Мне нечего скрывать

    Как часто вы слышите эту незамысловатую, на первый взгляд, фразу от своих знакомых, близких и коллег?

    По мере того, как государство и компании-гиганты вводят в эксплуатацию всё более изощрённые средства контроля информации и слежки за пользователями, растёт и процент заблуждающихся людей, которые принимают за прописную истину довольно очевидное на первый взгляд утверждение, что «если я не нарушаю закон, то мне нечего бояться».

    Действительно, если я не сделал ничего плохого, тот факт, что правительства и компании-гиганты хотят собирать о мне все данные, электронные письма, телефонные звонки, изображения с веб-камер и поисковые запросы, не имеет ровным счётом никакого значения, ведь они всё равно не обнаружат ничего интересного.

    Ведь мне нечего скрывать. Разве же это не так?




    В чём проблема?


    Я — системный администратор. Информационная безопасность очень плотно интегрирована в мою жизнь и ввиду специфики моей работы, как правило, длина любого моего пароля составляет не менее 48 символов.

    Большинство из них я знаю наизусть и в моменты, когда случайному человеку доводится невзначай наблюдать за тем, как я ввожу один из них, у него обычно возникает резонный вопрос — «а почему он такой… объёмный?»

    «Для безопасности? Но не такой же длинный! Вот я, например, использую пароль из восьми символов, ведь мне нечего скрывать».

    Последнее время мне всё чаще доводится слышать эту фразу от людей, находящихся в моём окружении. Что особенно удручает — иной раз даже от тех, кто в большей степени связан c информационными технологиями.

    Хорошо, давайте перефразируем.

    Мне нечего скрывать, ведь...


    … все и так знают номер моей банковской карты, её пароль и CVV/CVC-код
    … все и так знают мои пин-коды и пароли
    … все и так знают размер моей зарплаты
    … все и так знают, где я нахожусь на данный момент

    И так далее.

    Звучит не очень правдоподобно, правда? Однако когда вы в очередной раз произносите фразу «мне нечего скрывать», вы имеете в виду и это. Возможно, конечно, пока не осознаёте, но правда не зависит от вашей воли.

    Важно понимать, что речь идет не о сокрытии, а о защите. Защите ваших естественных ценностей.

    Вы можете ничего не скрывать, если совершенно уверены, что отсутствует какая-либо угроза вам и вашим данным извне


    Однако абсолютная безопасность — это миф. «Не ошибается лишь тот, кто ничего не делает». Будет огромной ошибкой не учитывать человеческий фактор при создании информационных систем, тесно связанных с обеспечением сохранности и безопасности данных пользователей.

    Любой замок предполагает и наличие ключа к нему. Иначе какой в нём смысл? Замок изначально был задуман как средство для защиты собственности от взаимодействия с ней посторонних людей.

    Едва ли вы будете в восторге, если кто-то получит доступ к вашему аккаунту в социальной сети и начнет от вашего имени распространять непотребные сообщения, вирусы или спам.

    Важно понимать то, что мы не скрываем факты. Действительно: у нас есть счёт в банке, электронная почта, аккаунт в Telegram. Мы не скрываем эти факты от общественности. Мы защищаем вышеперечисленное от несанкционированного доступа.

    Да кому я сдался?


    Ещё одно не менее распространённое заблуждение, которое обычно используют в качестве контраргумента.

    Мы говорим: «Да зачем компании мои данные?» или «Для чего хакеру меня взламывать?» не принимая во внимание тот факт, что взлом может быть не выборочным — взломать могут сам сервис, и в этом случае пострадают все пользователи, которые были зарегистрированы в системе.

    Важно не только самому соблюдать правила информационной безопасности, но и правильно выбирать инструменты, которые вы используете.

    Позвольте мне привести несколько примеров, чтобы стало понятным то, о чём сейчас идёт речь.

    Им было нечего скрывать


    • МФЦ
      В ноябре 2018 года произошла утечка персональных данных из московских многофункциональных центров предоставления государственных и муниципальных услуг (МФЦ) «Мои Документы».

      На компьютерах общего доступа в МФЦ было обнаружено множество скан-копий паспортов, СНИЛС, анкет с указанием мобильных телефонов и даже реквизитов счетов в банках, к которым мог получить доступ любой желающий.

      На основании полученных данных можно было набрать микрозаймов или даже получить доступ к средствам на банковских счетах людей.
    • Сбербанк
      В октябре 2018 года произошла утечка данных. Имена и электронные адреса более чем 420 тысяч сотрудников оказались в открытом доступе.

      Данные клиентов в эту выгрузку не попали, но сам факт их появления в таком объеме говорит о том, что похититель имел высокие права доступа в системах банка и мог получить доступ, в том числе, и к клиентской информации.
    • Google
      Ошибка в API социальной сети Google+ позволяла разработчикам получать доступ к таким данным 500 тыс. пользователей как: логины, адреса электронной почты, места работы, даты рождения, фотографии из профиля и т. п.

      Google утверждает, что никто из тех 438 разработчиков, кто имел доступ к API, не знал об этой ошибке и не мог ей воспользоваться.
    • Facebook
      Facebook официально подтвердил утечку данных 50 млн. аккаунтов, при этом потенциально было затронуто до 90 млн. аккаунтов.

      Хакеры смогли получить доступ к профилям владельцев этих аккаунтов благодаря цепочке из как минимум трех уязвимостей в коде Facebook.

      Помимо самого Facebook пострадали и те сервисы, которые использовали аккаунты этой социальной сети для аутентификации (Single Sign-On).
    • Снова Google
      Еще одна уязвимость в Google+, которая привела к утечке данных 52,5 млн. пользователей.
      Уязвимость позволяла приложениям получать из профилей пользователей информацию (имя, адрес электронной почты, пол, дату рождения, возраст и т. п.), даже если эти данные были приватными.

      Кроме того, через профиль одного пользователя можно было получать данные других пользователей.

    Источник: «Самые значительные утечки данных в 2018 году»

    Утечки данных происходят гораздо чаще, чем вам кажется


    Справедливо, что не обо всех утечках данных в открытую заявляют сами злоумышленники или потерпевшие.

    Важно понимать, что любая система, которая может быть взломана, — будет взломана. Рано или поздно.

    Вот, что вы можете сделать уже сейчас, чтобы защитить свои данные


        → Change your mind: помните, что вы не скрываете свои данные, а защищаете их
        → Используйте двухфакторную авторизацию
        → Не используйте легкие пароли: пароли, которые могут быть связаны с вами или найдены в словаре
        → Не используйте одинаковые пароли для различных сервисов
        → Не храните пароли в открытом виде (например, на бумажке, приклеенной к монитору)
        → Никому не говорите пароль, даже сотрудникам службы поддержки
        → Избегайте пользования бесплатными Wi-Fi сетями

    Что почитать: полезные статьи на тему информационной безопасности


        → Информационная безопасность? Нет, не слышали
        → Ликбез по информационной безопасности сегодня
        → Основы информационной безопасности. Цена ошибки
        → Пятничное: Безопасность и парадокс выжившего



    Берегите себя и свои данные.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Альтернативное голосование: нам важно знать мнение тех, кто не имеет полноправного аккаунта на Хабре

    Medium
    153,18
    Децентрализованный интернет-провайдер
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 167

      +33

      Я тоже системный администратор. И хочу сказать, что 48 байтный пароль у Вас, как бронированная дверь в деревянном сарае.

        0
        Это отнюдь не единственная мера защиты, которую я использую. Скажем так, — одна из основных предосторожностей. Потому как, допустим, нет смысла оставлять аккаунт Телеграм без облачного пароля — с авторизацией по коду SMS. Уязвимость протокола SS7 позволит злоумышленнику перехватить сообщение и авторизоваться за вас. Не говоря уж о том, что протокол MTProto закрыт — кто знает, а вдруг нас уже читают? Нельзя верить только обещаниям, что «мы не будем читать вашу переписку, нет-нет-нет, ни в коем случае» — действительно верить можно только криптографии, математике и иже с ними.
          +1
          Уязвимость протокола SS7 позволит злоумышленнику перехватить сообщение и авторизоваться за вас.

