Как раз по эту коллизию и идет упоминание в статье и объяснено почему это не очень хорошо для систем где важна уникальность. Да сейчас нет активной атаки для применения её для OTP, но вероятность, в связи с данной коллизией есть и когда её применят или разовьют, то мы об этом узнаем скорее всего с неким опозданием и возможно получим "уязвимость нулевого дня (0-day)". Это не означает, что от SHA-1 надо отказаться уже сейчас и больше его не использовать, просто если есть возможность выбора более защищенного криптоалгоритма и это никак не влияет на какие-то другие параметры, то лучше использовать уже его...
Это если мы говорим об СМС и тут бы я как раз не рекомендовал именно этим способом пользоваться, о чём и писал выше.
А я имею ввиду приложение на телефоне, типа Google Authenticator или Яндекс Ключ и т.д. и использование TOPT на нем. В данном случае все автономно, к сим-карте и связи в принципе не привязано...
Атаки на менеджеры паролей или на мастер-ключи от этих менеджеров, это вообще тема большой дискуссии...
Если же говорить о теме поста, то легко станет понятно, что даже усложнение паролей не даст нам никакой гарантии к его потере, так как есть множество простых атак на пароль, в том числе с помощью кейлогера, поэтому запоминание огромных/сильных паролей в том числе с помощью keepass не решает проблему безопасности, потому как она несколько в иной области лежит.
Сам пароль условно "самое слабое место", какой бы он сложности не был и где бы не хранился!
Что-то как-то однобоко написали:) Телефоном я надеюсь вы владеете или надо чтобы еще и приложение на нем было Ваше? :) Кстати если уж очень хочется чем-то владеть, то можно купить физический токен например с генератором OTP или на пример U2F. СМС не самый надежный способ передачи OTP, это по-моему уже стало очевидным...
Почту как способ, довольно редко используют, чаще для восстановления, чем для MFA.
Пароль все-таки фактор знания, это если придираться к формулировкам:)
Наберите в поиске keepass взлом, в первой выдаче увидите информацию об этом, закидывать сюда кучу ссылок не вижу смысла. Да можно написать, что проблему закрыли и т.д. но есть факт, через время найдут другую дыру и по факту об этом вы можете узнать только тогда когда уже все ваши пароли утекут. И и MFA так же не панацея, тут все понятно, просто она дает возможность не переусложнять простые элементы, при этом на данном этапе гарантирует довольно хороший уровень защиты, даже если ваш пароль где-то был раскрыт.
Ну во первых взламывать его никто не будет, скорее всего по случайности или по "дурости" Вы его оставите там от куда он естественным образом утечет или даже самостоятельно вобьёте в очередной грамотный фишинг:) Ну и потом, как писал выше, никто не мешает его подсмотреть у вас и тогда его сложность как Вы надеюсь понимаете, не важна. KeePass тоже не панацея, поверьте его также поломают и без триллиона лет, не буду приводить примеры таких взломов, сами найдете если захотите. Второе, таблица это для примера основана по-моему на основе подбора не самого мощного айсика , сейчас идет очередная волна роста мощности айсиков и DPU + ИИ и поверьте это может очень быстро превратить подбор из миллиарда лет, в пару минут:), да и использование парольных фраз станет легко предсказуемым... Так что рекомендации по сложности и частоте смене, могут только сильно расти и тем же "бабушкам" нужна будет нормальная, простая альтернатива, а не рекомендация как запоминать 20-30 сложных 50-ти значных паролей! Да и рекомендация по установки менеджера паролей "слабым" юзерам проблему не решить. В общем думайте не только о себе, но и о других, если вы в чем-то ДОКА, это не значит, что все другие в этом будут разбирается или смогут сделать как Вы!
Спасибо за "прекрасный" отзыв! Вот только я за разумное упрощение, а не за тупое усложнение, так что сначала читайте, потом пишите, так наверное корректнее будет...
У пароля есть одна весомая проблема, как только он "покидает" голову, он становится доступным для подсматривания и я вот не часто вижу, а точнее не видел, кого-либо кто чем либо, закрывает ввод пароля на клавиатуре ноутбука:) и тут уж не длина, ни вариативность не важна, его просто подсмотрят! И это могут быть не только глаза коллеги, где-нибудь на мероприятии или конференции, но и видеокамеры в различных местах, так что есть тут конечно нюансы с паролем и их надо конечно же учитывать...
