Microsoft подсчитала: менять пароли невыгодно

    Один из основных советов по безопасности — периодически менять свои пароли на разных сайтах — не является правильным с точки зрения пользователя.

    Кормак Херли (Cormac Herley), один из ведущих исследователей Microsoft Research, опубликовал работу, в которой приводятся расчёты по соотношению трудозатрат и выгод от смены паролей. Оказалось, что эта процедура, в конечном счёте, не выгодна для пользователя, как и некоторые другие процедуры по безопасности, пишет NY Times.

    Собственно, многие из обычных пользователей чувствуют это на интуитивном уровне. Если у них нет какой-то ценной информации, то зачем тратить силы и время на защиту. Теперь Microsoft подтвердила это официально.

    Специалисты по безопасности давно призывают к образованию юзеров и повышению их грамотности. Херли доказывает, что такой подход в корне неверен.

    «Большинство советов по безопасности просто предлагают пользователю невыгодное соотношение выгоды к затратам», — пишет Кормак Херли. По его словам, особой глупостью являются меры безопасности на многих веб-сайтах. Например, если сайты требуют периодически менять пароль. Трудно себе представить, что узнавший пароль злоумышленник будет ждать, пока пароль сменят. То есть в случае кражи пароля его смена практически бесполезна, потому что если бы взлом был возможен, он бы уже произошёл.

    Херли считает, что некоторые другие меры безопасности тоже являются для пользователя невыгодной сделкой, в том числе чтение сообщений в браузере о просроченном сертификате сайта, когда большинство таких сообщений не представляют собой угрозы.

    По словам ведущего исследователя Microsoft, обычных людей заставляют предпринимать слишком много шагов для защиты собственного компьютера. Он говорит, что когда меры безопасности не соблюдаются, то специалисты по безопасности привыкли говорить о неграмотности пользователей, но они обычно не учитывают стоимость их времени. По их мнению, время пользователя бесплатно. На самом же деле людям просто невыгодно соблюдать большинство из этих сложных процедур.

    Херли приводит такой расчет: если брать близкую к минимальной стоимость оплаты труда, то одна минута в день, потраченная ежедневно 200 миллионами американских пользователей, стоит обществу примерно $16 млрд в год. Именно такую цену требуют специалисты по безопасности за соблюдение своих процедур. Это слишком много.

    Например, ежегодный ущерб банков от фишинга составляет около $60 млн. Если заставлять клиентов банка тратить хотя бы несколько минут на защиту от фишинга, то стоимость защиты в десятки раз превысит возможный ущерб. Эти издержки частично ложатся и на сами банки, которые вынуждены внедрять новые сервисы и осуществлять техническую поддержку пользователей по поводу новых процедур. В итоге расходы на защиту многократно превышают ущерб.

    Исследование Херли было опубликовано на слушаниях по компьютерной безопасности в Оксфордском университете ещё прошлой осенью (PDF), но широкое обсуждение среди специалистов этой теории началось примерно месяц назад, после статьи в TechRepublic.
    Поделиться публикацией

    Комментарии 235

      +143
      — А кто вам сказал, что невыгодно менять пароли?
      — А Херли.

      Извините, не смог удержаться.
        –2
        Упс, выиграл в карму.
        +6
        Осталось дождаться от Microsoft Research доклада о том, что не выгодно менять операционную систему!!!
          +1
          Ну понятно, что сарказм, но все-таки поясню. Разумеется, все «там» понимают, что юзеры выгоднее всего 1 раз поставить ОСь и автоматом ее обновлять без всяких там 2000 — xp — vista — seven. Но, разумеется, тогда как майкрософт будет получать прибыль. Хотя опять же возникает мысль, что можно было б просто ввести абонентскую плату за ОС, но тут же пришла другая мысль, что тогда слишком много мароки будет у крупных предприятий, возможно больше, чем раз в 3 года обновить ОС.
            0
            уже давно есть. Не выгодна категорически. А главное, абонентская плата не отменяет необходимости апгрейдить софт.
              0
              У меня есть лицензионная Windows 7 и установленная лицензионная Windows XP. Менять XP на 7 — значит несколько дней не работать, ставить программы, разбираться с новыми глюками. Зачем менять, если всё и так работает?
                0
                Правильно мыслите. Но майкрософт это тоже понимают, и начинают переставать обновлять старые ОС, например на геймеров воздействовали с помощью directX'a. Иначе бы никто и не покупал новые оси, и не было бы профита.
                  0
                  вот ты странный
                  я переставляю винду xp с официальной сборки sp3 от ms
                  потом ставлю софт
                  трачу 2 часа
                    0
                    У меня только чтобы скачать нужный софт уйдёт больше времени. Вообще если бы я довольствовался firefox и парой игрушек — и у меня уходило бы 2 часа, наверно.
                      0
                      один раз скачал, положил в D:\Soft и всё.
                0
                MSR-то может и сделает такой доклад, но кто ж их послушает =)

                К сведению, разница между Microsoft и Microsoft Research — удивительна огромна! Почти две разные организации.
                  –3
                  Новость на уровне «Британские учёные заявили»
                  +5
                  >Например, ежегодный ущерб банков от фишинга составляет около $60 млн.
                  А ущерб пользователей какой?
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      А не предполагал ли уважаемый Херли, что ущерб банков от фишинга составляет около $60 млн. ТОЛЬКО лишь потому, что на безопасность тратятся еще большие средства; и если тратами на безопасность пренебречь, то ущерб возрастет многократно?
                      +6
                      Использование логина и пароля для авторизации — в принципе идея не очень удачная во всех отношениях, но удобнее для широкого пользователя еще все равно ничего не придумали
                        0
                        eToken нужно внедрять поактивнее.

                        Вон для онлайн-игр уже есть давно, а для Gmail пока не вижу. Я б купил сразу же.
                          +1
                          Для широких-то масс? eToken? Вряд ли
                            0
                            Вот когда смарт-карты будут нативно поддерживаться, тогда да. А сейчас — удел компаний и «бухгалтеров на дому».
                            Про CCID не рассказывайте. ;)
                              0
                              Не так давно, да и там проблемы со взломом были.
                                0
                                RFID устройства взламывают. когда-то читал статью, как дурят магазины, пройдя с хитрозапрограммированным RFID'ом. дальше все выносится по одной цене. по цене последней покупки, если не ошибаюсь.

                                мне нравится защита у приватбанка, чтобы залогиниться в приват24 нужно ввести код с телефона + знать логин.
                                т.е. чтобы получить доступ к счету нужно как минимум украсть телефон и логин от сайта.
                                думаю это задача уже не тривиальная. по крайней мере в разы сложнее, чем просто украсть логин/пароль.
                                  0
                                  Если мне не изменяет память, подделать сим-карту не составляет особого труда. Так что вопрос только в нераспространении связки Логин/Телефон.
                                    +2
                                    у привата логин+пароль+код с телефона.
                                    если человек не полный лох и не потеряет телефон с записанным в него логином и паролем, то это пожалуй самая надежная защита на сегодняшний день для сайта (для клиентского доступа к банковскому счету).
                                      0
                                      Не обязательно терять. Достаточно где-нибудь оставить на пару минут. Считывается сим-карта, делается копия.

                                      А самая надёжная защита — одноразовые ключи. Носишь себе карточку со стираемыми полями, увидел, что поле стёрто новое — паникуй, звони в банк:)
                                        0
                                        и вы ни разу не удивитесь, что телефон вдруг выключился? в этом случае точно так же можно сразу же позвонить в банк.
                                        а время, когда вы заметили, стерта ли карточка и выключался ли телефон — уже зависит от вас.
                                        при этом карточки заметно уступают телефону, т.к. пароль доступен сразу же, а в телефоне данные еще нужно поискать.
                                0
                                В Приват24 используют еще и мобильный телефон (для каждой транзакции). Достаточно надежно ИМХО.
                                  0
                                  Меня в Альфе это достало
                                0
                                Да ладно, просто расписались в том, что пользователям их ОС это всё никак не поможет, зачем напрягаться? Трояну всё равно, какой пароль у вас, qwerty или Gjnfu%676*F32KTeqbve~` и как часто вы его меняете. И на «окошки с сертификатами» нужно наср*ть, всё одно у вас уже давно установлены доверенные корневые CA из комплекта с трояном.
                                  +2
                                  Возможно это не совсем по теме, но меня давно интересует один вопрос: если бы, например, линукс был бы так же популярен, как виндовс, было бы под него написано такое же множество троянов и прочих и были бы они так же опасны?
                                    +13
                                    Если бы, к примеру, было совершенно так же, то тогда, разумеется, иначе почему бы не аналогично, если оно, вероятно, всё ровно так, а не наоборот? Так-то оно так, ежели конечно, а чуть чего коснись — вот тебе и пожалуйста, поэтому, наверное, сложно сказать, так оно на самом деле или всё же немного не так.
                                      0
                                      С большой долей уверенности могу сказать: нет, так много не было.

                                      Простой пример: на домашнем компьютере вы как правило всегда находитесь в системе с правами администратора (читай: полный доступ ко всему), соответственно трояну гораздо легче внедриться в систему, прописать себя в автозагрузку, в системные папки и проч. Заодно и для себя сделать исключение в правилах фаервола, чтобы хакеру высылать информацию или ждать команды для DoS-атаки.

                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          +2
                                          Они установятся от имени текущего пользователя, с правами на выполнение? Сомнева-а-аюсь.
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              +4
                                              Не забудте к трояну инструкцию приложить.
                                              sudo chmod +x troyan.sh
                                              ./troyan.sh
                                                0
                                                Если троян нашел способ сохраниться на диск, почему он не найдет способ выполниться? Тупо «sh ./troyan.sh» не прокатит? Выполняясь из-под юзера он не испортит систему, но может натворить дел в юзерской паке (rm -rf ~/* никому не понравится)
                                                  0
                                                  Кто запустит это самое«sh ./troyan.sh»?
                                                    0
                                                    действительно, это нужно быть разве что полным лохом или идиотом.
                                                    гораздо вероятнее, что пользователь запустит «less troyan.sh»
                                                      0
                                                      И чего он там увидит, в этом «less troyan.sh»? Набор непонятных закорючек? :)
                                                        0
                                                        здрасьте, приехали.
                                                        если человек не знает, что такое sh-файл, то он и запустить его не сможет.
                                                        а если знает, то он в файле увидит вполне понятный скрипт. а если не понятный, то запускать не станет.
                                                      0
                                                      ~/.chsrc
                                                      ~/.login
                                                      ~/.chsrc
                                                      ~/.profile
                                                      ~/.shrc

                                                      Это то, что я нашёл у себя во фряхе. Все эти файлы прекрасно обновляются с правами пользователя и запускаются при логине.

                                                      Запомните, сидеть под юзером — это не защита от зловредов. Это мера предосторожности, не более.
                                                        0
                                                        Каким образом нужная строчка попадёт в один из этих файлов?
                                                          0
                                                          Если мы получили remote execution и смогли что-то записать на диск от имени текущего пользователя, то добавить строчку в скрипт не составляет труда, не находите? int 80h никто не отменял, как мне известно.
                                                            0
                                                            Ну, тут ключевое слово — «если».
                                                            Если мы получили remote execution, то дел можно натворить — ой-ой-ой.
                                                              0
                                                              Понимаете, если у пользователя винды комп выключен, то с ним тоже ничего не произойдёт. Уязвимости берутся не с пустого места и линуксовый софт страдает ими ни чем не меньше.

                                                              В данной ветке обсуждения мы подразумеваем, что RE возможен. Во-первых, потому, что даже в ядре Linux время от времени находят их (а тут уже права не то что рута, самого ядра!), а во-вторых, потому, что без RE шансы подцепить зловреда под виндой минимальны. Хотя идиотов запускающих аттачи хватает до сих пор. Но мы не будем о клинических идиотах, ладно? Потому что они и без компьютера представляют для самих себя опасность похуже бластера с сассером вместе взятых (:

                                                              Также хочу добавить, что количество находимых уязвимостей в системе прямопропорционально её популярности. За каждую найденную успешную дырку люди получают настоящие деньги. И суммы прямопропорционально зависят от популярности платформы. Таким образом займи Linux 90% рынка RE к нему будут находится каждый день.

                                                              А вот чуть ниже я написал почему, полагаться на разнообразие дистрибутивов и сидение под простым юзером являются сомнительными средствами «безопасности» от напастей.
                                                                0
                                                                >… а во-вторых, потому, что без RE шансы подцепить зловреда под виндой минимальны. Хотя идиотов запускающих аттачи хватает до сих пор. Но мы не будем о клинических идиотах, ладно?

                                                                Почему не будем? Давайте как раз будем, т.к. это как раз самый перспективный рынок :) Зачем ломиться в закрытую дверь, подбирать ключи, вытачивать отмычку (т.е. искать уязвимости в ядре и компонентах и писать эксплойт), когда можно сказать юзеру «открой дверь» — и он сам откроет?

                                                                Разница в том, что в Винде любой экзешник по умолчанию имеет права на исполнение (да, начиная с Висты есть UAC, но кто его слушает?), а в Линуксе — не имеет. Вот и вся разница. Поэтому для того, чтобы затроянить Винду, юзеру нужно тыкнуть на файл и жмякнуть не читая на «ОК» в предупреждении UAC (что он и так уже привык делать). В Линуксе ему нужно либо открыть консоль и напечатать «sh ./pamela_anderson_siski.sh», либо дать файлу права на исполнение, что тоже нетривиально, а потом уже запускать. При этом в том же Гноме вылезет окно «Этот файл является скриптом, что Вы хотите с ним сделать?» и варианты ответа «Запустить», «Посмотреть», «Отменить».
                                                                Согласитесь, неравнозначные задачи?

                                                                И сдаётся мне, именно таким способом распространяется большинство троянов (вместо того, чтобы искать уязвимости и писать эксплойты), ибо дёшево и просто. Ну а те, которые эксплуатируют уязвимости — тут не попишешь, они опасны в обеих системах.
                                                                  +1
                                                                  Если вы внимательно читаете хабр, то наверное заметили несколько постов про бот-неты. В частности посты про Zeus. В одном из них (лень искать, ивзините) был приведён список способов «доставки» трояна юзерам — сплошные remote execution! Для всех браузеров и для кучи плагинов (flash, adobe reader и т.д.). На аттачи он не расчитывает. Кроме того троян целиком и полностью работает в юзер-моде и админских прав не требует.

                                                                  И чтобы вы думали? Это самый мощный ботнет! И умеет он всё на свете — тырить данные, подставлять в ваш любимый файрфокс фейковые страницы вашего банка (да-да! если он стоит у вас, то управляющий может именно вам лично показать то, что он хочет) и т.д.

                                                                  Таким образом лично я сразу откидываю аттачи и прочий детский сад — это не целевой рынок. Прошли уже те времена, когда все поголовно тыкали на pamela_anderson.exe.
                                                                    0
                                                                    Ботнеты — да, но троян — далеко не всегда нода ботнета. Банальные «порно-блокираторы» и прочая мелкая шушера (которая составляет подавляющее большинство гуляющей заразы) сляпаны в расчёте на глупость юзера. Ибо эти мелочи не стоят тех затрат, которые нужны для обнаружения и эксплуатации уязвимостей.

                                                                    Разумеется, «шедевры» пишутся так, что пользователю вообще неизвестно, когда и каким образом троян попал на его машину. Был у нас случай, когда 3 реально классных специалиста бились 2 дня — но так и не обнаружили зловреда на машине (машина, к слову, была регулярно обновляема, за натом, с антивирем). Тупо не обнаружили, что на машине что-то есть. При этом машина генерила пару тысяч запросов в секунду на определённый сайт. Испробовали ВСЕ возможные (и невозможные :)) средства диагностики — фиг там, ни одного лишнего процесса, ни один из «нелишних» не ведёт себя подозрительно, но при этом — участие в мощной DDoS-атаке налицо. Просил оставить шедевр для более детального изучения — не дали, машина срочно понадобилась, поэтому тупо форматнули и перезалили Винды.
                                                                    Но такие случаи — реально единицы.

                                                                    >Прошли уже те времена, когда все поголовно тыкали на pamela_anderson.exe

                                                                    Вы очень, очень сильно удивитесь… :)
                                                                      0
                                                                      >> 3 реально классных специалиста бились 2 дня — но так и не обнаружили зловреда

                                                                      В какой области они специалисты?
                                                                        0
                                                                        В администрировании Windows, разумеется.
                                                                        0
                                                                        Интересно было бы посмотреть на процесс поиска этими специалистами. Ибо за два дня втроём не найти зловреда…

                                                                        Банально загрузка с LiveCD и дальше AVZ и т.д. В конце концов убираем все подписанные верными сертификатами файлы и получаем очень небольшой список файлов для проверки. sigverify в помощь. Хотя до такого практически никогда не доходило.
                                                  +1
                                                  .bashrc?
                                                  0
                                                  А что мешает закрыть доступ на запись к конфигам в домашней папке? Отдать их во владение root'у, и всё. В Windows такое тоже можно сделать, только там, на самом деле, конфигов в 100500 раз больше, и разбросаны они по всему диску и реестру. Гораздо сложнее этого добиться.
                                                    0
                                                    Мы говорим про домашнего пользователя или где? А то мы так сейчас тут научимся каждый под себя ядро на ассемблер переписывать.
                                                –2
                                                Не совсем. Основная причина даже не в том, что линукс такой мега-пупер защищённый, а винда — дырявое ведро, а в том, что линуксы — РАЗНЫЕ. А винды _ОДИНАКОВЫЕ_. И это ключевой момент. Разница между двумя системами под линуксом может быть просто архиколоссальная. Разные ядра (с разными патчами), разные графические оболочки, разные браузеры и почтовые клиенты. Дятел для i386 файрфокса версии 3.6 совершенно не интересует пользователя x86_64 opera. А ведь там на горизонте, но всё ближе, армовские железки, которые без особых усилий вроде qemu i386-код в принципе не умеют выполнять.

                                                Т.е. «универсальный троян под линукс» это что-то вида
                                                ./configure
                                                make
                                                make-dep
                                                make install

                                                Причём, ./configure обламается на первых 20 строчках, ибо у пользователя нет ни make, ни gcc, ни кучи *-dev.

                                                Этот принцип есть и в природе, как средство борьбы с эпидемиями, паразитами и грибками. Называется, «видовое разнообразие». Чем больше разных систем, тем сложнее написать под все их что-то, что против воли будет работать на их машинах. А главная «вина» майкрософт (помимо авторана в XP и существования activex) в унификации компьютеров пользователей, браузеров и комплектов ПО. Десять уязвимостей в десяти видах ПО совершенно не помогут массовой эпидемии, если это ПО имеет каждое по 0.5-2% пользователей.

                                                  0
                                                  Антивирусы тоже разные, но вирусы как-то умудряются их всех обойти разом.
                                                    +1
                                                    Одинаковые. У них в большинстве один нормально работающий метод (сигнатуры).
                                                    +1
                                                    На самом деле статик-линкед x86 код будет нормально работать и на x64. Эльф конечно-же )
                                                    А запакованные в sh-selfgz несколько видов бинарников ( скажем x86, x64, *bsd ) либо sh-загрузчик с сайта «провайдера» решают проблемы совместимости. И вообще export LD_PRELOAD=./troyan.so ;)
                                                      +1
                                                      Ага, здравствуй троян на 10 мб :-)
                                                      0
                                                      >Причём, ./configure обламается на первых 20 строчках, ибо...

                                                      … троян не сумеет запустить configure, т.к. для того, чтобы запустить configure, ему нужно запустить какой-то скрипт, а этого сделать он не сможет, т.к. у него нет прав на исполнение. А чтобы дать себе права на исполнение ему нужно запуститься, а для этого ему нужны права на исполнение. В общем, ему нужно быть бароном Мюнхгаузеном, чтобы вытянуть себя за волосы из болота :)
                                                        +1
                                                        Ещё один милый миф (:

                                                        Чтобы вредоносный код очутился в каком-либо виде на компьютере пользователя мы должны либо засставить пользователя этот код скачать и запустить (спам с аттачами и т.д.), либо найти уязвимость. Предположим, что это сделано и мы получили возможность в данный момент времени выполнить немного кода, иначе до стадии ./configure мы не дойдём в принципе, верно?

                                                        И так, у нас на руках возможность выполнить небольшой кусок кода из памяти с правами текущего пользователя, возможно кросс-платформенный кусок кода (например, в виде JS-скрипта для Firefox).

                                                        Во-первых, мы должны что-то записать на диск в домашнюю папку, что потом будет нашим полноценным трояном, ведь уязвимость — это всего-лишь первый этап инсталлятора, но никак не сам троян. Этим чем-то лучше всего будет шелл-скрипт. Второй шаг — запуск скрипта. Оба этих шага весьма тривиальны, и, так как, скорее всего для разных платформ remote execution будет разный, то мы каждому юзеру подсунем небольшую порцию прям под его машину. Тут немного вариантов: x86, x64, arm — это бОльшая часть рынка и она нас интересует в первую очередь. Ну и int 80h внутри позволит нам без всяких либ и ./configure записать небольшой текстовый файлик в пару килобайт на диск и выполнить его.

                                                        Следующий важный этап — шелл-скрипт. Видимо вы недооцениваете возможности шелла в Linux (: У большинства пользователей стоит хотя бы один скриптовый язык: perl, php, ruby, python, tcl. Стоят они хотя бы потому, что многие пакетные менеджеры активно используют эти интепретаторы в своей работе. Следовательно смысл шелл-скрипта в том, чтобы:

                                                        1. узнать чем стучаться на http/ftp (перебор wget, fetch, ftp, curl и т.д.).
                                                        2. узнать какой интепретатор стоит.
                                                        3. скачать троян под найденный интерпретатор с мастер-серверов.
                                                        4. запустить троян.

                                                        Если интепретаторы не найдены, то можно попробовать в тихаря поставить какой-то в папку пользователя с помощью менеджера пакетов (: Но, думаю, в большинстве случаев этот шаг для домашних пользователей можно опустить.

                                                        Ну и последний шаг — троянчик запускается, прописывает себя в один из логин скриптов и дальше делает всё, что его душе угодно.

                                                        С правами текущего пользователя он может спокойно тырить личные данные из файлов и слать куда скажут. Сохранённые пароли из Firefox, например. Они же в ~/ лежат (: А если и не лежат, то доступ на чтение 100% имеется. Также он может спокойно гонять http траффик и крутить в фоне баннеры принося копеечку автору. Он может сделать комп юзера частью ботнета и потреблять ресурсы компа по мере необходимости на те же банальные DDoS-ы. А ещё он может ставить какой-то софт в папочку пользователя, если мощностей perl-а не хватает. Ну и кей-логгер можно прикрутить при желании.

                                                        Ну да, мы не сможем поставить рут-кит и перекомпилять ядро, но кому это надо? Вся личная информация как на ладони и нужна именно она. И троян на 10 метров не нужен (:

                                                        Смысл моего комментария в том, что строить безопасность системы на том, что вы сидите не под рутом и на разнообразии дистрибутивов мягко говоря не профессионально. Поверьте, эти две штуки не такая хитрая штука по сравнению с рандомизацией адресов в новых процах. А на фоне работ одной милой девушки, которая смогла вылезти из виртуальной машины с хардверным Intel VT и поработить всю систему данные «меры предосторожности» вообще детский сад.

                                                        Мне бы хотелось, чтобы вы сделали правильные выводы. Во-первых, если вы в серьёз думаете о защите себя и своих личных данных, то надо этим заняться серьёзно, а не надеяться на то, что вы сидите обычным юзером. Второе, компьютерная безопасность — это очень обширная тема и никогда не знаешь откуда получишь удар ножом, поэтому доверяй, но проверяй. То есть в любом случае было бы неплохо время от времени проводить хоть какой-то аудит системы. Даже если вы сейчас забетонируетесь, но перестанете следить за состоянием своей системы, то с каждый днём риски получить «подарок» будут только увеличиваться.
                                                          –1
                                                          Это понятно, понятно. Но ведь уровень сложности при этом реально другой. Я к тому, что именно массовое засилие вирусов, как индустрии, требует одинаковых платформ для размножения. Чтобы однократное большое усилие по нахождению дятла в браузере дало бы какой-то профит.

                                                          Ведь чтобы сделать базу эксплоитов для разных систем, каждая из которых более-менее up-to-date придётся просто офигенно много работать. Несравнимо с тем, что нужно для взлома одной программы на одной операционке.

                                                          Условно говоря, вопрос как с гигиеной. Понятно, что если мыть руки и пить кипячёную воду, то это совсем не спасёт от чумы. Но статистически, заболеваемость по региону уменьшит. А уменьшение платформы для ботнетов с увеличением накладных расходов на построение этих ботнетов сделает бизнес менее интересным/прибыльным. Т.е. снизит число зарабатывающих на этом и заинтересованных в дальнейшем развитии.

                                                          А средства индивидуальной защиты — это да, совсем другой разговор. И использование печатной машинки с одноразовым барабаном — не такая уж плохая идея иногда.
                                                            +1
                                                            > Ведь чтобы сделать базу эксплоитов для разных систем, каждая из которых более-менее up-to-date придётся просто офигенно много работать.

                                                            Тем не менее именно так всё под винду и работает (: Почитайте про Zeus тут на хабре — винду тоже универсально не сломать. Понимаете ли, во-первых, все винды тоже разные, а во-вторых, совсем не дырявые. Посчитать ремоуты именно операционки можно по пальцам двух рук.

                                                            Уже давно не ломают винду, ломают IE, Adobe Reader, Flash и Firefox. Ломать винду слишком дорого выходит. А учитывая тот факт, что для связки IE8 + Win7 ремоутов по пальцам посчитать, но началась эпидемия атак на продукты Adobe, не сложно сделать вывод, что связка IE + винда теперь тоже «дорожает».

                                                            Никто не будет ломать ядро Linux, оно слишком маленькое. А вот вокруг него — тысячи сладких софтин.
                                                        +1
                                                        старая песня. Тут есть принципиальное различие — среда linux, в отличие от win — весьма гетерогенна, существует множество дистрибутивов, сборок, вариантов, версий. Вирусу для успешности необходимо поразить как можно большее количество машин, что непросто сделать, когда они все друг от дружки чем-то (порой серьезно) отличаются, нужно найти общую для всех уязвимость, что бывает весьма редко. Кроме того, обновления систем linux выходят чаще, ядро тоже обновляется гораздо чаще, поэтому получить среду для быстрого, массового распространения вируса непросто. С ростом популярности конечно же появится какое-то количество заразы, но архитектурные принципы самой ОС также не способствуют легкому распространению.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                            +1
                                                            Шаттлворт именно так и мечтает, что убунта станет самой модной. Может так и произойдет, а может и нет. Время покажет.
                                                            Но помимо «популярности» остаются архитектурные принципы, особенно непозволение работы от имени root и дефолтный noexec для пользовательских ФС
                                                              +1
                                                              Справедливости ради, это и многое другое — не архитектурные принципы (при желании, одной строчкой в конфиге включается root через ssh и т.п.), а банальные принципы чистоплотности, сформировавшиеся за 40 лет развития юникс-систем.

                                                              Сюда же, к примеру, входит и отсутствие текущего каталога в PATH по умолчанию, и стандартизированная иерархия корневой ФС.
                                                                0
                                                                согласен, такая формулировка более точная.
                                                                Но вот принцип «наименьших привилегий» — всё же архитектурный, на мой взгляд. Простой пример: в linux для выполнения действий, требующих доп. привилегии, нужно стать «немножко рутом», в win же обратная ситуация — тот же UAC «понижает» права админа, делая его «немножко юзером».
                                                                  0
                                                                  Угу. UAC — судорожная попытка MS сделать нормальные права, не ломая совместимости третьесторонних прог, которые за 2 десятка лет привыкли, что корни дисков доступны на запись. В юниксах тоже делают изменения для более тонкого контроля доступа (selinux и т.п.), но всё же, обычному банальному пользователю достаточно стандартных пользователей-групп, ценой некоторого усложнения обучения пользователя.
                                                          0
                                                          Скорее даже больше. В Linux пока дырок больше. Учитывая к тому же разнообразие софта.

                                                          Но после дикого запада наступило бы затишье. Дырки бы позакрывали.
                                                            0
                                                            И не забудьте о Apparmor/SELinux. Его почти достаточно, чтобы защитить пользователя по самое некуда.
                                                          +15
                                                          Меня недавно порадовал коллега, вплотную занявшийся вопросом безопасности, составил список всех ресурсов где он сидит, сделал категории (получилось 12) и для каждой назначил свой пароль, примерно такого вида: Ho?72%4Gh&y)tO (была ещё одна категория, туда попадали сайты, где невозможно было установить подобный пароль). Итог, он удалил документ со всеми паролями и категориями, и забыл практически все. Но самое обидное забыл пароль на почту и ответ на контрольный вопрос. В большинстве я соглашусь пожалуй с Херли (как-то неприлично звучит:)), особенно в той части где написано, что постоянно менять пароли бессмысленно.
                                                            +1
                                                            У меня на компьютере программа специальная, которая к каждому сайту автоматически придумывает уникальный зубодробительный пароль :)

                                                            P.S. Правильно – Хёрли, и ничего неприличного.
                                                              +1
                                                              А зачем? Как правило такие пароли все дружно складывают в файлик. И оттуда копипастом его вгоняют.

                                                              А если комп не свой? Из инет-кафе надо по SSLVPN зацепиться?
                                                              Без файлика вообще швах будет :)
                                                                +1
                                                                На этот случай зашифрованная база паролей у меня есть в той же программе на телефоне.
                                                                  0
                                                                  Осталось потерять ключ доступа на закрытый ключ шифрования и… вуа-ля! :)
                                                                    +5
                                                                    Только если мне полностью отшибет память. Но тогда врядли мои пароли будут иметь для меня какую-либо пользу :)
                                                                      0
                                                                      Я хранил почти все свои пароли в подобной программе, везде поставил автоматически сгенеренный 40символьные пароли. Недавно, не попользовавшись программой несколько недель, я не смог вспомнить пароль от базы — вернее, я был уверен, что набирпю его на 110% правильно, но он не подходил. Вирусы — no way: даже если предположить, что виндовую базу взломали, у меня был бекап в линуксе (вернее, я пользовался программой и там и там). Слава робатам, в браузере был залогинен на своей почте и почти все удалось восстановить. Сейчас опять подмывает начать пользоваться такой программой, но теперь о оффлайн хранении пароля я подумаю более тщательней :)
                                                                  0
                                                                  Можно воспользоваться флешкой, защищенной паролем, или смарт-картой, на которой хранятся ключи :)
                                                                    0
                                                                    Т.е. все тупо сводится к взлому/краже одного пароля :)

                                                                    Нет уж: если есть понятие «то что я знаю», то пусть оно и будет таким. ИМХО :)
                                                                      0
                                                                      Если использовать пароль + файл-ключ к менеджеру паролей — тогда украденного мастер-пароля будет недостаточно.
                                                                      0
                                                                      Случилось страшное и вы похерили все свои хранилища заветного файлика (дом сгорел, телефон украли) — что дальше делать будем? Кроме того, если негодяй сможет поломать ваш заветный файлик, то он получит доступ ко ВСЕМ вашим паролям… Красота!
                                                                        0
                                                                        А какая разница — если иметь одинаковый пароль на всех сайтах, то ничего даже и ломать не надо.
                                                                          0
                                                                          нужно, как минимум, знать на каких сайтах этот пароль применить, а в волшебном файлике наверняка и эта информация хранится.

                                                                          кроме того, одиночный пароль или некоторое небольшое кол-во я просто помню, нигде их не записываю, они всегда со мной.
                                                                            0
                                                                            В зашифрованном виде – да, хранится. Но чтобы сломать базу данных (которую еще как-то перед этим надо получить), нужно знать мастер-пароль.

                                                                            Если я кому-то понадоблюсь настолько, что злоумышленники пойдут на все эти меры, то я и не знаю.
                                                                      0
                                                                      PassworkMaker решает проблему. Открытый исходный код, пароли он НЕ хранит, а генерирует по куче параметров, доступен отовсюду, легок в использовании.
                                                                      0
                                                                      У меня похожая программа ещё и хранит.

                                                                      только представить себе — более двух сотен логинов только моих + логины всех клиентов (около сотни), которым когда либо создавал сайты (а это минимум: хостинг, доступ к домену, к БД, к CMS и почте).

                                                                      запускается с флешки.
                                                                      Кстати, весьма удобно.
                                                                      +4
                                                                      самый лучший способ (имхо):
                                                                      иметь (и помнить в голове) один общий пароль,
                                                                      и один способ его изменения в зависимости от сайта, где он применяется.

