Comments 105
Open Source не является решением проблем информационной безопасности. Достаточно посмотреть на критические уязвимости в OpenSource программных продуктах.
«очень важно зашифровать весь диск» и «серьезно подходить к защите данных, когда данные ничего не стоят» — взаимоисключающие параграфы
«очень важно зашифровать весь диск» и «серьезно подходить к защите данных, когда данные ничего не стоят» — взаимоисключающие параграфы
Я имел в виду, что не стоит серьезно подходить к защите данных если эти данные для вас не важны. В этом случае можно даже пароль на компьютер не ставить.
Но если данные очень важны, то само собой очень важно зашифровать весь диск.
Про Open Source я так же сказал, что надо смотреть на комьюнити.
Но если данные очень важны, то само собой очень важно зашифровать весь диск.
Про Open Source я так же сказал, что надо смотреть на комьюнити.
На диске C у меня 16 важных файлов. Все еще надо шифровать весь диск?
Почитайте про Dirty Cow, посмотрите на размер коммьюнити, подумайте…
Почитайте про Dirty Cow, посмотрите на размер коммьюнити, подумайте…
Зависит от уровня важности этих файлов лично для вас. От того, что будет в случае потери или кражи этих файлов. От уровня вашей паранойи.
В общем, как я уже сказал, выбирать то, насколько дорогой сейф вам нужен и нужен ли вообще можете только вы.
Никто не говорил, что в Open Source отсутствуют уязвимости.
В общем, как я уже сказал, выбирать то, насколько дорогой сейф вам нужен и нужен ли вообще можете только вы.
Никто не говорил, что в Open Source отсутствуют уязвимости.
Дайте я вам подскажу: можно шифровать отдельные файлы.
Раз в OpenSource также есть уязвимости, оное OSS не является ни «решением», ни «выходом», оно является лишь альтернативой.
Странно, кстати, что еще не набежали красноглазые и не рассказали, что Ubuntu — дистрибутив, а не операционная система.
Раз в OpenSource также есть уязвимости, оное OSS не является ни «решением», ни «выходом», оно является лишь альтернативой.
Странно, кстати, что еще не набежали красноглазые и не рассказали, что Ubuntu — дистрибутив, а не операционная система.
Так я не говорил о том, что OpenSource не имеет уязвимостей. Я говорил о том, что в некоторых случаях плюсом является то, что у вас нет дополнительного звена, которое может потерять ваши данные.
Например, используя dropbox вы можете потерять данные по вине dropbox.
А используя что-то вроде nextcloud этого звена нет.
Например, используя dropbox вы можете потерять данные по вине dropbox.
А используя что-то вроде nextcloud этого звена нет.
Используя ПО для хранения данных вы считаете что по вине этого ПО нельзя потерять данные только на основании того, что исходных код ПО открыт? Или на каком-то другом?
Я бы советовал, все же шифровать весь диск, так как например notepad++ у меня делает бекапы открытых файлов (.bac) на диске C: в своей директории, и можно просто попасть в такую ситуацию когда вроде свой секретный текстовый файл хранишь в шифрованном контейнере, а notepad++ тебе сделал копию на не зашифрованном диске!
В этом случае можно даже пароль на компьютер не ставить.Правда при пустом или простом пароле — есть риск, что компьютер с ненужными данными станет членом ботнета)
Про Open Source я так же сказал, что надо смотреть на комьюнити.На фоне нескольких нашумевших поросших мхом дыр — это чем-то созвучно сентенции про мух)
Мне кажется, главное преимущество open source не в том, что эти проекты менее уязвимы, а в том, что в них нет скрытого функционала и back door'ов)
UFO just landed and posted this here
А Вы уверены, что дальше сканера не идёт?
В конце-концов отпечаток должен с чем-то сравниваться.
В конце-концов отпечаток должен с чем-то сравниваться.
Сравниваются, наверно, хэши.
А как же алгоритмы самообучения? Больше данных — больше возможностей для анализа.
Вы ведь можете добавить отпечаток с телефона, а потом залогиниться с помощью отпечатка в макбук.
Я нашёл два варианта:
1)Вы можете залогиниться, приложив палец к телефонному сканеру. При этом на компьютер просто отправляется команда при успешной проверке. Данные наружу не выходят.
2)Возможен логин на новых макбуках со встроенным сканером. Но никакой синхронизации отпечатков между устройствами нет. Данные наружу не выходят.
Или я не прав?
1)Вы можете залогиниться, приложив палец к телефонному сканеру. При этом на компьютер просто отправляется команда при успешной проверке. Данные наружу не выходят.
2)Возможен логин на новых макбуках со встроенным сканером. Но никакой синхронизации отпечатков между устройствами нет. Данные наружу не выходят.
Или я не прав?
