Comments 11
Поменять многосимвольный пароль очень легко, если предыдущий как-либо узнали. Как поменять сетчатку глаза или ритм сердца?
Этот подход тоже не без недостатков. Как ни крути такое решение будет генерировать идентификатор, который будет передаваться в качестве пароля через интернет, то есть при утечке такого идентификатора будут всё те же старые проблемы. Но добавится ещё проблема невозможности изменения идентификатора — вы не можете так просто поменять себе сетчатку глаза, рисунок вен или отпечатки пальцев.
Эти методы хороши, когда нет взаимодействия с незащищённой средой передачи данных.
На мой взгляд самый действенный способ — это профилактика сложности пароля, не давать пользователям делать простые пароли, а вот где хранить этот сложный пароль вопрос остаётся открытым — LastPass, бумажка у монитора, смартфон или в голове (в виде собственной или электронной памяти).
Эти методы хороши, когда нет взаимодействия с незащищённой средой передачи данных.
На мой взгляд самый действенный способ — это профилактика сложности пароля, не давать пользователям делать простые пароли, а вот где хранить этот сложный пароль вопрос остаётся открытым — LastPass, бумажка у монитора, смартфон или в голове (в виде собственной или электронной памяти).
Этот ID может быть лишь одним из факторов в MFA. Или вообще, может никуда не передаваться, а использоваться как секретный ключ в криптопроцессоре. Т.е. при полной компрометации будет достаточно сменить, например, только криптопроцессор.
не давать пользователям делать простые пароли
Нельзя. Система не должна быть умнее пользователя и диктовать ему условия. Я вообще за то, чтобы пароль был любой, хоть из одного символа, но понимаю, что это нереально. Ну ладно, если ограничения — то на длину, но никак на соответствие правилам безопасности.
Соглашусь с тем, что надо проводить профилактику. Человек должен понимать, что если разовая операция — можно поставить любой временный пароль, если подразумеваются серьёзные вещи (типа привязки карты) — то и подход другой должен быть.
я и так храню свои пароли внутри тела — в голове
Дзэнский монах Догэн жил уединённо в своей хижине на опушке леса. Как-то несколько странствующих буддийских монахов попросились к нему на ночлег. Когда они согрелись у огня и поужинали, то завели разговор о сущности бытия, утверждая, что мир – лишь иллюзия человеческого сознания. Устав слушать их болтовню, Догэн спросил:
– Как вы считаете, вон тот камень находится внутри или снаружи сознания?
Один монах ответил с умным видом:
– Конечно, внутри.
– Твоя голова, должно быть, очень тяжёлая, – сказал ему Догэн, – раз ты носишь в своём сознании такие камни!
Статья прямо в тему habrahabr.ru/post/256671
О, да. И придется семье каждый раз меня отвлекать, когда нужно купить что-нибудь с оплатой через PayPal. Или заводить по аккаунту на каждого члена и разводить финансовую бюрократию еще и дома.
Прелесть паролей еще и в том, что их можно передавать.
Прелесть паролей еще и в том, что их можно передавать.
Я лично категорически против повсеместного внедрения биометрической аунтефикации:
1) При компрометации пароля мы просто меняем пароль и живём спокойно дальше. При компрометации биометрических данных (а большинство из них находятся почти в открытом доступе и легко получаются при желании и некоторых технологиях, нужен лишь личный контакт с жертвой) что делать?
2) Далеко не всегда нужна параноидальная система, когда к аккаунту может получить доступ только один человек и никто другой. Пароль можно добровольно передать третьим лицам, вроде друзей или членов семьи, когда очевидно, что они не являются злоумышленниками, зато это принесёт пользу.
Пароли плохи лишь из-за идиотов-пользователей, можно повышать грамотность пользователей, да и вообще идиоты должны страдать в крайнем случае. А новая система имеет недостатки в самой концепции, которые касаются всех, вне зависимости от их уровня компьютерной грамотности.
Вообще считаю, что термин ССЗБ должен быть законодательно закреплён — если человека 10 раз предупредили, что так делать опасно, но он всё равно сделал и в итоге пострадал, то виноват именно он и никто другой. Если человек поставил пароль 1234 на банковский счёт, то в краже денег виноват он, а не «хакер» и его даже искать не надо. Это бы резко повысило уровень сознательности людей.
1) При компрометации пароля мы просто меняем пароль и живём спокойно дальше. При компрометации биометрических данных (а большинство из них находятся почти в открытом доступе и легко получаются при желании и некоторых технологиях, нужен лишь личный контакт с жертвой) что делать?
2) Далеко не всегда нужна параноидальная система, когда к аккаунту может получить доступ только один человек и никто другой. Пароль можно добровольно передать третьим лицам, вроде друзей или членов семьи, когда очевидно, что они не являются злоумышленниками, зато это принесёт пользу.
Пароли плохи лишь из-за идиотов-пользователей, можно повышать грамотность пользователей, да и вообще идиоты должны страдать в крайнем случае. А новая система имеет недостатки в самой концепции, которые касаются всех, вне зависимости от их уровня компьютерной грамотности.
Вообще считаю, что термин ССЗБ должен быть законодательно закреплён — если человека 10 раз предупредили, что так делать опасно, но он всё равно сделал и в итоге пострадал, то виноват именно он и никто другой. Если человек поставил пароль 1234 на банковский счёт, то в краже денег виноват он, а не «хакер» и его даже искать не надо. Это бы резко повысило уровень сознательности людей.
Разумеется, речь идёт лишь о случаях, когда можно было легко предотвратить проблему.
Я тоже против, но есть такая сухая вещь, как статистика: народ обычно не парится на счёт паролей и прочего, и в общей массе биометрические способы повысят безопасность. Если из 100 человек 5 грамотны, и используют сложные пароли, 45 — средние, а остальные 50 в группе риска, то организации (тому же банку) выгоднее обратить внимание на 50, чем на 5.
Sign up to leave a comment.
PayPal предлагает пользователям хранить логины и пароли внутри тела