                                                                      допустим, общий пароль у вас vasyaiscool (в реальности сложнее, конечно :))
                                                                      а правило — что-то типа vasya( 1 )is( 2 )cool, где (1) и (2) — изменяемые части, зависящие от сайта

                                                                      скажем, (1) — первые две буквы названия сайта, а (2) — третья и четвёртая буквы…
                                                                      или (1) — первые две согласные буквы, а (2) — первые две гласные…

                                                                      на практике удобно :)
                                                                        +1
                                                                        Удобство разобьется о первый же велосипед, где какой-то идиот ограничит длину пароля 6-тью символами :)
                                                                          0
                                                                          ну, для таких сайтов я использую укороченную версию vasyaiscool :)
                                                                          он у меня и сам (vasyaiscool) не слишком легко угадывается, да и сайты такие… ну, не самые важные, что ли :)
                                                                            0
                                                                            Тогда возникает сложность вспомнить чего же хотел именно этот сайт когда вы на нём регистрировались — то ли пароль из шести символов, то ли пароль с как минимум двумя цифрами то ли он требовал, чтобы пароль меняли каждый месяц.
                                                                              0
                                                                              по опыту скажу, что обычно по таким сайтам видно, что у них короткий пароль :)
                                                                              их не много, и они неважные
                                                                              так что если сто лет не был на сайте, то проверяю простой пароль вначале :)

                                                                              не 100% универсально — а что делать
                                                                              но короткие пароли отмирают имхо
                                                                        0
                                                                        Я пришёл к выводу, что для большинства задач достаточно иметь 4 пароля:
                                                                        пароль на рабочую станцию (если есть), пароль к почте (при смене поставщика почты обязательно менять), 6-8 значный дефолтный пароль и 6-8 значный дефолтный пароль для джанксайтов.
                                                                          0
                                                                          Недавняя практика показала, што джанксайты частенько промышляют проверкой введённых паролей на других ресурсах.
                                                                        –6
                                                                        а потом такие юзеры приходят в какие то структуры государственные и ставят свой любимый qwerty-like пароль, или пароль что он использовал на каком то форуме.
                                                                          +6
                                                                          >qwerty-like пароль

                                                                          В статье говорится о периодической смене паролей, а не о том что пользователям надо разрешать использовать слабые пароли.
                                                                          –9
                                                                          Да пускай в Microsoft Research не меняют, ради бога.
                                                                            +9
                                                                            Странно, что простейшая мысль «стоимость защиты не должна быть выше стоимости информации» так активно вдруг всплыла :) Это вроде как аксиома.

                                                                            А в случае со сменой пароля… Пароли на разные ресурсы конечно должны быть разные. Типа
                                                                            {STRONGPART}mail
                                                                            {STRONGPART}corp
                                                                            {STRONGPART}pc
                                                                            {STRONGPART}whatever
                                                                            Первая часть обеспечит защиту от брютфорса, а вторую легко запомнить.

                                                                            А вот заставлять пользователя постоянно менять свой пароль мне тоже кажется глупостью. Скорее всего пользователя будет или перебирать 2 очень похожих пароля, либо сделает их слишком простыми, чтобы легко запоминать.

                                                                            ЗЫ Вообще, судя по количеству публикаций, система с паролями скоро должна быть свергнута :) Уж больно много «народного недовольства». Биометрия нас спасет?
                                                                              0
                                                                              Спасибо большое! Великолепная идея с составным паролем!
                                                                                +3
                                                                                Ну это… не за что :)

                                                                                Этой рекомендации 100 лет в обед :)

                                                                                Есть ещё рекомендация по поводу того, как сделать этот самый STRONGPART понятным себе.

                                                                                Берем какую-нить приятную фразу, например,
                                                                                «Где-то за лесом кактус гниет!»

                                                                                Берем от нее от каждого слова по 2 буквы, можем менять а на @ а о на 0, у каждого двубуквия первую букву делаем заглавной

                                                                                ГдЗ@ЛеК@Гн!

                                                                                Можно для понта ещё и в английской раскладке набирать.

                                                                                Достаточно запомнить саму фразу и метод построения.

                                                                                В случае чего сменить все пароли будет не сложно: надо изменить парольную фразу на новую и по тому же алгоритму сделать все пароли.
                                                                                  0
                                                                                  и дописывать две первых буквы имени сайта — вот и супер пароль.
                                                                                  к тому же человек устроен так, что если САМ что нибудь придумает, то уж точно не забудет.
                                                                                    +1
                                                                                    и дописывать две первых буквы имени сайта — вот и супер пароль.
                                                                                    А потом попадётся какой-нить сайт, где его придурошный автор ограничил пароль по длине и/или почему-то решил, что в пароле нельзя использовать знаки $&@!?%#, а только буквы и цифры. И вся ваша стройная и универсальная система формирования паролей идёт нафиг.
                                                                                      0
                                                                                      не пойму почему?
                                                                                      я могу для любой системы напридумывать искусственных ограничений.

                                                                                      придумаю другое слово, в чем проблема?
                                                                                        0
                                                                                        придумаю другое слово, в чем проблема?
                                                                                        Если ваша универсальная схема формирования пароля предполагает большую длину пароля или использование спец-символов, то на этом сайте она споткнётся и придётся отказаться от универсальности для этого сайта и постоянно помнить это.
                                                                                        В итоге цель (упростить запоминание пароля) не будет достигнута.
                                                                                          0
                                                                                          что вы мне хотите доказать?

                                                                                          про то что она универсальная, я ни слова не говорил
                                                                                    0
                                                                                    «Моллюски откусили мои гарцующие генеталии» вспомнилось =)
                                                                                      0
                                                                                      О да. По работе вместо баша можно было читать бумажки «для съедения» с предлагаемыми парольными фразами :)

                                                                                      На самом деле тема вечная. Есть ряд критериев, в том числе по стоимости защиты/цены ущерба, но такие статьи мне напоминают разбитый елочный шарик.
                                                                                      Вот шарик — это безопасность. Мы его раздробили на кусочки и секьюрим то пароли, то сеть то самого юзера.

                                                                                      Поидее для каждой системы не очень сложно хотябы понять какие средства есть у нарушителя и оттуда для самых уязвимых мест реализовать усиленную защиту, которая не вызовет у пользователя приступ эпилепсии с пеной из рта и проклятиями в адрес админов-небожителей.
                                                                                        +4
                                                                                        «Сорок тысяч обезьян в жопу сунули банан»
                                                                                        0
                                                                                        угу, все сразу вспомнили про P@ssw0rd. :)
                                                                                      +2
                                                                                      Мне на работе до доменной учетной записи, которой я не пользуюсь почти, приходится циклически перебирать 24 пароля все время. Паранойя IT-департамента не излечима :)
                                                                                        0
                                                                                        а у нас заставляют менять каждые месяца два, и всем тем, кто не сидит в домене, но сидит за впн и пользуется почтой надо заходить на веб морду почты и менять пароль там. бррр, приходится просто дописывать новую циферку в цонке! :)
                                                                                          0
                                                                                          у нас тоже раз в два месяца. причем некоторые системы не умеют говорить, что пароль надо сменить, они просто пишут, что введенный пароль неверен. одним словом, все для людей :)
                                                                                          0
                                                                                          А какая политика блокировки после n-ного числа неверно введенных паролей? 24 это многовато.
                                                                                            +1
                                                                                            Три или пять попыток, после этого разблокировать можно только по заявке в IT.
                                                                                            +1
                                                                                            А чего их перебирать? Берём один пароль, фигачим в конец цифру от 1 до 24. Все так делают :)
                                                                                              0
                                                                                              подтверждаю :) для корпоративного пароля именно так и делаю :)
                                                                                                +1
                                                                                                все так делают, но у нас, например, особо умный алгоритм, и он так делать НЕ ДАЕТ. приходится менять более глобально.