          SS7 это не протокол, а для эксплуатации такой уязвимости злоумышленнику потребуется проникнуть очень глубоко в ядро мобильной сети, которое очень неплохо защищено, как программными, так и физическими методами.
            –1
            Почему же — не протокол?
              0
              Потому что это целый стек и технология. Чтобы хакнуть именно вас через него, нужно как минимум зарегистрировать своего оператора где-нибудь за границей. И это будет таргетированно, именно вас.
                0
                Было в какой-то статье — берется мобильная сотовая точка связи и все телефоны в каком-то радиусе от нее начинают проксироваться. (это не говоря о подкупе сотрудника провайдера)
                  0
                  А вот и ссылочка подоспела)
                  habr.com/ru/company/audiomania/blog/464909
                    0
                    в Англии просто было подключиться как виртуал. там даже не нужно лицензий брать. SS7 дыряв со всеми своими стоками и технологиями, в связи с чем операторы переходят на сип. Мало того что tdm просто ни кому не нужен, так вся технология gsm/pstn изначально строилась только на доверии, что ни кто ни чего ломать не будет. вы можете получить доступ как виртуал к сети имя свой доступ в pstn и спокойно зная номер жертвы читать все его сообщения, так как все сообщения передаются по тех каналам между операторами и не нужно никого ничего взламывать чтобы тупо все это читать. что в принципе и делают спец службы. главное знать номер = остальное уже дело пяти минут. я уже не говорю что отследить такое вторжение — НЕ ВОЗМОЖНО! так как ничего ни где не логируется в тех каналах. Операторы/кгб вообще тупо сидят на коммутаторах и в онлайне читают переписку заинтересованных лиц, так же есть определенные алгоритмы фильтра по словам и фразам всех без исключения пользователей оператора. и ни какого хака тут нет и быть не может. бери и юзай.
                  +1
                  С одной стороны, нужно глубоко проникнуть. А с другой — у одного российского оператора месяц назад можно было читать СМС для произвольного номера. А примерно до сентября (не уверен в месяце) у вышеупомянутого Телеграма можно было вскрывать аккаунты без дополнительного пароля, если они привязаны к номерам 3 из 4 крупных операторов. Мобильные операторы — это жутко дырявые системы, которым люди продолжают верить.
                    0
                    А с другой — у одного российского оператора месяц назад можно было читать СМС для произвольного номера.

                    Любопытно. А есть ссылка на подробности?
                      0
                      К сожалению (или к счастью), пока подробности не особо публичны, только проскакивали упоминания наличия проблемы.
                    0
                    МФЦ и Сбер тоже, как бы, «неплохо защищены». :)
                    +8
                    Почему 48, а не 15 и не 25? От чего спасает такая длина, а короче — не спасает?
                      0
                      От перебора (при условии обхождения других уровней защиты от перебора) + от запоминания глядящим из-за спины.
                        0
                        Да это лишнее. Если у вас пароль не словарный, а представляет случайную последовательность букв латинского алфавита в разном регистра, цифр, допустимых спецсимволов, то пароль из 10 знаков имеет этак 10^22 комбинаций. Более чем достаточно для защиты от прямого перебора. А если к злоумышленникам попал хеш вашего пароля, то тем более, уже не важно, какая у него была длина, т.к. на сложность поиска коллизии это не влияет.
                          0
                          Тогда зачем для ключей SSH используется не 1024, а 2048 или даже 4096 бит?
                          10ˆ22 степени можно перебрать за несколько месяцев без напряга и не особо спалившись. Нужно только найти сервис, который не логирует неудачные попытки, чтобы на величине лога не погореть.
                            0

                            Потому что там используется криптография с открытым ключом. Сравнивать ее с паролем некорректно. Ну и скажем честно реальных легких атак на 1024 битный ключ нет.


                            А пароль длиной в 16 символов это те же 128 бит какого-нибудь симметричного AES.

                              0
                              Нужно только найти сервис, который не логирует неудачные попытки, чтобы на величине лога не погореть.

                              … и который в секунду способен параллельно обрабатывать несколько миллиардов запросов аутентификации, если хотите перебрать за несколько месяцев. Потому что если ваш сервис требует хотя бы 1 мс на проверку пароля, вам на перебор 10^22 вариантов понадобится отнюдь не несколько месяцев. А раза в три больше времени, чем существует наша Вселенная ;)
                          0
                          Наверное, потому что так получилось.
                          correcthorsebatterystaple
                          +2
                          Не говоря уж о том, что протокол MTProto закрыт


                          И давно он закрытым стал?)
                            +1
                            Виноват, я имел ввиду реализацию протокола, а не технические спецификации.
                              0
                              Реализации на клиентах тоже открыты.
                            +5
                            Зачем заморачиваться с SS7, если можно просто подкупить сотрудника оператора который сольет смс? Такие услуги стоят совсем недорого.
                            +13
                            Вот тоже 48 символов прям глаз режет. Ведь с учётом того, что пароли не хранятся в открытом виде, а хранится их хеш и зачастую это md5/sha1, иногда sha256. Получается количество возможных хешей меньше, чем количество возможных 48 значных паролей. Не в коня корм как бы.
                              +3

                              48 символов может быть осмысленно или мнемонической фразой, эквивалентной, например, 16 рандомных символов при атаке с учётом языка. В общем сорок тысяч обезъян… сунули банан

                              +1
                              Я тоже системный администратор. И хочу сказать, что кроме хакеров, ломающих целые сервисы, есть еще и условные школьники, которые хотят «просто попробовать», враждебно настроенные коллеги или близкие, которым может быть интересна ваша личная информация. Ко мне не раз обращались друзья с просьбой «взломать почту» (естесственно были посланы с такими запросами)
                                0

                                Я ведь не спорю с автором по поводу сохранности личных данных. Просто надеюсь, что 48-байтный пароль — шутка. Даже против такого длинного пароля есть свой брутфорс — ректальный паяльник.

                                  0
                                  Поэтому нужна авторизация по ключам. Ключи хранить в легко уничтожаемом контейнере который всегда при себе. Тогда паяльник не поможет, ключ будет уничтожен и получить доступ к данным будет уже невозможно.
                                    +1
                                    Только вы сколько угодно будете говорить, что ключ уничтожен, а паяльник будет продолжать вас согревать долгими зимними вечерами…
                                      +4
                                      Но доступ к данным получить не получится, значит, задача защиты данных решена.
                                      +1

                                      Останется только доказать, что это действительно был единственный ключ, он действительно был на этом носителе и он действительно уничтожен. Или вы ожидаете, что вам сразу вот так поверят и паяльник даже доставать не будут?)

                                        0
                                        не будут; но из вас :)
                                          0
                                          Нет конечно, но данные останутся в сохранности. Такие заморочки обычно предусматривают что данные ценнее паяльника в жопе или даже ценнее жизни.
                                            0
                                            Такие заморочки обычно означают, что автор реально с пресловутым «паяльником» никогда не сталкивался. Его счастье.

                                            Если данные «дороже жизни», то 48 символов так же бессмысленны, как и когда они не столь дороги.

                                            Для этих случаев уже нужны способы не позволяющие владельцу паяльника получить полный доступ даже с 48 символьным паролем: двахфакторная аутентификация, два независимых пароля, вводимых разными людьми и так далее.
                                  –1
                                  у него обычно возникает резонный вопрос — «а почему он такой… объёмный?»

