Кстати, заметьте, вы сказали про какашки мамонтов, потому что какашки древних людей сейчас никому не нужны.
Так почему вы решили, что они в будущем кому-то будут интересны?
Только вот не понятно. Если писать в один топит, то нужно задать тематику.
Идея в том, чтобы на Хабре реализовать новый удобный функционал для вопросов/ответов на IT-тематику. Тут никто не предлагает для этого использовать блоги, т.к. это неудобно.
Это не сильно поможет.
Могут же запрашивать пароль самого начальника отдела. В компании на тысячи человек вы даже начальников отделов знать не будете. Тогда требовать подтверждения от начальника управления? А дальше у начальника департамента/дирекции и так до самого верха иерархической лестницы до председателя правления? А если вышестоящий начальник в отпуске/занят/недоступен?
Или скажут, что сейчас в отделе уже никого нет, а пароль нужен срочно, иначе не успеют отправить сегодня сверхважную отчётность. Ну и много других методов убеждения и упрашивания со слёзными обещаниями завтра оформить официальную письменную заявку за подписью любого начальника.
И я уверен, что в большинстве подобных случаев им удастся убедить сбросить пароль.
Социальная инженерия в подобных вопросах работает, даже не сомневайтесь.
Если ваша универсальная схема формирования пароля предполагает большую длину пароля или использование спец-символов, то на этом сайте она споткнётся и придётся отказаться от универсальности для этого сайта и постоянно помнить это.
В итоге цель (упростить запоминание пароля) не будет достигнута.
Парольная защита действительно малоэффективна. Ведь всё равно остаётся пресловутый человеческий фактор, благодаря которому эту защиту можно обойти без больших трудозатрат.
Простой пример внутрикорпоративной уязвимости:
Некий внутренний злоумышленик решил получить доступ в какую-то внутрикорпоративную систему от имени другого сотрудника. Он звонит админам или в Хелпдеск, у которых есть право ресетить пользовательские пароли, представляется именем нужного сотрудника, говорит, что забыл пароль и просит его сбросить.
В большинстве компаний никакой защиты от этого нет, т.е. без всякого подтверждения личности звонящего сбрасывается пароль указанному пользователю.
Если это маленькая компания на несколько десятков сотрудников, то сотрудник, сбрасывающий пароль, может всех знать лично и легко идентифицировать по голосу. А если это компания с несколькими сотнями или даже тысячами сотрудников? Тогда идентификация по голосу уже не катит.
Даже если в компании есть привязка телефонного номера к сотруднику, то это тоже не панацея, т.к. реальный сотрудник может звонить не со своего телефона, а внутрикорпоративный злоумышленник может позвонить с телефона-жертвы.
Так что идеи Кевина Митника до сих пор живее всех живых.
Да, признаваться по телефону, что ты ставишь мягкий знак в буквосочетании «нч» — это, наверное, очень стыдно.
Хотя для девочки 99 года рождения может и не так стыдно.
и дописывать две первых буквы имени сайта — вот и супер пароль.
А потом попадётся какой-нить сайт, где его придурошный автор ограничил пароль по длине и/или почему-то решил, что в пароле нельзя использовать знаки $&@!?%#, а только буквы и цифры. И вся ваша стройная и универсальная система формирования паролей идёт нафиг.
В том-то и дело, что геймеры там могут и не попасть в армию :)
Слышал, что в Южной Корее топовые про-геймеры, которые лидируют во всяких чемпионатах по Starcraft/Warcraft приравниваются к профессиональным спортсменам и официально освобождаются от призыва в армию. Так-то!
Так почему вы решили, что они в будущем кому-то будут интересны?
Могут же запрашивать пароль самого начальника отдела. В компании на тысячи человек вы даже начальников отделов знать не будете. Тогда требовать подтверждения от начальника управления? А дальше у начальника департамента/дирекции и так до самого верха иерархической лестницы до председателя правления? А если вышестоящий начальник в отпуске/занят/недоступен?
Или скажут, что сейчас в отделе уже никого нет, а пароль нужен срочно, иначе не успеют отправить сегодня сверхважную отчётность. Ну и много других методов убеждения и упрашивания со слёзными обещаниями завтра оформить официальную письменную заявку за подписью любого начальника.
И я уверен, что в большинстве подобных случаев им удастся убедить сбросить пароль.
Социальная инженерия в подобных вопросах работает, даже не сомневайтесь.
В итоге цель (упростить запоминание пароля) не будет достигнута.
Простой пример внутрикорпоративной уязвимости:
Некий внутренний злоумышленик решил получить доступ в какую-то внутрикорпоративную систему от имени другого сотрудника. Он звонит админам или в Хелпдеск, у которых есть право ресетить пользовательские пароли, представляется именем нужного сотрудника, говорит, что забыл пароль и просит его сбросить.
В большинстве компаний никакой защиты от этого нет, т.е. без всякого подтверждения личности звонящего сбрасывается пароль указанному пользователю.
Если это маленькая компания на несколько десятков сотрудников, то сотрудник, сбрасывающий пароль, может всех знать лично и легко идентифицировать по голосу. А если это компания с несколькими сотнями или даже тысячами сотрудников? Тогда идентификация по голосу уже не катит.
Даже если в компании есть привязка телефонного номера к сотруднику, то это тоже не панацея, т.к. реальный сотрудник может звонить не со своего телефона, а внутрикорпоративный злоумышленник может позвонить с телефона-жертвы.
Так что идеи Кевина Митника до сих пор живее всех живых.
Хотя для девочки 99 года рождения может и не так стыдно.
Слышал, что в Южной Корее топовые про-геймеры, которые лидируют во всяких чемпионатах по Starcraft/Warcraft приравниваются к профессиональным спортсменам и официально освобождаются от призыва в армию. Так-то!