Pull to refresh

Pastebin добавил парольную защиту и «сжечь после прочтения»

Information Security *


Pastebin, самый популярный сайт для публикации текстов, добавил две новые функции, которые, по мнению исследователей кибербезопасности, будут широко использоваться злоумышленниками.

Две новые функции — уничтожение записи после прочтения и защита паролем. Суть понятна из названия.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 2.5K
Comments 1

Microsoft предлагает пользователям повысить безопасность, отказавшись от паролей

RUVDS.com corporate blog Information Security *Microsoft Azure

Устали от постоянного жонглирования и запоминания нескольких паролей для разных сайтов и сервисов? Microsoft сочувствуем вам и, более того, верит, что пришло время оставить традиционный метод с вводом паролей в прошлом.

Эту тему представители корпорации неоднократно выносили на подробное обсуждение и теперь, переходя от слов к делу, объявили, что «любой обладатель учетной записи Microsoft может полностью избавиться от паролей».
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 5.2K
Comments 10

Excel-калькулятор реальной надёжности паролей

Information Security *
Известный консультант по корпоративной безопасности Роджер Граймс говорит, что ему надоело постоянно объяснять во время презентаций базовые факторы, которые влияют на безопасность политики паролей, принятой в организации. Он постоянно объясняет, почему восьми символов мало для надёжности паролей и какие ещё факторы могут помочь злоумышленнику эффективно подобрать пароль. Чтобы упростить себе задачу и продемонстрировать слабость средней политики паролей, Граймс составил Excel-таблицу (ZIP), в которой учёл все факторы: диапазон допустимых символов, длина пароля, количество вариантов в минуту, которые может пробовать злоумышленник, максимальное количество дней до смены пароля, модель энтропии.

Калькулятор показывает, сколько дней в среднем потребуется злоумышленнику, чтобы подобрать пароль при заданных условиях, сколько вообще существует возможных комбинаций и сколько из них реальных (с учётом реальной энтропии). Например, в дефолтном примере с 94 символами и длиной пароля в 8 символов при NIST-энтропии теоретическое возможное количество паролей превышает 6 квадриллионов, но количество вероятных паролей с учётом предположения о реальной энтропии — всего 16,8 млн. Для взлома такой защиты за допустимое количество дней нужно суметь установить скорость подбора всего 64,7 паролей в минуту.

По мнению автора, это первый калькулятор, который высчитывает не теоретическую, а практическую скорость взлома парольной защиты.
Total votes 29: ↑24 and ↓5 +19
Views 2.1K
Comments 15

Оптимальная длина и состав пароля

Information Security *

Введение.



На фоне многочисленных постов о паролях решил провести небольшое исследование.

В настоящее время парольная защита является самым распространённым и, к сожалению, самым ненадёжным методом защиты. Существует много статей на тему «Как составить стойкий пароль», но мне не встречались статьи, где приводятся реальные данные о надёжности паролей.

В исследовании проводится оценка надёжности паролей противостоять атакам грубой силы. Наиболее эффективный метод грубой силы при переборе паролей для хеш-функций является составление радужных таблиц.

Расчёты проводятся для трёх хеш-функций md5, sha1 и sha2 (модификация sha512). В расчёт не берутся данные о коллизиях в данных хеш-функциях, так как с практической точки зрения в реальном подборе пароля они не помогут, да и достойных реализаций в ПО на настоящий время в открытом доступе нет. В исследовании принимают участия пароли длиной 7, 8, 10 и 12 символов трёх различных алфавитов.

Для наглядности результатов приводятся данные о количестве паролей, объёме дискового пространства для хранения радужных таблиц и ориентировочном времени построения радужных таблиц.
Читать дальше →
Total votes 126: ↑93.5 and ↓32.5 +61
Views 21K
Comments 121

Универсальный пароль, при этом уникальный для каждого сервера и сервиса

Information Security *
Вдохновленный предыдущими топиками о составлении пароля решил поделиться своим методом выбора и применения парольной защиты. Данным методом пользуюсь уже год, в конечном итоге получается уникальный для каждого сервера и даже сервиса пароль, при этом все остается запоминаемым, а в случае необходимости легко восстанавливаемым.
Читать дальше →
Total votes 36: ↑20 and ↓16 +4
Views 22K
Comments 21

Снятие парольной защиты с iPhone 4

Smartphones
Ребята с форумов MacRumors нашли способ снятия парольной защиты с iOS 4.1. Для этого достаточно нажать Emergency Call, затем трижды нажать #, кнопку вызова (Call) и немедленно после этого — кнопку блокировки (Lock). Защита снимается и открывается приложение со списком контактов.



