`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Вячеслав Колдовский

Цифровая уязвимость

+911
голосов

Если вы не страдаете паранойей,
это ещё не означает, что за вами
никто не следит
(с) Неизвестный автор

Затронуть эту тему меня побудила проскочившая на Lifehacker ссылка на историю достаточно популярного блоггера, пишущего на тему ПО и Web, Амита Агарвала  (Amit Agarwal, кстати, как он себя называет, «первого профессионального блоггера в Индии», т.е. человек с этого живет, и эта информация важна в данном случае). У него «увели» пароль на учетную запись Google Account, а с ней и все связанные сервисы, в том числе и AdSense, и Google Apps. К счастью, инцидент разрешился благополучно – спустя всего лишь несколько часов после того, как владелец учетной записи не смог получить к ней доступ, он выполнил процедуру проверки собственности и восстановил контроль над ней.

Эта ситуация знакома и мне, но опыт у меня прямо противоположный: лет пять назад я не смог войти в свою учетную запись в WebMoney, хотя пароль помнил хорошо и его перед происшествием не менял. Обратился в службу технической поддержки, они прислали вопросы, на которые нужно было ответить – на часть я ответил, на часть, кажется, не смог, но предоставил много другой информации, подтверждающей мою личность и доказывающей, что я в курсе многих деталей этой учетки, в том числе знаю историю транзакций, точную сумму денег на счету, какие кошельки открыты и т.п. Тем не менее, служба технической поддержки уперлась в какие-то моменты, которые их не устроили, назвали мне первую букву моего пароля, которая, как и следовало ожидать, отличалась от той, которая должна была быть, и… предложили подбирать пароль самому, поскольку другие варианты у них, видите ли, не предусмотрены. Все попытки как-либо разрешить ситуацию просто наталкивались на глухую стену отговорок из разряда «ваши проблемы нас не волнуют». Поскольку мне нужно было срочно сделать платеж через WebMoney, то я завел новую учетную запись, а по поводу старой «бодался» еще некоторое время, пока не стало ясно, что это совершенно бесполезно.

Одно хорошо – именно в тот момент на моем счету было сравнительно немного денег, так что утрата не сколько ударила по карману, сколько послужила неприятным уроком. Не знаю, может быть сейчас в процедуре восстановления пароля WebMoney что-либо изменилось в лучшую сторону (думаю, наличие персональных сертификатов дает в этом отношении какие-то преимущества), но на сайте в разделе восстановления у них до сих пор есть текст: «Имейте ввиду - мы не можем просто выслать Вам пароль. Мы можем подсказать его Вам, поправить Ваш вариант.» Конечно, это может помочь, если человек пароль просто забыл, но каким образом это может быть полезно в случае, если пароль «увели» - ума не приложу.
С того времени лично у меня доверие к WebMoney сильно упало, и если и приходится пользоваться их услугами, то стараюсь это сделать так, чтобы никакие деньги там на счету не задерживались.

А если по-крупному?

Но моя история с WebMoney – это сущие пустяки по сравнению с гипотетической ситуацией, когда злоумышленники могут увести доступ ко всем ключевым учетным записям (Google Account/Live ID/банковский счет/электронный магазин/аукцион/контрольная панель домена/хостинга и т.п.) человека, который всецело зависит от Сети (профессиональный блоггер – как раз хороший пример), а восстановить доступ не удастся. И это на так уж нереально, поскольку процедуры восстановления доступа недостаточно прозрачны и сильно зависят от поставщика услуг, а каких-либо гарантий восстановления доступа хоть по предъявлению паспорта и пробы ДНК я что-то нигде не видел.

Скажите, что делать человеку, если он некоторых деталей, необходимых для восстановления, просто не помнит? Лично я в переписке со службой поддержки WebMoney предлагал приехать к ним в головной офис с паспортом (у меня тогда планировалась поездка в Москву), на что они ответили, что это не поможет. В упомянутом случае для восстановления доступа к GMail потребовалось назвать такие детали как месяц/год начала использования GMail и других сервисов Google, e-mail человека, приславшего приглашение в сервис, а также другие детали, которые отнюдь не обязательно каждый может вспомнить.

