Комментарии 25
Спасибо за статью, узнал про бесплатные почты с шифрацией!)
Использовать интернет сервисы для хранения пароля удобнее и мобильнее, но намного менее безопаснее. Ваши пароли могут запросить спецслужбы… а если хоанить пароли в специальных приложениях и программах то пароли заросить не могут?
Также стоит позаботится о надежном хранении файлов на носителях. Дабы исключить вариант, что устройство, на котором вы храните важные данные, попадет кому-то другому в руки.
Уверен что уровень надежности хранения данных на носителях не влияет на возможность попадания устройства в руки другим !)
Ну а так вы забыли о I2P
Верно, это не влияет на возможность попадания устройства. Но тут речь идёт о сокрытие данных. И в этом случаи, даже если устройство попадет кому-то в руки, данные заполучить у них не получится. А флеш накопителем можно и пожертвовать если идёт речь о коммерческой тайне на несколько миллионов?)
I2P намерено не стал включать, ввиду сложности его настройки и использовании. Это конечно можно оспорить. Но все же статья рассчитана на новичков и обычных пользователей.
I2P намерено не стал включать, ввиду сложности его настройки и использовании. Это конечно можно оспорить. Но все же статья рассчитана на новичков и обычных пользователей.
Пароли — краеугольный камень ИБ. И как раз где-то на хабре уже разбирали, что в современном мире все эти разные регистры и #^%$ практически не влияют на скорость брутфорса, но заставляют пользователей сохранять их во всяких запоминалках. То есть, пароли получаются простыми для взломщиков и сложными для пользователя.
Посему, если разговор о 2017, то желательно, чтобы пароли были длинными и осмысленными хорошо запоминающимися фразами. Пилорамадлягиппопотама сложнее для взлома, чем Qy#$%4XC
Посему, если разговор о 2017, то желательно, чтобы пароли были длинными и осмысленными хорошо запоминающимися фразами. Пилорамадлягиппопотама сложнее для взлома, чем Qy#$%4XC
Ну смотря с какой стороны смотреть. В вашем длинном пароле все символы из одного алфавита, а вот во втором, коротком использовано 4 различных алфавита, что значительно увеличивает энтропийность. Если увеличить длинну второго пароля хотябы до половины длины первого, они будут относительно равны по энтропийности.
Если увеличить длинну второго пароля хотябы до половины длины первого, они будут относительно равны по энтропийности.
В современных подходах энтропийность стоит далеко не на первом месте. Основную роль играют векторы атаки и их вероятность. Компрометация незапоминаемого пароля на порядки выше, чем у равно по энтропийности, но легко запоминаемого.
Сейчас три ключевых характеристики к парольной защиты следующие:
1. Отсутствие необходимости периодической смены пароля. Пароль должен меняться только при превышении вероятностью, что он был скомпрометирован, определенного порога.
2. Отсутствие искусственной сложности, не позволяющей создавать равные по энтропии, но легко запоминающиеся пароли.
3. Проверка наличия в паролях часто используемых и скомпрометированных паролей.
Допустим заранее известен размер пароля и алфавита.
«Пилорамадлягиппопотама»: длина строки = 22, размер алфавита = 33 * 2 = 66
вариантов пароля = 66^22 = 10714368571740915734427767689504050118656
«Qy#$%4XC»: длина строки = 8, размер алфавита = 255
вариантов пароля = 255^8 = 17878103347812890625
с увеличенной длиной до половины = 255^11 = 296443535898840969287109375
В общем длину увеличивать проще и выгодней, что уже давно известно
«Пилорамадлягиппопотама»: длина строки = 22, размер алфавита = 33 * 2 = 66
вариантов пароля = 66^22 = 10714368571740915734427767689504050118656
«Qy#$%4XC»: длина строки = 8, размер алфавита = 255
вариантов пароля = 255^8 = 17878103347812890625
с увеличенной длиной до половины = 255^11 = 296443535898840969287109375
В общем длину увеличивать проще и выгодней, что уже давно известно
С энтропийностью всё понятно. Осталось пользователя такого найти, чтоб запомнил второй пароль хотя бы исходной длины.
Отличная статья, но возник вопрос. Ранее встречал информацию, что TOR на 60% спонсируется правительством США, можем ли мы после этого считать его действительно безопасным? Кто знает, что там может быть вшито по их заказу — большой вопрос.
Вот по данному адресу подымается данный вопрос и там же ответ разработчиков.
safe.cnews.ru/news/top/anonimnaya_set_tor_na_60_finansiruetsya
safe.cnews.ru/news/top/anonimnaya_set_tor_na_60_finansiruetsya
Тут и не стоит сомневаться! Однозначно TOR не предоставляет абсолютную анонимность в сети. Это уже давно общеизвестный факт.
Он использовал почтовый сервис ProtonMail.
Сноуден использовал Lavabit. ProtonMail в то время даже не был запущен.
KeePassX уже год как не развивается, лучше использовать его форк KeePassXC
статья ни о чём.
в качестве примеров алгоритмов какие-то названия, которые плохо сочетаются с датой в заголовке.
тор вобще разговор в другую стороны. он повышает анонимность ценой уменьшения безопасности.
tails это такой кнопикс с нескучными обоями и тором из коробки. qubes os вот действительно ультимативный вариант. кстати рекомендую.
в качестве примеров алгоритмов какие-то названия, которые плохо сочетаются с датой в заголовке.
тор вобще разговор в другую стороны. он повышает анонимность ценой уменьшения безопасности.
tails это такой кнопикс с нескучными обоями и тором из коробки. qubes os вот действительно ультимативный вариант. кстати рекомендую.
Статье больше для новичков. Брать мейнстрим алгоритмы которые используются только в редком софте здесь мало смысла. А КубыОС уже для очень опытных пользователей.
Я понимаю что у вас больше знаний и вам кажется что это все не стоит упоминать, но я считаю что для базовых знаний это вполне достаточно. А далее человек поймет какое направление для него приоритетней и уже сам будет копать в этом направлении.
Перед чтением пробежался взглядом по статье, хотел найти для себя что-то новое, увы.
Потом увидел заметку:
Стало всё ясно. Обычная компиляция уже известных вещей.
Потом увидел заметку:
я, то есть автор статьи — неспециалист в информационной безопасности и оперирую данными из открытых источников
Стало всё ясно. Обычная компиляция уже известных вещей.
К сожалению в собранном виде данной информации нигде нет.
Я постарался сделать так, чтобы человек которому нужно сохранить коммерческую тайну например, мог посмотреть что вообще представляет собой шифрование, каким бывает и какие средства можно использовать для безопасности.
Естественно что человек который интересуется данной тематикой не найдёт в данной статье ничего нового.
Спасибо за комментарий, но информация действительно собиралась и готовилась для новичков.
Наверное надо было иначе назвать статью чтобы не приводить в замешательство.
Я постарался сделать так, чтобы человек которому нужно сохранить коммерческую тайну например, мог посмотреть что вообще представляет собой шифрование, каким бывает и какие средства можно использовать для безопасности.
Естественно что человек который интересуется данной тематикой не найдёт в данной статье ничего нового.
Спасибо за комментарий, но информация действительно собиралась и готовилась для новичков.
Наверное надо было иначе назвать статью чтобы не приводить в замешательство.
Сертификат – это аналог ключа (который включает в себя закрытый и открытый ключ),
если сертификат будет содержать открытый и закрытый ключ, то о какой конфиденциальности идет речь?
Мне статья показалась несколько хаотичной, несвязанной и обрывочной. Однако про ту часть, которая касается аутентификации, я бы хотел вставить свои 5 копеек.
Чтобы аутентификация была двухфакторной надо, чтобы «два способа подтверждения личности» были из разных доменов: что я знаю, что я имею, чем я являюсь(биометрия).
К способам(методам) аутентификации можно добавить одноразовые пароли, которые значительно отличаются от рандомно сгенерированных кодов, получаемых по СМС.
Отпечаток пальца — не единственный биометрический метод аутентификации, который сейчас используется. Еще есть основанные на сканировании лица, сетчатки глаза, радужной оболочки глаза, анализе голоса или почерка, замерах сердечного ритма и другие.
То, что вы называете «флеш токен», на самом деле только частный пример PKI аутентификации или аутентификации по сертификатам. Закрытый ключ может быть и на смарт карте и на криптографическом токене. В самом плохом случае закрытый ключ может храниться на флэшке.
Про push аутентификация добавлю, что обычно она основана на асимметричной криптографии, что в принципе делает ее близкой к PKI аутентификации. Хотя я встречал и варианты, когда push канал использовался для простой передачи одноразовых кодов по аналогии с СМС.
Чтобы аутентификация была двухфакторной надо, чтобы «два способа подтверждения личности» были из разных доменов: что я знаю, что я имею, чем я являюсь(биометрия).
К способам(методам) аутентификации можно добавить одноразовые пароли, которые значительно отличаются от рандомно сгенерированных кодов, получаемых по СМС.
Отпечаток пальца — не единственный биометрический метод аутентификации, который сейчас используется. Еще есть основанные на сканировании лица, сетчатки глаза, радужной оболочки глаза, анализе голоса или почерка, замерах сердечного ритма и другие.
То, что вы называете «флеш токен», на самом деле только частный пример PKI аутентификации или аутентификации по сертификатам. Закрытый ключ может быть и на смарт карте и на криптографическом токене. В самом плохом случае закрытый ключ может храниться на флэшке.
Про push аутентификация добавлю, что обычно она основана на асимметричной криптографии, что в принципе делает ее близкой к PKI аутентификации. Хотя я встречал и варианты, когда push канал использовался для простой передачи одноразовых кодов по аналогии с СМС.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Основы и способы информационной безопасности в 2017 году