Побочные эффекты “методик” придумывания паролей
Да, очевидно, что использование одним пользователем одинакового пароля для нескольких сервисов – это плохо. Мало того, что могут специально заманить пользователя на некий специальный ресурс, а там предложить зарегистрироваться и выведать “стандартный” пароль, так ещё теперь пароли массово утекают из-за безалаберности администрации вполне добропорядочных ресурсов, не планировавших что-то там “взламывать” самостоятельно. Часто, во взломанной базе аккаунтов содержатся ещё и адреса e-mail. Если использован общий пароль, то злоумышленник уже знает к какому почтовому ящику данный пароль подходит.
Наивные методики конструирования запоминающихся паролей сильно портят ситуацию, если суммируются с проблемами в области обеспечения безопасности того или иного популярного сервиса. Так, многие и многие используют в качестве пароля номер своего мобильного телефона. Получается, что такой пользователь не просто “раскрыл пароль”, но ещё и довольно точно обозначил себя персонально, сообщив, так сказать, контактные данные. Личный телефонный номер, идущий в одном пакете с доступом к почтовым сообщениям, личной переписке на форуме – это просто клад для специалистов в социальной инженерии. Пользователи полагают, что некий абстрактный “взломщик” не знает их номера телефона (некоторые используют отдельный, “особо личный” номер), и этим обеспечивается “секретность”. Выходит, что в современной практике Интернета ситуация обращается: действительно не знавший данного пользователя “собиратель баз аккаунтов” получает тот самый номер, и теперь уже как бы с пользователем хорошо знаком.
(А кроме того, неприятно, что на дворе уже 21 век, а некоторые массовые интернет-сервисы продолжают пароли в открытом виде хранить, ну как при царе Горохе. Модель угроз у них, видишь ли, другая, искажённая до потери связи с реальностью.)
Адрес записки: https://dxdt.ru/2011/06/29/3833/
Похожие записки:
- Техническое: связь SCT-меток с логами Certificate Transparency
- Бывшая "Яндекс.Почта"
- Экспериментальный сервер TLS 1.3: обновление
- Рассылка SMS и распределённые сети под управлением Telegram
- Наложенные сети Chrome для размещения сервисов
- Продолжение сегментации: Docker Hub
- Сообщения и приложения-мессенджеры
- Экспериментальный сервер TLS 1.3 - отключение
- Про цепочки, RSA и ECDSA
- ИИ-корпорация SSI и исправление кода веб-страниц
- Реплика: история с сертификатом Jabber.ru и "управление доверием"
Комментарии читателей блога: 7
1. 29th June 2011, 21:24 // Читатель зашел в гости написал:
По-моему, корень проблемы – это колоссальный разрыв между разнообразием+сложностью различных услуг, предоставляемых через интернет, и уровнем знаний обывателя о них.
2. 30th June 2011, 14:29 // Читатель mihanick написал:
Корень проблемы вообще растёт из глубокой древности. Ещё в мультфильме “Белоснежка…” показано, как гномы, выходя из шахты, закрывают её на ключ и вешают его рядом на гвоздик =)))
3. 30th June 2011, 15:21 // Читатель jno написал:
зашел в гости, как это оправдывает хранение паролей открытым текстом операторами сервисов?
ЕМНИМС, уже “при царе горохе” так не делали – благо, пример unix у всех уебмастеров был, что называется, под носом.
4. 30th June 2011, 15:30 // Читатель jno написал:
Опять же, для массового пользователя, скорее всего, имеет прямой смысл пользоваться сервисами типа http://clipperz.com/ и https://lastpass.com/ – на многочисленных форумах использовать генерённые стойкие пароли, которые не надо помнить.
5. 30th June 2011, 17:37 // Читатель зашел в гости написал:
jno,
я имел ввиду использование сотового телефона в качестве пароля, и откровенно слабые пароли в общем (“12345”, “qwerty”, свое имя, телефон и т.д.) – это от непонимания того, что есть стойкий пароль, и каковы будут последствия, если злоумышленники его угадают.
Насчет хранения паролей открытым текстом – вы 100% правы, это явное отсутствие профессионализма со стороны провайдера. Алгоритмы шифрования известны и давно написаны на разных языках. Не хватает знаний – скопируй тот же blowfish…
6. 30th June 2011, 21:19 // Читатель kaschey написал:
Надо бы аппаратные ключи ввести для идентификации. Только такие, чтобы можно было заказать дубликат, а утерянный ключ “отключить” навсегда. И паролей бы вводить не пришлось, время тратить. Вставил в USB порт и получи доступ.
7. 1st July 2011, 13:06 // Читатель jno написал:
> Только такие, чтобы можно было заказать дубликат,
> а утерянный ключ ?отключить? навсегда.
и как же отличать дубликат от потерянного?
серийным номером? :)