`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Євген Куліков

Когда проще – не значит лучше

+24
голоса

Когда проще – не значит лучше

Хакер с псевдонимом GnosticPlayers сообщил о взломе онлайн-сервиса графического дизайна Canva и похищении учетных данных 139 млн. его пользователей, включая имена, адреса электронной почты и сведения о местоположении. Украденная информация также содержала и пароли.

Впрочем, представители Canva поспешили успокоить пострадавших тем, что регистрационные данные были защищены и хэшированы с использованием bcrypt, одной из наиболее эффективных и безопасных техник, доступных на сегодня. Поэтому крайне маловероятно, что кто-нибудь сможет восстановить из украденных данных хотя бы один пароль.

Между тем, как и многие другие сервисы, Canva также дает возможность пользователям создавать учетные записи посредством авторизации через Google. Эта простая в применении технология позволяет авторизоваться на сторонних сайтах с использованием своего логина и пароля Gmail. Google проверяет корректность данных и выдает «цифровой токен» на устройство пользователя и требуемый веб-сайт.

Цифровой токен является доказательством того, что вы – именно тот, кем вы представляетесь. Каждый раз, когда вы подключаетесь к сайту, ваш токен сравнивается с токеном Canva – если они совпадают, вы автоматически входите под своим аккаунтом без необходимости вводить дополнительно пароль.

Проблема заключается в том, что если один из таких токенов украден, то хакер сможет выдать себя за вас. В этом случае он сможет входить в ваши аккаунты с поддержкой Google, потенциально получая доступ к любой конфиденциальной информации, которая в них хранится, с возможностью ее кражи.

Цифровые токены разработаны таким образом, чтобы быть простыми в использовании, но такая простота зачастую представляет собой проблему, с которой сталкиваются при использовании традиционных паролей. Повторное использование одинакового пароля на разных сайтах – это плохая идея: если один из аккаунтов будет скомпрометирован, то все остальные ваши аккаунты с этим же паролем будут подвержены колоссальному риску. Аналогично, если украден токен Google, то другие аккаунты также сильно рискуют.

Чтобы обеспечить максимальную защиту, необходимо для каждого сайта использовать уникальный пароль, рекомендует PandaSecurity. Но это достаточно сложно, особенно когда онлайн-аккаунтов на различных сайтах десятки, а то и сотни. И, несмотря на их простоту использования и немного более высокий уровень безопасности, цифровые токены также могут быть скомпрометированы.

Для обеспечения максимальной персональной защиты (и конфиденциальности), эксперты советуют не использовать цифровые токены для авторизаций. Вместо этого они предлагают использовать «ручные» подключения для каждого сайта и сервиса, которые вы используете.

Значительно упростить процесс авторизации поможет менеджер паролей, который будет автоматически генерировать и хранить уникальный, сложный и трудно подбираемый пароль для каждого используемого сайта или сервиса. Пользователю достаточно запомнить один мастер-пароль для подключения к менеджеру паролей и разблокировки необходимых данных.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+24
голоса

Напечатать Отправить другу

Читайте также

Лютый бред... Конечно, хороший менеджер паролей надёжнее кривой SSO. Но выдавать частное за общее - это так типично для маркетолохии в ИТ-безопасности.
"Экспертов" этих надо гнать известными тряпками.

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT