Последним моим опросом на сайте был вопрос о том, как вы храните свои пароли. Судя по результатам, бытует уверенность, что антивирус и ‘фаервол’, способны защитить от взлома или кражи паролей, а вот защищенное хранилище или USB используют очень мало народу. То, что я хочу рассказать, для многих может быть очевидным. Тем не менее, остаются те, кто воспринимают способы защиты информации не совсем правильно. Начнем по порядку…
Антивирусы и Огненные стены.
Оба способа представляют собой программу, установленную на клиентской машине. Первая, проверяет память и файлы, вторая — интернет трафик. В идеальном мире, с этим софтом вы не подцепите никакой заразы ни из интернета, ни из EXE или PDF (и многих других) файлов. Допустим, что у вас именно такой софт, а вот у соседа по сети или провайдера его нет, зато сидит ‘снифер’ и нюхает трафик. ‘Нюхач’ пассивен, и никак себя не проявляет, однако после ввода имени пользователя и пароля вами на каком нибудь сайте, он все это бережно конспектирует и отправляет хозяину. Вы можете даже не вводить пароль, во многих случаях достаточно вашего ‘cookie’, который передается с каждым запросом.
HTTPS решает эту проблему — возможно, возразите вы. Но, во первых, HTTPS используется далеко не на всех сайтах, и во вторых рукопожатие между сайтом и вашим браузером происходит непосредственно перед посещением сайта, а значит, тоже может быть перехвачено и подменено (Man in the middle attack).
В итоге, даже самый лучший антивирус и фильтр трафика защитит только вашу машину, но не ваш трафик. Это просто не в их компетенции.
Я использую разные пароли.
Это то, что должно быть на первом месте любого пользователя интернетом. Представим снова вариант из предыдущего примера — ваш трафик нюхают. Вы заходите, на кокой нибудь развлекательный ресурс и вводите ваш логин и пароль. Это все, он известен нюхачу. В большинстве случаев на том, же сайте хранится и ваш email (вы его зарегистрировали для проверки) или просто на-каком нибудь форуме засветили тот-же логин и теперь все ваши комментарии можно найти в гугле.
В самом страшном случае у вас использовался один и тот-же пароль для всех ресурсов. Считайте, что все эти аккаунты вам больше не пренадлежат.
Я не храню пароли в браузере.
И правильно делаете, вообще, никакие пароли лучше не хранить на компьютере. Даже если он стоит в вашей комнате под замком. Тут целый букет вариантов, самые типичные из них:
- Подцепили заразу из интернета, та стащила пароли из ваших программ или прочитала нажатия клавиш. (поверьте, даже самый дорогой антивирус не даст вас 100% защиту, уж слишком ошибок в программах, через которые так и лезут к вам ‘черви’ и ‘рутпаки’).
- Пришел ‘друг’ пихнул в компьютер ‘флешку-грабилку’ и увел все ваши пароли максимум за 3 минуты.
- Отдали компьютер мастеру на лечение, тот, тем же софтом, собрал всю, нужную информацию.
Софта ‘для восстановления пароля’ великое множество, на любой вкус и совершенно бесплатно. Достаточно пол дня, чтобы собрать и автоматизировать подобный сборщик. И конечно, вышесказанное относится не только к браузеру, но и ко всему, более или менее популярному софту: сервис быстрых сообщений, почтовые клиенты и т.д.
Мои пароли больше 15 символов.
Да, может быть не 15, но как минимум 8. Дело в том, что сломан может быть не только ваш компьютер, но и сервер, на котором хранится пароль, в зашифрованном (по крайне мере стоит наедятся) виде. Если база получена и известен алгоритм шифрования (а он известен, сломана явно не только база), начинается подбор пароля. И тут в игру вступает время, которое понадобится для подбора. 5 символов — для современный мощностей, просто. А вот 10 символов — может стать непосильной задачей из-за комбинаторного взрыва.
Я меняю пароли, время от времени.
Некоторое время назад Microsoft-ом было проведено исследование, которое опровергло эффективность этого способа. На самом деле, зачем менять пароли если они и так везде разные и достаточно большие? Лично я меняю только особо критичные пароли, все что связанно с деньгами и личной информацией. Например, я меняю свою кредитную карту минимум раз в пол года (вот Вы, например, уверенны что с вашего кредитного счета не снимется но 1-2 доллара в месяц каким нибудь сервисом, который вы уже давным давно не используете? ).
Безопасное хранилище для паролей.
Из за невозможности (в силу безопасности) хранить пароли, в казалось бы привычном виде, появляется актуальна проблема — как надежно, удобно и безопасно удерживать их от посторонних глаз. Головной мозг, по крайне мере мой, не способен удерживать такое количество информации без искажений. Для этого все-таки нужен компьютер.
Я предложил два варианта, имеющие свои особые свойства, это безопасная база (обычно это сервисы на платной основе, интегрируемые в любой браузер) и хранение паролей на шифрованном USB или USB с KeePass — с главным паролем. Понятно, что оба имеют свои достоинства и недостатки. Лично я использую оба. Менее критичные пароли к сайтам, я храню в интернете с помощью замечательного плагина X-marks, а остальные пароли — pypal, сервера и IM — на шифрованном USB. Там же, все ключи для WebMoney.
Пароль достаточно велик для того, чтобы если USB будет украден или потерян, у меня будет достаточно времени, изменить все данные до того, как он будет вскрыт. Вот и все.
Результаты опроса о способе хранения паролей.
На данный момент 10 ответов ушло в ‘другое’. Неужели я что-то пропустил?
Метки:база данных, безопасность, интернет
Похожие статьи
- 7 января 2008 -- Страны Прибалтики теперь могут принимать платежи через PayPal. (0)
- 19 мая 2010 -- Популярность сайтов и объемы интернета. (0)
- 25 февраля 2010 -- Анонимная сеть на основе Freenet (3)
- 5 февраля 2009 -- Azure, Mesh и Live Services от Microsoft (1)
- 17 марта 2008 -- Скайп — дополнительные иконки. (13)
23 июля, 2010 at 8:18
Кстати уже многие пользователи сети понимают, что хранить пароли в брузере — зло. Но т.к. любой человек о-о-очень ленивый (зачеркни/добавь нужное количество «о»), то многие хранят пароли в браузере,… но не все. Хранятся в основном те пароли, которые не жалко потерять. Например от торрент ресурсов, второго почтового ящика, пароли от сайтов, которые хотели просто посмотреть и т.д. Пароли же от банков, «жизненно» важных сайтов или почты любовницы 🙂 такой пользоватетель никогда не будет сохранять в браузере. Поэтому «Я НЕ храню пароли в браузере» не подходит, подходит «Другое».
П.С. топик понравился.
23 июля, 2010 at 9:11
Ах да, в принципе, я тоже храню некоторые пароли в браузере, только не использую сам браузер, а XMarks. Связанно это исключительно с тем, чтобы они были доступны с нескольких компьютеров. Защищенности это тоже не добавляет никакой так-как основной пароль, все-таки хранится на всех машинах.
Спасибо, kd_41, за добрые слова и пояснение к ‘другому’ 😉