11 Декабря, 2013

Ментальный троян

InfoWatch
Не очень давно, в 945 году произошёл один известный хак системы безопасности при помощи социнженерии. При осаде города Искоростеня киевская княгиня Ольга согласилась прекратить боевые действия, приняв символическую дань от города – по одному голубю и одному воробью от каждого двора. Но после передачи птиц, честно наловленных жителями, их выпустили, предварительно привязав к лапкам зажигательное оружие. Птицы немедленно вернулись по домам. Город сгорел.
       

Как ни странно, этот приём работает до сих пор.

Иные админы и безопасники настаивают на хранении паролей исключительно в голове. Часть пользователей на эту разводку попадается и запоминает свои секреты. Но поскольку мозг не резиновый, удержать в памяти удаётся только 3-4 пароля. Таким образом, если предложить человеку выбрать логин-пароль для регистрации в какой-либо системе, то с большой вероятностью он выберет так, что выдаст свой пароль в других системах. Когда это произошло, то НСД может случиться уже через несколько секунд после регистрации – в автоматическом режиме.

Простой человек, который не учил ни историю, ни информационную безопасность, уберечься не сможет. Поэтому взломанные аккаунты электронной почты и соцсетей продаются на чёрном рынке  по нескольку долларов за тысячу. Огромными партиями.

Думаю, пользователям надо попросту запретить запоминание. Так и в политику безопасности записать: на свою память не надейтесь.

Лучше выдать им маленькие чёрные книжечки или какие-нибудь иные портативные устройства для хранения паролей. Что вы говорите? Потеряет? Может быть, иной раз и потеряет. А каков размер убытков при утрате среднего пароля? Мы когда-то это дело оценивали – получилось порядка 1 000 рублей. Нормальный человек безо всякого страха носит в кошельке тысячерублёвую купюру. Даже несколько. И считает риск утраты вполне приемлемым. Почему же блокнотик с паролями нельзя носить?

или введите имя

CAPTCHA
Юрий
11 Декабря, 2013
На мой взгляд, проблема хранения пароля снимается, если использовать некий алгоритм генерации пароля. Зависящий от имени ресурса. Например, прибавлять к имени ресурса некую строку и считать хэш. И часть этого хэша использовать как пароль.
0 |
Bird
11 Декабря, 2013
А теперь попробуй это объяснить бухгалтеру тети Маши! Сразу получишь хэш в зарплату и MD5 в премию [
0 |
Наивный пипл
15 Декабря, 2013
Ваш совет немного вредный. 1. Простое объединение строк используется при подсаливании — когда соль является несекретной информацией. Если же дополнительный ключ должен оставаться в секрете, то необходимо использовать HMAC. 2. Подобные идеи лежат на поверхности, и практических вариантов (лёгких для запоминания и выполнения на любом попавшемся компьютере) не так уж много, то есть это получается security through obscurity, что есть очень плохо. Если секретный ключ будет не слишком сложным, а тем боее если его применять неправильно (типа как вы советуете), то злонамеренный владелец сайта без труда вычислит ваш ключ в автоматическом режиме. То есть по сути ничего не изменилось, но вы наивно продолжаете геморроиться, будучи уверенным в своей защищённости.
0 |
Просто User
12 Декабря, 2013
Я что-то сомневаюсь что птицы, с привязанным к лапкам "зажигательным оружием", немедленно вернулись по домам. Животные огня очень боятся и впадают в панику. А так, да, доходчиво описана проблема. Которая, как обычно, в головах у людей.
0 |
Басист Валера
16 Декабря, 2013
Я эту историю читал в сборнике китайских стратегм (кста рекомендую к прочтению), там эта история звучит так: Тысяча кошек и десять тысяч ласточек "Осада выдалась тяжелой, так что Темучин решил уйти. Он пообещал защитникам города, что не пойдет более на приступ, если те откупятся тысячью кошек и десятью тысячами ласточек. Нин-ся как раз славился изобилием этих животных. Осажденные немало подивились странной просьбе, однако устроили облаву и преподнесли требуемый выкуп, не отпирая при этом ворот. Темучин и не полагался на такое. Он просто повелел к хвостам животным привязать по клочку ваты, поджечь его и отпустить всех разом. Легко догадаться, что последовало дальше: растерянные кошки бросились со всех ног в свои убежища, а испуганные ласточки полетели к своим гнездам. В один миг деревянный город занялся пожаром. А когда все было объято пламенем, конница Темучина почти без боя ворвалась в крепость"
0 |
Keith
30 Января, 2014
Keith
http://poker-igri.ru У народа зоркие очи http://casinojunky.com а руки щедрые очень. http://romneyroulette.net
0 |
Chris
30 Января, 2014
Chris
http://kingspokernetwork.com Лучше родины – нет земли http://casinositerank.com лучше родного народа нет народа. http://casinoproductsinc.com
0 |
Rona
31 Января, 2014
Rona
http://www.de-ussr.com Недавно из двора http://www.kordi.info а вошь изняла. http://www.tehnika-de.ru
0 |
Zach
31 Января, 2014
Zach
http://diagnostmaster.ru Птицу узнают в полете http://casino-igri.ru а человека в работе. http://igri-casino.ru
0 |