Нет, прикладываете вы палец не к телефонному сканеру, а к сканеру в самом макбуке.
Синхронизация, конечно же, есть. Я ведь говорю, вы добавляете отпечаток в телефон, а входить можете с ноутбука или с планшета. Это и есть синхронизация. Разве нет?
Синхронизация, конечно же, есть. Я ведь говорю, вы добавляете отпечаток в телефон, а входить можете с ноутбука или с планшета. Это и есть синхронизация. Разве нет?
Тогда прошу прощения. Пытался найти данные о синхронизации — но нашёл только патент трёхлетней давности и никакой информации о синхронизации сейчас.
*добавлено*
Можете попробовать удалить данные отпечатка с пары устройств, добавить отпечаток на одном и проверить, что на втором тоже появились? Повторно попытался найти информацию на эту тему — но гугл молчит.
*добавлено*
Можете попробовать удалить данные отпечатка с пары устройств, добавить отпечаток на одном и проверить, что на втором тоже появились? Повторно попытался найти информацию на эту тему — но гугл молчит.
Но хранится не сам отпечаток, а условный хеш. Это, по идее, должно быть точно также безопасно, как хранить хеши паролей для валидации. Злоумышленнику такие данные не нужны, либо нужны в очень редком случае — для перебора паролей на подконтрольной машине и использовании найденного пароля на машине жертвы. В случае с отпечатком нужны очень серьезные мощности для такого брутфорса. На мой взгляд есть более дешевые способы получить доступ к данным, чем подбирать рисунок отпечатка под хеш, который ещё надо выкрасть с устройства или из облака аппла.
наилучший уровень безопасности в сети может обеспечить одно простое правило. не выходить в сеть :)
А чем KeePass не угодил? Он ничего не синхронизирует, правда, насчёт стойкости шифрования у меня нет информации. Но ведь для pass, я так понимаю, нужно везде копировать свой ключ? Это тоже не добавляет безопасности.
Я видел базы с production, в которых хранились полные номера карт, имена владельцев, и cvv. Эти базы компания давала разработчикам для того, чтобы можно было развернуть локальную версию приложения для разработки и отладки. Справедливости ради, это было несколько лет назад, но я уверен, что это далеко не единичный случай.
Ну а уж тех, кто до сих пор пароль в открытом виде хранит… Думаю, таких приложений и сайтов все миллионы.
Прошу ссылку на pass. www.passwordstore.org — оно?
На мой взгляд отличная ОС с открытым кодом – LineageOSНа мой взгляд смелое решение утверждать о безусловной безопасности данной ОС, хотя сам сижу на ней. Залочить бутлоадер — да, всегда. Ошибка новичков.
F-droid. Не забываем, что рано или поздно вам понадобится нечто большее, чем opensource, так что это временно.
Хранение файлов. Любое облако безопасно, если шифровать до отправки. Хранить в облаке секюрные данные безумие. Советуете плагины? Кто их проверял, Вы? Я? Они? Тема не раскрыта ибо достойна отдельной статьи, понимаю.
И да, я устал слушать о том, как открытый исходный код повышает безопасность, я не успеваю версии хрома считать, кто там копаться будет, уж не знаю. Вы про движок хромиума имели ввиду, никак не конечный продукт гугла и еще сто пятсот броузеров, будь они неладны. Ладно.
Поисковик. Да пусть тот же гугл знает обо мне все, так он лучше ищет, ну правда.
TrueCrypt. Вот тут действительно тема не раскрыта. Даже скомпроментированному TrueCrypt я доверяю больше, чем тому же MS bitlocker. Тем более хэши его старого доброго TrueCrypt 7.1a есть и на хабре. Вот он SHA1:7689D038C76BD1DF695D295C026961E50E4A62EA.
Шифруйте диски (если не жалко батареи), делайте бэкапы (Ваш КЭП), А главное — везде двухфакторная авторизация. Никогда SMS.
Свой лайфхак. Keepass (о да, опенсорс) с плагином TOTP. Синхать с облаком любым удобным для вас способом, умеет генерить одноразовые ключи TOTP (aka google authentificator) — не нужен интернет впринципе для генерации. Почему в статье нет такой важной инфрмации, ибо все остальное и так КЭП надиктовал.
Шифруйте диски
А британскую таможню как проходите?
Там же за зашифрованный диск — реально сесть на немаленький срок.
UFO just landed and posted this here
база паролей и генератор одноразовых паролей для двухфакторной авторизации находятся на одном устройствеЕсть такой момент. Создайте две базы. Одну тупо для ТОТP. Разнесите их на разные устройства, если все так плохо. В чем параноя, то что вы не можете нормальный пароль придумать для базы или Вы боитесь квантовых компьютеров, которые поломают вашу безопасность. Можете ключ (любой файл, берется первые 1024 байт) до кучи к паролю добавить и вынести его на третье устройство/облако. KeePass'у выход в инет вообще зарубить, синхать родными клиентами облаков, раз уж вы им доверяете. Другие способы еще паче, тот же гугл аунтификатор вообще не спрашивает никаких паролей. Лочьте свое «одно устройство» и шифруйте диск на нем в таком случае. Я не понимаю, что еще надо сделать, чтобы нормально пользоваться двухфакторной авторизацией и при этом ни один котёнок не пострадал.