Похожая уязвимость была найдена в iPhone в 2008 году, после чего был выпущен патч.
Total votes 63: ↑48 and ↓15 +33
Views 4.8K
Comments 50

От идеи до гаджета. Путь «Самурая» в России (часть 2)

«Samurai24» corporate blog Information Security *

Добрый день!
Продолжу рассказ о создании защищенной флешки Samurai. Первую часть рассказа Вы можете прочесть здесь — От идеи до гаджета. Путь «Самурая» в России.
Когда идея была более или менее сформулирована, мы приступили к ее реализации.

Прототип (ноябрь 2007)


Сначала был разработан макет флешки, размеры которого нас особо не тревожили. В итоге он получился размером с пачку сигарет.
В момент разработки появился клиент, который немедленно приобрел 20 таких «флешек». Это была плата, обтянутая термоусадкой, с выпуклостями от кнопок клавиатуры.
Читать дальше →
Total votes 81: ↑74 and ↓7 +67
Views 42K
Comments 79

Концепция Суперпароля — как дополнительная защита для веб-базированных почтовых аккаунтов

Information Security *
Recovery mode
Взломы веб-базированных электронных почтовых ящиков в последнее время становятся все более распространенными. Способов взлома множество – простой подбор, keyboard logger, подбор ответа на секретный пароль, троянцы и т.д. и т.п.
Результат всегда один – злоумышленник получает полный доступ к почтовому ящику. Он может слить с него всю информацию, использовать его для дальнейшего взлома других почтовых ящиков, логинов в социальных сетях, платежных системах. В конце концов, он может просто удалить ящик или же поменять на него пароль. Вообще, все плохо.

Я попытался придумать концепцию дополнительной защиты для веб-базированных почтовых ящиков, которую я назвал суперпароль. Пока это не более, чем концепция и я хотел бы услышать мнение других пользователей Хабра.

Существует системы двухуровневой защиты, как например на Google. Неплохое решение, но при всех своих плюсах там есть определенный минус, выражающийся в некоторой затрудненности в постоянном доступе к ящику. У меня, к примеру, иногда не приходил СМС с кодом на мобильный телефон, а требуется он довольно часто (зашел с другого места в почту). Не приходит и все тут. Затрудняется доступ программ под Android, использующих логин такой многоуровневой защиты в качестве базового логин идентификации.
Читать дальше →
Total votes 27: ↑15 and ↓12 +3
Views 10K
Comments 45

Порка идеи — удобный и безопасный веб-менеджер сокровенных текстовых заметок с javascript

Information Security *
Уважаемые профессионалы и любители информационной безопасности!

Хочу обсудить с вами вот какой интересный вопрос. Мне пришла в голову нижеследующая идея для удобного и безопасного веб-менеджера сокровенных текстовых заметок. Так ли она хороша, как я думаю? Или где-то есть подвох, и я что-то упустил? Буду рад вашему мнению.

Итак.

Цель.


Веб-сервис для управления текстовыми заметками (документами). Настолько удобный и безопасный, насколько возможно.

Требования


  • Веб-доступ — возможность доступа из любого места
  • Возможность импорта / экспорта заметок
  • На сервере (в экспортируемом файле) хранятся только заметки, только в зашифрованном виде
  • Версия для локального использования (чтобы избежать риска взлома сервера и подмены жаваскрипта)
  • Пароль не хранится нигде ни в каком виде


В чем, собственно, суть идеи
Total votes 8: ↑6 and ↓2 +4
Views 6.1K
Comments 30

Хотите заблокировать распространённые пароли? Извините, это запатентовано

Information Security *


По западной статистике двухлетней давности, 4,7% пользователей выбирают в качестве пароля слово “password”, 8,5% — “password” или “123456”, 10 самых популярных паролей покрывают 14% всей пользовательской базы (40% — топ-100, 79% — топ-500, 91% — топ-1000).

