- Хроники. - http://usanov.net -

В интересах безопасности.

Posted By Ikutsin On 22 июля 2010 @ 11:04 In Обзоры,Индустрия IT | Comments Disabled

[1]Последним моим опросом на сайте был вопрос о том, как вы храните свои пароли. Судя по результатам, бытует уверенность, что антивирус и ‘фаервол’, способны защитить от взлома или кражи паролей, а вот защищенное хранилище или USB используют очень мало народу. То, что я хочу рассказать, для многих может быть очевидным. Тем не менее, остаются те, кто воспринимают способы защиты информации не совсем правильно. Начнем по порядку…

Антивирусы и Огненные стены.

Оба способа представляют собой программу, установленную на клиентской машине. Первая, проверяет память и файлы, вторая — интернет трафик. В идеальном мире, с этим софтом вы не подцепите никакой заразы ни из интернета, ни из EXE или PDF (и многих других) файлов. Допустим, что у вас именно такой софт, а вот у соседа по сети или провайдера его нет, зато сидит ‘снифер’ и нюхает трафик. ‘Нюхач’ пассивен, и никак себя не проявляет, однако после ввода имени пользователя и пароля вами на каком нибудь сайте, он все это бережно конспектирует и отправляет хозяину. Вы можете даже не вводить пароль, во многих случаях достаточно вашего ‘cookie’, который передается с каждым запросом.

HTTPS решает эту проблему — возможно, возразите вы. Но, во первых, HTTPS используется далеко не на всех сайтах, и во вторых рукопожатие между сайтом и вашим браузером происходит непосредственно перед посещением сайта, а значит, тоже может быть перехвачено и подменено (Man in the middle attack).

В итоге, даже самый лучший антивирус и фильтр трафика защитит только вашу машину, но не ваш трафик. Это просто не в их компетенции.

Я использую разные пароли.

Это то, что должно быть на первом месте любого пользователя интернетом. Представим снова вариант из предыдущего примера — ваш трафик нюхают. Вы заходите, на кокой нибудь развлекательный ресурс и вводите ваш логин и пароль. Это все, он известен нюхачу. В большинстве случаев на том, же сайте хранится и ваш email (вы его зарегистрировали для проверки) или просто на-каком нибудь форуме засветили тот-же логин и теперь все ваши комментарии можно найти в гугле.

В самом страшном случае у вас использовался один и тот-же пароль для всех ресурсов. Считайте, что все эти аккаунты вам больше не пренадлежат.

Я не храню пароли в браузере.

И правильно делаете, вообще, никакие пароли лучше не хранить на компьютере. Даже если он стоит в вашей комнате под замком. Тут целый букет вариантов, самые типичные из них:

  • Подцепили заразу из интернета, та стащила пароли из ваших программ или прочитала нажатия клавиш. (поверьте, даже самый дорогой антивирус не даст вас 100% защиту, уж слишком ошибок в программах, через которые так и лезут к вам ‘черви’ и ‘рутпаки’).
  • Пришел ‘друг’ пихнул в компьютер ‘флешку-грабилку’ и увел все ваши пароли максимум за 3 минуты.
  • Отдали компьютер мастеру на лечение, тот, тем же софтом, собрал всю, нужную информацию.

Софта ‘для восстановления пароля’ великое множество, на любой вкус и совершенно бесплатно. Достаточно пол дня, чтобы собрать и автоматизировать подобный сборщик. И конечно, вышесказанное относится не только к браузеру, но и ко всему, более или менее популярному софту: сервис быстрых сообщений, почтовые клиенты и т.д.

Мои пароли больше 15 символов.

Да, может быть не 15, но как минимум 8. Дело в том, что сломан может быть не только ваш компьютер, но и сервер, на котором хранится пароль, в зашифрованном (по крайне мере стоит наедятся) виде. Если база получена и известен алгоритм шифрования (а он известен, сломана явно не только база), начинается подбор пароля. И тут в игру вступает время, которое понадобится для подбора. 5 символов — для современный мощностей, просто. А вот 10 символов — может стать непосильной задачей из-за комбинаторного взрыва.

Я меняю пароли, время от времени.

Некоторое время назад Microsoft-ом было проведено исследование, которое опровергло эффективность этого способа. На самом деле, зачем менять пароли если они и так везде разные и достаточно большие? Лично я меняю только особо критичные пароли, все что связанно с деньгами и личной информацией. Например, я меняю свою кредитную карту минимум раз в пол года (вот Вы, например, уверенны что с вашего кредитного счета не снимется но 1-2 доллара в месяц каким нибудь сервисом, который вы уже давным давно не используете? ).

Безопасное хранилище для паролей.

Из за невозможности (в силу безопасности) хранить пароли, в казалось бы привычном виде, появляется актуальна проблема — как надежно, удобно и безопасно удерживать их от посторонних глаз. Головной мозг, по крайне мере мой, не способен удерживать такое количество информации без искажений. Для этого все-таки нужен компьютер.

Я предложил два варианта, имеющие свои особые свойства, это безопасная база (обычно это сервисы на платной основе, интегрируемые в любой браузер) и хранение паролей на шифрованном USB или USB с KeePass — с главным паролем. Понятно, что оба имеют свои достоинства и недостатки. Лично я использую оба. Менее критичные пароли к сайтам, я храню в интернете с помощью замечательного плагина X-marks, а остальные пароли — pypal, сервера и IM — на шифрованном USB. Там же, все ключи для WebMoney.

Пароль достаточно велик для того, чтобы если USB будет украден или потерян, у меня будет достаточно времени,  изменить все данные до того, как он будет вскрыт. Вот и все.

Результаты опроса о способе хранения паролей.

На данный момент 10 ответов ушло в ‘другое’. Неужели я что-то пропустил?

Заботитесь ли вы о безопасности ваших данных?

Просмотреть результаты [2]

Loading ... Loading ...

Article printed from Хроники.: http://usanov.net

URL to article: http://usanov.net/1532-v-interesax-bezopasnosti

URLs in this post:

[1] Image: http://usanov.net/wp-content/uploads/2010/07/members-login-right.jpg

[2] Просмотреть результаты: #ViewPollResults

Copyright © 2008 Все, что меня окружает. All rights reserved.