У пароля несомненно есть плюсы, но и атака на пароль самая простая и вы так же легко попрощаетесь со своим аккаунтом, если его дополнительно не защищать...
Интернет магазин- лучше бы предлагал однофакторку, номер телефона (вместо логина) + OTP в приложении, это даже более просто и надежнее чем, простой и "всем известный" пароль...
Видео явно постановочное и то без косяков не обошлось, что бросается в глаза:
1. При возврате домой выезд на встречную полосу — 2.25
2. Отсутствие пешехода в камере общего обзора за несколько секунд перед его переходом перед машиной
3. Ну и в самом конце, машина бы не припарковалась, расстояние между машинами как раз такое же как и длина самой теслы (вид сбоку), а уже вид из машины, передняя красная машина стоит достаточно далеко, что явно говорит, что черной машины сзади нет!
Если в случае с токеном, ты хоть понимаешь что ЭП у тебя и подпись никак не скомпрометирована, то в случае с облаком ты просто по факту узнаешь, что за тебя кто-то что-то сделал!
Почему все сразу вспоминают об «удобстве» воткнуть что-то в iphone, но забывают об безопасности, да и насколько часто вообще кто-то будет втыкать токен в iphone при совершении операции по которым хотят разрешить использование ЭП? (Хотя и для iphone найдутся различны токены!)
И тут еще основной вопрос, что с аутентификацией? Ничего надежнее пока того же токена или u2f не придумали, логин/пароли для таких вещей не актуальны и не безопасны от слова «совсем», или их надо будет делать очень сложным и длинным, а в наше время это уже 20+ символов или это прямой путь попрощаться со своей ЭП:) при чем опять же узнать об этом только потом! Вот будет такой сюрприз:)
А если все-таки доступ по токену или u2f то зачем тогда хранить ЭП в облаке, если надежнее как раз на токене…
P.S. Решение не безопасное, не продуманное и бестолковое!
Тогда я вас поздравляю, Вы как минимум нарушаете его во всём, используется сотовые телефоны на андроид и ios, ПК и ноутбуки, банковские карты и т.д. и видимо Вас должны были давно привлечь ;)
Как раз по эту коллизию и идет упоминание в статье и объяснено почему это не очень хорошо для систем где важна уникальность. Да сейчас нет активной атаки для применения её для OTP, но вероятность, в связи с данной коллизией есть и когда её применят или разовьют, то мы об этом узнаем скорее всего с неким опозданием и возможно получим "уязвимость нулевого дня (0-day)". Это не означает, что от SHA-1 надо отказаться уже сейчас и больше его не использовать, просто если есть возможность выбора более защищенного криптоалгоритма и это никак не влияет на какие-то другие параметры, то лучше использовать уже его...
Это если мы говорим об СМС и тут бы я как раз не рекомендовал именно этим способом пользоваться, о чём и писал выше.
А я имею ввиду приложение на телефоне, типа Google Authenticator или Яндекс Ключ и т.д. и использование TOPT на нем. В данном случае все автономно, к сим-карте и связи в принципе не привязано...
Атаки на менеджеры паролей или на мастер-ключи от этих менеджеров, это вообще тема большой дискуссии...
Если же говорить о теме поста, то легко станет понятно, что даже усложнение паролей не даст нам никакой гарантии к его потере, так как есть множество простых атак на пароль, в том числе с помощью кейлогера, поэтому запоминание огромных/сильных паролей в том числе с помощью keepass не решает проблему безопасности, потому как она несколько в иной области лежит.
Сам пароль условно "самое слабое место", какой бы он сложности не был и где бы не хранился!
Что-то как-то однобоко написали:) Телефоном я надеюсь вы владеете или надо чтобы еще и приложение на нем было Ваше? :) Кстати если уж очень хочется чем-то владеть, то можно купить физический токен например с генератором OTP или на пример U2F. СМС не самый надежный способ передачи OTP, это по-моему уже стало очевидным...
Почту как способ, довольно редко используют, чаще для восстановления, чем для MFA.