Таким образом, не будет преувеличением говорить, что существующая ныне система доступа логин/пароль весьма уязвима, а процедуры восстановления доступа, основанные на использовании SMS/альтернативных e-mail или секретных вопросов не только неэффективны, но и являются потенциальной дырой в безопасности, поскольку узнать, например, девичью фамилию матери не так сложно, как и вполне возможно украсть мобильный телефон или запросить сброс пароля на SMS в тот момент, когда человек оставил телефон лежащим на столе, а сам на минутку отлучился по делам.

Скажи мне, где ты хранишь свой пароль, и я скажу тебе, кто ты

Не мешало бы обратить внимание и на то, как вообще люди используют/хранят пароли. Поскольку различных сервисов, требующих логин/пароль существует целая уйма, то в целом существует три самых распространенных способа формирования и сбережения пароля:

  1. Пара логин/пароль всегда одна или несколько (две-три), которые используются в зависимости от важности сервиса. В голове их удержать несложно, но если пароль хоть на одном  сервисе будет скомпрометирован, то злоумышленник может легко захватить доступ к другим.
  2. Пары логин/пароль формируются по каким-то сравнительно несложным правилам, поэтому они отличаются для различных сервисов, но подобрать правило несложно, если злоумышленник перехватит доступ к парочке сервисов, на которых они использованы. Хранить пароли и правила вполне можно в голове.
  3. Пары логин/пароль (или только пароль) формируются с помощью какого-нибудь генератора, различаются от сервиса к сервису, подобрать практически невозможно, так же как и запомнить. Для их сохранения используется какая-нибудь специальная программа, например, KeePass.

Как можно увидеть, в каждой схеме есть уязвимые места. Притом, самый, казалось бы надежный последний вариант особенно уязвим, если вся база данных паролей окажется в руках злоумышленника.

Распространенная практика, вынуждающая пользователя регулярно менять пароли, теоретически может защитить от «теневого доступа», когда злоумышленник пользуется сервисом незаметно, но никак не защищает от того случая, когда он после перехвата меняет пароль (а с ним и всю информацию, необходимую для восстановления доступа). К тому же необходимость в частой смене пароля сильно запутывает самого пользователя, вынуждает его хранить пароли в записанном, иногда незащищенном виде (классика жанра – под клавиатурой).

Выход?

Не знаю, достаточно ли я «напугал» читателей – есть такая категория людей, которые не поверят в проблему, пока сами с ней не столкнутся. Возможно, то, что я уже с ней сталкивался, и является основной причиной, по которой я считаю, что проблема есть и она весьма серьезна. Причем все стандартные рекомендации «с пользовательской стороны» вроде используйте антивирус, сложные уникальные пароли, не пользуйтесь чужими и публичными компьютерами для доступа к важным онлайн сервисам и т.д. и т.п., разумеется, хороши, но никаких гарантий не дают.

Лично мне видится выход только в кардинальном изменении подходов в идентификации пользователей, применяемых именно «со стороны сервисов». Я не большой эксперт в этом вопросе, чтобы назвать конкретные подходы, возможно пора бы активнее использовать биометрию, стандартизировать и сделать прозрачными механизмы восстановления доступа и т.д., но то, что здесь нужно что-то менять – очевидно. Тем более, что в нынешнем виде большинство средств восстановления пароля направлены именно на восстановление забытого пароля, но не на возвращение захваченной учетной записи.

В завершение не могу не сказать, что среди многих онлайновых сервисов, которыми я пользуюсь, по части инноваций в сфере безопасности, порадовал, в самом положительном значении этого слова, наш отечественный ПриватБанк. Не так давно в этом банке для доступа к системе онлайнового управления счетами Приват24 (которой я пользуюсь очень долго и помню времена, когда работала она ужасно отвратительно, но это, похоже, в прошлом) для входа требуется номер мобильного телефона и пароль, на телефон приходит SMS, в котором присылается код, после ввода которого открывается доступ к сайту.

Несмотря на определенные недостатки реализации (лично я считаю, что каждый раз вводить номер телефона – лишнее, достаточно задать его в настройках, а для входа лучше использовать логин), в целом эта система работает неплохо и позволяет чувствовать себя спокойно, если телефон всегда при мне (да и его самого для доступа к счету мало, поскольку надо еще знать пароль) к тому же и доступ к чтению SMS тоже можно закрыть. Конечно, есть и специализированные устройства вроде генераторов одноразовых паролей или приборов, реализующих цифровую подпись, но даже такое простое решение вполне способно добавить спокойствия.

PS. Вот, пожалуй, и еще один контраргумент «облачной жизни» - храните деньги в сейфе, а данные… тоже в сейфе. Даже если у вас нет проблем со скоростью доступа в Интернет, то, наверное, все-таки стоит десять раз подумать, прежде чем перенести все свои данные и всю свою работу в облако, я бы не рискнул, по крайней мере – пока.

В комментариях, наверное, не плохо бы обсудить возможные методы защиты своих учеток от вороства.

+911
голосов

Напечатать Отправить другу

Читайте также

Короче отсортировать всех по ДНК. Дубли нещадно прибивать отсортировав по дате создания. ;)

Додатково можна зашифрувати вінчестер, увімкнути пароль в біос, налаштувати нормально мережу. Тоді база данних KeePass зможе залишатись в безпеці.

І, звісно, тільки HTTPS.

гы-гы... сколько раз вы уже набирали master-password к базе паролей? а ведь все "яйца" в одной корзине...

Так ніхто ж не забороняє тримати важливі дані в іншому інкубаторі. :)

Наприклад, на зовнішньому вінчестері з біометрією. :)

вот только биометрия уже не поможет после подключения винчестера...

Тоді ми відріжемо вам пальця :)))

Ну, прям так: оце будемо використовувати допотомний метод дактилоскопії. Малюнок внутрішньої структури судин при відрізанні не допоможе. Про це ми вже говорили.

А те, що буде після підключення вінчестера залежить вже від вас.

Та й взагалі з секретними даними потрібно працювати на місцях, а не засмічувати Всемережжя.

Все это не поможет, если на компьютере, где вводится пароль, стоит какой-нибудь шпион - т.е. даже если пароли вообще хранить на отдельном устройстве без выхода в сеть, то это не защитит от перехвата в момент ввода.

Если же использовать биометрически защищенную флешку или внешний диск, то после того, как он будет разблокирован, шпион легко "сольет" все данные, так что только от нас это не зависит.

Ну и насчет секретных данных на местах - у большинства людей особо секретных данных и нет (за которыми, например, ЦРУ могло бы гоняться): деньги какие-то в банке есть, акции, возможно, еще учетки где-нибудь есть. Все это, конечно, не сколько секретно, сколько ценно, да и под подушкой при всем желании не убережешь.

В итоге, похоже, мы опять приходим к тому, что со стороны пользователя какого-нибудь достаточно надежного способа защиты в общем-то и нету. Надо рассчитывать только на инновации в этом отношении со стороны поставщиков услуг.

Саме відсутність шпигунів я і мав на увазі коли говорив, що те, що буде далі залежить від користувача, оскільки саме він за це відповідає.

Біометрія і шифрування можуть захистити хіба що при фізичній втраті носія.

А все інше, так, залежить від організацій, чиїми послугами користуємось.

Все, що ми можемо зробити - це потурбуватись про цілісність захисту зі свого боку. Ну, і обирати надійних постачальників послуг з хорошою репутацією.

А що стосується грошей, то краще завести декілька обліковок і тримати на них невеликі суми.

Пару лет назад я восстанавливал доступ к своему вебмани-айди. Там правда было все веселее - пароль то я помнил, но вот при переезде на новое "железо" оказалось, что нужно использовать сохраненный файл кошельков, для которого задавался отдельный пароль, и вот его то я и намертво забыл. Детали процедуры я уже не помню, но вроде бы ничего особо сложного не было, создал новый айди, и через месяц где-то получил через него пароль к старому. Правда, у меня был формальный сертификат...

Повезло :) Может быть у меня тоже получилось, но в какой-то момент понял, что шкурка выделки не стоит. А вообще, можно предположить, что им выгодно, чтобы люди забывали пароли :)

Смиритесь (или как сейчас говорят, учитывайте риски) с тем, что вся информация переданая вами вторым особам, а тем более вброшеная в обезличенную Сеть, рано или поздно станет доступна 3-м. Можно смело хранить пароли под клавиатурой, и ключи под ковриком - эффект одинаков.

P/S
По-моему фраза звучит категоричней: "Даже если у вас паранойя, еще не значит, что они за вами не следят".

узнать, например, девичью фамилию матери не так сложно

Дык сколько раз твердили миру, что все те примеры "секретных вопросов", предлагаемые на выбор всяческими системами при регистрации (номер паспорта, день рождения, ...) -- это плохие примеры, т.к. легко "раскапываются" при изучении личности жертвы злоумышленником.

хранить пароли в записанном, иногда незащищенном виде (классика жанра – под клавиатурой).

"запаролил комп, а под клаву положил листок с неправильным паролем -- пусть мучаются" (с) :))))))

Как вы понимаете, настоящую девичью фамилию вашей матери не проверяют! Это всего лишь вопрос с подтекстом - вам предагают определить ключевое слово, которое вам легко вспомнить, скажм, как фамилию вашей матери до замужества, но это слово не является очевидной информацией для большинства.

Вы можете ввести в это поле название улицы, на которой вы жили в детстве, или фамилию соученицы, за которой ухаживали в средней школе. Далее ваша фантазия и ваша память должна подсказать правильный выбор.

Важно, что вы можете повторить правильно при любых обстоятельствах это слово.

Это мы с Вами понимаем. А большинство дубоюзеров введут настоящую девичью фамилию, а ещё чаще — номер домашнего или мобильного телефона (текущий!) или дату своего рождения, и ни на секунду не задумаются.

Из-за этого как-то пришлось играться с минимальной допустимой длиной пароля, ибо юзеры ставили:

  • 6 символов: дата рождения ДДММГГ;
  • 7 символов: номер домашнего телефона (семизначный);
  • 8 символов: дата рождения ДДММГГГГ;
  • 9 символов: номер домашнего телефона с дефисами или аськи;
  • 10 символов: номер мобильного телефона <код><номер>;
  • 11 символов: номер мобильного телефона 8<код><номер>;
  • 12 символов: ещё что-то, не помню.

Остановились на 13 символах и запоминании 10 последних паролей (при стандартных трёх — просто меняли три раза, последним вводя старый). Стонов было...

Из приведенных схем оправданна только первая.

Да какая мне к черту разница, если на одном из форумов будет скомпроментирован мой пароль? Все эти форумы на одном и том же движке. Дыра в одном = такие же дыры в другом.

С Webmoney проще, пароль нет, есть сертификат X.509. Который можно стырить, уже получив доступ к компу. Ничто не мешает его хранить отдельно. Потом по пьяни потерять единственную копию и утратить доступ к счету.

Поймите. Человек несовершенен по природе своей. И надежного способа авторизации придумать невозможно. Это аксиома. Система не может быть надежнее, чем самый ненадежный узел в ее составе. А в данном случае, человек - такая же проблемная шестеренка.

Не Webmoney одной... Есть куча ресурсов, куда доступ необходимо ограничивать, хотя бы интернет-банкинга мало что-ли? Мало приятного, если ломанут пароль к portmone и с карточки деньги уйдут (на cvv2 надежды мало). Нельзя использовать один и тот-же пароль для разных целей

Вы когда последний раз пользовались инет банкингом?
Так терь все на парах открытый/закрытый ключ.

Как вариант аппаратный RSA id в дополнение к паролю. Но его ещё купить кому- то нужно... Плюс возможность блокирования аккаунта по звонку + разблокирование с паспортом в офисе (для банковских карт работает же).

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT