Несмотря на летнее затишье, новостей в мире информационной безопасности на удивление много. Их мы сейчас и обсудим в формате дайджеста.
Самая, пожалуй, тревожная и трендообразующая новость пришла к нам из соседней Белоруссии: там собираются регулировать законодательно поведение пользователей в социальных сетях . Не секрет, что многие удивительные законы российский "взбесившийся принтер" заимствует именно из страны процветающего социализма, поэтому можем ожидать, что подобный закон может в обозримом будущем появиться и у нас.
Знаете, самое удивительное, что лично я не сильно против подобного закона, только не от российских законодателей. Почему? Потому что социальные сети нуждаются в нем, так как они как никакое другое проявление интернета моделируют оффлайновое общество, но законами оффлайнового общества не регулируются. Я бы, например, запретил регистрацию в соцсетях до 13-14 лет, установил обязательную норму по двухфакторной авторизации... Впрочем, скорее всего, у нас это будет в духе последних законов про религии и усыновление, потому что "хотели как лучше, а получилось как всегда".
Еще одна радостная новость, которую хочется обсудить, посвящена банковским картам. Согласно данным исследования компании DataGenetics, проанализировавшей 3,4 млн четырехзначных пин-кодов, один из 10 столь распространен, что взломщики угадывают его с первой попытки. Как то ни странно, новость действительно радостная, потому что 10% - это отличная цифра для такой ненадежной штуки, как PIN-код. Правда, в реальности у злоумышленника три попытки, то есть, вероятность успешного подбора пин-кода составляет уже около 20%, что не так и плохо. В общем, мы в лишний раз убедились, что пин-коды - зло, и будущее за оплатой смартфонами с NFC-чипами.
Ну, и на закуску такая новость: Twitter изменил метод двухфакторной аутентификации, исключив отправку SMS. При каждой попытке войти в учетную запись пользователям будет приходить уведомление с запросом подтверждения учетных данных .
В чем суть? Твиттер будет генерировать ключ каждый раз заново, оставляя его на телефоне, при этом ключ - это не обычный цифро-буквенный код, а 2048-битный RSA-ключ. Что мы можем вынести из этого информационного сообщения? Что все популярные сервисы, которыми пользуются официальные лица и серьезные организации, должны воспользоваться чем-то подобным, чтобы исключить кражу учетных записей. Потому что цена подобного инцидента, как и любого другого инцидента ИБ, может быть слишком высока... И тенденция такова, что скоро с обычным телефоном не залогинишься в Твиттере, как и со смартфоном на непопулярной платформе. Так что всё-таки в покупке айфонов есть смысл.