                                                                                                учитывая то, что таких паролей у меня 7, приходится на бумажке записывать :(

                                                                                                очевидный security issue, но ничьей памяти не хватит на 7 сложных ежемесячно меняющихся паролей.
                                                                                                ах да, они еще довольно быстро блокируются при неправильном наборе.
                                                                                                  0
                                                                                                  вот только сейчас подумал: ведь этот особо умный алгоритм должен иметь доступ не к хэшу пароля, а к самому паролю! 99.9% что только с последним (который вводится при смене) сравнивает, надо попробовать завести два пароля с каунтером на конце и ставить их по очереди :)
                                                                                                  0
                                                                                                  Я так и делаю. Но когда ты этот пароль редко вводишь, начинаешь забывать, какая у него цифра на конце, а после трех попыток система блокирует аккаунт.
                                                                                                    0
                                                                                                    начинаешь забывать, какая у него цифра на конце
                                                                                                    Почему бы не использовать порядковый номер месяца, в котором пароль задавался? ;)
                                                                                                      0
                                                                                                      Хорошая идея, однако придется номер месяца все-таки записывать где-то, потому что пароль живет 60 дней с момента его смены, а этот момент наступает иногда с немного иной периодичностью. Привязка к месяцу так или иначе немного начнет плавать где-то через полгода.
                                                                                                0
                                                                                                скорее стоимость взлома должна быть >> ценности информации
                                                                                                  +4
                                                                                                  Не во всех члучаях подходит. Владелец сайта domain.com, которому вы дали пароль
                                                                                                  {STRONGPART}domain.com, может догадаться об остальных
                                                                                                    0
                                                                                                    а кто то хранит пароли в открытом виде?
                                                                                                      +6
                                                                                                      Зачем же минусовать. Достаточно сказать:
                                                                                                      1) да есть такие люди, с некоторыми знаком лично.
                                                                                                      2) наивно надеяться, что таких людей нет.
                                                                                                      3) некоторые владельцы сайтов, специально исследуют пароли своих жертв.

                                                                                                      А так выглядит, что это сделал человек, который сам хранит пароли своих пользователей в открытом виде и даже против других вариантов.
                                                                                                        0
                                                                                                        3) некоторые владельцы сайтов, специально исследуют пароли своих жертв.
                                                                                                        Заведомо рассматривать пользователей/клиентов сайта как жертвы — это сильно!
                                                                                                          0
                                                                                                          Я так над знакомыми прикалывался, в деЦтве.
                                                                                                          Стырю пароль к аське, потом говорю типа вот программулину написал, пароль от аськи подбирает. Запускаешь её, вводишь уин, смотришь на красивую анимацию подбора пароля, потом она его выводит и время взлома. Если потом попросит кому-нибудь ещё взломать, кого нет в программе, все-равно запускаешь, но прога выдает какую-то умную ошибку, почему не может подобрать.
                                                                                                          Прога была написана под впечатлением рассказа, где учитель информатики с учениками с помощью пустой коробки подключенной к компу взламывал сервер пентагона. Он там писал прогу на паскале эмулирующую взлом, а ученики думали, что все правда. К сожалению ни автора ни название рассказа уже не помню.
                                                                                                        +3
                                                                                                        пользователь сайта не знает в каком виде хранят пароль.
                                                                                                          +1
                                                                                                          если (как это было в сраном mail.ru до недавнего времени), по запросу восстановления вам присылают существующий пароль — не нужно быть слишком умным чтобы понять что его не хэшируют =)
                                                                                                            0
                                                                                                            Кстати как вариант — его могут шифровать. Это как бы не есть в открытом виде, но при том ПО и админ смогут-таки получить исходный пароль.
                                                                                                              0
                                                                                                              ну это защитит только от кражи БД, но не от недобросовесных админов.
                                                                                                                –1
                                                                                                                От ректотермальногокриптоанализа вообще ни что не защитит.
                                                                                                                  0
                                                                                                                  Думаю, за что минусанули? А точно, забыл добавить это => [ТАБЛИЧКА САРКАЗМ]

                                                                                                                  Вдумайтесь сами в значение «от недобросовесных админов». Я не знаю, каким идиотом должен быть ваш «недобросовесный» админ, чтобы ему было трудно узнать, какой вы пароль указали на ЕГО сайте.

                                                                                                                  // Не повторяйте это на своем сайте
                                                                                                                  if($_POST['user'] == %username%) file_put_contents(«Password_of_%username%», $_POST['password']);
                                                                                                              +1
                                                                                                              шикарно! даже не знаю, что тут сказать.
                                                                                                              не знал о таком факте раньше.
                                                                                                          0
                                                                                                          я обычно беру хеш от чего-то подобного и ввожу как пароль.
                                                                                                          0
                                                                                                          >перебирать 2 очень похожих пароля

                                                                                                          в банке, где я работал, система хранила последние 10 паролей. Продвинутым юзерам объяснил простую схему — слово+число от 1 до 12, ибо слушать жалобы, что кончилась фантазия вводить «косые»(термин юзеров, имеется в виду комбинация типа 1qaz), просто надоело.

                                                                                                          >система с паролями скоро должна быть свергнута :)
                                                                                                          у Стивена Леви в «Хакерах, героях компьютерной революции» подобная система описывалась. Успеха она не имела. Правдо о биометрии речи тоже не шло:)
                                                                                                            0
                                                                                                            очень просто догадаться.
                                                                                                            я вот думал когда-то что-то типа мд5 от
                                                                                                            {STRONGPART}mail
                                                                                                            {STRONGPART}corp
                                                                                                            {STRONGPART}pc
                                                                                                            {STRONGPART}whatever

                                                                                                            или на крайний случай перемешивать {STRONGPART} и вторую часть.
                                                                                                              0
                                                                                                              ой, не дошёл до этого коммента, и написал похожий…
                                                                                                                0
                                                                                                                Есть еще третий вариант — просто напишут на бумажке и приклеют к мониторы, как тут
                                                                                                                  0
                                                                                                                  А если узнают один пароль и по аналогии можно выделить стронг-часть и по сути стойкость пароля сведется к стойкости второй части, которая состоит из простого словарного слова :)
                                                                                                                  0
                                                                                                                  Если у них нет какой-то ценной информации, то зачем тратить силы и время на защиту. Теперь Microsoft подтвердила это официально.


                                                                                                                  У меня стойкое подозрение, что в Microsoft Research есть несколько британских ученых
                                                                                                                    0
                                                                                                                    возможно их британское отделение пошло на повышение в полном составе
                                                                                                                      0
                                                                                                                      Вы, кажется, статью не прочитали. Или не поняли.
                                                                                                                      0
                                                                                                                      С такой же точкой зрения можно с уверенностью сказать, что капча при попытке авторизоваться на сайте не имеет смысла, если хотели бы — все равно взломали. Плюс к этому, она тратит приличное время, а оно не бесплатно
                                                                                                                        –1
                                                                                                                        Не соглашусь: с т.з. сайта аутентификация — это идентификация пользователя и определение его прав. Как без этого определишь, кто зашел и на какую часть инфы он волен рассчитывать?
                                                                                                                          0
                                                                                                                          Я к тому, что капча и её ввод занимает много времени, хотя использование ИИ позволяет её обойти. Можно отказаться от капчи, чтобы не тратить время пользователя
                                                                                                                            –1
                                                                                                                            Да, капча реально вымораживает!

                                                                                                                            Особенно когда она на как у Райфайзена, а настолько размыта, что угадать её получается раза с 3-4…
                                                                                                                              +1
                                                                                                                              На Хабре капча тоже не из легких :)
                                                                                                                              0
                                                                                                                              Я уже привык что капчу в среднем отгадываю со второго раза :). (Хотя в последнее время как будто натренировался :) )
                                                                                                                            +7
                                                                                                                            Кстати, да. Капча для регистрации — нормально. Капча при авторизации — маразм. Не понимаю, для чего она может понадобиться.
                                                                                                                              –1
                                                                                                                              Для защиты от брута и чтобы пользователи своих роботов не писали.
                                                                                                                                +3
                                                                                                                                От брута можно защититься не создавая неудобств пользователю. Например, делая паузы между попытками.

