Comments 65
Я тоже так делал, имел 4 пароля на десятки разных сервисов, а потом как то раз скачал эту базу https://m.habr.com/post/357402/ и нашел там 2 из них. Теперь у меня все пароли уникальны и хранятся в keepassX.
ОС сама придумывает длинный пароль, ОС сама подставляет OTP из SMS, ОС сама подставляет пароль в мобильных приложениях и в браузерах по одному клику и прикладыванию пальца. Более чем удобно.
Поэтому не всегда можно самим кейчейном обойтись.
Проблема в разработчиках приложений у которых форма ввода или смены пароля не является веб формой — ОС ее не распознает как я понимаю.
Если нельзя ввести и логин и почту — войдите 2 раза, у вас просто будет 2 записи в Ключнице, далее проблемы не будет, да и какая разница через логин или почту входить, простоту входа не отменяет.
Кстати, может кто таки знает такую клавиатуру? :)
Ваша биометрия стала доступна хакерам. Пожалуйста, смените биометрию.
А ещё можно для настроенной таким образом системы устроить своеобразный DDoS: заблокировать все или почти все учётные записи, несколько раз введя для них неверные пароли.
Кстати, лично меня жутко раздражает капча по поводу и без на странице авторизации, например, для интернет-магазина детских товаров. Но, с другой стороны, удивляют жалобы пользователей в комментариях к банковским приложениям а-ля "задолбался уже вводить пин-код/пароль каждый раз, уберите эту проверку!" :)
Так что, как говорится, it depends.
устроить своеобразный DDoS: заблокировать все или почти все учётные записи
Причем любой троянец, пытающийся брутить пароли, сделает это на пару минут.
Логины легко вытащить LDAP-запросом к базе Active Directory. Для этого достаточно прав рядового пользователя AD. Это если внутри.
Снаружи — тоже можно. Как вариант: зная учетные данные одного пользователя, получить список email'ов из адресной книги через выставленный наружу веб-интерфейс почты. Как показывает практика, email очень часто соответствует логину.
Эх, уже прям вредные советы пошли… :)
Про первый вариант — буду и сам кубатурить и админов наших попытаю, чем у нас ответить есть на такую атаку. Хотя я помню, что как-то разрешал эту ситуацию (полный бан доменных учеток) в далеком 2006 (кажись sasser это был). Допускаю, что ответ есть, просто «сделал и забыл», но это не правильно.
В целом — огромное спасибо. Мы регулярно проводим «учения по безопасности» в стиле «Пацаны!!! Нас дрючат». Вы определили тему учений на ближайшие выходные. Еще раз спасибо.
«Постоянно забываю пароль. И адрес почты, которую дала для напоминания тоже забываю. И контрольный вопрос забываю. Забываю куда записываю, и записные книжки тоже забываю. Что мне делать?»
Простой пароль плюс второй фактор бы помог!
Сюppеалистическое сyщество — секpетаpша диpектоpа. «Учится» заочно на филфаке.
Слов почти не знает. Робеет пеpед всем. Все докyменты деpжит в одном файле, фоpматиpyет всё пpобелами. Hедавно пpитаpанила дискетy и к ней запискy: «Файл В.doc — pаспечатать _или_ пеpеименовать». Сегодня пpишла, пpотягивает ещё однy запискy: «Visual Basic, Классика, Вагнеp, Моцаpт Sи-Dеpом». Раз в тpи недели пытается «откpыть адpес» (т.е. — пpовеpить почтy). Пpи этом каждый pаз забывает а) паpоль и логин, б) что такое «паpоль» и «логин», в) кyда и зачем их вводить.
Простой пароль плюс второй фактор бы помог!
Носите пароль на флэшке. Только ее никому не давайте в руки.
1) Берёшь название песни/альбома/группы/книги/фильма, которое 100% запомнишь из 1-3 слов
2) Переводишь половину букв в верхний регистр
3) Делаешь замены, например, а на @, i на 1, O на 0
Брутфорсом практически нереально.
alexdorofeeff
Саша, привет. Спасибо за статью. Особенно заинтересовали наблюдения как пользователи упрощают свою жизнь при политиках по смене пароля. Вспоминаешь и за собой некоторые из этих паттернов :)
Хотел дополнить по следующим моментам:
Вариант 3. Наиболее распространенные учетные записи и записи по умолчанию.
Во многих системах есть учетные записи по умолчанию. <...> Соответственно, имеет смысл заглянуть в руководства администраторов систем, которые вы хотите тестировать.
Понятно, что в результате сканирования, скорей всего определится целый зоопарк софта и железок от разных вендоров, лезть в инструкцию не вполне удобно, встречал в сети ряд проектов, от тупых списков типа http://www.defaultpassword.com/ до более системного подхода, например Mitre DPE (Default Password Enumeration, тут — налицо аналогия с CVE,CWE) где в структурированном виде хранится описание креденшиалов кучи вендоров с маппингом на CPE. Было бы здорово, если бы сканер безопасности (например Сканер-ВС) на основе типов продетектенного софта сформировывал бы адаптированные словари с учетом реальной инфраструктуры объекта.
Помимо default паролей софта и железа есть тулы-мутаторы типа cupp принимающие на вход структурированную информацию о жертве (ФИО, дом. животное, бизнес партнеры и т.п.) а на выходе генерирующие словари перебора.
Вообще если взглянуть философски, то можно воспринимать парольный подбор, как одну из разновидностей фаззинга, а создание словарей перебора (которое описано, как искусство, согласно заголовку статьи), тоже конечно было бы здорово автоматизировать хотя бы в фазе сборки самого словаря.
Вот ещё список из 5 тулов-генераторов словарей
Ну и конечно, вспоминая прошлогодний отчёт Tripwire важно хорошо выполнять политику удаления устаревших учёток (например бывших сотрудников)
У ФБР тоже есть консерны об этом
A review of recent FBI investigations discovered businesses incur costs ranging from $5,000 to $3 million due to incidents involving disgruntled or former employees
По-моему, тоже один из перспективных функционалов для сканеров безопасности.
Данные по ФИО покинувших работу сотрудников легко сопоставить с экспортом из ActiveDirectory, выдачей rpcclient и т.д. и т.п.
Широкое применение внешних облачных сервисов создаёт потребность в экзотических решениях: как рассказывал в Радио-Т директо по технологиям Яндекс Григорий Бакунов, у яндекса например есть телеграмм бот, автоматический удаляющий из всех корпоративных чатов в Telegram (куда его внесли ) людей не в штате компании. :)
Ну и хочется лишний раз напомнить, что сами по себе пароли это — во многом анахронизм, и предпочтительно там где их можно не использовать, лучше не использовать (сертификаты в WiFi: WPA-802.1X вместо WPA-PSK и т.д. и т.п.)
культовом фильме начала двухтысячных «Пароль «Рыба-меч»
Это в самом деле так? Мне лично запомнилось это кино исключительно как полное убожество.
Я уверен что простые пароли это не следствие тупости, по крайней мере не всегда. Часто человеку просто плевать на аккаунт, он регистрируется по требованию другого сервиса либо ради интереса. Вот и не зачем защищаться раз терять нечего
Знаете чем юзер от хакера отличается? Юзер на набирает пароль с пятого раза, а хакер подбирает с третьего.
Искусство подбирать чужие пароли