bhaga (bhaga) wrote,
bhaga
bhaga

О безопасности

Оригинал взят у egorsokolov в О безопасности
security

Мальчики и девочки, леди и джентльмены, привет!

Сегодня радую вас заметкой о безопасности в интернете (и не только в нем). Начнем с истории.

Лет 5 назад я уже был жж-юзером (правда, под другим аккаунтом), пользовался асечкой, почтой, какими-то веб-сервисами. Последних было значительно меньше, чем сейчас, но и тогда это были десятки разнообразных сайтов, для использования которых необходимо было пройти процесс авторизации - то есть, ввести связку логин-пароль.
Сама по себе концепция парольной защиты достаточно надежна, однако в ситуации, когда есть 10-20-30 мест, где нужно вводить логин-пароль, большинство людей (и я не исключение) начинают использовать один и тот же или очень похожие пароли для входа в разные места. Это совершенно естественное стремление облегчить муки разума и памяти, к сожалению, очень сильно бьет по уровню безопасности всех наших аккаунтов на всевозможных сервисах - достаточно узнать пароль от одного, и дело в шляпе - все ваши аккаунты находятся в руках недоброжелателей.
К тому же, этот "универсальный" пароль достаточно редко состоит из большого количества символов, обычно это 6 букв в нижнем регистре - такой можно даже в кафе по пальцам при наборе считать.

В один прекрасный день я не смог залогиниться в свой ЖЖ. Потом мне в аську поступило предложение каким-то образом принести выгоду взломщику, после чего меня выкинуло из аськи, и, как вы можете догадаться, залогиниться в нее повторно я не смог - пароль не подходил. И аська, и ЖЖ были завязаны на один и тот же email. Когда я открыл свой почтовый клиент, и он меня порадовал сообщением о том, что вход не удался - неверный пароль. Честно говоря, я не знаю всей цепочки - был ли сначала взломан ЖЖ, аська или же почта, но с момента получения доступа к почте очень просто поменять пароли на все остальные сервисы.
Long story short - тогда я смог восстановить контроль над всеми утерянными аккаунтами, пообщавшись со службой поддержки почты, они достаточно оперативно (то есть где-то через сутки) сменили мне пароль, после чего я разобрался со всем остальным.

Из этой ситуации можно вынести как минимум три урока:

  1. Не используйте один и тот же пароль (или его вариации) на разных ресурсах
  2. Даже если вы не выполняете пункт 1, все равно установите уникальный и надежный пароль на почту. Почта - сердце вашей онлайн-безопасности
  3. Неочевидный, но важный урок: по возможности, не храните почту на сервере. В тот момент я пользовался Mozilla Thunderbird, и все письма, которые падали в мои ящики на рамблере, gmail и где-то еще, копировались в локальную базу данных на моем компьютере, удаляясь с почтового сервера. Почему это важно? Если ваш ящик пуст, злоумышленники не смогут узнать, в каких еще местах вы зарегистрированы (а многие недальновидные сайты еще и отправляют при регистрации на почту связку логин-пароль), и, соответственно, не смогут их взломать. О почтовых клиентах поговорим в другой раз, это тоже очень важная и полезная тема.
Постойте, но как же можно везде иметь разные пароли, да еще и сложные - с цифрами и буквами в разных регистрах? Ведь их все тогда и не запомнишь! Правильно, записывать. Записывать где? Нет, не в вордовом файле, который лежит на рабочем столе (кстати, так я тоже делал какое-то время). И не на бумажке. Для хранения паролей существует множество программ, и зовутся они менеджерами паролей (password managers).
Обычный менеджер паролей - это приложение, в котором пользователь хранит все свои логины и пароли (под каждый ресурс в отдельной карточке), все это замешивается и сохраняется в суперзашифрованную базу данных, доступ к которой можно получить только после ввода мастер-пароля - единственного пароля, который вам необходимо помнить, он должен быть длинным и сложным.
Выглядеть менеджер паролей может по-разному, но обычно примерно так: в левом фрейме список твоих "карточек", которые можно сортировать, группировать, выделять картинками и т.п., справа - подробная информация о выбранной карточке, обычно адрес сайта, логин и пароль. На картинке ниже это иллюстрируется на примере банковской карты, под нее немного другая форма - номер, дата окончания, пин, cvc2:

password manager


Так, хорошо, но что же делать, когда ты работаешь за другим компьютером? Эта проблема существует у пользователей метода вордового файла, и обычно она либо не решается никак, либо решается размещением незашифрованного файла на dropbox/google docs/в телефоне, что, очевидно, весьма недальновидно. Для решения этой проблемы практически у каждого уважающего себя менеджера паролей есть портативная версия для iOS и android - с ней все твои пароли всегда с тобой. И в то же время, никто не сможет получить к ним доступ, даже если вы потеряете свой телефон.

password manager iphone

Конечно, безупречных систем не бывает. Основная и практически единственная уязвимость концепции менеджера паролей заключается, очевидно, в следующем: если кто-то узнает твой мастер-пароль и получит доступ к устройству, где хранится база данных, то ты потеряешь сразу все свои аккаунты. Такой риск существует, но вероятность его реализации значительно ниже, чем в ситуациях с одним паролем для всех ресурсов или хранением паролей в текстовом файле. Ах, да, второй риск: если ты забыл мастер-пароль, то доступ к базе данных будет получить невозможно.

Однако взвесив все "за" и "против", я все-таки радостно купил себе две софтинки - под мак и под айфон, и с тех пор все пароли у меня супер-гипер-надежные и мне не приходится гадать "какой же я сюда поставил пароль?", искать пароли в почте или восстанавливать их, когда ни вспомнить, ни найти не удалось. Чего и вам желаю. Поначалу непривычно и неудобно, особенно муторная тема - первичная смена всех паролей на всех ресурсах, которые сможешь вспомнить, но это нужно сделать. Потом просто при каждой новой регистрации генерируешь пароль и создаешь для ресурса карточку, занимает секунд 10. В результате - всё в одном месте, надежно защищено, всегда с тобой.

Вариантов на рынке много - на любой вкус и карман, от $0 до $80 за связку десктоп + телефон. Я отдал за свой eWallet (это он на картинках выше) $20, 1Password (достаточно раскрученное решение) стоит в районе $60, а KeePass - бесплатен. Google вам в помощь, разница, как правило, заключается в интерфейсе, дополнительных функциях (например, интеграция с браузерами или синхронизация через облако) и цене. С основной функцией - хранением паролей - справится и бесплатное решение.


С каждым годом количество и ценность наших паролей будет только расти. Берегите свои пароли, друзья!

Жду ваших вопросов, мнений и рассказов в комментариях.

е



Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments