tag:blogger.com,1999:blog-7340782444852839278.post4907327043234553232..comments2023-10-09T11:52:56.599+03:00Comments on ИБ2.0: Как не надо писать парольную политикуArtem Ageevhttp://www.blogger.com/profile/11188931211885446895noreply@blogger.comBlogger19125tag:blogger.com,1999:blog-7340782444852839278.post-63216169052105176022017-08-11T09:13:11.543+03:002017-08-11T09:13:11.543+03:00А вот и NIST подоспел :-) https://geektimes.ru/pos...А вот и NIST подоспел :-) https://geektimes.ru/post/291907/Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-35102330914555589072014-02-21T10:08:52.379+04:002014-02-21T10:08:52.379+04:00только от случайной компрометации больше ничего ил...только от случайной компрометации больше ничего или компрометации недобросовестными коллегами.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-9641171969875665792014-01-27T17:55:18.016+04:002014-01-27T17:55:18.016+04:00Любая мера приводит к уменьшению риска. Если систе...Любая мера приводит к уменьшению риска. Если система серьёзная и время реагирования не приемлемо, то применяются двухфакторная аутентификация или биометрия вместо пароля.<br />Вопрос рассматривается в разрезе человек-пароль. Как правильно отмечено в статье, самое трудное - это запомнить сложный пароль, удовлетворяющий всем цифровым расчётам вероятности взлома. Поэтому всё больше применяются технические средства и биометрические системы, которые "генерируют" пароли безумной длины и сложности. А технике всё равно как часто менять пароли, хоть каждый день. Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-41752575257735627772014-01-27T17:18:58.489+04:002014-01-27T17:18:58.489+04:00Регулярная смена пароля не исключит этот сценарий,...Регулярная смена пароля не исключит этот сценарий, а лишь уменьшит временное окно атаки до 1 месяца (при самом плохом для злоумышленника раскладе). <br />Такое "время реагирования" на атаку абсолютно не приемлемо сегодня.<br /><br />А что мы будем делать, когда повсюду будут биометрические системы аутентификации? Менять пальцы и глаза раз в полгода?Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-18802285879230348092014-01-27T17:10:03.796+04:002014-01-27T17:10:03.796+04:00Срок действия пароля нужен для ограничения по врем...Срок действия пароля нужен для ограничения по времени несанкционированного доступа под скомпрометированной учётной записью. Враг подсмотрел пароль пользователя и ведёт пассивное наблюдение, например, знакомится с документацией или просматривает электронную почту. Определить это можно по журналам подключения (IP компьютера при подключении к почтовому ящику), но если таких подключений много? Регулярная смена пароля позволяет исключить подобные использования доступа.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-76468070017838774422014-01-24T19:44:21.767+04:002014-01-24T19:44:21.767+04:00нука допустим 35#482o9gsf5zc это пароль к почте ме...нука допустим 35#482o9gsf5zc это пароль к почте мейл.ру, какой будет к гуглу? Не угадаете вы в 100% случаев по одному паролю, в лучшем случае угадаете с вероятностью процентов 5 если будете знать 100 паролей. Я же вам принцип рассказал, а не готовую систему.<br /><br />Pwdhash это как раз частный случай №3, т.е. менеджер паролей - пароля вы не знаете, знаете мастер пароль.Финhttps://www.blogger.com/profile/14300606441160570752noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-83169960421980312542014-01-24T16:31:16.493+04:002014-01-24T16:31:16.493+04:00Думаю что я смогу угадать Ваш сайт и Ваш настоящий...Думаю что я смогу угадать Ваш сайт и Ваш настоящий пароль с первых трёх букв украденного пароля с вероятностью 95% ;)<br /><br />Pwdhash делает это профессионально. Почитайте про этот плагин. Линк есть в конце статьи.Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-7626819365252965642014-01-24T16:27:51.362+04:002014-01-24T16:27:51.362+04:00Намного проще продавать самих пользователей с троя...Намного проще продавать самих пользователей с троянами и оперативно получать все пароли через админку ботнета.Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-16537765060134472782014-01-24T16:23:18.787+04:002014-01-24T16:23:18.787+04:00Берётся сложный пароль, к нему добавляется кусок и...Берётся сложный пароль, к нему добавляется кусок из названия сайта определённой длины. Например, первые три символа. Тогда для каждого сайта пароль будет разный, и в каждом отдельно взятом сайте - очень сложный. Хэши уж совсем разные. Можно усложнить эту схему, не буду уж совсем разжевывать секреты выдавать)<br /><br />И кстати есть ещё и пятый вариант, но он не для всех :)Финhttps://www.blogger.com/profile/14300606441160570752noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-61994326672347337642014-01-24T16:16:02.610+04:002014-01-24T16:16:02.610+04:00Еще раз - речь идёт не о взломе сервера, а о сборе...Еще раз - речь идёт не о взломе сервера, а о сборе данных троянами у пользователей.Финhttps://www.blogger.com/profile/14300606441160570752noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-87039752774234963312014-01-24T15:55:21.848+04:002014-01-24T15:55:21.848+04:00Менеджер паролей с маcтер-паролем - это и есть Las...Менеджер паролей с маcтер-паролем - это и есть LastPass (или аналоги) - частный случай 2 способа.<br /><br />Не догадаюсь :)Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-26838197873628068102014-01-24T15:53:00.435+04:002014-01-24T15:53:00.435+04:00Правда не понимаю :)
Крупнейшая торговая сеть Tar...Правда не понимаю :)<br /><br />Крупнейшая торговая сеть Target узнала о взломе своей базы после того, как в андерграунде стали продавать миллионы кредитных карт, украденных у Target (http://krebsonsecurity.com/2013/12/cards-stolen-in-target-breach-flood-underground-markets/). Так же было с LinkedIn. Частенько специалисты сервиса узнают о взломе своего сервиса или из новостей, или от банка.<br /><br />В реальности взлом+слив+продажа+обналичка занимают не более недели. А если о взломе стало известно - то часы.Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-82063699100453323312014-01-24T15:45:14.268+04:002014-01-24T15:45:14.268+04:00>Чем сложнее пароль - тем труднее пользователю ...>Чем сложнее пароль - тем труднее пользователю его запомнить. Поэтому пользователь решает эту проблему двумя способами:<br /><br />Вариантов на самом деле четыре. Четвертый - это менеджеры паролей с мастер паролем. А третий вариант догадаетесь какой? Без менеджеров паролей и любого другого софта, достаточно сложный, разный для всех сайтов и легко запоминающийся?Финhttps://www.blogger.com/profile/14300606441160570752noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-28003835088068022412014-01-24T15:37:03.128+04:002014-01-24T15:37:03.128+04:00Про срок действия паролей правда не понимаете?
Эт...Про срок действия паролей правда не понимаете? <br />Это не к серверной части относится и не к направленным атакам, а к "обычной" деятельности троянов на клиентских машинах. Обычно воруют пароли у пользователей троянами одни люди, затем продают логи наворованного другим людям, эти другие люди логи сортируют, и (в лучшем случае они же, а скорее всего тут тоже этап продажи сортированных результатов) готовят и реализуют непосредственную атаку например с выводом денег куда либо.<br />Вот на эти моменты (сбор, продажа, сортировка, [продажа,] подготовка, реализация) как правило требуется несколько месяцев. Если пользователь за это время сменит пароль, всё пропало :)Финhttps://www.blogger.com/profile/14300606441160570752noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-75427373596087580142014-01-24T15:02:59.738+04:002014-01-24T15:02:59.738+04:00Ну бывает!Ну бывает!Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-80606655904391652902014-01-24T15:02:24.069+04:002014-01-24T15:02:24.069+04:00Учтены! Генерируя для каждого пароля новую соль, к...Учтены! Генерируя для каждого пароля новую соль, которую можно записывать прямо рядом с хэшем пароля, выигрыш во времени от радужных таблиц можно свести к 0.<br /><br />Радужные таблицы работают только там, где соль жестко задана разработчиком сервиса.<br /><br />Длинные простые пароли с проверкой по базам - то что надо!Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-68073306641532554592014-01-24T14:49:21.180+04:002014-01-24T14:49:21.180+04:00Касательно хеширования только корректировка - не у...Касательно хеширования только корректировка - не учтены радужные таблицы, в которых "сложность" пароля играет важную роль.<br />Я за длинные и простые пароли с дополнительной проверкой по словарям из баз для брутфорса или публичным радужным таблицам, прикрутить их к проверке не сложно, время на проверку ввода много не потратит, а эффект колоссальный.Иван Бойцовhttps://www.blogger.com/profile/05213955407076599166noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-77667006487839505572014-01-24T10:30:21.538+04:002014-01-24T10:30:21.538+04:00Что-то я тупанул :-(Что-то я тупанул :-(Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-59294607628036805852014-01-24T00:16:01.221+04:002014-01-24T00:16:01.221+04:00Люто минусую.Люто минусую.Anonymousnoreply@blogger.com