируемый с ноутбуком и мобилками.
Долгое время пользовал систему, упомянутую Fedia — развесистое начало + суффикс, зависящий от типа ресурса. Но она себя не оправдала в конечном итоге; то ли не смог я стройно суффиксы распланировать, то ли слишком много их стало… Короче, всё чаще начал тупить, вспоминая: что-то-там_web, или что-то-там_admin, или что-то-там_site…
С тех пор только KeePass.
Применяю только для тех паролей, которые принудительно заставляют менять (то есть, на работе). А для всего остального — файлик KeePass'a, синхронизируемый с ноутбуком и мобилками.
Долгое время пользовал систему, упомянутую Fedia — развесистое начало + суффикс, зависящий от типа ресурса. Но она себя не оправдала в конечном итоге; то ли не смог я стройно суффиксы распланировать, то ли слишком много их стало… Короче, всё чаще начал тупить, вспоминая: что-то-там_web, или что-то-там_admin, или что-то-там_site…
С тех пор только KeePass.
Просто столбики клавиш на клавиатуре. Типа 1qazXSW@.
С одной стороны, менять пароли это жуткий гемор и застявлять это делать скорее всего излишне.
С другой, у многих людей (в том числе у меня), один и тот же пароль используется в разных системах. Выходит, что если этот пароль стал кому-то известен, или, еще хуже, база с нешифрованными паролями потерялась / украли / одолжили, то есть шанс что вы смените пароль раньше, чем злоумышленник поймет что этот самый пароль подойдет к большинству ваших аккаунтов, и главное — обнаружит эти аккаунты.
С другой, у многих людей (в том числе у меня), один и тот же пароль используется в разных системах. Выходит, что если этот пароль стал кому-то известен, или, еще хуже, база с нешифрованными паролями потерялась / украли / одолжили, то есть шанс что вы смените пароль раньше, чем злоумышленник поймет что этот самый пароль подойдет к большинству ваших аккаунтов, и главное — обнаружит эти аккаунты.
Немного не про пароль но не могу удержаться. По поводу стоимости минуты, потраченной на безопасность очень полезно было бы почитать нашим чиновникам, пишущим законы об ЭЦП.
Электронная сдача отчетности в текущем виде работает очень хреново изза всей этой галиматьи с операторами связи, электронными подписями, ключами, е-токенами дьявольским шифрованием и ужасно сложным процессом. Зачем все это если в реальности хватило бы заглаза пары логин пароль полученной один раз в налоговой.
Даже если бы десятая доля процента отетности была бы мошеннической, это ничто по сравнению с полным избавлением от очередей в налоговых и простотой сдачей отчетности в подавляющем большинстве случаев — без плясок с бубном вокруг дико кривых и глючных программ от операторов связи.
Недавно имел опыт по установке СБИС — реально убили 11 часов! пока настроили все и отправили отчет.
Электронная сдача отчетности в текущем виде работает очень хреново изза всей этой галиматьи с операторами связи, электронными подписями, ключами, е-токенами дьявольским шифрованием и ужасно сложным процессом. Зачем все это если в реальности хватило бы заглаза пары логин пароль полученной один раз в налоговой.
Даже если бы десятая доля процента отетности была бы мошеннической, это ничто по сравнению с полным избавлением от очередей в налоговых и простотой сдачей отчетности в подавляющем большинстве случаев — без плясок с бубном вокруг дико кривых и глючных программ от операторов связи.
Недавно имел опыт по установке СБИС — реально убили 11 часов! пока настроили все и отправили отчет.
Я бы сказал не логин/пароль, полученные один раз, а карта с одноразовыми паролями, заменяемая при необходимости. Или пароли, присылаемые по смс. Или… да много вариантов, все это десятки раз в банках внедрено и обкатано.
ну вы как не в россии живете :)
налоговой же это всё жить не мешает? 11 ваших часов абсолютно бесплатны для них.
налоговой же это всё жить не мешает? 11 ваших часов абсолютно бесплатны для них.
А потом удивленно хлопают глазками и удивляются: «А почему почти все грамотное айти сообщество так критикует Мелкомощный ?»
Менять пароли не рационально? — БРЕД!
Тупые пользователи не способные придумать и запомнить нормальный пароль, лень и криворукость — вот в чем основная проблема безопасности. А разработчиков ПО, таких Гигантов как Микрософт должны заботить вопросы как помочь безтолковым юсерам, а не как упростить себе задачу.
