Один из шагов устранения большинства обычных уязвимостей – харденинг WAF, проверьте хотя бы свой сайт, от половины проблем не прикрыт он https://waf.secmy.app/
Маскирование данных снижает ущерб от человеческого фактора. Даже если база забыта, даже если доступы выданы шире, чем нужно, даже если дамп ушел за периметр. По замаскированным данным невозможно напрямую идентифицировать клиента
Перс данные должны быть пошифрованы на уровне приложения ключом среды до сохранения в бд, как следствие не нужно вспоминать про процесс маскирования данных, даже о локальном даме
Да и копия данных в целом не будет содержать идентификационной информации
Единственное, зачем может быть нужен User-Agent это отдать мобильную или десктопную версию
Как раз для этого он и не нужен, потому что проще обработать 1 или 0 (в идеальном мире):
The Sec-CH-UA-Mobile HTTP header is a user agent client hint that indicates whether the browser prefers a mobile user experience. It is sent by default without requiring the server to opt in via the Accept-CH header
Если аус современный, то пароль отсутствует бай дизайн
Если пароль есть - это не современный подход
Но для чего именно пароль? Ведь кейсов тьма: банально веб сервис, или что-то сложнее, как то: телефон, архив, ворд/пдф документ, код двери, вайфай (попробуй это фразу из статьи на ТВ ввести)
Как придумать надежный пароль и не забыть его?
Отвечая на вопрос в заголовке - юзать менеджер паролей и не мучать свой мозг сложносочинёнными правилами, те же вайфай и опароль от телефона - тоже в менеджер паролей ибо стоит признать - память она такая, забывает редко используемое
Использовать одну учётку более чем для одной цели в целом так себе путь
Ставить простой пароль
Кажется, что «слабые» пароли давно канули в прошлое
Пароли давно канули в прошлое, а не только лишь слабые
В рисках есть 4 пути: митигировать, принять, переложить и лучше всего - избежать, нет паролей = нет риска слабых паролей
специалисты могут забыть почистить тестовые данные и аккаунты. В итоге тестовая СУБД становится точкой входа, открывающей хакерам доступ к персональным данным клиентов, партнеров и сотрудников
Тестовые данные почти всегда содержат реальные данные 0_о
Таких "специалистов" надо бы лишать доступа к прод. данным
Плюс даже, если у них появилось желание скопировать данные, то доп шифрование на уровне приложения ключом прода неплохо так митигирует вероятность скопипастить данные
Выдавать избыточные привилегии
Про ревизию доступов - кмк лучше правильный процесс, даже если доступ был выдан на всё, то это должно быть зафиксировано в тикетной системе с указанием даты отзыва (а как уже будет отзыв реализован - не суть важно, может ручками, может автоматом)
логи фиксируют запросы, но не результаты
кмк и не нужно логировать результаты до тех пор, пока не триггернётся правило, что в выдаче сенситив инфа, соответственно DLP. Иначе у вас появится ещё одна неизменная база данных (логи ведь обязаны быть неизменными, иначе ценность их нулевая, как раз в случае реального расследования), а неизменная БД = невозможность удалить данные пользователя по его требованию
Побесить злоумышленника – святое дело, ведь его потраченное впустую время = потенциально кого-то спасти
Однажды они спалили токен к тг боту (привет вайбкодерам) - перенаправил хуки к себе. Как следствие я знал жертв, а злоумышленники - нет. У них там тикетная система была построена на хуках тг, оч неплохо. Ну и все аккаунты, благодаря боту спалились (куда нужно жалобы отправили)
Ещё был кейс - нехорошее ручное использование сервиса, так я слегка спалил красные флаги и вкрутил тупую защиту, о которой они не знали (вызов апи возвращал 200 OK, но ничего не делал). Как "атака" прекращалась – защита отключалась и я наблюдал, как они пытаются отладить своё решение, но во время ручного теста всё работало ожидаемо 😈
А разок прислали ссылку коллеге от DHL или банка, сервер был простеньким и укладывался через slow client attack на раз два, всю ночь они мучались, бедняги
Теперь жду, когда бы против парней заюзать React2shell 🫠
О, чуть не забыл - backup.zip и всё такое на фиш сайтах искать тоже полезно! Но увы, лишь раз сработало 🙃
Я этого и не утверждал, но определённо они уменьшают себе кучу рисков и расходов касаемо чисто компаний: общение с пользователями, рассылки СМС, в крайнем случае – траты на юристов. Для людей – современный безопасный и гораздо более удобный аус, чем пароли, для компаний – меньше трат. Приложить палец проще к телефону/компу, чем заставлять пользователя ждать, ожидание это опасно – он может передумать или поставить плохую оценку (актуально для сторов)
Вы можете хоть десять пасскеев резервных добавить (телефоны, менеджеры паролей, ОС, всякие гугл/эпол, юбикеи в конце концов)
И если вы потеряли один единственный ключ – ССЗБ, нужно было как с ключами от квартиры - делать запаску
А вот утеря единственного пароля это реальная печаль
Да что там говорить, для веб сервисов пароли уже прошлый век, глянуть хотя бы на багтехи, типа гугл, мс, да хоть ибей или дроп бокс – форсируют по полной программе (видимо бороться с фишами устали)
Именно!
Это лишь неудачная попытка сравнения экосистем
Если пользователь использует хром, то пересесть на иной браузер всё импортнув нет проблем
Хотя может с пасскеями и будет какой-то вендорлок
А использование менеджеров паролей не замыкает пользователя внутри системы?
Пароль один, а ключей в один акк добавить можно множество из разных экосистем
Мы используем пароли лишь, потому что программисты ленятся предоставить хотя бы альтернативу
Словно от ИИ текст прочёл с вкраплением рекламы
Один из шагов устранения большинства обычных уязвимостей – харденинг WAF, проверьте хотя бы свой сайт, от половины проблем не прикрыт он https://waf.secmy.app/
удивительно, что такое было в банке
Полуторагодовалый баян , https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clickfix-deception-a-social-engineering-tactic-to-deploy-malware/
Что делать - отключить win+r, и ещё пачка более полезных рекомендаций, чем "отслеживать поведение" гуглится просто, да хоть тут https://www.reddit.com/r/cybersecurity/comments/1ncyg2e/can_i_disable_win_r_shortcut_for_end_users/
Отслеживанием EDR занимается же, а не человек
Эволюция подхода ClickFix в FileFix опаснее будет 😉
Перс данные должны быть пошифрованы на уровне приложения ключом среды до сохранения в бд, как следствие не нужно вспоминать про процесс маскирования данных, даже о локальном даме
Да и копия данных в целом не будет содержать идентификационной информации
Терминология из статьи на которую ссылаются, кмк
Скрытый текст
И всё это можно опробовать тут https://neal.fun/password-game/ ;)
Но в целом нормально, я бы её рекомендовал до чтения Клеппмана
Как раз для этого он и не нужен, потому что проще обработать 1 или 0 (в идеальном мире):
Если аус современный, то пароль отсутствует бай дизайн
Если пароль есть - это не современный подход
Но для чего именно пароль? Ведь кейсов тьма: банально веб сервис, или что-то сложнее, как то: телефон, архив, ворд/пдф документ, код двери, вайфай (попробуй это фразу из статьи на ТВ ввести)
Отвечая на вопрос в заголовке - юзать менеджер паролей и не мучать свой мозг сложносочинёнными правилами, те же вайфай и опароль от телефона - тоже в менеджер паролей ибо стоит признать - память она такая, забывает редко используемое
Спам будущего: лучший пламбер, с которым вы работаете уже несколько лет по адресу бла бла, игнориуй остальные письма
Чуть докину:
Использовать одну учётку более чем для одной цели в целом так себе путь
Пароли давно канули в прошлое, а не только лишь слабые
В рисках есть 4 пути: митигировать, принять, переложить и лучше всего - избежать, нет паролей = нет риска слабых паролей
Тестовые данные почти всегда содержат реальные данные 0_о
Таких "специалистов" надо бы лишать доступа к прод. данным
Плюс даже, если у них появилось желание скопировать данные, то доп шифрование на уровне приложения ключом прода неплохо так митигирует вероятность скопипастить данные
Про ревизию доступов - кмк лучше правильный процесс, даже если доступ был выдан на всё, то это должно быть зафиксировано в тикетной системе с указанием даты отзыва (а как уже будет отзыв реализован - не суть важно, может ручками, может автоматом)
кмк и не нужно логировать результаты до тех пор, пока не триггернётся правило, что в выдаче сенситив инфа, соответственно DLP. Иначе у вас появится ещё одна неизменная база данных (логи ведь обязаны быть неизменными, иначе ценность их нулевая, как раз в случае реального расследования), а неизменная БД = невозможность удалить данные пользователя по его требованию
Побесить злоумышленника – святое дело, ведь его потраченное впустую время = потенциально кого-то спасти
Однажды они спалили токен к тг боту (привет вайбкодерам) - перенаправил хуки к себе. Как следствие я знал жертв, а злоумышленники - нет. У них там тикетная система была построена на хуках тг, оч неплохо. Ну и все аккаунты, благодаря боту спалились (куда нужно жалобы отправили)
Ещё был кейс - нехорошее ручное использование сервиса, так я слегка спалил красные флаги и вкрутил тупую защиту, о которой они не знали (вызов апи возвращал 200 OK, но ничего не делал). Как "атака" прекращалась – защита отключалась и я наблюдал, как они пытаются отладить своё решение, но во время ручного теста всё работало ожидаемо 😈
А разок прислали ссылку коллеге от DHL или банка, сервер был простеньким и укладывался через slow client attack на раз два, всю ночь они мучались, бедняги
Теперь жду, когда бы против парней заюзать React2shell 🫠
О, чуть не забыл - backup.zip и всё такое на фиш сайтах искать тоже полезно! Но увы, лишь раз сработало 🙃
Я этого и не утверждал, но определённо они уменьшают себе кучу рисков и расходов касаемо чисто компаний: общение с пользователями, рассылки СМС, в крайнем случае – траты на юристов. Для людей – современный безопасный и гораздо более удобный аус, чем пароли, для компаний – меньше трат. Приложить палец проще к телефону/компу, чем заставлять пользователя ждать, ожидание это опасно – он может передумать или поставить плохую оценку (актуально для сторов)
Вы можете хоть десять пасскеев резервных добавить (телефоны, менеджеры паролей, ОС, всякие гугл/эпол, юбикеи в конце концов)
И если вы потеряли один единственный ключ – ССЗБ, нужно было как с ключами от квартиры - делать запаску
А вот утеря единственного пароля это реальная печаль
Да что там говорить, для веб сервисов пароли уже прошлый век, глянуть хотя бы на багтехи, типа гугл, мс, да хоть ибей или дроп бокс – форсируют по полной программе (видимо бороться с фишами устали)
Because 9 8 2000
Неожиданное воспоминание разблокировано 🤪
FF: 9 & 93
Brave: 12.8 & 178
Батарея более 99%, gt 7, andr 16
Про задачи: статьи читать с отключенным JS по-дефолту – любой подойдёт
А вот ютуб без рекламы и странных редиректов – таки Brave ;)
Фи, какая старая
У меня уже 95-я!