бесполезная вещь [...] вредный советУ вас есть свой секрет, откройте его, пожалуйста. Пока что Вы предлагаете вообще не пользоваться двухфакторкой ибо небезопасно. Ну или чё, SMS-ками? Ага, угу.
Еще один лайфхак. В дропбоксе базу добавляете в избранное и открываете базу через UI дропбокса, она синхается тут же при любых изменениях без сторонних утилит. Это на мобилке. Сам keepass в инет даже не хочет ибо незачем. Да и зарубили мы ему.
Включить Bitlocker одно из основных
Напомню Вам, что битлокер — это прерогатива избранных, читай ентерпрайз. Если Вы не пират. Бабушка у вас на ентерпрайз сидит? Сами Вы как? Если Вы не купили в корпоративе софтваре ашшуренс (дома можно дублировать) то Вы пират. Короче битлокер для битлокеров. Очень сомнительный плюс — как минимум неудобный, не то что перед ребятами не удобно, а вообще неудобный UX в целом.
Битлокер есть и в Pro версии. Вполне валидная лицензия покупается на ебее за 300р
Bitlocker не доступен только в Home версии, в остальных он есть и хорошо работает
www.zdnet.com/article/which-windows-10-editions-get-which-features
www.zdnet.com/article/which-windows-10-editions-get-which-features
Как-то странно читать сначала совет установить Ubuntu, а потом — TrueCrypt для шифровании всего диска… Разве Ubuntu при установке не предлагает зашифровать весь диск (риторический вопрос)? Разве нет более Linux-way альтернатив, например, encfs?
Вы говорите о разных вещах.
Ubuntu предлагает зашифровать весь диск целиком (или домашнюю папку) где стоит система.
TrueCrypt нужен не для этого. Он нужен, например, для того чтобы полностью зашифровать флешку или создать контейнер размером 200мб, который будет представлять из себя файл, который подключается как диск. А этот файл хранить на флешке или в облаке.
Ubuntu предлагает зашифровать весь диск целиком (или домашнюю папку) где стоит система.
TrueCrypt нужен не для этого. Он нужен, например, для того чтобы полностью зашифровать флешку или создать контейнер размером 200мб, который будет представлять из себя файл, который подключается как диск. А этот файл хранить на флешке или в облаке.
А, тогда согласен. Использование кроссплатформенной утилиты вроде TrueCrypt для шифрования внешних дисков позволит при необходимости использовать их и в других операционных системах.
Ubuntu предлагает зашифровать весь диск целиком (или домашнюю папку)
Домашнюю больше уже не предлагает шифровать (с 18.04).
Я вполне себе шифрую внешний жесткий диск и флешки средствами Ubuntu/dm-crypt. Правда, для этого требуется совершать действия вручную в командой строке (при создании), но это небольшой недостаток, так как вспоминать необходимые команды требуется не чаще одного раза в год (при покупке новой флешки).
Тема TrueCrypt не раскрыта. «Я им (и всем дальнейшим форкам) не доверяю, потому что вот когда-то что-то такое сомнительное было» — это, мягко говоря, полнейший субъективизм, основанный на вере без даже примеси фактов. Не стоит так делать, если уж быть последовательным.
Самый безопасный менеджер паролей — это отсутствие менеджера паролей.
Менеджер паролей
Не случайно на первом месте. Ведь это — самая важная часть в вашей безопасности.
Самый безопасный менеджер паролей — это отсутствие менеджера паролей.
Возможно вы правы и это просто мой субьективизм.
Но при этом есть и факты. Например, проект закрыт и больше не развивается. Сам разработчик посоветовал использовать другой софт. И разработчик сказал, что форк – плохая идея. Лично для меня это уже факты, а не просто домыслы основанные на вере.
Но при этом есть и факты. Например, проект закрыт и больше не развивается. Сам разработчик посоветовал использовать другой софт. И разработчик сказал, что форк – плохая идея. Лично для меня это уже факты, а не просто домыслы основанные на вере.
Самый безопасный менеджер паролей — это отсутствие менеджера паролей.Поддерживаю!
Сам наваял себе расширение и приложение под Андроид: addons.mozilla.org/firefox/addon/art-password, руководствуясь идеями товарища с хабра: habr.com/post/149934 и habr.com/post/169445, но пофиксил самые важные недочёты.
Второй случай был, когда к нам пришел заказчик с довольно большим проектом, на котором было примерно два миллиона зарегистрированных пользователей. Мы начали работу, заказчик предоставил нам доступ к коду и базе. А в базе все пароли пользователей в незашифрованном виде.
Не то, чтобы я придираюсь к словам, но если речь идёт о паролях аккаунтов, то в базе должны быть достаточно трудоёмкие хэши паролей + соль. Если вы имели ввиду как раз это, то хэширование — не шифрование.
Пособие для начинающего параноика.
UFO just landed and posted this here
И самое страшное: а что если сервисы для хранения паролей, такие как 1password, LastPass, KeePass не смогут безопасно хранить ваши пароли? Что если они утекут? Лично я даже боюсь про это думать.
Поэтому я и не пользуюсь этими вещами. Даже оффлайн-программы для хранения паролей ничего не гарантируют: устоит криптография — утечёт через кейлоггер.
Я уже не первый раз говорю, что считаю лучшим решением для хранения паролей — карандаш + небольшой блокнотик, хранимый и носимый в бумажнике/барсетке и т.п. вместе с ключами и документами. Я не вижу слабых мест у этого решения, разве что при вводе пароля из-за спины кто-то подсмотрит, но это всё можно проконтролировать. Ну не уверен я во всяких прочих электронных способах хранения паролей. Разумеется, везде пароли должны быть разными, и логины, желательно, тоже. Везде, где это не требуется «позарез», я при регистрации выбираю левые ФИО, левую дату рождения, левый ник и т.д., если требуется почта — обычно не ленюсь зарегить и новый ящик, и лучше не на мэйле-яндексе-рамблере, а где-нибудь в зоне com и т.д. Если есть вероятность, что этот акаунт мне ещё понадобится — записываю во всё тот же блокнотик. В худшем случае сольётся доступ к чему-то одному (какой-нибудь почтовый ящик или акаунт), и по нему будет непросто или невозможно найти остальные мои акаунты и тем более зайти в них. А наиболее часто требующиеся логины-пароли и вовсе вскоре запоминаются, и блокнитик доставать не нужно.
А вот когда пройдёт эпидемия какого-нибудь хитрого трояна, ворующего пароли из всяких электронных хранилок, или взломают какой-нибудь условный KeePass, я поглажу свой блокнотик и улыбнусь))
Но почему-то за эту точку зрения меня порой минусуют без внятного объяснения. Может, кому-то это кажется до ужаса неудобным и несовременным? Мне — нет.
Я не вижу слабых мест у этого решения
Потерять, забыть, испортить. Как и любой физический предмет. От кейлогера так же не защищает.
а что мешает сфоткать ваш блокнотик пока вы отойдете на минуту? Или вы в туалет с ним ходите тоже?
Перестановка символов в пароле местами. Главное об этом никому не говорить. Или один недописанный символ. Украдут, попробуют — не подходит, выкинут бумажку. Никто не будет перебирать разные варианты паролей если они честно написаны на бумажке, кроме очень плотной социнженерии и когда ведут конкретно вас. Но тут не поможет даже запоминание всех паролей, в худшем случае — сами скажете пароль. То же касается и менеджеров паролей. Врятли при массовой краже пароли будут проверять вручную — прогонят через скрипт который проверит валидность паролей и откинут неподошедшие. А они и не подойдут, если изначально хранился неполный пароль.
Решение отличное по уровню надежности и 50/50 в плане удобства.
А вот про разные логины-пароли для разных сервисов я не согласен.
Естественно, что интернет банки не должны иметь одинаковые пароли, но что еще требует такого уровня надёжности? В личной среде разумеется, пишущиеся годами рабочие проекты трогать не будем.
Что получит злоумышленник, узнав мой пароль от steam? Сможет бесплатно поиграть в десяток игрушек за 10$? Пфф, пусть попросит вежливо, я и так доступ дам. И что с того, что этот пароль совпадет с паролем на камри-клубе и на рено-клубе? Там напишут пару матерных постов и меня поблочат? Да кому это надо…
Хотя эти измышления как раз и идут в тему соотношения стоимости сейфа и содержимого.
А вот про разные логины-пароли для разных сервисов я не согласен.
Естественно, что интернет банки не должны иметь одинаковые пароли, но что еще требует такого уровня надёжности? В личной среде разумеется, пишущиеся годами рабочие проекты трогать не будем.
Что получит злоумышленник, узнав мой пароль от steam? Сможет бесплатно поиграть в десяток игрушек за 10$? Пфф, пусть попросит вежливо, я и так доступ дам. И что с того, что этот пароль совпадет с паролем на камри-клубе и на рено-клубе? Там напишут пару матерных постов и меня поблочат? Да кому это надо…
Хотя эти измышления как раз и идут в тему соотношения стоимости сейфа и содержимого.
Казалось бы… но эти сервисы могут дать информацию/возможность для социнженерной атаки на более недоступные сервисы. Например, попросить знакомых по аккаунту перечислить денюжку на счет т.к. ты попал в неприятную ситуацию и всё такое… и причем срочно. Даже если один из сотни выполнит, вам потом долго объяснять что это было сделано не от вашего имени.
В данном случае в том-то и прелесть, что «стоимость сейфа» почти не возрастает. Ну, чуть больше телодвижений при регистрации нового акаунта, ну и что.
Зато потом это может сильно помочь.
Вы знаете, всякое бывает. Может, ненароком кого-то в жизни придётся обидеть, и он захочет «пробить и вычислить». Может, случайно оброненная фраза сделает Вас знаменитым и Вас начнут доставать тролли (почитайте историю такого известного в пранкерской среде человека, как Дед ИВЦ), используя все доступные уловки чисто из спортивного интереса, чтобы найти Вас, вычислить Ваши новые контакты и т.д.
Может, придётся перейти дорогу какому-то человеку при деньгах и власти (ну вот не пропустили Вы его на перекрёстке), который воспримет это как личную обиду и попросит своих людей «найти и проучить этого козла». Может, завтра сменятся политики у власти и устроят охоту на ведьм, поднимая 20-летние сообщения на форумах и притягивая к ним статьи УК.
Ситуации бывают разные. И заранее раскрываться на весь интернет считаю неправильным (или хотя бы так: личным делом каждого), право на анонимность должно уважаться. Поэтому чем меньше похожи друг на друга мои акаунты, чем меньше я пишу достоверных сведений, чем больше в «бигдате» противоречий, мешающих слить воедино сведения обо мне из разных источников, тем лучше.
Хорошо, когда человек это понимает и старается придерживаться подобной «информационной гигиены». Но увы, большинству всё равно.
Зато потом это может сильно помочь.
Вы знаете, всякое бывает. Может, ненароком кого-то в жизни придётся обидеть, и он захочет «пробить и вычислить». Может, случайно оброненная фраза сделает Вас знаменитым и Вас начнут доставать тролли (почитайте историю такого известного в пранкерской среде человека, как Дед ИВЦ), используя все доступные уловки чисто из спортивного интереса, чтобы найти Вас, вычислить Ваши новые контакты и т.д.
Может, придётся перейти дорогу какому-то человеку при деньгах и власти (ну вот не пропустили Вы его на перекрёстке), который воспримет это как личную обиду и попросит своих людей «найти и проучить этого козла». Может, завтра сменятся политики у власти и устроят охоту на ведьм, поднимая 20-летние сообщения на форумах и притягивая к ним статьи УК.
Ситуации бывают разные. И заранее раскрываться на весь интернет считаю неправильным (или хотя бы так: личным делом каждого), право на анонимность должно уважаться. Поэтому чем меньше похожи друг на друга мои акаунты, чем меньше я пишу достоверных сведений, чем больше в «бигдате» противоречий, мешающих слить воедино сведения обо мне из разных источников, тем лучше.
Хорошо, когда человек это понимает и старается придерживаться подобной «информационной гигиены». Но увы, большинству всё равно.
Если уж на то пошло, то «одинаковые логин-пароль» вовсе не означает «явно указывающие на конкретного анонимуса», не так ли? ;)
Но секьюрность страдает, не поспорить. Просто для себя считаю её достаточной.
Если уж обзаведусь надёжным менеджером паролей, с автовводом во все формы и удобным носимым функционалом, без необходимости вручную синхронизировать каждое новое устройство — тогда уже буду делать разнообразные логины.
Но секьюрность страдает, не поспорить. Просто для себя считаю её достаточной.
Если уж обзаведусь надёжным менеджером паролей, с автовводом во все формы и удобным носимым функционалом, без необходимости вручную синхронизировать каждое новое устройство — тогда уже буду делать разнообразные логины.
Увы, всё это сводится на ноль аналитикой от гугла/яндекса если для выхода и регистрации аккаунтов вы пользуетесь одним и тем же компьютером/операционной системой. Даже по особенностям ответа браузера можно отслеживать связи между аккаунтами, не говоря уже о кукисах и прочих мелочах. Чтобы и правда не оставлять следов нужно быть нереальным параноиком, изучать каждый символ всех скриптов загружаемых со страницами, все связи на внешние ресурсы и т.д.
Так-то да. Но я сейчас имею в виду не стратегию «спрятаться абсолютно от всех, в т.ч. спецслужб и мегакорпораций», а только вышеприведённые кейсы попроще. Когда условный тролль хочет насолить. Понятно, что если требуется сделать что-то типа как сделал Сноуден, и тем более пользоваться интернетом в таком стиле годами, нужен куда как более основательный подход.
Отличная статья. От простого до навороченного.
Лично хоть и не шифрую диски полностью и вполне доволен KeePass—ом. Но с «духом « статьи полностью согласен.
Лично хоть и не шифрую диски полностью и вполне доволен KeePass—ом. Но с «духом « статьи полностью согласен.
Фактически есть только DuckDuckGo, который ищет не идеально.
Можно еще попробовать startpage.com, тот же гугл, просто запросы проксируются. Правда последний раз когда его пробовал (без сохраня кук) не было быстрого способа искать без региона (аналог /ncr гугла), нужно было через интерфейс тыкать.
способа искать без региона (аналог /ncr гугла)А
/ncr, кстати, работает сейчас? Вообще меня всегда раздражало, что и гугл, и яндекс учитывают регион/язык при поиске (переводят названия фильмов, например), и непонятно, как раз и навсегда их от этого отучить.Да, сейчас /ncr работает, был небольшой период времени когда не работало. Чтобы отучить навсегда сразу переходите по google.com/ncr и, даже если у вас сохранены куки с регионом, откроется глобальный поиск. Если предпочитаете гуглить через строку адреса/поиска браузера, есть плагины которые добавляют поиск с /ncr.
Лично мне сложно перейти на другие поисковики после удобного поиска гугла по регионам. Нужен глобальный — открываем с /ncr, хочется поискать тот же запрос в каком то регионе — прямо к адресу уже выполненного запроса добавляем, к примеру, "&lr=lang_ru", "&lr=lang_us", "&lr=lang_zh-CN" для России/США/Китая соответственно. У других поисковиков обычно через интерфейс надо долго кликать или вообще нет такой возможности.
Лично мне сложно перейти на другие поисковики после удобного поиска гугла по регионам. Нужен глобальный — открываем с /ncr, хочется поискать тот же запрос в каком то регионе — прямо к адресу уже выполненного запроса добавляем, к примеру, "&lr=lang_ru", "&lr=lang_us", "&lr=lang_zh-CN" для России/США/Китая соответственно. У других поисковиков обычно через интерфейс надо долго кликать или вообще нет такой возможности.
сервисы для хранения паролей, такие как 1password, LastPass, KeePass не смогут безопасно хранить ваши пароли
KeePass не сервис, так что это мимо.
А почему "open source" для вас означает "нет поддержки"? Вы, кажется, путаете три сущности: открытое, свободное и бесплатное.
Может быть я не правильно выразился, написав «поддержка». Но я имел в виду не ту поддержку, когда ты можешь позвонить и задать интересующий тебя вопрос.
Я больше имел в виду, что когда ты используешь проприетарный софт, например, тот же дропбокс и у тебя как-то пропали данные ты можешь предьявлять претензии, судиться и требовать компенсации. Когда ты используешь свободный софт, то идти с претензиями не к кому.
Я больше имел в виду, что когда ты используешь проприетарный софт, например, тот же дропбокс и у тебя как-то пропали данные ты можешь предьявлять претензии, судиться и требовать компенсации. Когда ты используешь свободный софт, то идти с претензиями не к кому.
Не-не-не! Это проблема не свободного софта, а бесплатного.
Грубо говоря, чтобы было, кому предъявлять претензии — надо кому-то платить деньги. И, afaik, такое в open source практикуется.
P.S. Я, когда читал текст, думал, что вы в качестве недостатка назовёте более лёгкий поиск дыр в коде (он же — достоинство...)
Вот, например, вы можете не платить за дропбокс и использовать его бесплатные 2гб. Но если вдруг дропбокс потеряет/продаст ваши данные, то вы явно будете возмущены их поведением и пойдете в суд. Так что не в бесплатности дело, на мой взгляд.
Каждый раз, когда я ставлю галочку «I accept» под EULA, чувствую себя так, будто продаю душу за шоколадку, причём никто не гарантирует, что шоколадка свежая. Это я к чему: если дропбокс что-то сделает с моими данными, судиться у буду долго, дорого и неэффективно, а скорее — вовсе не буду, так что закрытый продукт/сервис от открытого для меня почти не отличается в плане поддержки и ответственности.
Фразу
Если у вас есть важная информация, и вы боитесь ее потерять, а одна мысль о том, что эти сведения могут попасть к вашим недругам, вас пугает, то вам стоит задуматься об информационной безопасности
IMHO, стоит сократить до Если у вас есть
Потому что информация может быть неважна а)для вас и б)в данный момент времени, но пострадать может через пару лет и кто-то другой. Конечно, затраты на безопасность должны быть соразмерными угрозам, но думать нужно всегда.
В первом предложении вы говорите о цифровой гигиене, однако потом идут советы про пароли и шифрование. Это очень, очень малая часть гигиены. Все равно что советовать не есть сырое мясо и не рассказать зачем мыть руки перед едой. (исключения есть в каждой из этих ситуаций, но не хочу углубляться).
К цифровой гигиене я бы отнес
- Не распространять контактную информацию другого человека без его явного согласия.
- Уметь различать вредную информацию и игнорировать ее
- Не открывать спам или письма, пришедшие "по ошибке"
- Не ходить по ссылкам с кликбейт-заголовками
- Иметь и пользоваться пассивными средствами защиты: антивирусом, бекапом, запросом авторизации
Это то, что вспомнил в час ночи, думаю список можно дополнить.
С одной стороны, для многих IT-шников эти меры так же обыденны, как есть из чистой посуды. Они настолько банальны, что мы про них забываем, но для условного марсианина из Нигерии именно такие базовые вещи принесут больше пользы, чем сравнение зеленки и йода хранителей паролей.
И увидели, что предыдущий разработчик настроил AppSee так, чтобы записывать видео с некоторых экранов. И некоторыми экранами были те, где пользователь вводил данные кредитки или пейпала.
Упс, не разраб для БК то был это?
Упс, не разраб для БК то был это?
На мой взгляд, наиболее безопасными являются свободные ОС с открытым кодом. Их довольно много. Можно начать с самой простой в установке и использовании – Ubuntu.
Где можно поставить себе майнер прямо из официального репозитория. Вообще совет использовать Linux для безопасности это частный случай security by obscurity. То же касается и opensource, многочисленные уязвимости, подчас даже в широко распространённых продуктах (Shellshock, Heartbleed, etc) уже доказали, что Линусовые «миллионы глаз» часто смотрят не в ту сторону.
Добавлю свои два копейки, я шифрую исходники спомощью бесплатной программы winrar и храню исходники на yandex диск.
Про двухфакторную аутентификацию хочется сказать, что она очень сильно мешает… Пользовался в facebook и gmail, за полгода так устал постоянно подтверждать права, что снес нафиг. Теперь живу без двухфаторной. Жизнь прекрасна.
Про двухфакторную аутентификацию хочется сказать, что она очень сильно мешает… Пользовался в facebook и gmail, за полгода так устал постоянно подтверждать права, что снес нафиг. Теперь живу без двухфаторной. Жизнь прекрасна.
я шифрую исходники с помощью бесплатной программы winrar
бесплатной программы winrar?
Попробуйте доказать что шифрование в винраре реализовано без бэкдоров? В таком распространённом архиваторе, чтобы не встроили бэкдор… мне очень сильно не верится.
Winrar не бесплатный. Используйте 7-zip.
Набор рэндомных рекомендаций и инструментов имхо.
Информационная безопасность это прежде всего четкое понимание рисков и модели угроз.
В противном случае можно построить вокруг себя огромный забор с вышками и автоматчиками, но оставить дыры размером со слона, о которых можно даже не догадываться.
У разных людей/компаний разные риски, разные угрозы и разный бюджет.
Любые, даже бесплатные системы безопасности — это затраты. Это и затраты времени на изучение инструмента и затраты на усложнившуюся жизнь после введения дополнительного уровня защиты.
А в качеств общих правил гигиены можно предложить следующее:
— Не выкладывать персональную информацию в публичный доступ (соц. сети — зло)
— Не запускать недоверенные приложения, не использовать файло-помойки, и левые апп-сторы, все грузить с официальных страниц
— На все вопросы «согласны ли вы» отвечать нет, пока нет четкого понимания под чем подписываешься
— не тыкать по сомнительным баннерам в интернете и вообще баннеры желательно резать
— при повышенном уровне паранои резать не только баннеры но и скрипты
— использовать длинные не словарные пароли, сложные не обязательно — любых два слова написанных с ошибкой и разделенных пробелом решат проблему подбора пароля по словарю раз и на всегда
Информационная безопасность это прежде всего четкое понимание рисков и модели угроз.
В противном случае можно построить вокруг себя огромный забор с вышками и автоматчиками, но оставить дыры размером со слона, о которых можно даже не догадываться.
У разных людей/компаний разные риски, разные угрозы и разный бюджет.
Любые, даже бесплатные системы безопасности — это затраты. Это и затраты времени на изучение инструмента и затраты на усложнившуюся жизнь после введения дополнительного уровня защиты.
А в качеств общих правил гигиены можно предложить следующее:
— Не выкладывать персональную информацию в публичный доступ (соц. сети — зло)
— Не запускать недоверенные приложения, не использовать файло-помойки, и левые апп-сторы, все грузить с официальных страниц
— На все вопросы «согласны ли вы» отвечать нет, пока нет четкого понимания под чем подписываешься
— не тыкать по сомнительным баннерам в интернете и вообще баннеры желательно резать
— при повышенном уровне паранои резать не только баннеры но и скрипты
— использовать длинные не словарные пароли, сложные не обязательно — любых два слова написанных с ошибкой и разделенных пробелом решат проблему подбора пароля по словарю раз и на всегда
любых два слова написанных с ошибкой и разделенных пробелом решат проблему подбора пароля по словарю раз и на всегда
До момента, когда кто-то не сгенерирует словарь обычных слов (их не так много) с ошибкой (вариантов ошибок тоже не так много, как кажется).
