Обновили ссылку сразу на PDF с исследованием.
С мнемоникой для паролей есть 2 пути:
— сгенерировать рандомную информацию и придумать правило для ее запоминания. Да, есть небольшой риск, что сама фраза забудется или вдруг заклинит, как же ее «свернуть» обратно в пароль. Скорее, всего, с одним таким паролем этот риск минимален. Но если таких паролей 10+, то далеко не каждый пользователь захочет сильно заморачиваться.
— взять мнемоническую фразу и «свернуть» ее в пароль по определенным правилам — в исследовании выше речь как раз об этом. С одной стороны, можно было бы брать сколь угодно личную фразу, которую никто не знает. Но чаще люди берут строчки из песен, цитаты известных людей и пр. Такие мнемоники уже можно взломать.
Да, такие атаки случаются, и мы уже рассказывали, как боремся с ними здесь и здесь. Чаще всего мы строим комплексные ИБ-решения, именно потому что защищать нужно и то, и другое.
К сожалению, далеко не везде думают о безопасности. Если у веб-ресурса нет 2FA, CAPTCHA, ограничений по количеству попыток и т.д. ― то брутфорс-атаки возможны.
В целом да, но выбор мнемонических техник все равно остается на совести человека. Часто пользователи следуют рекомендациям и все равно начинают воспроизводить довольно предсказуемые паттерны: cups.cs.cmu.edu/soups/2006/proceedings/p67_kuo.pdf
DataLine вообще никак не захотел со мной общаться. Письма ушли в молоко. «Ну и ладно», — подумал я. «И нечего нас дёргать со всякими глупостями», — подумал неизвестный мне менеджер DataLine.
Валерий, здравствуйте! Напишите, пожалуйста, примерное время, когда отправляли письма. Можно в личные сообщения. Так быть не должно, будем проводить расследование.
Про номера вспоминается история Алеси Казанцевой из сборника «Режиссер сказал, одевайся теплее, тут холодно». Она работала помощником режиссера во время съемок «Дневного дозора», и именно ее номер телефона был в кадре как номер Антона Городецкого. Там набралась целая коллекция диалогов, но если коротко — в какой-то момент эти сообщения было уже негде хранить.
Главное, чтоб изображенное совсем уж не скатывалось в «Ащьв ЛШТШФУМ». Высший пилотаж на такой случай — это пасхалки. Поклонники «Кремниевой долины» любят ее в том числе за то, что под бренды в сериале создавались реальные сайты, а в коде кое-где зашифрованы шуточки для зрителей. Но мы пока не придумали, что бы такого можно было сделать для IP-адресов.
Мы сканируем только наших клиентов и только по их предварительному согласию. Все обязательно фиксируется документально.
Весь процесс по шагам описали на нашем сайте.
Про ASP.NET MVC и ASP.NET Core уточнили в тексте, спасибо. Конечно же, мы имели в виду _современные_ фреймворки.
Про HtmlUtils — да, возможно, не самый удачный пример здесь. В тексте статьи только универсальное, либо проверенное на собственном опыте. Поэтому, конечно, не все возможные случаи рассмотрены.
Все так. Защищенные by design технологии мы вынесли в общие рекомендации — это можно везде добавить.
Можно было бы еще добавить, что в разных веб-фреймворках для подобных задач есть специальные методы, которые делают это безопасно. Например, в Spring MVC — класс HtmlUtils, который содержит пачку утилитных функций для работы с HTML.
Все верно, кондиционеров достаточно N+1. В этом случае мы отметили, что вариант с «двумя пакетами в двух разных руках» уже тянет на Tier IV. Но в статье есть еще один момент, для которого пометки нет) Вопрос как раз про момент в статье, где не указано, что это преувеличение.
Мы тоже знаем про такие ситуации на рынке, но опыт показывает, что в таком ЦОДе люди надолго не задерживаются. Тут на самом деле ситуация такая же, что и с провайдерами-монополистами: лучше постараться выяснить все заранее.
Ну и крупные компании обычно не соглашаются на радиорелейную связь. Слишком много рисков, возможные убытки могут быть выше, чем экономия. Если нужна надежность, бизнес предпочитает дорогой интернет, но по кабелю.
С мнемоникой для паролей есть 2 пути:
— сгенерировать рандомную информацию и придумать правило для ее запоминания. Да, есть небольшой риск, что сама фраза забудется или вдруг заклинит, как же ее «свернуть» обратно в пароль. Скорее, всего, с одним таким паролем этот риск минимален. Но если таких паролей 10+, то далеко не каждый пользователь захочет сильно заморачиваться.
— взять мнемоническую фразу и «свернуть» ее в пароль по определенным правилам — в исследовании выше речь как раз об этом. С одной стороны, можно было бы брать сколь угодно личную фразу, которую никто не знает. Но чаще люди берут строчки из песен, цитаты известных людей и пр. Такие мнемоники уже можно взломать.
К сожалению, далеко не везде думают о безопасности. Если у веб-ресурса нет 2FA, CAPTCHA, ограничений по количеству попыток и т.д. ― то брутфорс-атаки возможны.
Валерий, здравствуйте! Напишите, пожалуйста, примерное время, когда отправляли письма. Можно в личные сообщения. Так быть не должно, будем проводить расследование.
Можем пока показать, что есть в холле на втором этаже. На наш взгляд, довольно милые корабли и чайки)
Главное, чтоб изображенное совсем уж не скатывалось в «Ащьв ЛШТШФУМ». Высший пилотаж на такой случай — это пасхалки. Поклонники «Кремниевой долины» любят ее в том числе за то, что под бренды в сериале создавались реальные сайты, а в коде кое-где зашифрованы шуточки для зрителей. Но мы пока не придумали, что бы такого можно было сделать для IP-адресов.
Для этого уточню у вас несколько вопросов в ЛС.
Весь процесс по шагам описали на нашем сайте.
Про HtmlUtils — да, возможно, не самый удачный пример здесь. В тексте статьи только универсальное, либо проверенное на собственном опыте. Поэтому, конечно, не все возможные случаи рассмотрены.
Можно было бы еще добавить, что в разных веб-фреймворках для подобных задач есть специальные методы, которые делают это безопасно. Например, в Spring MVC — класс HtmlUtils, который содержит пачку утилитных функций для работы с HTML.