Пароль все-таки фактор знания, это если придираться к формулировкам:)
Наберите в поиске keepass взлом, в первой выдаче увидите информацию об этом, закидывать сюда кучу ссылок не вижу смысла. Да можно написать, что проблему закрыли и т.д. но есть факт, через время найдут другую дыру и по факту об этом вы можете узнать только тогда когда уже все ваши пароли утекут. И и MFA так же не панацея, тут все понятно, просто она дает возможность не переусложнять простые элементы, при этом на данном этапе гарантирует довольно хороший уровень защиты, даже если ваш пароль где-то был раскрыт.
Ну во первых взламывать его никто не будет, скорее всего по случайности или по "дурости" Вы его оставите там от куда он естественным образом утечет или даже самостоятельно вобьёте в очередной грамотный фишинг:) Ну и потом, как писал выше, никто не мешает его подсмотреть у вас и тогда его сложность как Вы надеюсь понимаете, не важна. KeePass тоже не панацея, поверьте его также поломают и без триллиона лет, не буду приводить примеры таких взломов, сами найдете если захотите. Второе, таблица это для примера основана по-моему на основе подбора не самого мощного айсика , сейчас идет очередная волна роста мощности айсиков и DPU + ИИ и поверьте это может очень быстро превратить подбор из миллиарда лет, в пару минут:), да и использование парольных фраз станет легко предсказуемым... Так что рекомендации по сложности и частоте смене, могут только сильно расти и тем же "бабушкам" нужна будет нормальная, простая альтернатива, а не рекомендация как запоминать 20-30 сложных 50-ти значных паролей! Да и рекомендация по установки менеджера паролей "слабым" юзерам проблему не решить. В общем думайте не только о себе, но и о других, если вы в чем-то ДОКА, это не значит, что все другие в этом будут разбирается или смогут сделать как Вы!
Биометрию рекомендуется использовать исключительно совместно с другими факторами и это реально так!
Спасибо за "прекрасный" отзыв! Вот только я за разумное упрощение, а не за тупое усложнение, так что сначала читайте, потом пишите, так наверное корректнее будет...
У пароля есть одна весомая проблема, как только он "покидает" голову, он становится доступным для подсматривания и я вот не часто вижу, а точнее не видел, кого-либо кто чем либо, закрывает ввод пароля на клавиатуре ноутбука:) и тут уж не длина, ни вариативность не важна, его просто подсмотрят! И это могут быть не только глаза коллеги, где-нибудь на мероприятии или конференции, но и видеокамеры в различных местах, так что есть тут конечно нюансы с паролем и их надо конечно же учитывать...
Поэтому у 12345 самый высокий рейтинг:)
У пароля несомненно есть плюсы, но и атака на пароль самая простая и вы так же легко попрощаетесь со своим аккаунтом, если его дополнительно не защищать...
Интернет магазин- лучше бы предлагал однофакторку, номер телефона (вместо логина) + OTP в приложении, это даже более просто и надежнее чем, простой и "всем известный" пароль...
1. При возврате домой выезд на встречную полосу — 2.25
2. Отсутствие пешехода в камере общего обзора за несколько секунд перед его переходом перед машиной
3. Ну и в самом конце, машина бы не припарковалась, расстояние между машинами как раз такое же как и длина самой теслы (вид сбоку), а уже вид из машины, передняя красная машина стоит достаточно далеко, что явно говорит, что черной машины сзади нет!
Почему все сразу вспоминают об «удобстве» воткнуть что-то в iphone, но забывают об безопасности, да и насколько часто вообще кто-то будет втыкать токен в iphone при совершении операции по которым хотят разрешить использование ЭП? (Хотя и для iphone найдутся различны токены!)
И тут еще основной вопрос, что с аутентификацией? Ничего надежнее пока того же токена или u2f не придумали, логин/пароли для таких вещей не актуальны и не безопасны от слова «совсем», или их надо будет делать очень сложным и длинным, а в наше время это уже 20+ символов или это прямой путь попрощаться со своей ЭП:) при чем опять же узнать об этом только потом! Вот будет такой сюрприз:)
А если все-таки доступ по токену или u2f то зачем тогда хранить ЭП в облаке, если надежнее как раз на токене…
P.S. Решение не безопасное, не продуманное и бестолковое!