Ну давайте возьмем элементарный случай. Словарь John the Ripper (он же password.lst), даром что он на английском. В словаре 3545 слов, что дает 12.5М возможных сочетаний, добавляем к этому ошибки, даже такие типичные как замена О на А или замена О на 0 или замена A на @ и т.п. — получим увеличение этого числа на количество возможных замен на каждую букву.
Поверьте, подбор пароля в таких условиях фактически не возможен, даже имея на руках хэш пароля и имея представление об алгоритме — это не тривиальная задача.
Поверьте, подбор пароля в таких условиях фактически не возможен, даже имея на руках хэш пароля и имея представление об алгоритме — это не тривиальная задача.
https://www.securitylab.ru/analytics/485097.php
Рассмотрим комбинационную атаку с использованием словаря, состоящим из 10 тысяч наиболее употребительных слов в порядке убывания популярности. Анализ проводился при помощи N-грамм и частотного анализа на базе триллионного сборника, собранного поисковой системой Google.
Рассмотрим пример двух случайно выбранных слов, соединенных в пароль длиной 16 символов, например shippingnovember и осуществляем комбинационную атаку на данный пароль, если бы использовался алгоритм MD5:
Пример
hashcat -a 1 -m 0 hash.txt google-10000.txt google-10000.txt
При переборе всех комбинаций, состоящих из слов, соединенных друг с другом, при помощи современных аппаратных средств пароль взламывается менее чем за одну секунду.
Рассмотрим пример двух случайно выбранных слов, соединенных в пароль длиной 16 символов, например shippingnovember и осуществляем комбинационную атаку на данный пароль, если бы использовался алгоритм MD5:
Пример
hashcat -a 1 -m 0 hash.txt google-10000.txt google-10000.txt
При переборе всех комбинаций, состоящих из слов, соединенных друг с другом, при помощи современных аппаратных средств пароль взламывается менее чем за одну секунду.
Ну во первых — вы берете взлом хэша, а не брутфорс пароля на вебе :))
Во вторых — это верно только для каких-нибудь MD5, плюс данный пример не учитывает ошибки в словах. Возьмите посоленный sha256 или sha512 для примера и попробуйте, не забудьте использовать мутации слов, для организации ошибок, и посмотрите сколько лет у вас займет взлом. Плюс вы считаете что ваше слово находится в словаре, что далеко не факт.
Во вторых — это верно только для каких-нибудь MD5, плюс данный пример не учитывает ошибки в словах. Возьмите посоленный sha256 или sha512 для примера и попробуйте, не забудьте использовать мутации слов, для организации ошибок, и посмотрите сколько лет у вас займет взлом. Плюс вы считаете что ваше слово находится в словаре, что далеко не факт.
Если бы все взломщики действовали строго по написанным правилам, не было бы никаких взломов, ибо наша защита — верх совершенства. А, к примеру, через пару лет админ по ошибке выгрузит backup базы с хешами не туда, или другой админ случайно промахнется с настройкой rsync, или старый винчестер с копией базы сдадут в утиль, или заинтересованные люди утырят доступ к админскому рабочему месту, или еще чего… Фермы для быстрого перебора хешей уже существуют.
К чему это я? Хороший пароль, конечно, лучше чем плохой. Но 146% гарантии, что его не взломают, нет.
К чему это я? Хороший пароль, конечно, лучше чем плохой. Но 146% гарантии, что его не взломают, нет.
Что-то я ваш ответ пропустил.
Давайте договоримся о том что абсолютной защиты не бывает, бывают методы защиты которые делют дальнейший взлом не целесообразным (либо слишком дорогим, либо слишком долгим). Но при этом гарантии отстутсвия взлома вам никто никогда не даст.
Вариант с двумя достаточно длинными словами написанными с ошибками очень эффективно отобьет 90% атак (если не 99%), даже при сливе базы, даже если используется какой-нибудь МД5.
Давайте договоримся о том что абсолютной защиты не бывает, бывают методы защиты которые делют дальнейший взлом не целесообразным (либо слишком дорогим, либо слишком долгим). Но при этом гарантии отстутсвия взлома вам никто никогда не даст.
Вариант с двумя достаточно длинными словами написанными с ошибками очень эффективно отобьет 90% атак (если не 99%), даже при сливе базы, даже если используется какой-нибудь МД5.
Sign up to leave a comment.
Информационная безопасность? Нет, не слышали