Вчера я получил от Parallels письмо следующего содержания:
Вроде все понятно. Произошла компрометация большого числа почтовых учетных записей Яндекса, Mail.ru и Gmail. Некоторые компании, у которых пользователи регистрировались с указанием e-mail с указанных почтовых сервисов, решили побеспокоиться о своих клиентах и, кто-то просто предупредил о необходимости сменить пароль, кто-то решил сработать на опережение и заблокировал учетные записи, так сказать "во избежание".
И вот тут начинается самое интересно. Ни одной моей учетной записи скомпрометировано не было, но я все-таки получил сообщение о блокировке. Яндекс утверждает, что утечка произошла не у них, а путем фишинга и снифинга паролей у пользователей в течение длительного времени. Кто-то считает, что дело не чисто и есть некоторые сомнения в невиновности Яндекса. Я не буду сейчас вникать в это. Я хочу вернуться к теме, которую я поднимал в прошлом году - про слишком избыточную привязку к e-mail, как средству идентификации пользователя.
Что сделал Parallels, решив побеспокоиться обо мне? Заблокировал учетку и попросил доказать, что я - это я. И вот дальше самое интересное. Я захожу по ссылке на сайт Parallels, где меня просят указать мой... якобы "скомпрометированный" e-mail. Зачем? Вот какой в этом потаенный смысл? Если мой почтовый ящик не скомпрометирован, то мне достаточно было бы прислать напоминание о необходимости более внимательно относиться к своей безопасности или попросить привязать мою учетную запись не только к e-mail, но и к номеру мобильного телефона или использовать другой механизм (тот же Google Authenticator).
Если же мой почтовый ящик скомпрометирован, а Parallels именно это и подозревает (иначе нафига было блокировать мою учетную запись), то зачем отправлять на скомпрометированный e-mail инструкцию и ссылку на восстановлению доступа? Получается замкнутый круг :-(
Спустя какое-то время я получаю на ту же самую почту стандартное письмо с ссылкой на смену пароля.
Пройдя по ссылку, я меняю пароль и вуаля, я вновь имею доступ к своей учетной записи. По сути я проделал кучу манипуляций только ради того, чтобы сменить пароль к моей учетной записи на сайте Parallels. При этом, если раньше злоумышленник пароля на доступ к Parallels не знал вовсе, то теперь именно он его и установил (при условии компрометации почтового ящика). Удобно, ничего не скажешь.
Собственно винить Parallels тут и сложно и должно. Сложно, потому что у них врядли есть мои контакты кроме e-mail. Должно, потому что давно стоило бы использовать многофакторную аутентификацию и не просто запросить у меня номер мобильного телефона (такое поле есть в профиле пользователя, но оно необязательное), но и использовать его для восстановления доступа к учетной записи. Но другим компаниям, которые используют регистрацию пользователей на своих сайтах стоит подумать над изменением процесса регистрации, а точнее механизма идентификации пользователя.
ЗЫ. Единственное, что меня смущает во всей этой истории - позиция CISO Parallels. Алексей утверждает, что восстановление пароля по описанной мной процедуре не зависит от компрометации почтового ящика и полностью безопасно. Возможно это и так, и от пользователей просто скрывается сверхсекретная и сверхзащищенная процедура идентификации пользователя скомпрометированного почтового ящика. Но вот гложут меня сомнения все-таки...
11 коммент.:
Ох. Все-таки в твитере решительно невозможно давать какие-то развернутые объяснения -- никто так и не понял. Хорошо, расскажу здесь. Почему "совы -- не то, чем кажутся".
Давайте смотреть на это не как на блокировку учетной записи, а как очень настойчивое напоминание сменить пароль. Ну, это ориентировано на частных пользователей, тут нет парольных политик в привычном нам понимании.
И да, нам совершенно все равно (YMMV, ну, практически все равно), если это сделает злоумышленник. Нам важно, чтобы пользователь зашел таки и его поменял -- хотя бы еще раз, заметив подозрительную активность.
Почему и почему тут не нужна многофакторная аутентификация? Потому что в том, что мы защищаем -- доступе к пользовательским компьютерам через Parallels Access де факто она уже есть! Одновременно с деактивацией учетки мы сбросили все настройки взаимного доверия с клиентских устройств. Так что все устройства нужно регистрировать заново, а зарегистрировать там новый мобильный клиент, не привязанный к пользовательскому десктопу, у злоумышленника не получится.
Вот, собственно, и все. А в самом "личном кабинете" защищать нечего.
Да, в этой схеме при определенном уровне безответственности пользователя остаются зазоры, но тут уже мы бессильны.
Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.
Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.
Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.
arkanoid: вот что ж ты к этому Access привязался. Ну нет его у меня и не было никогда. У меня только ваша виртуалка и все.
И если у меня нет Access, и вам пофигу, что пароль может поменять злоумышленник, то в чем смысл был всей этой акции?
Для перестраховки как-то муторно получилось. А с точки зрения безопасности и вовсе коряво.
sitnoff: не панацея, но лучше, чем привязки нет
Возможно скомпроментированный аккаунт с неизвестным статусом, на мой взгляд, хуже, чем аккаунт на котором после блокировки N раз поменяли пароль.
Ну так вот именно. Я не вижу проблем в том, что мы посылаем нотификацию на скомпрометированный почтовый ящик. Если даже злоумышленник уведет его насовсем, лучше завести новую учетку, чем держать в неизвестном статусе. Предложи сценарий лучше?
А мой ящик не был скомпрометирован. Ни по одной из баз
Того, что его не было в опубликованных базах, недостаточно, чтобы это утверждать ;-)
Это паранойя :-) Тогда ничего не мешает утверждать, что его тырят каждые 37 минут и каждые 37 минут надо их обнулять :-)
Отправить комментарий