Побочные эффекты “методик” придумывания паролей

Да, очевидно, что использование одним пользователем одинакового пароля для нескольких сервисов – это плохо. Мало того, что могут специально заманить пользователя на некий специальный ресурс, а там предложить зарегистрироваться и выведать “стандартный” пароль, так ещё теперь пароли массово утекают из-за безалаберности администрации вполне добропорядочных ресурсов, не планировавших что-то там “взламывать” самостоятельно. Часто, во взломанной базе аккаунтов содержатся ещё и адреса e-mail. Если использован общий пароль, то злоумышленник уже знает к какому почтовому ящику данный пароль подходит.

Наивные методики конструирования запоминающихся паролей сильно портят ситуацию, если суммируются с проблемами в области обеспечения безопасности того или иного популярного сервиса. Так, многие и многие используют в качестве пароля номер своего мобильного телефона. Получается, что такой пользователь не просто “раскрыл пароль”, но ещё и довольно точно обозначил себя персонально, сообщив, так сказать, контактные данные. Личный телефонный номер, идущий в одном пакете с доступом к почтовым сообщениям, личной переписке на форуме – это просто клад для специалистов в социальной инженерии. Пользователи полагают, что некий абстрактный “взломщик” не знает их номера телефона (некоторые используют отдельный, “особо личный” номер), и этим обеспечивается “секретность”. Выходит, что в современной практике Интернета ситуация обращается: действительно не знавший данного пользователя “собиратель баз аккаунтов” получает тот самый номер, и теперь уже как бы с пользователем хорошо знаком.

(А кроме того, неприятно, что на дворе уже 21 век, а некоторые массовые интернет-сервисы продолжают пароли в открытом виде хранить, ну как при царе Горохе. Модель угроз у них, видишь ли, другая, искажённая до потери связи с реальностью.)

Адрес записки: https://dxdt.ru/2011/06/29/3833/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 7

  • 1. 29th June 2011, 21:24 // Читатель зашел в гости написал:

    По-моему, корень проблемы – это колоссальный разрыв между разнообразием+сложностью различных услуг, предоставляемых через интернет, и уровнем знаний обывателя о них.

  • 2. 30th June 2011, 14:29 // Читатель mihanick написал:

    Корень проблемы вообще растёт из глубокой древности. Ещё в мультфильме “Белоснежка…” показано, как гномы, выходя из шахты, закрывают её на ключ и вешают его рядом на гвоздик =)))

  • 3. 30th June 2011, 15:21 // Читатель jno написал:

    зашел в гости, как это оправдывает хранение паролей открытым текстом операторами сервисов?

    ЕМНИМС, уже “при царе горохе” так не делали – благо, пример unix у всех уебмастеров был, что называется, под носом.

  • 4. 30th June 2011, 15:30 // Читатель jno написал:

    Опять же, для массового пользователя, скорее всего, имеет прямой смысл пользоваться сервисами типа http://clipperz.com/ и https://lastpass.com/ – на многочисленных форумах использовать генерённые стойкие пароли, которые не надо помнить.

  • 5. 30th June 2011, 17:37 // Читатель зашел в гости написал:

    jno,

    я имел ввиду использование сотового телефона в качестве пароля, и откровенно слабые пароли в общем (“12345”, “qwerty”, свое имя, телефон и т.д.) – это от непонимания того, что есть стойкий пароль, и каковы будут последствия, если злоумышленники его угадают.
    Насчет хранения паролей открытым текстом – вы 100% правы, это явное отсутствие профессионализма со стороны провайдера. Алгоритмы шифрования известны и давно написаны на разных языках. Не хватает знаний – скопируй тот же blowfish…

  • 6. 30th June 2011, 21:19 // Читатель kaschey написал:

    Надо бы аппаратные ключи ввести для идентификации. Только такие, чтобы можно было заказать дубликат, а утерянный ключ “отключить” навсегда. И паролей бы вводить не пришлось, время тратить. Вставил в USB порт и получи доступ.

  • 7. 1st July 2011, 13:06 // Читатель jno написал:

    > Только такие, чтобы можно было заказать дубликат,
    > а утерянный ключ ?отключить? навсегда.

    и как же отличать дубликат от потерянного?
    серийным номером? :)