При создании сайта было бы вполне логично составить список общеупотребительных паролей и запретить их при регистрации пользователя. Казалось бы, вполне логичная идея, но… к сожалению, процесс аутентификации в ИТ покрывается множеством патентов, пишет консультант по ИТ-безопасности Марк Бернетт (Mark Burnett). Они описывают самые очевидные, общеизвестные и обыденные техники. Похоже, абсолютно все возможные аспекты выбора пароля, процесса аутентификации, хранения и восстановления информации защищены одним или несколькими патентами.
Читать дальше →
Total votes 127: ↑114 and ↓13 +101
Views 69K
Comments 109

Программист Google выиграл награду АНБ, а потом сказал, что эту организацию нужно упразднить

Information Security *Cryptography *
На прошлой неделе д-р Джозеф Бонно (Joseph Bonneau) узнал, что победил на конкурсе Агентства национальной безопасности Science of Security (SoS). На конкурсе награждают авторов наиболее интересных научных работ в области ИБ, важных с государственной точки зрения. Работа Бонно — анализ 70 миллионов паролей пользователей Yahoo на предмет их стойкости и безопасности — получила приз как Best Scientific Cybersecurity Paper.

Конкурс SoS проводится в первый раз, но АНБ надеется сделать его ежегодным. К сожалению для национальной разведки, первый блин вышел комом. Джозеф Бонно был награждён 18 июля на специальном мероприятии АНБ, выступив перед аудиторией специалистов по компьютерной безопасности, а уже на следующий день опубликовал в блоге, что он думает об АНБ.
Читать дальше →
Total votes 77: ↑68 and ↓9 +59
Views 50K
Comments 28

[Перевод] Password Managers и Post-it Notes

Netwrix corporate blog
Полдвенадцатого ночи, четверг. Вам срочно нужен доступ к сайту, чтобы, наконец-то, закончить серьезный проект, над которым вы работаете. Вам давно уже пора спать, но работу нужно доделать к 9 утра, и тут выясняется, что пароль от сайта Вы, как назло, забыли.



Вы злитесь, хватаете клавиатуру, чтобы запустить ею в монитор и крикнуть что-нибудь нецензурное. И тут Вы замечаете желтую бумажку, приклеенную на клавиатуру с обратной стороны. Вы с облегчением вспоминаете, что наклеивали эту бумажку с паролем, написанным на ней.
При ближайшем рассмотрении оказывается, что это записка от службы информационной безопасности: «Мы знаем, что запомнить множество паролей сложно, но, пожалуйста, больше так не поступайте. Мы обсуждали этот вопрос с вашим отделом месяц назад. Ваша СБ ;-)»

Читать дальше →
Total votes 16: ↑6 and ↓10 -4
Views 6.7K
Comments 27

«Плавающий» пароль

Information Security *
Sandbox
Думаю, для некоторых содержание данной статьи не будет открытием, но по крайней мере я не находил на просторах Интернета описание такого механизма доступа к ресурсам через связку пароль/логин.

Цель – создание простой и надежной системы идентификации пользователя с использованием постоянно меняющегося пароля.

Одним из основных условий однозначного подтверждения личности или ее полномочий в системе является качественный пароль, который должен обладать следующими характеристиками:
  1. высокой сложностью;
  2. периодической сменностью;
  3. надежностью хранения.

Все эти требования можно выполнить, применив описанную ниже схему.

Пример 1. Генерация пароля на стороне пользователя с периодичностью 1 год:


2014 год — текущий пароль: 12@i4Wednesday
2015 год — текущий пароль: 12@i4Thursday
2016 год — текущий пароль: 12@i4Friday

где:
  • 12@i4 – «базовая» часть, придумывается самим пользователем;
  • Wednesday, Thursday, Friday – «плавающая» часть, которая соответствует названию первого дня недели текущего года.