Товарищи из «Мирового Гиганта», пишите качественные защитные системы, ищите жуков и совершенствуйте существующее, а не разводите философию. да, ваши новые обвертки красивы, но конфеты внутри давно уже стухли…
Это мое личное ИМХО, не обязательно верное.
Менять пароли не рационально? — БРЕД!
Тупые пользователи не способные придумать и запомнить нормальный пароль, лень и криворукость — вот в чем основная проблема безопасности. А разработчиков ПО, таких Гигантов как Микрософт должны заботить вопросы как помочь безтолковым юсерам, а не как упростить себе задачу.
Товарищи из «Мирового Гиганта», пишите качественные защитные системы, ищите жуков и совершенствуйте существующее, а не разводите философию. да, ваши новые обвертки красивы, но конфеты внутри давно уже стухли…
Это мое личное ИМХО, не обязательно верное.
Вы не поняли о чём статья.
Как высокомерно: «все грамотное айти сообщество», «критикует». Да бросьте, большинство «айти сообщества» просто поливает ms, а действительно грамотные специалисты не влазят в споры троллей.
Вот что значит пойти против общественности. Не принимают критики, просто уничтожат :) Да, так проще.
Что ж, наверное я негативный персонаж :)
Что ж, наверное я негативный персонаж :)
все, конечно, так. Но что, если у вас украли пароль например от мыла. И постоянно читаю вашу почту. Либо еще как-то используют ваш пароль, чтоб постоянно иметь доступ к каким нибудь важным файлам скажем корпоративной сети. И если пароль не сменить, злоумышленник так и будет этим пользоваться, потихоньку «подворовывая».
Так что вот так.
Так что вот так.
Что мешает ему украть новый пароль ещё раз?
А сисадмин или служба безопасности у вас в организации на что со всеми их защитами, логами и т.п. Именно они должны заниматься отловом злоумышленника, а не ипать мозги всему персоналу конторы.
Вы похоже статью не читали… исследователь говорит о том что, если у вас нет важной информации (об этом можно поспорить, может и не ту, но можно использовать акаунт, компьютер как плацдарм) то смена пароля и другие меры безопасности не эффективны.
Ваш сосед по рабочему столу подсмотрел у вас пароль. И теперь периодически заходит на ваш компьютер потырить чтобы допустим посмотреть как это у вас так получается выполнять план продаж аж в три раза быстрее чем он…
Со стороны СБ первоначально выявить такое затруднительно. (разве что cctv может такое показать, но кто же их смотрит пока нету инцидента)
P.S. да пароли не эффективны сами по себе, но я не эффективно использование смарт-карт, если их сотрудники оставляют их на рабочем столе и уходят…
Ваш сосед по рабочему столу подсмотрел у вас пароль. И теперь периодически заходит на ваш компьютер потырить чтобы допустим посмотреть как это у вас так получается выполнять план продаж аж в три раза быстрее чем он…
Со стороны СБ первоначально выявить такое затруднительно. (разве что cctv может такое показать, но кто же их смотрит пока нету инцидента)
P.S. да пароли не эффективны сами по себе, но я не эффективно использование смарт-карт, если их сотрудники оставляют их на рабочем столе и уходят…
Главное, чтоб пароли были разные. Тогда можно и не менять их. А то, если он один, то его ценность сразу возрастает.
Пароли в том виде как они сейчас есть вообще никуда не годяться. По хорошему юеру надо придумывать для каждого маломальского сайта свою связку логин-пароль. Что запомнить очень трудно, особенно если сайт нужен раз в год. (Сегодня опять пришлось восстанавливать пароль от программы обновления карт GPS).
Идеальный вариант это аунтификация по ключам, а вот свой ключ можно хранить уже как угодно, хоть в открытом виде с правами r--, хоть на супер-пупер секьюрной флешке с авторизацией по отпечатку пальца.
Собственно об этом надо думать, а не заставлять юзера менять пароль с qwerty на ytrewq раз в месяц.
Идеальный вариант это аунтификация по ключам, а вот свой ключ можно хранить уже как угодно, хоть в открытом виде с правами r--, хоть на супер-пупер секьюрной флешке с авторизацией по отпечатку пальца.
Собственно об этом надо думать, а не заставлять юзера менять пароль с qwerty на ytrewq раз в месяц.
Для сайтов можно использовать что-то вроде SuperGenPass. (Правда он глючит с хромом, но для него есть расширение.)
Снова желтые заголовки?
Не «Microsoft подсчитала» а «один из исследователей… опубликовал работу».
Не «менять пароли невыгодно» а «соотношение трудозатрат и выгод» «не выгодно для пользователя».
И речь не только о смене пароля, но о комплексе «процедур по безопасности».
В статье — типичное передергивание и демагогия. Исследователь Херли? Торт ли?
Не «менять пароли невыгодно» а «соотношение трудозатрат и выгод» «не выгодно для пользователя».
И речь не только о смене пароля, но о комплексе «процедур по безопасности».
В статье — типичное передергивание и демагогия. Исследователь Херли? Торт ли?
В интернете в большинстве случаев пароли нужны не пользователям, а владельцам ресурсов.
Вот, хочу я узнать как правильно надувать мыльные пузыри, нахожу в поисковике форум надувателей мыльных пузырей, и хочу задать вопрос… и тут на тебе — регистрация. берем пароль 123, задаем вопрос и забываем этот форум навсегда. Или не навсегда. Теперь уже неважно.
И так везде. А заставлять менять пароли вредно, ибо это стимулирует ставить простые пароли.
(Разок заставить, конечно, можно. При регистрации. Но это уже не совсем во благо пользователя)
Вот, хочу я узнать как правильно надувать мыльные пузыри, нахожу в поисковике форум надувателей мыльных пузырей, и хочу задать вопрос… и тут на тебе — регистрация. берем пароль 123, задаем вопрос и забываем этот форум навсегда. Или не навсегда. Теперь уже неважно.
И так везде. А заставлять менять пароли вредно, ибо это стимулирует ставить простые пароли.
(Разок заставить, конечно, можно. При регистрации. Но это уже не совсем во благо пользователя)
В таких случаях лучше использовать сервис BugMeNot — либо не придётся самому регистрироваться, либо поможете не регистрироваться другим.
НЛО прилетело и опубликовало эту надпись здесь
Что за привычка думать, что в Microsoft глупые люди работают. Вы что, правда так считаете?
НЛО прилетело и опубликовало эту надпись здесь
Майкрософт это только название фирмы, которая уже вошла в историю. Не без багов вошла. Но это не значит, что там все дебилы работают. В ней, как и в любой другой организации работают разные люди. Я вот общался с несколькими российскими парнями, работающими на мелкомягких, они показали себя положительно как с профессиональной так и общечеловеческой точки зрения.
Я считаю, что ненависть к майкрософт это быдлопопса, которую школота вырвала из контекста 90-х и за её счёт, пытающаяся показаться умнее.
Я считаю, что ненависть к майкрософт это быдлопопса, которую школота вырвала из контекста 90-х и за её счёт, пытающаяся показаться умнее.
Ох, вас бы под пресс менеджеров/маркетологов и посмотрел бы я, какой вы «мего крутой» выпускать программу в сжатые сроки и без багов.
Сжечь тролля!
ИМХО как то так…
В Microsoft работают умные и креативные люди. Но проблема любой крупной системы, что она вынужденна равняться по большинству. И чем больше этого «большинства», тем меньше места для ума и креатива.
В Microsoft работают умные и креативные люди. Но проблема любой крупной системы, что она вынужденна равняться по большинству. И чем больше этого «большинства», тем меньше места для ума и креатива.
Регулярная смена пароля/ключа шифрования сессии имеет смысл только там, где во-первых пароль/ключ стойкий, во-вторых его непрерывно брутфорсят, и в-третьих защитится от брутфорса невозможно. Примеры — украденный /etc/passwd (в те давние времена, когда в этом файле ещё были пароли и он был доступен всем на чтение), ssh/ssl-сессии, etc. Если забыть про шифрованные сессии вроде SSL (которые сами периодически меняют сессионный ключ), то в случае с паролями пользователей в наше время кража зашифрованных паролей или длительный брутфорс живой системы — нетипичны. Пароли обычно крадут уже расшифрованными, и большинство сервисов защищены от длительного брутфорса.
Резюмируя. Если вы пользуетесь системой, у которой высока вероятность кражи именно зашифрованных/хешированных паролей, либо у которой нет защиты от брутфорса по сети, то регулярная смена паролей по-прежнему желательна. В остальных случаях пароль имеет смысл менять только если он был скомпрометирован.
Резюмируя. Если вы пользуетесь системой, у которой высока вероятность кражи именно зашифрованных/хешированных паролей, либо у которой нет защиты от брутфорса по сети, то регулярная смена паролей по-прежнему желательна. В остальных случаях пароль имеет смысл менять только если он был скомпрометирован.
Ну имхо периодичность смены пароля появилась достаточно давно и в связи со временем взлома хэша.
С тех пор все достаточно поменялось что бы эта рекомендация потеряла смысл.
С тех пор все достаточно поменялось что бы эта рекомендация потеряла смысл.
Microsoft наняла на работу британских ученых?
определенная логика тут есть, но проблема в том, что минуты и секунды не учитываются пользователями, сколько раз я спокойно сидел и наблюдал таймер до загрузки с файлообменника :)
Эникею в рекламном агентстве. Меняю пароли всем сотрудникам раз в год. Как считаете, оправданно?
Кроме взлома есть еще явление диффузии паролей, когда сотрудники узнают пароли других сотрудников и пользуются ими. Чаще всего это безобидно, но делает возможным злоупотребления.
Кроме взлома есть еще явление диффузии паролей, когда сотрудники узнают пароли других сотрудников и пользуются ими. Чаще всего это безобидно, но делает возможным злоупотребления.
А как они считали затраты потраченные ежедневно 200 миллионами американских пользователей, стоит обществу примерно $16 млрд в год?
Мой примерный подсчет (приблизителен):
16.000.000.000$ / 200.000.000 пользователей = 80$ в год на пользователя
80$ / (265 дней в году — 116 выходных дней по производственному календарю РФ на 2010) = 0.321$ за минуту времени в день
0.321$ * 60 минут * 8 часов = 154$ в день.
Хорошая такая минимальная оплата труда…
Мой примерный подсчет (приблизителен):
16.000.000.000$ / 200.000.000 пользователей = 80$ в год на пользователя
80$ / (265 дней в году — 116 выходных дней по производственному календарю РФ на 2010) = 0.321$ за минуту времени в день
0.321$ * 60 минут * 8 часов = 154$ в день.
Хорошая такая минимальная оплата труда…
Прозрел! Да никому из юзеров не прилипло придумывать сложные пароли! А если их придумывает админ — они приклеены на бумажке под клавой
По моему, все дело в том, что MS стала (наконец то,… ля) думать о безопасности своих систем. Сделала антивирус и пр. пр. пр. Теперь ищет тех, кто эту работу оплатит. Типа пользователю не выгодно заботиться о своей безопасности, пусть платит тот кому выгодна безопасность пользователя (банки, магазины и пр.) Они даже предлагали ввести налог, если я не ошибаюсь.
Лично я имею 4 категории паролей (не важные сайты, важные сайты, локальный компьютер, конфиденциальная информация).
Лично я имею 4 категории паролей (не важные сайты, важные сайты, локальный компьютер, конфиденциальная информация).
Парольная защита действительно малоэффективна. Ведь всё равно остаётся пресловутый человеческий фактор, благодаря которому эту защиту можно обойти без больших трудозатрат.
Простой пример внутрикорпоративной уязвимости:
Некий внутренний злоумышленик решил получить доступ в какую-то внутрикорпоративную систему от имени другого сотрудника. Он звонит админам или в Хелпдеск, у которых есть право ресетить пользовательские пароли, представляется именем нужного сотрудника, говорит, что забыл пароль и просит его сбросить.
В большинстве компаний никакой защиты от этого нет, т.е. без всякого подтверждения личности звонящего сбрасывается пароль указанному пользователю.
Если это маленькая компания на несколько десятков сотрудников, то сотрудник, сбрасывающий пароль, может всех знать лично и легко идентифицировать по голосу. А если это компания с несколькими сотнями или даже тысячами сотрудников? Тогда идентификация по голосу уже не катит.
Даже если в компании есть привязка телефонного номера к сотруднику, то это тоже не панацея, т.к. реальный сотрудник может звонить не со своего телефона, а внутрикорпоративный злоумышленник может позвонить с телефона-жертвы.
Так что идеи Кевина Митника до сих пор живее всех живых.
Простой пример внутрикорпоративной уязвимости:
Некий внутренний злоумышленик решил получить доступ в какую-то внутрикорпоративную систему от имени другого сотрудника. Он звонит админам или в Хелпдеск, у которых есть право ресетить пользовательские пароли, представляется именем нужного сотрудника, говорит, что забыл пароль и просит его сбросить.
В большинстве компаний никакой защиты от этого нет, т.е. без всякого подтверждения личности звонящего сбрасывается пароль указанному пользователю.
Если это маленькая компания на несколько десятков сотрудников, то сотрудник, сбрасывающий пароль, может всех знать лично и легко идентифицировать по голосу. А если это компания с несколькими сотнями или даже тысячами сотрудников? Тогда идентификация по голосу уже не катит.
Даже если в компании есть привязка телефонного номера к сотруднику, то это тоже не панацея, т.к. реальный сотрудник может звонить не со своего телефона, а внутрикорпоративный злоумышленник может позвонить с телефона-жертвы.
Так что идеи Кевина Митника до сих пор живее всех живых.
согласен, только например в своей компании я требую в таких случаях чтобы писали начальники отделов а не сам сотрудник, а уж начальник отдела знает своих сотрудников получше чем я.
Это не сильно поможет.
Могут же запрашивать пароль самого начальника отдела. В компании на тысячи человек вы даже начальников отделов знать не будете. Тогда требовать подтверждения от начальника управления? А дальше у начальника департамента/дирекции и так до самого верха иерархической лестницы до председателя правления? А если вышестоящий начальник в отпуске/занят/недоступен?
Или скажут, что сейчас в отделе уже никого нет, а пароль нужен срочно, иначе не успеют отправить сегодня сверхважную отчётность. Ну и много других методов убеждения и упрашивания со слёзными обещаниями завтра оформить официальную письменную заявку за подписью любого начальника.
И я уверен, что в большинстве подобных случаев им удастся убедить сбросить пароль.
Социальная инженерия в подобных вопросах работает, даже не сомневайтесь.
Могут же запрашивать пароль самого начальника отдела. В компании на тысячи человек вы даже начальников отделов знать не будете. Тогда требовать подтверждения от начальника управления? А дальше у начальника департамента/дирекции и так до самого верха иерархической лестницы до председателя правления? А если вышестоящий начальник в отпуске/занят/недоступен?
Или скажут, что сейчас в отделе уже никого нет, а пароль нужен срочно, иначе не успеют отправить сегодня сверхважную отчётность. Ну и много других методов убеждения и упрашивания со слёзными обещаниями завтра оформить официальную письменную заявку за подписью любого начальника.
И я уверен, что в большинстве подобных случаев им удастся убедить сбросить пароль.
Социальная инженерия в подобных вопросах работает, даже не сомневайтесь.
Работал в крупной страховой, ныне в ее филиале, так вот в главном только офисе было около 4000 сотрудников и при выше описанных случаях всегда работала система начальника отдела, а если он в отпуске/больничный/в пробке/помер, а информация с ПК сотрудника нужна ппц как срочно то или админская шара или же лучше послать своего сотрудника с helpdeсk чем тупо сбрасывать pass. Не знаю лично в нашей компании я знал всех начальников отделов, всех их замов и всех кто там работает долго следовательно шкала доверия выше… Так же мы чуть не забыли магнитную карточку сотрудника с его фото и фамилией без которой он даже не сможет войти в свой же кабинет, чтобы удостовериться в том что это тот именно человек чей пароль на профиль он просит сбросить.
В любом случае всегда можно организовать процесс в котором просто так пароль не будит сбрасываться вариантов море.
Социальная инжерения работает только на пользователях, а не на админе.
В любом случае всегда можно организовать процесс в котором просто так пароль не будит сбрасываться вариантов море.
Социальная инжерения работает только на пользователях, а не на админе.
Специалисты по безопасности давно призывают к образованию юзеров и повышению их грамотности. Херли доказывает, что такой подход в корне неверен.
Ну вы совсем уже демонизируете Херли. Я думаю он не совсем это имел ввиду. )
Для меня проще запомнить наиболее важные пароли от почты и еще пары сайтов, что позволит восстановить пароли на других ресурсах, имена которых нельзя узнать из архива почты,
а к остальным левым сайтам-форумам — либо что-то незатейливое, либо автогенератором, типа как для Хабра, и из программы-хранителя их туда вставлять.
Защита не должна мешать работать, факт, иначе ее отключат быстро (см. UAC в «виндоуз виста»).
а к остальным левым сайтам-форумам — либо что-то незатейливое, либо автогенератором, типа как для Хабра, и из программы-хранителя их туда вставлять.
Защита не должна мешать работать, факт, иначе ее отключат быстро (см. UAC в «виндоуз виста»).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft подсчитала: менять пароли невыгодно