Мне вот диаграммы Ганнта нравятся как замечательный инструмент анализа и ретроспективы. Очень наглядно представляет прошлый опыт, на основе которого можно делать оценки на будущее.
Нужно пойти дальше и вообще отказаться от паролей. Ввёл емейл, на почту пришла ссылка, кликнул по ней и всё — залогинился. С смсками так же можно сделать.
Это для технарей аргумент, а простые люди не хотят вообще такой магией заморачиваться. Для надёжной криптографии нужно в первую очередь осознанное понимание криптографии и её целей, а этого пока нет и не предвидится. И даже если все осознают проблему, вряд ли станут её решать, классическая отмазка: «Да я никому не интересен, меня никто подслушивать не будет!»
Любой. В панели генерации сертификата вы можете либо залить CSR, либо сгенерить ПРИВАТНЫЙ ключ прямо в панели, а потом его скачать. Многие говорят, что после скачивания приватный ключ удаляется, но вот стоит ли им верить?
Шнаейр приводит в пример «дифференциальный криптоанализ», который долгое время был известен и активно использовался спецслужбами США, при этом абсолютно не был известен в академической среде. И вполне вероятно, что сейчас NSA знает не известные в публичной науке подходы ко взлому именно на уровне алгоритмов.
Эти публикации могут вызвать серьёзный передел рынка средства информационной безопасности. Потенциально они могут сильно повредить американским компаниям (ms, intel, qualcomm), поскольку уже нет доверия к ним, а бизнес может проголосовать баксом за сторонние (возможно опенсорсные решения) для VPN, например. В документах написано, например, что VPN является одной из главных целей.
Его не так уж и сложно расковыривать до некоторого уровня, я при минимальных навыках реверс-инжиниринга вполне смог вытащить всякие «скрытые» команды, которые можно в командный сокет посылать, а это уже кое-что, как минимум можно более удобный десктопный клиент/плагин написать. И не я один такой умный, в интернете/гитхабе можно достаточно результатов «расковыривания» найти, люди просто не особо пиарятся на этом.
Зато отлично работает демотивация, а это другая сторона той же медали.
bitbucket.org/cancel/eclibrus