Генерация на стороне сервера происходит по идентичному алгоритму.
Алгоритм и периодичность смены пароля настраивается самим пользователем, либо администратором, через «конструктор». Сочетание «базовых» и «плавающих» частей пароля может иметь произвольную сложность и последовательность.
Читать дальше →
Total votes 43: ↑8 and ↓35 -27
Views 8K
Comments 14

SiteLock – визуальный генератор пароля для сайтов от PHPShop

PHPShop Software corporate blog CMS *Information Security *
Мы часто сталкиваемся с задачей по созданию дополнительного пароля на сайт и панель управления — это дает большую уверенность в сохранности данных, и, конечно, рекомендуем использовать этот метод всем и почаще. Конечно, есть много способов поставить пароль, но все-таки, все они требуют наличия определенных знаний от клиента. Для облегчения жизни клиентам, мы создали бесплатный визуальный интерфейс генерации паролей — SiteLock, который подходит не только к PHPShop, но и к любым другим CMS. Сгенерированные пароли, в связке .htaccess + .htpassw, сразу копируются на сайт, через встроенный ftp-менеджер.

Описание процесса создания пароля
Total votes 16: ↑3 and ↓13 -10
Views 3.8K
Comments 4

Работа с паролями: как защитить свои учетные записи (мнения специалистов)

Positive Technologies corporate blog Information Security *
Недавно стало известно об «уязвимости» в системе для корпоративных клиентов такси-сервиса Gett. Как выяснили исследователи, всем им по умолчанию выдавались одинаковые пароли (естественно, многие из них никто потом не меняет). В итоге, зная один пароль, злоумышленники могли попасть в множество аккаунтов сразу (среди клиентов Google Россия, «Вконтакте», Ozon и другие компании).



Скандалы, связанные с кражей паролей и похищением личных данных, случаются регулярно — только за прошедшие пару лет в сеть утекали пароли пользователей таких крупных компаний, как Adobe, популярных почтовых сервисов, хакеры взламывали даже сами сервисы для хранения паролей. Исследования также показали, что одними из главных проблем безопасности онлайн-банков являются авторизация и аутентификация.
Читать дальше →
Total votes 20: ↑15 and ↓5 +10
Views 34K
Comments 35

Эволюция паролей: руководство по аутентификации в современную эпоху

Productivity Inside corporate blog Information Security *
Translation
Начиналось все просто: у вас есть два набора символов (имя пользователя и пароль) и тот, кто знает оба, может войти в систему. Ничего сложного.

Однако и экосистемы, в которых они функционировали, тоже были простыми — скажем, система с разделением времени от МТИ, которая считается первой компьютерной системой, где применялись пароли.



Но такое положение дел сложилось в шестидесятые годы прошлого века, и с тех пор много воды утекло. Вплоть до последней пары десятилетий у нас было очень небольшое количество учетных записей с ограниченным числом связей, что делало спектр угроз достаточно узким. Навредить вам могли только те, кто находился в непосредственной близости — то есть люди, которые имели возможность напрямую, физически получить доступ в систему. Со временем к ним присоединились и удаленные пользователи, которые могли подключиться через телефон, и спектр угроз расширился. Что произошло после этого, вы и сами знаете: больше взаимосвязей, больше аккаунтов, больше злоумышленников и больше утечек данных, особенно в последние годы. Изначальная схема с простой сверкой символов уже не кажется такой уж блестящей идеей.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 16K
Comments 25

Один безопасный пароль на все случаи жизни

Information Security *
Sandbox
Спорить не буду, заголовок провокационный. Но и продолжение не лучше…

Доброе утро! Я законченный параноик. Поэтому я люблю сложные пароли. Но хранить их в голове очень хлопотно… Вы же еще помните, что я параноик? И поэтому не пользуюсь менеджерами паролей, кроме тех, что могу поставить на свои сервера и могу контролировать трафик. Но я все-равно физически не смогу проверить на закладки. Не хватит ни времени, ни опыта. Поэтому я боюсь пользоваться чужими менеджерами паролей.

Давайте представим, что один безопасный пароль на все ресурсы возможен. Традиционно, всех кто заинтересовался темой прошу под кат.
Один пароль
Total votes 44: ↑22 and ↓22 0
Views 75K
Comments 103

Без паролей: как устроена система аутентификации на распределенном реестре

Smile-Expo corporate blog Decentralized networks Information Security *
В нескольких постах на Хабре уже упоминалось о решении для беспарольной аутентификации от REMME. СЕО компании Александр Момот был спикером нашей киевской Blockchain & Bitcoin Conference. Он рассказал, что не так с паролями и как устроена их система аутентификации с распределенным реестром. Под катом — расшифровка его выступления.

Читать дальше →
Total votes 11: ↑8 and ↓3 +5
Views 3.5K
Comments 6
1