                                  у меня очень простой ответ, которым я всегда пользуюсь:
                                  'мой пароль подходит для любой системы валидации сложности и не надо каждый раз считать буквы, цифры, регистр и длинну'
                                  Это кстати для меня основная причина почему он такой сложный и большой (и с ним я чаще натыкаюсь в ограничение на максимальную длинну пароля, обычно в 8-10 символов...wtf… разработчики 21 века зачем его лимитировать??)
                                    +11

                                    но основной вектор атаки же уже давно не подбор, а переиспользование с других сервисов, и заявление "подходит для чего угодно" равносильно "когда взломают любой сервис с моим паролем, все мои сервисы будут скомпроментированы"

                                      +5
                                      мой пароль подходит для любой системы валидации сложности

                                      Скажите это старым версиям ICQ с верхним ограничением в 8 символов :)
                                        +2
                                        Старые версии клиентов ICQ больше не работают, протокол OSCAR серверами не поддерживается. А в современных клиентах, которые умеют в новый протокол WIM, нет смысла реализовывать это давно неактуальное ограничение в 8 символов (его в них и нет).
                                          +1
                                          Что там ICQ — там хоть денег не было.
                                          У PayPal есть ограничение в 20 символов — вот это повеселило. То есть какой-то разработчик сидел, думал «каким сделать varchar(N) в базе для пароля? 50? Может 100? Сделаю 20! Так надежднее!»
                                            0

                                            У банк-клиента ВТБ тоже ограничение в 20, но только цифр. Подозреваю, что такое брутфорсится вообще на раз.

                                              0

                                              А в банкомате всего четыре цифры.
                                              Надеюсь, у них учетка блокируется (хотя бы на несколько дней) при нескольких неудачных попытках ввода пароля.

                                                +1
                                                А в банкомате всего четыре цифры.

                                                Это доп защита. Основная это карта.
                                              0

                                              Очень надеюсь, что у них пароли хэшируются, а не открыто хранятся. Собственно не понятно, зачем ограничивать длину пароля, если они хэшируются.

                                                0
                                                Для защиты от DOS. Правда в phpBB в соответствующем тикете ограничили разумными 4096 знаками.
                                            +8
                                            Хех, я тут стал менять все пароли и наткнулся, что довольно много систем, в том числе банковских, которые налагают ограничение символов в 10-20 на пароль, а также запрещают там разные спецсимволы. Порой непросто понять, какой пароль вообще подходит под валидацию.
                                            Привет Сбербанку
                                            image
                                            image
                                              0
                                              Если вы используете вставку в поле, то иногда нужно ввести и стереть один символ, тогда проверка сработает. У старых сайтов так (и старых разработчиков).
                                                0
                                                На самом деле там бага в js коде валидации пароля, из-за которой если в пароле есть символ не из захардкоженного списка спецсимволов, например скобочки, то он автоматически помечается небезопасным. На репорт об ошибке, конечно, никто не ответил.
                                                  0
                                                  Вероятно, они считают достаточным, что допустимые символы перечислены по ссылке «Как правильно составить пароль?», а если пользователь использует что-то другое, ССЗБ. Они уже несколько лет не могут нормально настроить дату в рекламных письмах «Спасибы», так что ожидать от них многого не стоит.
                                                    +3
                                                    Да, там используется следующая регулярка для проверки пароля:
                                                    ^([\w@\-\.!#$%^&*()+:;,]*)$

                                                    И квадратные скобочки, тильды и другие спецсимволы такую проверку не проходят, собственно, как и указано в правилах. Но несколько нелогично называть такой пароль «Простым». Уж написали бы, что «Пароль слишком сложный, сделайте проще».
                                                    Бонус из проверки пароля
                                                    В коде проверки длины есть чудеснейший код, смысл которого несколько не ясен:
                                                    if (i.maxLength && (i.maxLength == - 1 || i.maxLength > 1000)) {
                                                        i.maxLength = 30;
                                                    } else {
                                                        i.maxLength = 30;
                                                    }

                                                      0
                                                      Что такое вообще длина слова == -1? В советской России не вводят пароль, а стирают уже набранные там символы??
                                                        0
                                                        Скорее всего какой-нибудь недобраузер из прошлого века.
                                                0
                                                Привет Сбербанку

                                                Вангую, что проверятор сложности обломался на кавычке и остальное просто проигнорировал.

                                                  0
                                                  Привет Сбербанку

                                                  Замечу, что там не важен регистр.
                                                  0
                                                  У ВТБ на онлайн банке столкнулся с ограничением сверху в 16(кажется) символов.
                                                    0
                                                    У минимум одного банка была странная проблема: у старых аккаунтов (несколько тысяч, если я правильно помню) можно использовать только четырёхзначные цифровые пароли. У более новых аккаунтов все хорошо.

                                                    И всякие старые программы лояльности, которые создавались тогда, когда о брутфорсе не думали: последовательные номера карт и четырехзначный пин-код. Как у Montenegro Airlines, которые набрали кучу персональных данных и проигнорировали все письма о проблемах.

                                                    И отдельный прикол с мобильными приложениями банков: некоторые очень полюбили делать авторизацию по номеру телефона и четырех/пятизначному коду. В худшем случае это просто быстрый перебор, а в лучшем (для четырехзначного кода) — это 10-20 попыток авторизации за небольшое время, а это уже 0.1-0.2% вероятности успешной авторизации, что больше, чем хотелось бы.
                                                  +2
                                                  Но ведь и правда, разница в защищенности между паролями в 20 и 40 символов будет не слишком и большая. Да, она как бы в два раза больше, но 0*2=0 как ни крути.
                                                  Ведь подбором паролей нынче никто не занимается, это слишком долго. А дыры в ПО никак не привязаны к длине вашего пароля.
                                                    0

                                                    Разница между 20 и 40 байтовыми паролями не в два, а скажем так просто огромна. Вспомните теорию вероятности.

                                                      +3
                                                      В математике — да. В реальности шансы на подбор плюс минус равны, практически ноль.
                                                        0
                                                        Если пароль утечёт, то разницы между паролями длиной в 20 и 40 байт нет никакой, а на данный момент случайные пароли этих длин скорее всего станут известны с помощью утечек.
                                                        0
                                                        Ну иногда злоумшленникам удаётся украсть базы данных с паролями с какого-то сервиса. Пароли, конечно, захешированы (чаще всего), и тут как раз подбором паролей можно и заняться. Другое дело, что перебирать 20 символьный пароль никто не будет (но если сильно надо, то можно), но проверить пароли до 8-10 символов длиной по словарю и простым перебором, в общем-то, почему бы и нет?
                                                          +1
                                                          И какая будет разница в этом случае между 10 и 20 символами?

                                                          Честно не знаю на сколько это быстро происходит на современном железе, но лет 10 назад подбирал пароль брутфорсом и точно помню, что 8 символов — это много, 10 — символов — это нереально.

                                                          Думаю, что сегодня, допустим, 12 символов полным перебором подобрать будет нереально. А если и реально, то базу из тысячи пользователей — точно не реально.

                                                          Я к тому, что 20 или 40 символов — особо не будет разницы, т.к. «проще» будет взломать аккаунт иным способом.

                                                          Проверил свой пароль до 20 символов на password.kaspersky.com
                                                          1243 века. Ну как бы можно увеличить его еще на 20 символов, но смысл?
                                                            –1
                                                            На современном железе вполне себе реально перебрать пароль длиной до 20 символов. Тут нужно учитывать, что задача не ставится перебрать пароль за ночь, можно на это дело потратить хоть год. Кто меняет пароли каждый месяц? Да никто. В лучшем случае каждый год, а некоторые и вовсе никогда не меняют. К тому же не обязательно подбирать пароль по одному пользователю за раз. Можно перебирать пароли и сразу проверять на соответствие со всеми пользователями. И тут уже пароли в 10 символов сломаются гораздо раньше, чем в 20. Но переусердствовать тоже ни к чему, пароля символов в 20-25, который меняется раз в год вполне достаточно.

