Security Lab

Ментальный троян

Ментальный троян
Не очень давно, в 945 году произошёл один известный хак системы безопасности при помощи социнженерии. При осаде города Искоростеня киевская княгиня Ольга согласилась прекратить боевые действия, приняв символическую дань от города – по одному голубю и одному воробью от каждого двора. Но после передачи птиц, честно наловленных жителями, их выпустили, предварительно привязав к лапкам зажигательное оружие. Птицы немедленно вернулись по домам. Город сгорел.
       

Как ни странно, этот приём работает до сих пор.

Иные админы и безопасники настаивают на хранении паролей исключительно в голове. Часть пользователей на эту разводку попадается и запоминает свои секреты. Но поскольку мозг не резиновый, удержать в памяти удаётся только 3-4 пароля. Таким образом, если предложить человеку выбрать логин-пароль для регистрации в какой-либо системе, то с большой вероятностью он выберет так, что выдаст свой пароль в других системах. Когда это произошло, то НСД может случиться уже через несколько секунд после регистрации – в автоматическом режиме.

Простой человек, который не учил ни историю, ни информационную безопасность, уберечься не сможет. Поэтому взломанные аккаунты электронной почты и соцсетей продаются на чёрном рынке  по нескольку долларов за тысячу. Огромными партиями.

Думаю, пользователям надо попросту запретить запоминание. Так и в политику безопасности записать: на свою память не надейтесь.

Лучше выдать им маленькие чёрные книжечки или какие-нибудь иные портативные устройства для хранения паролей. Что вы говорите? Потеряет? Может быть, иной раз и потеряет. А каков размер убытков при утрате среднего пароля? Мы когда-то это дело оценивали – получилось порядка 1 000 рублей. Нормальный человек безо всякого страха носит в кошельке тысячерублёвую купюру. Даже несколько. И считает риск утраты вполне приемлемым. Почему же блокнотик с паролями нельзя носить?

политика безопасности пароли оценка рисков
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

InfoWatch

Блог компании infowatch infowatch.livejournal.com