- Хроники. - -
В интересах безопасности.
Posted By Ikutsin On 22 июля 2010 @ 11:04 In Обзоры,Индустрия IT | Comments Disabled
[1]Последним моим опросом на сайте был вопрос о том, как вы храните свои пароли. Судя по результатам, бытует уверенность, что антивирус и ‘фаервол’, способны защитить от взлома или кражи паролей, а вот защищенное хранилище или USB используют очень мало народу. То, что я хочу рассказать, для многих может быть очевидным. Тем не менее, остаются те, кто воспринимают способы защиты информации не совсем правильно. Начнем по порядку…
Оба способа представляют собой программу, установленную на клиентской машине. Первая, проверяет память и файлы, вторая — интернет трафик. В идеальном мире, с этим софтом вы не подцепите никакой заразы ни из интернета, ни из EXE или PDF (и многих других) файлов. Допустим, что у вас именно такой софт, а вот у соседа по сети или провайдера его нет, зато сидит ‘снифер’ и нюхает трафик. ‘Нюхач’ пассивен, и никак себя не проявляет, однако после ввода имени пользователя и пароля вами на каком нибудь сайте, он все это бережно конспектирует и отправляет хозяину. Вы можете даже не вводить пароль, во многих случаях достаточно вашего ‘cookie’, который передается с каждым запросом.
HTTPS решает эту проблему — возможно, возразите вы. Но, во первых, HTTPS используется далеко не на всех сайтах, и во вторых рукопожатие между сайтом и вашим браузером происходит непосредственно перед посещением сайта, а значит, тоже может быть перехвачено и подменено (Man in the middle attack).
В итоге, даже самый лучший антивирус и фильтр трафика защитит только вашу машину, но не ваш трафик. Это просто не в их компетенции.
Это то, что должно быть на первом месте любого пользователя интернетом. Представим снова вариант из предыдущего примера — ваш трафик нюхают. Вы заходите, на кокой нибудь развлекательный ресурс и вводите ваш логин и пароль. Это все, он известен нюхачу. В большинстве случаев на том, же сайте хранится и ваш email (вы его зарегистрировали для проверки) или просто на-каком нибудь форуме засветили тот-же логин и теперь все ваши комментарии можно найти в гугле.
В самом страшном случае у вас использовался один и тот-же пароль для всех ресурсов. Считайте, что все эти аккаунты вам больше не пренадлежат.
Я не храню пароли в браузере.
И правильно делаете, вообще, никакие пароли лучше не хранить на компьютере. Даже если он стоит в вашей комнате под замком. Тут целый букет вариантов, самые типичные из них:
Софта ‘для восстановления пароля’ великое множество, на любой вкус и совершенно бесплатно. Достаточно пол дня, чтобы собрать и автоматизировать подобный сборщик. И конечно, вышесказанное относится не только к браузеру, но и ко всему, более или менее популярному софту: сервис быстрых сообщений, почтовые клиенты и т.д.
Да, может быть не 15, но как минимум 8. Дело в том, что сломан может быть не только ваш компьютер, но и сервер, на котором хранится пароль, в зашифрованном (по крайне мере стоит наедятся) виде. Если база получена и известен алгоритм шифрования (а он известен, сломана явно не только база), начинается подбор пароля. И тут в игру вступает время, которое понадобится для подбора. 5 символов — для современный мощностей, просто. А вот 10 символов — может стать непосильной задачей из-за комбинаторного взрыва.
Некоторое время назад Microsoft-ом было проведено исследование, которое опровергло эффективность этого способа. На самом деле, зачем менять пароли если они и так везде разные и достаточно большие? Лично я меняю только особо критичные пароли, все что связанно с деньгами и личной информацией. Например, я меняю свою кредитную карту минимум раз в пол года (вот Вы, например, уверенны что с вашего кредитного счета не снимется но 1-2 доллара в месяц каким нибудь сервисом, который вы уже давным давно не используете? ).
Из за невозможности (в силу безопасности) хранить пароли, в казалось бы привычном виде, появляется актуальна проблема — как надежно, удобно и безопасно удерживать их от посторонних глаз. Головной мозг, по крайне мере мой, не способен удерживать такое количество информации без искажений. Для этого все-таки нужен компьютер.
Я предложил два варианта, имеющие свои особые свойства, это безопасная база (обычно это сервисы на платной основе, интегрируемые в любой браузер) и хранение паролей на шифрованном USB или USB с KeePass — с главным паролем. Понятно, что оба имеют свои достоинства и недостатки. Лично я использую оба. Менее критичные пароли к сайтам, я храню в интернете с помощью замечательного плагина X-marks, а остальные пароли — pypal, сервера и IM — на шифрованном USB. Там же, все ключи для WebMoney.
Пароль достаточно велик для того, чтобы если USB будет украден или потерян, у меня будет достаточно времени, изменить все данные до того, как он будет вскрыт. Вот и все.
На данный момент 10 ответов ушло в ‘другое’. Неужели я что-то пропустил?
Article printed from Хроники.:
URL to article: /1532-v-interesax-bezopasnosti
URLs in this post:
[1] Image: /wp-content/uploads/2010/07/members-login-right.jpg
[2] Просмотреть результаты: #ViewPollResults
Click here to print.
Copyright © 2008 Все, что меня окружает. All rights reserved.