Информационная безопасность → Идеи по увеличению безопасности авторизации из песочницы
Похоже, эта неделя пройдет под лозунгом «сделай авторизацию безопаснее». Уже было предложено много идей, но большинство из них в итоге оказалось неудачными. По тем или иным причинам я сейчас так же задумываюсь, как повысить безопасность авторизации на сайте. Тут — мои идеи, выкладки. Ничего более. Я замечательно понимаю, что для того, чтобы добиться хороших результатов, нужно проработать в этой области большой срок, заниматься криптографией и прочим. Тут же я хочу поделиться своими наработками, услышать их, надеюсь, конструктивную критику, возможно поддержку некоторых идей.
Необходимо обеспечить безопасную авторизацию для пользователя, однако при этом не заставлять его делать лишние движения либо вычисления. При этом основная задача — не позволить злоумышленнику зайти на сайт под каким-нибудь определенным логином. Так же ставится задача возможности записи какого-нибудь текста, который будет храниться в бд в шифрованном виде, и открыть его нельзя, не зная пароля.
Постановка задачи:
Необходимо обеспечить безопасную авторизацию для пользователя, однако при этом не заставлять его делать лишние движения либо вычисления. При этом основная задача — не позволить злоумышленнику зайти на сайт под каким-нибудь определенным логином. Так же ставится задача возможности записи какого-нибудь текста, который будет храниться в бд в шифрованном виде, и открыть его нельзя, не зная пароля.
Веб-разработка → Безопасная авторизация из песочницы
Доброго времени суток, уважаемые Хабражители!
Многие из Вас, кто занимается разработкой веб-сайтов, рано или поздно задумывались над безопасностью данных, которые передает пользователь на сервере, в частности над безопасностью передачи пароля.
Совсем недавно, при выполнении дипломного проекта (кстати на тему «Онлайн система управления обучением»), и я задумался над этим. Мне в голову пришла одна идея по улучшению защищенности пароля при авторизации. Идея не доскональная и продумана не до конца, поэтому я хочу поделиться ею со знающими людьми.
Многие из Вас, кто занимается разработкой веб-сайтов, рано или поздно задумывались над безопасностью данных, которые передает пользователь на сервере, в частности над безопасностью передачи пароля.
Совсем недавно, при выполнении дипломного проекта (кстати на тему «Онлайн система управления обучением»), и я задумался над этим. Мне в голову пришла одна идея по улучшению защищенности пароля при авторизации. Идея не доскональная и продумана не до конца, поэтому я хочу поделиться ею со знающими людьми.
Информационная безопасность → «Интервальная проверка» вводимого пароля [Идея]
Сегодня прочитал две статьи про «Динамические пароли» (раз, два) и сразу вспомнил про свою старую идею. Попробую её описать, может быть, кому-то пригодится.
Пользователь имеет пароль от своей машины (сервиса, аккаунта): 9sDfyuT7uj.
Пользователь получает пароль на бумажке и несколько раз вводит его в поле для «тренировки». После этого пароль становится «его паролем».
Идея в следующем
Пользователь имеет пароль от своей машины (сервиса, аккаунта): 9sDfyuT7uj.
Пользователь получает пароль на бумажке и несколько раз вводит его в поле для «тренировки». После этого пароль становится «его паролем».
Google → Динамический пароль
Давно пришла мне в голову одна идея по поводу улучшения защищенности своих аккаунтов и входа на сайты, где требуется регистрация.
Хабр я тогда читал без регистрации, поэтому естественно ничего и не писал.
Сам я не программирую на таком уровне и не связан с сайтами, которые осуществляют доступ к аккаунтам пользователей, то есть — не смогу реализовать и проверить идею, поэтому решил поделиться мыслью со знающим человеком.
Кому это нужнее? Наверное Гуглю, подумал я… С трудом нашел адрес одного сотрудника, написал письмо.
Хабр я тогда читал без регистрации, поэтому естественно ничего и не писал.
Сам я не программирую на таком уровне и не связан с сайтами, которые осуществляют доступ к аккаунтам пользователей, то есть — не смогу реализовать и проверить идею, поэтому решил поделиться мыслью со знающим человеком.
Кому это нужнее? Наверное Гуглю, подумал я… С трудом нашел адрес одного сотрудника, написал письмо.
Дизайн в IT → О регистрации на сайтах
Мы часто выполняем на многих сайтах действие, которое постоянно эволюционирует и улучшается (а иногда наоборот). Это регистрация. Именно о разных способах и особенностях регистраций на сайтах я бы хотел с вами поговорить. Это не громоздкое исследование, а просто небольшие и (надеюсь) полезные выдержки из моего опыта дизайнера интерфейсов.
Пример удачной регистрации на сайте Tumblr.
Начну с определения самого понятия «регистрация», с ним всё не так просто, как может казаться. В результате полевых исследований нашей компании оказалось, что разные люди (клиенты, посетители и мы сами) нередко воспринимают это слово по-разному. Для того, чтобы избежать непонимания, опишу то, как я сам вижу регистрацию.
Пример удачной регистрации на сайте Tumblr.
Начну с определения самого понятия «регистрация», с ним всё не так просто, как может казаться. В результате полевых исследований нашей компании оказалось, что разные люди (клиенты, посетители и мы сами) нередко воспринимают это слово по-разному. Для того, чтобы избежать непонимания, опишу то, как я сам вижу регистрацию.
Информационная безопасность → Стойкий и запоминаемый пароль из песочницы
Введение
Часто видел на различных сайтах при регистрации рекомендации по придумыванию паролей. Обычно они состоят из очевидных советов, вроде использования различных классов символов. Но вот почему-то нигде я не видел вот такого:
А ведь это неплохая идея для придумывания и запоминания паролей. Можно в их качестве использовать длинные осмысленные предложения. Легко запомнить то, что используешь каждый день. Никто из хабрапользователей, наверно, не упражняется ежедневно в составлении абракадабры из символов, поэтому могут испытывать проблемы с запоминанием традиционных паролей.
Я пиарюсь → Исследование на тему паролей
Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на различных ресурсах.
Исследование Троя Ханта, который взял за предмет своих изысканий, базу пользователей Sony Pictures, стоит отметить, что все пароли хранилась в открытом виде. А дальше он проанализировал пользовательские пароли. Вот такие результаты у него получились.
Как мы видим, основное количество паролей с диной от 6 до 10 символов. При этом у половины он менее 8 символов.
Криптографическая стойкость пароля определяется вариацией букв различных регистров + цифры + спец. символы ^ длина пароля. На данном примере мы можем наблюдать, что используются пассы одного типа.
Пароль [parole] — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя. Sony Pictures database
Исследование Троя Ханта, который взял за предмет своих изысканий, базу пользователей Sony Pictures, стоит отметить, что все пароли хранилась в открытом виде. А дальше он проанализировал пользовательские пароли. Вот такие результаты у него получились.
Длина пароля
Как мы видим, основное количество паролей с диной от 6 до 10 символов. При этом у половины он менее 8 символов.
Используемые символы
1% - только буквы верхнего регистра
4% - только цифры
45% - только буквы нижнего регистра
50% - другие вариантыКриптографическая стойкость пароля определяется вариацией букв различных регистров + цифры + спец. символы ^ длина пароля. На данном примере мы можем наблюдать, что используются пассы одного типа.
Информационная безопасность → Анализ реальных паролей пользователей и улучшенный полный перебор
Прочитал сегодня на хабре перевод статьи Распределение символов в паролях. Захотелось провести свой небольшой анализ. Интерес для меня представляют длины паролей, первые символы паролей и используемые в паролях биграммы (пар смежных символов). А также в статье будет рассмотрен алгоритм улучшенного полного перебора паролей.
Вопросы безопасности в веб-технологиях → Передача пароля по открытому каналу (часть 2)
В первой части статьи обсуждалась ситуация, когда для защиты трафика мы по каким-либо причинам не можем использовать https. При этом, передаваемый в открытом виде пароль становится легкой добычей мошенников. Предложенный в статье метод позволял избавится от угрозы перехваты пароля или от кражи БД хэшей паролей, но был бессилен перед злоумышленником, который и БД владеет и контролирует трафик. Предлагаемый ниже метод безопаснее, но сложнее.
Информационная безопасность → Создаем и запоминаем длинный пароль за небольшой отрезок времени
Здравствуйте. Хочу в этот воскресный вечер дополнить цепочку статей о создании паролей. Я не стану рассказывать о паролях для различных сайтов или служб, куда больше меня в последнее время волнует мастер-пароль, длинный и надежный, чтоб не меньше 20 символов. При этом как то не охото заморачиваться с запоминанием и придумыванием. Так же я крайне не одобряю использование части пароля как намек на то, от чего он используется, не люблю использование шаблона и прочее, что снижает безопасность. Интересует только рандом. Такой пароль создается обычно один и надолго, а у кого то и на всю жизнь. Многим приходилось заниматься придумыванием подобных вещей, и многие сталкивались с двумя проблемами:
Проблема №1 — Придумать.
Обычно, когда нужно срочно что-то придумать, зачастую соображалка резко отключается и фантазия объявляет забастовку. А в случае, когда нужно придумать безопасный пароль, некоторые, я в том числе, могут сидеть часами и в результате ни к чему не прийти. В следствии на помощь приходят генераторы, которые приводят нас ко второй проблеме.
Проблема №2 — Запомнить.
Допустим мы воспользовались генератором и увидели вариант «JnFayt4j6LfUBLNqsNw7LhuTby». Хорошо если первое пришедшее в голову слово будет не матерное. Запомнить такой пароль можно лишь зубрешкой, на которую может уйти не мало времени, а забыть такой пароль при длительном не использовании не трудно.
В данной статье я предложу метод создания и легкого запоминания вот таких паролей. И так…
Задача:
1. Составить пароль приличной длины.
2. Запомнить составленный пароль.
Условия:
Уложиться в 15 минут (постараться уложиться).
Проблема №1 — Придумать.
Обычно, когда нужно срочно что-то придумать, зачастую соображалка резко отключается и фантазия объявляет забастовку. А в случае, когда нужно придумать безопасный пароль, некоторые, я в том числе, могут сидеть часами и в результате ни к чему не прийти. В следствии на помощь приходят генераторы, которые приводят нас ко второй проблеме.
Проблема №2 — Запомнить.
Допустим мы воспользовались генератором и увидели вариант «JnFayt4j6LfUBLNqsNw7LhuTby». Хорошо если первое пришедшее в голову слово будет не матерное. Запомнить такой пароль можно лишь зубрешкой, на которую может уйти не мало времени, а забыть такой пароль при длительном не использовании не трудно.
В данной статье я предложу метод создания и легкого запоминания вот таких паролей. И так…
Задача:
1. Составить пароль приличной длины.
2. Запомнить составленный пароль.
Условия:
Уложиться в 15 минут (постараться уложиться).