                                                            Ну и вообще не стоит считать пароль надёжной защитой, какой бы длины он ни был, однозначно нужно предпринимать дополнительные меры, например в виде двух- или даже трехфакторной аутентификации.
                                                              +1
                                                              На современном железе вполне себе реально перебрать пароль длиной до 20 символов.

                                                              У вас, вероятно, чрезвычайно современное железо. Если это случайный пароль, только латиница (в обоих регистрах), то это уже 114 бит энтропии. Даже при скорости перебора 1 квадриллион паролей в секунду (10^15, или одна фемтосекунда на операцию подбора/проверки) на одном компе, и даже если таких компов у вас миллион, у вас уйдёт больше 300 тыс. лет на то чтобы найти нужный пароль с вероятностью 50%.

                                                              Так что если это пароль для ключа шифрования диска — то он более чем хорош, никто его не сломает в обозримом будущем (без паяльника).
                                                                +1
                                                                У вас, вероятно, чрезвычайно современное железо.

                                                                Или MD5 с радужными таблицами.
                                                                  0

                                                                  Md5 это деревянная дверь в деревянном сарае.

                                                            0
                                                            К слову о скорости перебора паролей. Написанная мной на скорую руку программка на C++ генерирует 1 млн. 16 символьных паролей за 0.089 секунды. При этом у меня далеко не современное железо и далеко не лучшим образом написанная программа. Всё это дело можно ускорить во много раз. Добавим сюда хеширование, проверку по украденной базе и получим очень даже неплохую скорость перебора.
                                                              0

                                                              Предположим можно проверять 1 млн паролей за 0,001с, т.е. 1 млрд или 10^9 паролей в секунду.


                                                              С такой скоростью на проверку всех комбинаций 16-ти символьной последовательности с алфавитом 40 букв (латиница+ цифры+некоторые спецсимволы) у нас уйдет каких-то жалких полтора миллиарда лет :)


                                                              Даже если задействовать миллион компьютеров, это сократит цифру лишь до каких-то полутора тысяч лет :)

                                                                0
                                                                с алфавитом 40 букв (латиница+ цифры+некоторые спецсимволы)
                                                                А если учесть, что латиница бывает строчная и заглавная — до Большого Разрыва не сосчитают, уж по-любому подольше достаточных 100 лет.
                                                                +1

                                                                Когда вы каким-то образом генерируете 100500 паролей в программе и что-то замеряете, это вероятнее всего результат работы программы на приближенном к ядру процессора уровне кэша, так как затрагивается один и тот же участок памяти.


                                                                Очень старая, но идеологически верная таблица https://habr.com/ru/post/108537/


                                                                Как только вы начнете обращаться с программой в БД, вас будет ждать неприятный сюрприз в виде скакания по файловым блокам (это если по хэшу построить индекс в БД) и скорость работы упадет значительно.


                                                                Даже если есть конкретный захардкоженный хэш — еще Пифагор считал, насколько вероятно поломать пароль. Как вообще можно всерьез рассматривать брутфорс в 2019 году...

                                                                0
                                                                Проверил свой пароль до 20 символов на password.kaspersky.com

                                                                Тут говорится о подборе на среднестатистическом домашнем компьютере, а что это за компьютер такой среднестатистический? Они ж не сказали конкретную скорость перебора
                                                                  0
                                                                  Даже если ускорить этот процесс в 10 000 раз, это все еще огромный срок. Проще использовать какой-то другой способ взлома вашего аккаунта.
                                                              +1
                                                              Подборами паролей на ssh, postfix и dovecot серверах сейчас очень занимаются.
                                                              SSH сейчас в мир у меня не смотрит, статистики свежей нет, но обычно через пару-тройку часов после поднятия VPSки начинают долбить отовсюду.

                                                              И пару месяцев назад на мой postfix сервер «напал» целый ботнет, преимущественно из китайских сетей, часто даже полицейских (судя по whois). Примерно неделю долбили по ужесточённым правилам fail2ban, но мне это надоело, и я забанил 2 страны целиком. Потом вроде стихло.
                                                              Сейчас регулярно кто-то долбится из Марий-Эл, с айпишников 77.40.*.* и с нескольких разных VPSок.
                                                                0
                                                                Но это же не локальный брутфорс. Подобрать 12 символьный пароль на удаленном сервере… я даже боюсь представить сколько это времени займет. Заметят же.
                                                                  0
                                                                  Но их это не останавливает. Даже когда fail2ban банит после одной неудачной попытки на 3-12 часов. С айпишников 77.40.*.* меня «ломают» уже полгода, наверное. Один определённый почтовый аккаунт, который находится в шести базах на haveibeenpawned.
                                                                  Естественно, я им нигде уже не пользуюсь, и пароль там сгенерированный, больше 20 символов. На всякий пожарный.
                                                              +2
                                                              → Не используйте одинаковые пароли для различных сервисов

                                                              С учетом того, что пользоваться приходится десятком (а то и не одним) различных сервисов, на каждом из которых нужно зарегистрироваться — сомнительное удовольствие. Как правило есть уникальные пароли для 1-2 важных сервисов (основная почта, на которой все завязано, например) и несколько для всего остального.
                                                              А вообще пытаться что-то «защитить» со стороны пользователя — чисто самовнушение пользователя
                                                                +3

                                                                KeePass/LastPass/Dashlane/etc в помощь.
                                                                Это самое разумное, что может сделать ответственный пользователь

                                                                  +2
                                                                  Да тоже не панацея. Вместо нескольких независимых сервисов со своим уровнем безопасности вы все критичные данные собираете в одном месте. Причем также уязвимом
                                                                    0

                                                                    Ну, проблема в том, что у вас все равно нет выбора, вы физически не сможете запомнить такую кучу паролей.


                                                                    Но используя разные пароли вы хотя бы нивелируете риски утечек в духе "ой, а компания Х хранила пароли в plain text"

                                                                      +1
                                                                      Использовать различный длинный пароль в 20+ или даже 40+ символов для постоянно увеличившегося кол-ва сервисов и ресурсов может быть более надежно, но как и в любом подходе к обеспечению безопасности следует учитывать влияние на бизнес-процесс.
                                                                      Среднестатистический пользователь ПК и сети Интернет с трудом запоминает 3+ паролей длинной в 8 символов статистика с потолка, при том, что рекомендации к составлению пароля приводят их к виду «gS16vG1s», что в принципе сложно заучивать.
                                                                      «Хранители паролей», в таком случае, удобное решение, при условии что доступ к нему достаточно защищен. В нем можно хранить N паролей K длинны и любой сложности.
                                                                      Составные пароли, еще один хороший метод. Когда пароль состоит из ассоциативных блоков и выглядит примерно как «n0t-Over-0range-carr0T». Длинный, отвечает большинству требований от брута, легко запомнить.
                                                                      Если все совсем сложно с запоминанием, то можно делать пароли небольшие, но с опечатками, что несколько защитит от подбора по словарям. Что-то вроде «Nadizda_1965».

                                                                      Короче что-то я тут разумничался, просто так ждать что все возьмут и перейдут на длинные и сложные к запоминанию пароли — неверно. Нужен более гибкий и комплексный подход.
                                                                      0
                                                                      Всегда казалась странной идея хранить пароли где-то на стороне. В локальном файле — достаточно надёжно. Можно использовать несколько файлов с разными паролями для сервисов разной важности. 100% безопасности не существует, и надо оценивать риски и подбирать баланс между удобством и приватностью.
                                                                      У меня набралось несколько десятков паролей, если не больше сотни. Все, разумеется, разные и случайные. Запомнить это физически невозможно.
                                                                      Пароль в 48 символов по-моему довольно странное решение. Надёжно запомнить случайную комбинацию букв, цифр и спецсимволов такой длины невероятно трудно, так что автор, скорее всего, использует какие-то модифицированные слова, что делает его слабее.
                                                                        0

                                                                        Году примерно в 2012 я своими глазами видел, как вирус позволяет получить доступ к содержимому любого файла на заряженной машине...

                                                                          0
                                                                          А доступ к сервису он получить не позволяет? Вероятно, это несколько сложнее, чем увести файл и пароль к нему, но также возможно.
                                                                          Однако, вирус сначала должен проникнуть в систему.
                                                                            0
                                                                            Безусловно, я в комментарии ниже описал примерный путь, которым подобный вирус может попасть в систему, обычно это многоэтапный процесс.
                                                                            И до просмотра файлов дойдёт редко.
                                                                            Но как по мне — условный keepas безопаснее.
                                                                              0
                                                                              Конечно же, KeePass, собственно, под локальным файлом выше я его и имел в виду. Не plain же text.)
                                                                                0

                                                                                Вы удивитесь, но многие как-то придя к пониманию необходимости использования множества паролей, превышающих возможности мозга к запоминанию (при разумной трате времени на это) используют обычные текстовые или близкие к ним (ворд) файлы.

                                                                                  0
                                                                                  Но ведь это просто неудобно. KeepAss есть везде, а без него даже придумать нужное количество паролей не так-то просто.
                                                                                    0

                                                                                    Лично я не придерживаюсь ни того, ни другого подхода. Но людей, использующих KeePass или конкурентов, знаю намного меньше чем использующих лишь несколько паролей (а то и один) или обычные текстовые списки паролей.

                                                                                      0
                                                                                      Я сегментирую ресурсы по значимости. Всякие левые почты, фейсбуки, вконтакты и прочие бложики-месенджеры на мусорной симке, купленной у метро и с простым паролем. Всё, что относится к семье и финансам — на длинном пароле и отдельной симке, которая не вставляется в тот же телефон где и банк-клиент. И да, банк привязан к отдельному почтовому аккаунту, который больше ни для чего не используется.
                                                                            0
                                                                            Для того, чтобы получить доступ к файлу, в котором пользователь хранит пароли, это должна быть, как минимум, целенаправленная атака. Злоумышленник должен знать пользователя, знать, что он хранит пароли в файле.
                                                                              0
                                                                              Это немного не так работает…

                                                                              Изначально атака идет «по площадям» (т.е. обезличенно) — на какой-то сервис с уязвимостью заливается javascript код, эксплуатирующий (например) уязвимость в определенных версиях браузера и ОС. Это может быть например форум бухгалтеров или популярый сайт с котировками акций.

                                                                              Этот код закачивает на машину пользователя «установщик», который например может проверить
                                                                              — список запущенных процессов — например клиент-банк;
                                                                              — список установленного софта — например есть ли клиент-банк, установлен ли антивирус, и т.д.;
                                                                              — список посещенных сайтов за последнюю неделю — есть ли там например сайты банков.

                                                                              Дальше установщик (программа) решает, интересно ему данное устройство или нет, и если да — скачивает и устанавливает уже продвинутый вирус, который умеет например эксплуатировать уязвимости в клиент-банках или уязвимости на сайтах конкретных банков. В том числе может быть функция считывания списка файлов из файловой системы и считывания содержимого файла. Или например вытягивание сохранненых в браузере паролей. Вообще, очень много функций может быть. Или вообще кейлоггер.

                                                                              А дальше уже злодей-человек, руками, просматривает содержимое, например смотрит — а что это у нас тут за файлик 1.txt лежит на рабочем столе? Дай его посмотрю.
                                                                                0
                                                                                Да я в целом в курсе, как оно работает. Подобные вещи делаются всегда по известным программам. Ну т.е. те самые системы клиент-банк, хранилища паролей каких-либо сервисов и т.д. А вот личные файлы никто никогда не вытаскивает для ручного анализа (если это не персонализированная целевая атака). Потому что это огромная работа с нулевым выхлопом. Поэтому текстовый файл с паролями вполне себе безопасен.
                                                                                  +1

                                                                                  Ну вот в какой-то момент она может стать персонализованной — например в клиент банке видны счета с остатками в десятки миллионов.
                                                                                  Такую машину будут "крутить" по максимуму, чтобы разработать хороший план кражи.

                                                                              0
                                                                              Году примерно в 2012 я своими глазами видел, как вирус позволяет получить доступ к содержимому любого файла на заряженной машине...


                                                                              Где-то в 1994-95 году один мой знакомый дал мне какой-то файл на дискете.
                                                                              Вставил, открыл, скопировал этот файл (секунд 30..40, не больше)
                                                                              Дискету вернул.
                                                                              После чего этот знакомый продемонстрировал мне (уже на своем компе) полный комплект всех моих текстовых файлов — человек написал вирус, и ему хотелось немного славы )
                                                                              (естественно, на дискете никаких «добавок» при просмотре не обнаруживалось)

                                                                                0
                                                                                А вы его запускали? Просто если вы его скопировали, не запуская, то очевидно, что это был всего лишь фокус. Автозапуска в те годы не было, и вирус мог активироваться лишь при загрузке с зараженной дискеты, либо при запуске зараженного исполняемого файла. Или, как вариант второго кейса, при открытии зараженного макровирусом документа Word/Excel. Кроме того, вы бы наверняка заметили, как он начал бы записывать на дискету ваши текстовые файлы. Это же долго, ну и в общем-то слышно. Поэтому скорее всего, содержимое вашего диска попало к знакомому иным путем, а он над вами подшутил
                                                                                  0
                                                                                  А вы его запускали?


                                                                                  Я уже не помню, что за программу он мне обещал, но при запуске она не сработала (выдала сообщение об ошибке) — но тогда это было в порядке вещей.
                                                                                  (программы приходили неведомыми путями, и многие из них просто не запускались)

                                                                                  вирус мог активироваться лишь при загрузке с зараженной дискеты, либо при запуске зараженного исполняемого файла.


                                                                                  Второе.

                                                                                  макровирусом документа Word/Excel.


                                                                                  В тот момент Word/Excel-а еще не было ) Было «Слово и Дело» и «Лексикон».

                                                                                  как он начал бы записывать на дискету ваши текстовые файлы.


                                                                                  Да, активность дисковода была, это настораживало )
                                                                                  Но я же потом просмотрел содержимое дискеты… там ничего не было )

                                                                                  содержимое вашего диска попало к знакомому иным путем


                                                                                  А вот это абсолютно исключено. Потому как некоторые текстовые файлы были совсем свежие (электронной почты не было как системы, поэтому я набирал письма, распечатывал и отправлял обычной почтой).

                                                                                  а он над вами подшутил


                                                                                  Он и подшутил — подсунув вирус.
                                                                                  Но программист он был ушлый, стаж работы, опыт, длительное сопровождение больших проектов (ЕС ЭВМ), да и ПК у него появился намного раньше. Хотя гуру он не был )

                                                                                  Но для себя тогда сделал вывод — и стал очень осторожен.
                                                                                  Когда в 1999 бабахнул «Чернобыль» (CIH) — попали многие вокруг, причем серьезно.
                                                                                  Но меня эта беда обошла стороной.
                                                                                    0
                                                                                    А, ну тогда понятно. В принципе, закинуть на дискету файлы и не добавить их в FAT, да или просто добавить как удалённые, это просто вопрос техники. Раз уж вы сами принесли вредную программу и запустили её своими руками, то это уже не магия.
                                                                            0
                                                                            Можно вместо пароля придумать простой алгоритм их генерации при помощи названия сайта. Скажем, md5hash(site_name). При этом количество паролей не ограничено, а сами пароли вообще нигде не хранятся — вы генерируете их по мере необходимости.
                                                                              0
                                                                              Security though obscurity? Зарегистрируетесь на паре подставных/ненадёжных сайтов, из паролей на которых вычислят вашу схему.
                                                                                0
                                                                                Просто к хэшу нужно добавлять модификатор в виде мастер-пароля, скажем.
                                                                              0
                                                                              Не помню, чтобы KeePass серьёзно ломали.
                                                                                0
                                                                                Ну, можно хранить базу локально и синкать через какое-нибудь облако. Взломать реально, но надо знать где оно лежит и что файл 1.dat это на самом деле отxorеный файл базы паролей.
                                                                              0
                                                                              Сами сервисы по сути являются паролями (SSO) для других сервисов. Это удобно, но небезопасно.
                                                                              Надежнее для регистрации на каждом сервисе использовать уникальный почтовый ящик и, если требуется, SIM карту.
                                                                                0
                                                                                А потом условный гугл блокирует твой аккаунт, потому, что ему что-то показалось и ты теряешь доступ не только к нему, но и к десятку сервисов, завязанных на SSO гугла… То же и с фейсбуком может быть.
                                                                                  0

                                                                                  А потом оператор блочит симкарту и отдает ваш номер другому человеку, потому что вы однажды забыли вовремя провести платную операцию на одном из нескольких десятков номеров.

                                                                                0
                                                                                Передаю привет компании Blizzard с ее ограничением в максимум 16 символов в пароле в battle.net =)
                                                                                  +1
                                                                                  Если что, у них регистр символов также не имеет значения.
                                                                                    0
                                                                                    если что — так же как и в Сбербанк Онлайн =)
                                                                                    0
                                                                                    У них, хотя бы, есть двухфакторная авторизация (плюс принудительная смена пароля при подозрительных действиях, например, если в учётную запись, куда постоянно заходит хозяин, живущий на Урале, вдруг зайдут из Москвы — это реальный случай).
                                                                                      +1
                                                                                      Да, я знаю, но не мог не позлорадствовать)
                                                                                      Меня в свое время это выбесило следующим образом: я придумал 17-символьный пароль, при регистрации ввел его 2 раза, не заметил что что-то не так (маска же). при логине на сайте бетлнета тоже все ок.
                                                                                      А потом в форме ввода в старкрафте пароль не обрезался, вводились все 17 символов, я не могу войти %)
                                                                                      ну делать нечего делаю восстановление пароля, придумываю новый, 18 символов в этот раз, опять не замечаю обрезки.
                                                                                      В итоге в браузере в этот раз сохранил, потом решил посмотреть сохраненный пароль, и чет смутило что 2 символа обрезало)
                                                                                      Ух, какими я теплыми словами метелицу покрывал) Хз есть ли сейчас какая-то подсказка или предупреждение при регистрации.

                                                                                      Дело ж не в том что я за безопасность своего аккаунта переживаю — просто не юзер френдли как-то. нахер его ограничивать сверху ваще %)
                                                                                      0
                                                                                      Передаю привет компании Blizzard с ее ограничением в максимум 16 символов в пароле в battle.net =)


                                                                                      Вы сталкивались с проблемой восстановления пароля/учетной записи Blizzard?
                                                                                      Не знаю как сейчас, но несколько лет назад они просили выслать скан копии паспорта (и чего-то еще)
                                                                                      +3
                                                                                      Насчёт двухфакторной аутентификации как вам такой кейс. На прозапас лежит карточка, привязанная к старой симке. Далеко за границей теряете основную карту, вторая вдруг понадобилась, пытаетесь оплатить, требуется код из СМС, СМС не приходит потому что оператор заблокировал сим-карту так как не было расходов и приходов (у мегафона это 3-6 месяцев). Чтобы разблокировать нужно закинуть хотя бы рубль. Оплатить нечем, так как просят СМС-код.

                                                                                      Думаю, будущее за электронными картами без носителя с ограниченной суммой, например, на тысячу рублей. Эту сумму не жалко потерять и аутентификация не требуется. На эту карту с защищённого счёта одной кнопкой в приложении (или по расписанию) закидываются деньги. Всё.

                                                                                      Ну и я бы добавил ещё один совет — для смс-кодов завести отдельный тупой телефон типа нокии. Она же пригодится для бизнес звонков если важно прожить без зарядки неделю-две. Для частной жизни и банк-клиентов сойдёт смартфон с той-же йотой.

                                                                                        0
                                                                                        Хах, у меня бы кейс с МТС
                                                                                        закинул на счет типа 500-600р… заезжаю в Евпропу… нет связи… вообще не регистрируется в сети (типа надо чтобы было больше денег)… а закинуть не могу потому что СМС от банка приходит на эту симку… круг замкнуся
                                                                                          –2
                                                                                          1. Большинство банков отправляет Push а не SMS
                                                                                          2. Apple Pay не требует никакого SMS
                                                                                            +2
                                                                                            Большинство банков перешли на пуши за последние примерно полтора-два года.
                                                                                              0

                                                                                              Ранее для решения такой проблемы ещё использовали «автоплатеж»

                                                                                                0
                                                                                                На самом деле если подумать об этом заранее, то вариантов решения/избегания много, да и сейчас с этим проще. Я в похожей ситуации оказался года 4 назад — тогда Мегафон еще лочил входящие смс. И когда тебя внепланово отвлекают с каким-то критикалом, последнее о чем думаешь «хватит денег на счету, или по завершении разговора меня залочат?»
                                                                                          0
                                                                                          Вот поэтому у меня стоит напоминалка: раз в квартал отправить по одной смс со всех сим-карт. С той, что для родных, с той, что для коллег, с мусорной для банков, и т.п.
                                                                                            0
                                                                                            За бугром такие карты есть давно — она никак не привязана к счету. Потратить можно только столько, сколько положил.
                                                                                              0
                                                                                              Это prepaid карты, они и в России есть, Кукуруза например.
                                                                                            +1
                                                                                            Насчет паролей и прочего — согласен. Хотя 48 символов ИМХО перебор, но дело вкуса. Насчет слежения, чтения и утечек. Тот же Гугл и объемным паролем все читает. Про Яндекс даже страшно подумать, что он насобирал на граждан России. А от утечек никакой пароль не убережет. Или от дыр в API. Или от прослушивания голосового помощника третьими лицами. Тут наверное единственный выход — все криптовать и старая добрая Нокия 3110 вместо смартфона :)
                                                                                              0
                                                                                              Или от прослушивания голосового помощника третьими лицами

                                                                                              Вот кстати совет «при оплате в интернете, не вводите CVV посредством голосового ввода» был бы гораздо больше в тему статьи, чем весь текст статьи.
                                                                                                0

                                                                                                А Нокия то зачем? Как там будут работать защищённые мессенджеры для звонков и сообщений ?

                                                                                                0
                                                                                                Ну вы сами же и приводите примеры слива — из банков и тп Так что вы предлагаете — не давать банкам паспортные данные?
                                                                                                  +6
                                                                                                  Отличный кликбейт. /applause
                                                                                                  Зашел почитать, чем же опасно то что я предоставляю Гуглу доступ к чтению моей почты, геолокации и так далее, ожидал, как минимум, разоблачение «они делают фото с вашего телефона, когда вы листаете новости в туалете.» А в итоге статья вообще не по теме…
                                                                                                  Мне нечего скрывать, ведь…

                                                                                                  … все и так знают номер моей банковской карты, её пароль и CVV/CVC-код
                                                                                                  … все и так знают мои пин-коды и пароли
                                                                                                  … все и так знают размер моей зарплаты
                                                                                                  … все и так знают, где я нахожусь на данный момент

                                                                                                  Ну если вы озвучили в начале такой список — ну можно было хоть немного по нему пройтись. А то получается «мне нужен сложный пароль, т.к. у меня в почте лежит номер моей карты и ее cvv, на рабочем столе текстовый документ с пин кодами, а стартовая страница браузера — пдф с выпиской по счету.

                                                                                                  Change your mind: помните, что вы не скрываете свои данные, а защищаете их

                                                                                                  Естественно я защищаю свои данные, но скрывать и защищать это вообще разные вещи. Так почему статья с заголовком „Мне нечего скрывать“ посвящена защите?
                                                                                                    +2
                                                                                                    Интересно, за что минусуют комментатора? Ведь на самом деле советы по защите не помогут от перечисленных (и множества не перечисленных) в статье утечек у сторонних организаций наших приватных данных и очень слабо связанны с заголовком.
                                                                                                      +1

                                                                                                      Мне нечего скрывать, но есть что защищать

                                                                                                      +1
                                                                                                      Хотя многие тезисы корректны нельзя не отметить как минимум нестыковку приведённых фактов утечек с предлагаемыми мерами защиты.

                                                                                                      То же использование открытого вай-фая никак и никогда не увеличит ущерб от утечки Сбербанка. И, честно говоря, я не видел ни одной истории взлома/утечки основанной на использовании открытого вай-фая. Возможно их надо всё-таик привести в пример… а может их нет и напоминаний достаточно, чтобы не передавать по открытому вай-фаю важные данные незащищёнными (напомню, что всё-таки банки и соц-сети обычно пользуются https и самое страшное что может утечь в открытом вай-фае — ваш факт захода в интернет-банк).

                                                                                                      На самом деле то же самое касается и тезисов про «никому не говорите пароль» и «не храните пароль на мониторе»… хотя здесь я могу уже представить или даже вспомнить истории «взломов» по таким сценариям — в статье таких примеров нет.

                                                                                                      В то же время как предотвратить утечку из МФЦ со стороны пользователя/гражданина в статье нет, да и мне придумать сложно…
                                                                                                        0
                                                                                                        как предотвратить утечку из МФЦ со стороны пользователя/гражданина в статье нет, да и мне придумать сложно…

                                                                                                        Очень просто. Там "утечка" была в том, что админы редко чистили бесплатные публично доступные компьютеры, на которых оставались сканы документов пользователей этих компьютеров. Сев за такой компьютер можно было насобирать кучку документов.
                                                                                                        Как предотвратить? Очевидных способов много.

                                                                                                          0
                                                                                                          Со стороны админов — понятно.
                                                                                                          Со стороны пользователей — можно удалять сканы, если такая возможность есть… и всё, наверное…
                                                                                                            0

                                                                                                            Автоматическое удаление хотя бы через таймаут какой-то.

                                                                                                              0
                                                                                                              Ещё раз: это действие со стороны администраторов.

                                                                                                              Статья про обеспечение безопасности со стороны пользователей. Как защититься от утечки данных с фейсбука пользователю фейсбука?
                                                                                                                0

                                                                                                                Я про действия со стороны разработчиков. А со стороны пользователей там, скорее всего, можно просто удалять свои файлы после того как их отправил.

                                                                                                        +1
                                                                                                        Печаль в том, что человек существо скорее эмоцинальное, нежели рациональное. Каждый курильщик или нелюбитель привязных ремней считает, что «его-то не коснётся» и до людей, как правило, доходит после личной потери.

                                                                                                          +1
                                                                                                          Ха-ха. Не доходит. Увы
                                                                                                            0
                                                                                                            А больше всего удивляют гуляющие по ночному малоосвещенному городу люди, даже не удосуживающиеся надеть бронежилет с пластинами. О чем думают?
                                                                                                            +2

                                                                                                            Ни от одной из примеров утечек данных ваши рекомендации "Вот, что вы можете сделать уже сейчас, чтобы защитить свои данные" не помогли бы. Получилась статья из двух не связанных частей: я использую длинные пароли и вам советую и ваши данные всеравно утекут из-за бага или человеческого фактора.

                                                                                                              –1
                                                                                                              Мне нечего скрывать


                                                                                                              Странно, что никто еще не вспомнил про хакера в столовой.
                                                                                                                0
                                                                                                                → Change your mind: помните, что вы не скрываете свои данные, а защищаете их

                                                                                                                Используйте логику. В 99.9% вы и ваши данные нафиг никому не сдались. Просто различайте те данные которые важны и те которые нет. Боты корпораций не ваши данные отслеживают, а способ на вас заработать. А вот мошенникам/преступникам уже интересны более конкретные денные. Но опять же, если вы чучело-мяучело с которого можно что-то резко снять. Установка жестких лимитов по счетам с ограничением их изменения обезопасит вас гораздо сильнее чем «три пароля»+смс+отпечаток пальца сетчатки и задницы.
                                                                                                                → Используйте двухфакторную авторизацию

                                                                                                                Я бы сказал многофакторную, но это нюансы. Для защиты данных которые необходимо защитить и многофакторной просто недостаточно.
                                                                                                                → Не используйте легкие пароли: пароли, которые могут быть связаны с вами или найдены в словаре

                                                                                                                Какие легкие пароли? Проще ломать систему, чем отдельный аккаунт. Профитами сеть полна. Миллионы паролей утекают брутфорсом?
                                                                                                                → Не используйте одинаковые пароли для различных сервисов

                                                                                                                Многофакторность и хоть «восемь звездочек», с поправкой на предыдущий.
                                                                                                                → Не храните пароли в открытом виде (например, на бумажке, приклеенной к монитору)

                                                                                                                Смотри предыдущий.
                                                                                                                → Никому не говорите пароль, даже сотрудникам службы поддержки

                                                                                                                Смотри предыдущий.
                                                                                                                → Избегайте пользования бесплатными Wi-Fi сетями

                                                                                                                А еще есть USB-Hack. Зарядками тоже не пользоваться? Или может просто стоит думать головой…

                                                                                                                Резюме: если человеку безразлично, то его ничто не убережет. Если человек в голову не только ест, то советы высказаны в пустоту ибо бесполезны.
                                                                                                                  0
                                                                                                                  Им было нечего скрывать

                                                                                                                  Пафос статьи в целом понятен, но прибегать ради его усиления к откровенной демагогии — не лучшая идея.
                                                                                                                  Им как раз было, что скрывать — чужие персональные данные, которые обязаны беречь по 152ФЗ, как зеницу ока.

                                                                                                                    +3

                                                                                                                    Вспомнилась замечательная книжка:


                                                                                                                    Однажды инженер Чжа Вынь обратился к Учителю:

                                                                                                                    – Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание Охранительного ведомства. Учитель, что вы об этом думаете?

                                                                                                                    Инь Фу Во ответил:

                                                                                                                    – Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Честному человеку есть, что скрывать.
                                                                                                                      0
                                                                                                                      Статистика говорит что простое создание сложных паролей ничего не решает. Миллионы, а иногда сотни миллионов аккаунтов оказываются в открытом доступе видимо по правилу «восьми звездочек?» Я ведь, и выше другие, не об этом говорили. Универсального метода сокрытия информации в сети просто не существует. Если она в сети, то на 100% под угрозой, без всяких вариантов.
                                                                                                                      0

                                                                                                                      светить пароль от пл.карты — равносильно хранению кошелька на лавочке у подъезда, так не делают те, кому нечего скрывать, так что это вы "сами придумали — сами обиделись"

                                                                                                                        0
                                                                                                                        По-моему, неправильный подход. Каждому есть что скрывать, и скрывать лучше как можно больше.
                                                                                                                        И от государства, и от компаний, и от «общества», и от соседей, и от друзей.
                                                                                                                        Homo homini lupus est, si vis pacem, para bellum и все такое.
                                                                                                                          +1
                                                                                                                          Любое увеличение степени защиты идет в минус удобству. Это всегда компромисс. И «Нечего скрывать» — скорее говорит о крайне низкой степени риска, чем о непонимании. Лично мне кажется гораздо более рациональным раз в несколько лет восстановить взломанный аккаунт, чем лишать себя огромного количества удобств. Степень защиты должна быть сопоставима со степенью риска в случае взлома. Можно не сохранять пароли в браузере, каждый раз тратить время на двойную аутентификацию, запоминать сложнейшие пароли, периодически их менять… Но зачем?
                                                                                                                            0
                                                                                                                            После чтения статьи попытался вспомнить самый сложный из паролей и не смог. Но когда начал его вбивать на клавиатуре, оказалось руки помнят)
                                                                                                                            Беда с разными паролями для разных сервисов не в том, чтобы их запомнить, а в том, чтобы вспомнить какой пароль от какого сервиса. Бывает не пользуюсь каким то сайтом пару месяцев, а потом сажусь и сижу перебираю по памяти. Иногда блокируют учетную запись, иногда восстанавливаю.
                                                                                                                            Есть бородатый анекдот: как сисадмин забыл очень сложный пароль, долго перебирал, потом плюнул и решил придумать новый. Ввел в поле, а ему в ответ «Новый пароль не должен совпадать со старым». — у меня и такое пару раз было, хоть я и ни разу не сисадмин.
                                                                                                                              +1
                                                                                                                              когда начал его вбивать на клавиатуре, оказалось руки помнят

