12.12.2013

Безопасность в плену архаичных технологий

Технология №1. E-mail

Обращали ли вы внимание, что наша персональная безопасность очень сильно привязана к нашей электронной почте, а точнее к ящику электронной почты? И дело даже не в том, что потеряв/забыв пароль к своему ящику, вы лишаетесь всей почты, возможно, за долгие годы. Дело в другом - именно к вашему e-mail привязаны многие сервисы в Интернет и электронная почта - единственный ваш идентификатор и аутентификатор. Могу ошибаться, но по моим ощущениям около 90% всех Интернет-сервисов опираются только на e-mail в вопросе установления подлинности пользователя. Достаточно украсть учетную запись и вы получаете доступ ко многим ресурсам, к которым раньше жертва имела доступ.

Рекомендация будет простой - беречь свой почтовый account с молоду :-) Задействуйте те защитные меры, которые предлагают почтовые сервисы - ограничения точек входа, контроль точки последнего входа и т.п.

Технология №2. Секретный вопрос

Вторая архаичная технология - "секретный вопрос", которая позволяет вам восстановить доступ к тем или иным ресурсам, включая и электронную почту, от которой забыт или украден пароль. И тут владельцы многих сервисов не слишком активно проявляют фантазию - список "секретных вопросов" о-о-о-о-чень ограничен. Либо это банальный "девичья фамилия матери", либо "имя домашнего животного". Очень мало кто выходит за рамки этих двух вопросов, которые при современном развитии технологий OSINT не дают шансов на скрытие этой информации от интересующегося ока. Достаточно зайти на страницу пользователя в Facebook, ВКонтакте, Одноклассниках, как первая же фотка будет с домашним котэ или псом, а в списке друзей обнаружится и мама, у которой в скобочках обычно стоит девичья фамилия. Номер школы, город поступления в первый класс, любимая музыкальная группа, любимый фильм, имя супруги... Ответы на все эти "секретные" вопросы узнаются за несколько минут не шибко кропотливого поиска.

Рекомендация будет простой - прежде чем выбирать секретный вопрос подумайте, а такой ли он секретный и не ответили ли вы на него в социальных сетях или на иных Интернет-ресурсах? Если вам предлагается возможность самостоятельно выбрать вопрос, то будьте нетривиальны и задайте то, что можете знать только вы и может быть еще 1-2 человека - "месяц, когда у вам был первый секс", "имя вашей первой любви" (тоже часто публикуется, но все лучше "девичьей фамилии матери"), "название пионерского лагеря" (для нынешней молодежи лучше не применять), "первая компьютерная игрушка", "модель второго компьютера"... Если уж вас ограничили в списке вопросов, то хотя бы модифицируйте ответ. Например, к девичьей фамилии добавьте какую-то комбинацию символов.

Технология №3. Текстовый пароль

Текстовый пароль - это, наверное, самая первая защитная технология, которая приходит на ум рядовому пользователю. И пароль этот обычно текстовый и долгоиграющий, потому что мы пока не привыкли к одноразовым паролям, аппаратным токенам, графическим или звуковым паролям, парольным фразам и другим способам повысить низкую защищенность применения классических паролей. Мы привыкли, что пароль должен быть сложным и пытаемся выбрать нечто совершенно неудобное, сложнозапоминаемое и легкозабываемое. Ну зачем в пароле использовать символы в разных регистрах и спецсимволы? Почему недостаточно только букв в одном регистре и цифр (а можно и без цифр)? Потому что кто-то когда-то вбил себе в голову, что мощность алфавита пароля как-то влияет на сложность его подбора. Влияет... но линейно. А вот длина пароля влияет экспоненциально. Но формулу Андерсона уже мало кто помнит (а кто-то и вовсе не учил) и поэтому мы регулярно видим на разных сайтах при попытке ввести "слабый" пароль предупреждение, что "Вы должны использовать комбинации символов в разных регистрах, с использованием букв, цифр и спецсимволов". А итог печален - пользователь не запоминает такой пароль и записывает его в "труднодоступном" месте - в смартфоне или на бумажке, забытой в столе.  Да и сама форма пароля в виде текста - это анахронизм, пришедший к нам из времен, когда компьютеры могли эффективно работать только с ASCII. Тогда только как тексовым пароль и не мог быть. Сегодня технологии шагнули далеко вперед и возможно применение разных методов ввода пароля - графический, звуковой, биометрический и т.п. Почему бы авторам разных сервисов для разных платформ не использовать РАЗНЫЕ варианты ввода пароля?

Рекомендация будет следующей - если уж вам не оставляют вариантов и предлагают только текстовый пароль, то ориентируйтесь не на отдельные слова, а лучше на целые фразы (или определенные символы в словах фразы). И концентрируйтесь не на мощности алфавита, а на длине пароля.

5 коммент.:

Vair комментирует...
Этот комментарий был удален автором.
Vair комментирует...

По поводу формулы Андерсона. Какой вариант формулы имеется в виду? Можно ссылку на авторитетный источник...
Если имеется в виду вариант P>=TG/N, где N - кол-во возможных паролей, то N - это кол-во элементов в алфавите, в степени длины пароля(ей). Так что говорить, что мощность алфавита влияет линейно нельзя...

Ivan Petrov комментирует...

"месяц, когда у вам был первый секс" - подбирается брутфорсом максимум за 12 раз) но по статистике наверняка быстрее)

Tom комментирует...

> Если вам предлагается возможность самостоятельно выбрать вопрос, то будьте нетривиальны и задайте то, что можете знать только вы и может быть еще 1-2 человека - "месяц, когда у вам был первый секс", "имя вашей первой любви" (тоже часто публикуется, но все лучше "девичьей фамилии матери"), "название пионерского лагеря" (для нынешней молодежи лучше не применять), "первая компьютерная игрушка", "модель второго компьютера"...

Вот позволю себе вклиниться... по поводу месяцев и имен - это как раз-таки тривиально. С учетом количества месяцев в году нужно всего-то перебрать 12 вариантов. Женских/мужских имен у нас тоже не так чтобы уж очень много... По поводу остальных вопросов - тоже может быть проще простого подобрать правильный ответ (первая компьютерная игрушка и модель второго компьютера) для людей 80-х и ниже годов рождения по пальцам пересчитать вариантов подбора.

Хорошей практикой может быть периодическое изменение секретного вопроса или хотя бы время от времени заглядывать в настройки секретного вопроса и вспоминать свой ответ. Хотя бы для того, что человек сам перестает помнить ответ на вопрос, особенно если вопрос и ответ были хитровыдуманными. 10-15 лет назад человек отвечал на вопрос "ваше любимое блюдо", сегодня он с большой долей вероятности сам не вспомнит ответ.

Tomas комментирует...

Cisco Expo Learning Club, видимо, блог Алексея не читает.