Comments 14
Это даже не вопрос. Потому что 95%.
Если посмотреть со стороны обычного пользователя то ситуацию немного иная:
1) Почему пользователи используют одинаковые или похожие пароли на многих сайтах?
Потому что этих сайтов может быть очень много, и трудно упомнить пароль каждого ресурса, если эти пароли разные. Попытка войти превращается в процесс перебора паролей, а количество перебора паролей может быть ограничена или сильно усложнена трудно читаемыми капчами. Это очень неудобно, когда процесс авторизации превращается в пытку и может закончится пустыми попытками.
2) Почему пользователи не часто меняют пароли? По той же причине. Частая смена всех паролей на сайтах геометрически увеличивает количество необходимых для запоминания паролей, что гарантированно увеличивает количество не успешных попыток авторизации на сайтах. Если продолжительное время не пользоваться каким либо ресурсом то пароль этого ресурса в памяти успешно забывается.
Конечно пароли можно записать и надежно сохранить. Вот только куда? Если в электронном виде, то сейчас слишком много разных устройств с которыми приходиться работать с разного места, а значит список паролей придется держать либо на всех устройствах либо в сети интернет (например, в облаке или в почтовом ящике). Но такой вариант сильно понижает безопасности — получив доступ к одному из этих устройств или получив доступ к хранилищу пароля в интернете злоумышленник получает доступ ко всем вашим аккаунтам, а возможно также вашим банковским счетам. Можно список паролей носить с собой, что в общем столь же не безопасно — пароли могут быть без труда украдены карманниками, или пока вы спите.
На мой взгляд все эти сложности можно решить только одним образом — выдав каждому гражданину единый цифровой паспорт для подтверждения своей личности на всех электронных ресурсах. Это положит конец анонимности в интернете, но решить все вышеуказанные проблемы с безопасностью и паролями.
1) Почему пользователи используют одинаковые или похожие пароли на многих сайтах?
Потому что этих сайтов может быть очень много, и трудно упомнить пароль каждого ресурса, если эти пароли разные. Попытка войти превращается в процесс перебора паролей, а количество перебора паролей может быть ограничена или сильно усложнена трудно читаемыми капчами. Это очень неудобно, когда процесс авторизации превращается в пытку и может закончится пустыми попытками.
2) Почему пользователи не часто меняют пароли? По той же причине. Частая смена всех паролей на сайтах геометрически увеличивает количество необходимых для запоминания паролей, что гарантированно увеличивает количество не успешных попыток авторизации на сайтах. Если продолжительное время не пользоваться каким либо ресурсом то пароль этого ресурса в памяти успешно забывается.
Конечно пароли можно записать и надежно сохранить. Вот только куда? Если в электронном виде, то сейчас слишком много разных устройств с которыми приходиться работать с разного места, а значит список паролей придется держать либо на всех устройствах либо в сети интернет (например, в облаке или в почтовом ящике). Но такой вариант сильно понижает безопасности — получив доступ к одному из этих устройств или получив доступ к хранилищу пароля в интернете злоумышленник получает доступ ко всем вашим аккаунтам, а возможно также вашим банковским счетам. Можно список паролей носить с собой, что в общем столь же не безопасно — пароли могут быть без труда украдены карманниками, или пока вы спите.
На мой взгляд все эти сложности можно решить только одним образом — выдав каждому гражданину единый цифровой паспорт для подтверждения своей личности на всех электронных ресурсах. Это положит конец анонимности в интернете, но решить все вышеуказанные проблемы с безопасностью и паролями.
… кроме проблемы с безопасностью цифровых паспортов
Обеспечит надежность единого центра проверки подлинности на мой взгляд гораздо эффективнее и надежнее, нежели существующего варианта, когда каждый интернет ресурс должен самостоятельно решать вопрос безопасности аккаунтов своих пользователей. И никто точно не знает степень надежности этих ресурсов, потому что не существует обязательных требований в обеспечении безопасности пользовательских данных. При этом большинство ресурсов сегодня вполне могут уйти от ответственности, при передаче пользовательских данных третей стороне или даже публичном их раскрытии, потому что набор правил большинства сайтов не является документом, имеющим юридическую силу.
Обычные паспорта то же всегда пытались подделать, так что борьба с мошенниками всегда будет продолжаться. Но использование цифровых паспортов на мой взгляд позволило бы существенно снизить объемы кибер преступности и повысить степень безопасности в интернете.
Обычные паспорта то же всегда пытались подделать, так что борьба с мошенниками всегда будет продолжаться. Но использование цифровых паспортов на мой взгляд позволило бы существенно снизить объемы кибер преступности и повысить степень безопасности в интернете.
1)
Что лучше: когда в мире только один супербезопасный замок от двери или 5000 разных видов замков? В первом случае обнаруженная уязвимость в первом замке автоматически отпирает все двери в мире. От двери к деревенскому амбару до двери в бункер, откуда можно запустить ядерное оружие.
2) И кто будет выдавать такие паспорта? АНБ? Роскомнадзор? Министерство Магии? Никто не будет доверять какой-то одной организации аутентификацию пользователей во всём интернете.
3) Тут говорится, что мол это всё для защиты пользовательских данных. А ведь сам факт использования таких паспортов уничтожает анонимность в интернете: выдающая паспорта организация всегда знает, кто и где зарегился под каким именем.
Обеспечит надежность единого центра проверки подлинности на мой взгляд гораздо эффективнее и надежнее, нежели существующего варианта, когда каждый интернет ресурс должен самостоятельно решать вопрос безопасности аккаунтов своих пользователейЭто было бы верно, если стопроцентная защита (не 99,999999%, а именно ровно 100%) была возможна. А стопроцентной защиты не бывает (никто не может гарантировать отсутствие 0-day, закладок от АНБ и т.п.).
Что лучше: когда в мире только один супербезопасный замок от двери или 5000 разных видов замков? В первом случае обнаруженная уязвимость в первом замке автоматически отпирает все двери в мире. От двери к деревенскому амбару до двери в бункер, откуда можно запустить ядерное оружие.
2) И кто будет выдавать такие паспорта? АНБ? Роскомнадзор? Министерство Магии? Никто не будет доверять какой-то одной организации аутентификацию пользователей во всём интернете.
3) Тут говорится, что мол это всё для защиты пользовательских данных. А ведь сам факт использования таких паспортов уничтожает анонимность в интернете: выдающая паспорта организация всегда знает, кто и где зарегился под каким именем.
Это было бы верно, если стопроцентная защита (не 99,999999%, а именно ровно 100%) была возможна. А стопроцентной защиты не бывает (никто не может гарантировать отсутствие 0-day, закладок от АНБ и т.п.).
Это примерно то же самое что и борьба между вирусами и антивирусами. Ни один антивирус не гарантирует 100% защиты от новых вирусов, но появление новых вирусов оперативно анализируется и создается защита от подобных угроз. Т. е. бесконечная борьба меча и щита на страже безопасности пользователей.
И кто будет выдавать такие паспорта? АНБ? Роскомнадзор? Министерство Магии? Никто не будет доверять какой-то одной организации аутентификацию пользователей во всём интернете.
Не нужно далеко отходит от реальной практики. В каждой стране необходимо организовать контроль и выдачу цифровых паспортов, а также создать свой центр авторизации граждан. Но при этом через созданный центр авторизации страны обеспечивать контролируемую и прозрачную авторизацию граждан других стран, если они успешно прошли авторизацию в центре авторизации своей страны.
Тут говорится, что мол это всё для защиты пользовательских данных. А ведь сам факт использования таких паспортов уничтожает анонимность в интернете: выдающая паспорта организация всегда знает, кто и где зарегился под каким именем.
С этим я не спорю. Но если постараться проследить дальнейшее развитие сети интернет, то можно заметить, что все идет к искоренению анонимности в интернете. Взять хотя бы протокол IPv6 — в основе формирования уникального IP-адреса заложен алгоритм использования в общедоступном виде MAC-адреса, жестко прошитого на используемом сетевом оборудовании — это то же большой шаг к уничтожению анонимности в интернете.
На мой взгляд большинство россиян становятся жертвами кибермошенничества из за отсутствия принимаемых решений проверки подлинности и обеспечения безопасности пользовательских данных на государственном уровне. В отсутствии необходимых требований безопасности к интернет ресурсам, в отсутствии необходимых регламентов, и в отсутствии какой либо ответственности за раскрытие пользовательских данных. В общем мы живем в царстве полной анонимность и анархии в сети, и пожимаем плоды такого существования.
Попытка войти превращается в процесс перебора паролей, а количество перебора паролей может быть ограничена или сильно усложнена трудно читаемыми капчами.
Еще и оставить на этом сайте все пароли которые используешь.
Казалось бы, причем тут OpenID&OAuth…
А вообще сейчас модно регистрироваться через аккаунт в соц сети.
Конечно, это не касается банков, почты и т.д.
Можно попробовать посмотреть на это с точки зрения оценки рисков.
Каждый может для себя решить, что он считает более вероятным — что у него украдут бумажку/сотовый/ноут со списком паролей, или что взломают облачный сервис хранения паролей.
Потом можно оценить урон, если нужного пароля не окажется под ругой.
Ну и исходя из оценок, решить, как ему лучше/удобнее.
А вообще сейчас модно регистрироваться через аккаунт в соц сети.
Конечно, это не касается банков, почты и т.д.
Конечно пароли можно записать и надежно сохранить. Вот только куда?
Можно попробовать посмотреть на это с точки зрения оценки рисков.
Каждый может для себя решить, что он считает более вероятным — что у него украдут бумажку/сотовый/ноут со списком паролей, или что взломают облачный сервис хранения паролей.
Потом можно оценить урон, если нужного пароля не окажется под ругой.
Ну и исходя из оценок, решить, как ему лучше/удобнее.
С точки зрения безопасности лучше хранить в токене, защищенный пин кодом из 3-х попыток и встроенным сканером отпечатков. Вытащить из токена используемые ключи не возможно, а расшифровать что то может только тот, кто имеет вторую пару закрытого ключа. Еще лучше, если заранее созданы и сохранены персональные наборы открытых и закрытых ключей за каждый день на ближайшее 100 лет, а токен при авторизации сверяет дату со своими серверами и применяет необходимый ключ на текущую дату.
Технически лучше реализовать маленький токен micro-USB, напоминающий заглушку (подойдет на любые смартфоны и планшеты) и вставляемый через свой переходник на обычный USB. В этом же USB переходнике может быть реализован сканер отпечатков. А снятие переходника автоматически должен активировать дополнительный уровень проверки, например SMS-авторизацию или сканирование отпечатка используя сенсоры мобильного устройства.
Но опять же всё это может прекрасно работать только при наличии единого центра авторизации пользователей в интернете.
Технически лучше реализовать маленький токен micro-USB, напоминающий заглушку (подойдет на любые смартфоны и планшеты) и вставляемый через свой переходник на обычный USB. В этом же USB переходнике может быть реализован сканер отпечатков. А снятие переходника автоматически должен активировать дополнительный уровень проверки, например SMS-авторизацию или сканирование отпечатка используя сенсоры мобильного устройства.
Но опять же всё это может прекрасно работать только при наличии единого центра авторизации пользователей в интернете.
>На мой взгляд все эти сложности можно решить только одним образом — выдав каждому гражданину единый цифровой паспорт для подтверждения своей личности на всех электронных ресурсах. Это положит конец анонимности в интернете, но решить все вышеуказанные проблемы с безопасностью и паролями.
polnaya_baza_edinyh_cifrovih_pasportov_grazhdan_rf_YYYY_MM_DD.torrent
polnaya_baza_edinyh_cifrovih_pasportov_grazhdan_rf_YYYY_MM_DD.torrent
.
Сделайте картинки нормального размера.
А можно вернуться к истокам и спросить, что же такое кибермошенничество? Это «увели аккаунт», «вымогали деньги за скринсейвер-вирус» или что? Если проводить опрос среди домохозяек, то там, наверное, будет и за 80%, поскольку «сегодня компьютер работал плохо — наверняка хакеры».
В любом случае, в большинстве случаев это безалаберность пользователя: использование чужих компьютеров и не выход из учетной записи; особо успешная ловля специальных вирусов и тд.
Целенаправленные атаки на аккаунт в вк? Ну, наверняка школьники балуются сломают или нет. Что-то подсказывает, что люди просто не используют всяческие дополнительные сервисы для авторизации, типа как, двуфакторная авторизация.
И, я считаю, можно было и здесь запилить голосовалку — посмотрели бы на результаты более технически продвинутых пользователей, вдруг среди них процент по-меньше будет.
В любом случае, в большинстве случаев это безалаберность пользователя: использование чужих компьютеров и не выход из учетной записи; особо успешная ловля специальных вирусов и тд.
Целенаправленные атаки на аккаунт в вк? Ну, наверняка школьники балуются сломают или нет. Что-то подсказывает, что люди просто не используют всяческие дополнительные сервисы для авторизации, типа как, двуфакторная авторизация.
И, я считаю, можно было и здесь запилить голосовалку — посмотрели бы на результаты более технически продвинутых пользователей, вдруг среди них процент по-меньше будет.
Sign up to leave a comment.
Почему большинство россиян стали жертвами кибермошенничества?