                                                                                                                              Теперь попробуйте это сделать с телефона.
                                                                                                                                0
                                                                                                                                Я когда вбил его на клавиатуре, вспомнил и символами. Я им редко пользуюсь, поэтому в следующий раз попробую с телефона — интересно какая память задействована больше зрительная (расположение знаков на клавиатуре) или моторная. Если вторая, то с телефона, по идее будет сложнее вспомнить. Вот только как бы теперь сам пароль забыть, а вспомнить его — не забыть…
                                                                                                                                0
                                                                                                                                Для этого и придумали программы типа KeePass
                                                                                                                                  0
                                                                                                                                  А в свое время начал использовать формулы вместо запоминания паролей. Т.е. есть некая формула, зависящая от названия сервиса по которой строится пароль. Например: @первая_буква_сервиса/сайта + 123 + @последняя_буква + 45. Уже много лет мне не приходится ничего запоминать. (Сложность формулы может быть любой, это просто пример).
                                                                                                                                    0

                                                                                                                                    Могут быть проблемы с сайтами у которых взаимоисключающие правила валидации паролей. Типа одни требуют спецсимволы, а другие запрещают.

                                                                                                                                      0
                                                                                                                                      Я этот вопрос решил иначе: сервисы,, которые имеют для меня важность, на самом деле можно пересчитать по пальцам. И думаю, у подавляющего большинства так же. Интернет-банкинги, основная почта, может, две. Может быть, страница социальной сети, и то, это кому как. Для них у меня уникальные пароли и двухфакторная аутентификация. И я их все просто держу в голове, это не так уж и сложно.
                                                                                                                                      А остальные стопицот регистраций — это интернет-магазины, форумы и прочая ерунда. Для них всех у меня один-единственный пароль. Если его ломанут, то… ну зарегистрируюсь заново, что я потеряю-то?
                                                                                                                                  +1
                                                                                                                                  Используйте двухфакторную авторизацию

                                                                                                                                  недавно читал что Фейсбук использовал телефоны из двухфакторной авторизации для привязки их к аккаунту (без ведома пользователя) и последующей таргетной рекламы.
                                                                                                                                  Это разумеется не означает, что все так делают, но заставляет задуматься, а не стоит ли защитить заодно и номер телефона (то бишь не давать его на каждом углу).

                                                                                                                                  Вообще, на мой взгляд, ПЕРСОНАЛЬНЫХ взломов стало очень мало, в основном ломают какие-то сервисы где был зарегестрирован человек и воруют данные пачками. Человек физически не способен запомнить столько паролей, сколько сервисов он использует (я думаю что я лично регистрировался не менее сотни раз, в разных местах), поэтому используют повторяющиеся пароли.
                                                                                                                                  Использование локальных хранилищ паролей неудобно, если компьютеров несколько. Использование онлайн хранилищ паролей заставляет доверять сервису хранения паролей, что может выйти боком, если его взломают.

                                                                                                                                  Так и живем :)
                                                                                                                                    +1

                                                                                                                                    Храните локальное хранилище онлайн :)
                                                                                                                                    У меня так лежит стендалоун версия KeePas в дропбоксе и синхронизируется между устройствами.
                                                                                                                                    Доступ к самой базе по паролю (сложному и не записанному нигде).

                                                                                                                                      0

                                                                                                                                      Ещё усложняется разными устройствами. Вот мне сейчас надо для linux, windows, android и ios хранить единую базу паролей. И полноценной возможностью управления этой базой с любого из них. И, крайне желательно, удобной, особенно на мобильных устройствах.


                                                                                                                                      А онлайн хранлища ещё могут и просто закрыться или закрыты неожиданно. Или быть заблокированы властями. В общем требования к идеальному менеджеру паролей очень серъёзные и даже близко к ним никто не подходит, насколько я знаю.

                                                                                                                                        0
                                                                                                                                        Использование локальных хранилищ паролей неудобно, если компьютеров несколько. Использование онлайн хранилищ паролей заставляет доверять сервису хранения паролей

                                                                                                                                        Использую KeyPass на компьютерах и телефоне. Зашифрованную базу паролей синхронизирую через Dropbox, который сами пароли никогда не увидит.
                                                                                                                                        –1
                                                                                                                                        У меня друзей то нет, и в инсте никто мои фотки смотреть никто не хочет, даже жене посрать, что у меня на работе творится(у кого друзьям не посрать?), и в гости последний раз кто-то приходил полгода назад.

                                                                                                                                        А тут кто-то жопу будет рвать, ломать мои аккаунты в гуглах и фэйсбуках, чтоб стащить мои плохие фотки(хорошие я в инстграмм выложил и так), чтоб узнать, где я и работаю и живу?))) Даже не смешно.

                                                                                                                                        Вы меня прям напугали)))
                                                                                                                                          0
                                                                                                                                          Не персонально вас, а может быть массовый взлом с разными целями, например использование полученных ботов для нехороших активнойстей, т.к. такие аккаунты похожи на живых людей больше, чем свежесозданные.
                                                                                                                                            0

                                                                                                                                            На вас мир не ограничивается. Статью не только же для вас писали.

                                                                                                                                              0

                                                                                                                                              Например вам жена написала: дорогой, вот прям срочно зайди в мою почту и распечатай документ, налоговая под дверью, вот пароль.


                                                                                                                                              Потом из открытых источников берется ее почта. И вуаля — вам скрывать нечего, а с аккаунта вашей жены вовсю сливается личная и рабочая инфа, фоточки и так далее.

                                                                                                                                              –1
                                                                                                                                              Сбербанк… сам факт их появления в таком объеме говорит о том, что похититель имел высокие права доступа в системах банка

                                                                                                                                              Вы как опытный администратор должны понимать, что доступ к AD был у любого из этих 420 000 сотрудников. О каких высоких правах идёт речь ?

                                                                                                                                                –2

                                                                                                                                                Всем кому нечего скрывать — предлагаю поставить в ванную и в спальню где обитаете на пару с женой/мужем по видеокамере…
                                                                                                                                                А, да, запретить занавески и укрываться… одеяла только прозрачные :)

                                                                                                                                                  0
                                                                                                                                                  Наверное выше уже сказали, что 48-буквенный пароль вместо 8-буквенного — это защита, наверное, от какого-то уж совсем лютого брутфорса. Но обычно аккаунты уводят по-другому

                                                                                                                                                  Не используйте одинаковые пароли для различных сервисов

                                                                                                                                                  — хороший совет для 2000 года. В 2019 у пользователя может быть 200 веб-сервисов только самых основных
                                                                                                                                                    0
                                                                                                                                                    Да не проблема, в моём KeePass 238 записей.
                                                                                                                                                      0
                                                                                                                                                      У меня на рабочем компе однажды хард умер, KeePass вместе с ним
                                                                                                                                                        0
                                                                                                                                                        <тут фраза про людей которые делают и пока не делают бекапы>
                                                                                                                                                          0
                                                                                                                                                          Для менеджера паролей я использую синхронизацию. Всё равно мне он нужен и на работе, и на телефоне.

                                                                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                  Самое читаемое