                                                                                                                                Роботы? Зачем? Вот на хабре стоит эта капча при входе (кстати, не помню больше ни одного примера). Кто-то может захотеть написать бота, который самостоятельно заходит на хабр и читает его? Даже если так, читать, вроде, можно и не логинясь. Писать что-то осмысленное бот вряд ли сможет. Зачем еще может быть нужен бот на хабре и стоит ли это «зачем» того, чтобы создавать неудобства всем пользователям?
                                                                                                                                  +12
                                                                                                                                  Кстати, капча на хабре реально раздражает. Меня раз в несколько дней/недель разлогинивает по какой-то причине, и приходится заново логиниться. Мало того, что раздражает каждый раз лазить за паролем для хабра в хранилище паролей, так ещё и капчу обычно удаётся ввести только со второго раза. Случайные пароли на все ресурсы и зашифрованные мастер-паролем хранилища паролей это, конечно, правильно, но если приходится слишком часто за этими паролями лазить, то так и подмывает сменить стойкий пароль на что-то простое и запоминающееся — т.е. фактически эффект от защиты логина на хабре прямо противоположный, если даже такой параноик как я подумывает о смене пароля на простой.
                                                                                                                                    0
                                                                                                                                    Я логинюсь по ссылке из почты «ответ на комментарий, можно войти по ссылке без ввода пароля». Только тссс! Никому! :-)
                                                                                                                                      0
                                                                                                                                      Это если под рукой есть почта и там сохранилось письмо с нужной ссылкой. Хотя, конечно, можно одну такую ссылку выучить наизусть и вводить руками.
                                                                                                                                        0
                                                                                                                                        Это все же шутка была :-)
                                                                                                                                        "?authkey=8366fd0379e50bb93453458ffa3f547" не стоит выучивать наизусть, тем более, что однажды она устареет.
                                                                                                                                          0
                                                                                                                                          Да я понял. :)
                                                                                                                                            0
                                                                                                                                            Теперь я знаю Ваш пароль!
                                                                                                                                      0
                                                                                                                                      Всё же, на хабре есть закрытые топики.

                                                                                                                                      Однако идейно поддерживаю. Есть ощущение, что многие вместо того, чтобы придумать удобную защиту делают капчу просто потому, что так принято.

                                                                                                                                      Да везде так. Люди, хоть и люди, тоже люди. (В. Дыркин)
                                                                                                                                        0
                                                                                                                                        В том-то и дело, что хабр — единственное место (из известных мне), где капча стоит на логине, а не при регистрации или скачивании контента.
                                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                      0
                                                                                                                                      Я и говорю — паранойя. Если настоящие регистрации начнут рассылать спам, их можно заблокировать одним движением руки. И остальные будут бояться и лучше предохраняться. Кстати, много примеров можете привести, когда подобное случалось, да еще на айтишном ресурсе, где пользователи, все-таки, не совсем чайники?

                                                                                                                                      ИМХО, боты страшны как раз как средство регистрации новых акков — вот их замучаешься блокировать. Но как раз такая атака хабру не грозит.
                                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                  +1
                                                                                                                                  Если у них нет какой-то ценной информации, то зачем тратить силы и время на защиту. Теперь Microsoft подтвердила это официально.

                                                                                                                                  Дак вот где работает кэп!
                                                                                                                                  Херли приводит такой расчет: если брать близкую к минимальной стоимость оплаты труда, то одна минута в день стоит обществу примерно...

                                                                                                                                  Какие знакомые слова. У меня одного дежавю?

                                                                                                                                  А по теме — конечно, бурное развитие IT форсирует внимание к ИБ, и, пока в этом есть особенный раш, мало кто задумывается насколько это действительно разумно в финансовом плане. Вскоре напишу статью про анализ рисков.
                                                                                                                                    0
                                                                                                                                    ROI — это способ обосновать заоблачные инвестиции в потенциальную счастливую старость :)))
                                                                                                                                      +2
                                                                                                                                      Что такое «особенный раш»?
                                                                                                                                        –1
                                                                                                                                        «rush» — среди многих других значений — ажиотаж, стремление.
                                                                                                                                      +4
                                                                                                                                      Даже самая надежная защита перестанет работать, когда пользователи перестанут ее правильно использовать. Первое, что должна делать защита — не мешать работать.
                                                                                                                                        0
                                                                                                                                        Black hats love Microsoft.
                                                                                                                                          0
                                                                                                                                          Мне приходилось слышать любопытное объяснение, зачем нужно менять пароль. А именно: если ваш коллега решил пошпионить и подсматривает, как вы вводите пароль, то сначала он запомнит первые 2 вимвола, потом третий, потом четвертый и т.п… Когда-то давно это, наверное, была единственная возможность взлома.
                                                                                                                                            0
                                                                                                                                            одна минута в день — это 6 часов в год
                                                                                                                                            для 200 млн. пользователей — это 12 млрд в год, а не 16… кто обсчитался?
                                                                                                                                              0
                                                                                                                                              хм… был уверен, что речь шла о 10 долларах в час
                                                                                                                                              +2
                                                                                                                                              > Например, ежегодный ущерб банков от фишинга составляет около $60 млн.
                                                                                                                                              Это при соблюдении процедур, как я понимаю. А вот без их соблюдения какой будет ущерб интересно.
                                                                                                                                                +2
                                                                                                                                                а вот на работе, например, пароль должен быть от 12 до 14 символов, меняется каждые 3 недели и 15 последних паролей должны различаться.

                                                                                                                                                интересно, кто нибудь придумал что нибудь круче, чем какое нибудь длинное слово и счетчик в конце?
                                                                                                                                                  +3
                                                                                                                                                  какое-нибудь длинное слово и счетчик в конце и всё это написано на стикере и приклеено к монитору
                                                                                                                                                    0
                                                                                                                                                    или листок под стеклом:
                                                                                                                                                    1-й пароль (на включение компа)
                                                                                                                                                    2-й пароль (на домен)
                                                                                                                                                    3-й пароль (на вход в АБС)

                                                                                                                                                    причем пароли идентифицируются именно как 1-й, 2-й, 3-й (без понимания того, какой для чего).

                                                                                                                                                    А те, у кого пароли не записаны, иногда стесняются их сказать (по телефону), но не из-за того, что безопасность не дремлет, а пароли просто дурацкие: Таньчик99.
                                                                                                                                                      +1
                                                                                                                                                      а пароли просто дурацкие: Таньчик99
                                                                                                                                                      Да, признаваться по телефону, что ты ставишь мягкий знак в буквосочетании «нч» — это, наверное, очень стыдно.
                                                                                                                                                      Хотя для девочки 99 года рождения может и не так стыдно.
                                                                                                                                                        –1
                                                                                                                                                        Наверное, подразумевалось, что это уменьшительно-ласкательное от «Таня»:)
                                                                                                                                                          0
                                                                                                                                                          По-вашему, это как-то влияет на правило написания «нч»?
                                                                                                                                                            0
                                                                                                                                                            Я не grammar-nazi, забыл уже некоторые правила.
                                                                                                                                                    0
                                                                                                                                                    Счётчик в начале :)

                                                                                                                                                    У нас хватает шести букв и менять нужно раз в три месяца, уже дошёл до цифры 5.
                                                                                                                                                      0
                                                                                                                                                      Я придумал список из ≈ 30 несложных английских слов, которые используются в основе паролей. Слова абсолютно разные, но подчиняются определенному правилу упорядочивания, по которому можно сразу назвать слово, следующее за текущим. Если список забуду, его легко нагуглить, зная, что оно такое на самом деле :)

                                                                                                                                                      Применяю только для тех паролей, которые принудительно заставляют менять (то есть, на работе). А для всего остального — файлик KeePass'a, синхронизируемый с ноутбуком и мобилками.

                                                                                                                                                      Долгое время пользовал систему, упомянутую Fedia — развесистое начало + суффикс, зависящий от типа ресурса. Но она себя не оправдала в конечном итоге; то ли не смог я стройно суффиксы распланировать, то ли слишком много их стало… Короче, всё чаще начал тупить, вспоминая: что-то-там_web, или что-то-там_admin, или что-то-там_site

                                                                                                                                                      С тех пор только KeePass.
                                                                                                                                                        –1
                                                                                                                                                        Просто столбики клавиш на клавиатуре. Типа 1qazXSW@.
                                                                                                                                                        0
                                                                                                                                                        С одной стороны, менять пароли это жуткий гемор и застявлять это делать скорее всего излишне.
                                                                                                                                                        С другой, у многих людей (в том числе у меня), один и тот же пароль используется в разных системах. Выходит, что если этот пароль стал кому-то известен, или, еще хуже, база с нешифрованными паролями потерялась / украли / одолжили, то есть шанс что вы смените пароль раньше, чем злоумышленник поймет что этот самый пароль подойдет к большинству ваших аккаунтов, и главное — обнаружит эти аккаунты.
                                                                                                                                                          0
                                                                                                                                                          Немного не про пароль но не могу удержаться. По поводу стоимости минуты, потраченной на безопасность очень полезно было бы почитать нашим чиновникам, пишущим законы об ЭЦП.

                                                                                                                                                          Электронная сдача отчетности в текущем виде работает очень хреново изза всей этой галиматьи с операторами связи, электронными подписями, ключами, е-токенами дьявольским шифрованием и ужасно сложным процессом. Зачем все это если в реальности хватило бы заглаза пары логин пароль полученной один раз в налоговой.

                                                                                                                                                          Даже если бы десятая доля процента отетности была бы мошеннической, это ничто по сравнению с полным избавлением от очередей в налоговых и простотой сдачей отчетности в подавляющем большинстве случаев — без плясок с бубном вокруг дико кривых и глючных программ от операторов связи.

                                                                                                                                                          Недавно имел опыт по установке СБИС — реально убили 11 часов! пока настроили все и отправили отчет.

                                                                                                                                                            0
                                                                                                                                                            Я бы сказал не логин/пароль, полученные один раз, а карта с одноразовыми паролями, заменяемая при необходимости. Или пароли, присылаемые по смс. Или… да много вариантов, все это десятки раз в банках внедрено и обкатано.
                                                                                                                                                              0
                                                                                                                                                              Да, OTP.
                                                                                                                                                              0
                                                                                                                                                              ну вы как не в россии живете :)
                                                                                                                                                              налоговой же это всё жить не мешает? 11 ваших часов абсолютно бесплатны для них.
                                                                                                                                                              –10
                                                                                                                                                              А потом удивленно хлопают глазками и удивляются: «А почему почти все грамотное айти сообщество так критикует Мелкомощный ?»

                                                                                                                                                              Менять пароли не рационально? — БРЕД!
                                                                                                                                                              Тупые пользователи не способные придумать и запомнить нормальный пароль, лень и криворукость — вот в чем основная проблема безопасности. А разработчиков ПО, таких Гигантов как Микрософт должны заботить вопросы как помочь безтолковым юсерам, а не как упростить себе задачу.

                                                                                                                                                              Товарищи из «Мирового Гиганта», пишите качественные защитные системы, ищите жуков и совершенствуйте существующее, а не разводите философию. да, ваши новые обвертки красивы, но конфеты внутри давно уже стухли…

                                                                                                                                                              Это мое личное ИМХО, не обязательно верное.
                                                                                                                                                                +1
                                                                                                                                                                Вы не поняли о чём статья.
                                                                                                                                                                  +3
                                                                                                                                                                  Как высокомерно: «все грамотное айти сообщество», «критикует». Да бросьте, большинство «айти сообщества» просто поливает ms, а действительно грамотные специалисты не влазят в споры троллей.
                                                                                                                                                                    0
                                                                                                                                                                    то есть вы не грамотный специалист? :)
                                                                                                                                                                      0
                                                                                                                                                                      Осталось только спросить: а почему вы сюда влезаете? :)
                                                                                                                                                                        0
                                                                                                                                                                        так и думал что это напишите. :)
                                                                                                                                                                    0
                                                                                                                                                                    Вот что значит пойти против общественности. Не принимают критики, просто уничтожат :) Да, так проще.

                                                                                                                                                                    Что ж, наверное я негативный персонаж :)
                                                                                                                                                                    0
                                                                                                                                                                    все, конечно, так. Но что, если у вас украли пароль например от мыла. И постоянно читаю вашу почту. Либо еще как-то используют ваш пароль, чтоб постоянно иметь доступ к каким нибудь важным файлам скажем корпоративной сети. И если пароль не сменить, злоумышленник так и будет этим пользоваться, потихоньку «подворовывая».

                                                                                                                                                                    Так что вот так.
                                                                                                                                                                      +2
                                                                                                                                                                      Что мешает ему украть новый пароль ещё раз?
                                                                                                                                                                        0
                                                                                                                                                                        в зависимости от того как он украл первый. Если троян-кейлоггер или перехват сетевого трафика то ничего. если подсмотрел, брутфорс итд то время.
                                                                                                                                                                          0
                                                                                                                                                                          Если кто-то спёр рутовый пароль от системы, то уже ничего не поможет.
                                                                                                                                                                            0
                                                                                                                                                                            всё зависит от средств защиты которые применяются на этом компьютере.
                                                                                                                                                                              0
                                                                                                                                                                              Ну это всё можно нейтрализовать, имея полный доступ.

                                                                                                                                                                              Если только там все операции не выводятся на ленту :)
                                                                                                                                                                        0
                                                                                                                                                                        А сисадмин или служба безопасности у вас в организации на что со всеми их защитами, логами и т.п. Именно они должны заниматься отловом злоумышленника, а не ипать мозги всему персоналу конторы.
                                                                                                                                                                          0
                                                                                                                                                                          Вы похоже статью не читали… исследователь говорит о том что, если у вас нет важной информации (об этом можно поспорить, может и не ту, но можно использовать акаунт, компьютер как плацдарм) то смена пароля и другие меры безопасности не эффективны.

                                                                                                                                                                          Ваш сосед по рабочему столу подсмотрел у вас пароль. И теперь периодически заходит на ваш компьютер потырить чтобы допустим посмотреть как это у вас так получается выполнять план продаж аж в три раза быстрее чем он…

                                                                                                                                                                          Со стороны СБ первоначально выявить такое затруднительно. (разве что cctv может такое показать, но кто же их смотрит пока нету инцидента)

                                                                                                                                                                          P.S. да пароли не эффективны сами по себе, но я не эффективно использование смарт-карт, если их сотрудники оставляют их на рабочем столе и уходят…
                                                                                                                                                                        +3
                                                                                                                                                                        Главное, чтоб пароли были разные. Тогда можно и не менять их. А то, если он один, то его ценность сразу возрастает.
                                                                                                                                                                          +1
                                                                                                                                                                          Пароли в том виде как они сейчас есть вообще никуда не годяться. По хорошему юеру надо придумывать для каждого маломальского сайта свою связку логин-пароль. Что запомнить очень трудно, особенно если сайт нужен раз в год. (Сегодня опять пришлось восстанавливать пароль от программы обновления карт GPS).

                                                                                                                                                                          Идеальный вариант это аунтификация по ключам, а вот свой ключ можно хранить уже как угодно, хоть в открытом виде с правами r--, хоть на супер-пупер секьюрной флешке с авторизацией по отпечатку пальца.

                                                                                                                                                                          Собственно об этом надо думать, а не заставлять юзера менять пароль с qwerty на ytrewq раз в месяц.
                                                                                                                                                                            0
                                                                                                                                                                            Для сайтов можно использовать что-то вроде SuperGenPass. (Правда он глючит с хромом, но для него есть расширение.)
                                                                                                                                                                              0
                                                                                                                                                                              lastpass наша мама.
                                                                                                                                                                            –1
                                                                                                                                                                            Снова желтые заголовки?
                                                                                                                                                                              0
                                                                                                                                                                              Не «Microsoft подсчитала» а «один из исследователей… опубликовал работу».

                                                                                                                                                                              Не «менять пароли невыгодно» а «соотношение трудозатрат и выгод» «не выгодно для пользователя».

                                                                                                                                                                              И речь не только о смене пароля, но о комплексе «процедур по безопасности».

                                                                                                                                                                              В статье — типичное передергивание и демагогия. Исследователь Херли? Торт ли?
                                                                                                                                                                              +1
                                                                                                                                                                              В интернете в большинстве случаев пароли нужны не пользователям, а владельцам ресурсов.
                                                                                                                                                                              Вот, хочу я узнать как правильно надувать мыльные пузыри, нахожу в поисковике форум надувателей мыльных пузырей, и хочу задать вопрос… и тут на тебе — регистрация. берем пароль 123, задаем вопрос и забываем этот форум навсегда. Или не навсегда. Теперь уже неважно.

                                                                                                                                                                              И так везде. А заставлять менять пароли вредно, ибо это стимулирует ставить простые пароли.
                                                                                                                                                                              (Разок заставить, конечно, можно. При регистрации. Но это уже не совсем во благо пользователя)
                                                                                                                                                                                +1
                                                                                                                                                                                В таких случаях лучше использовать сервис BugMeNot — либо не придётся самому регистрироваться, либо поможете не регистрироваться другим.
                                                                                                                                                                                  0
                                                                                                                                                                                  Спасибо большое за ссылку. Не знал о наличии такого полезного сервиса. Сам над чем-то подобным думал, правда в направлении — для друзей и знакомых. А тут — вообще для всех.
                                                                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь