Атака на башни Всемирного Торгового Центра 11 сентября 2001 года унесла жизни 658 сотрудников финансовой компании Cantor Fitzgerald. Ее директор Говард Лутник, потерявший в тот день родного брата, столкнулся с невиданной ранее проблемой. И дело было даже не в том, что серверы компании, включая резервные, также были погребены под обломками. Информация частично была доступна, но она была закрыта за сотнями учетных записей погибших коллег. На помощь были привлечены специалисты из компании Microsoft, они задействовали мощные серверы для максимально быстрого брутфорса — от доступа к данным зависело существование компании, и надо было успеть к первому открытию торгов после атак. Ускорить взлом могли персональные данные погибших. Лутнику пришлось обзванивать родственников и, в самый неподходящий момент, задавать им серию вопросов: день свадьбы, название колледжа или университета, имя собаки. Это краткий пересказ, пожалуй, самой грустной статьи о паролях за всю их историю, опубликованной в 2014 году в New York Times. История дает две главные характеристики парольной защиты: она создает кучу проблем, и, во многих случаях, все равно не работает. Пароли — настолько плохая концепция защиты, что их уже не раз хоронили и СМИ, и специалисты по безопасности, и научные исследователи. Но воз и ныне там, пароль по-прежнему остается главным методом отделения публичного от приватного, и такую ситуацию, после похорон-то, вполне можно официально считать цифровым зомби-апокалипсисом.
Сегодня я попробую проанализировать, что именно плохого в паролях (короткий ответ — всё), что можно с этим сделать, а также поделюсь парой интересных исторических наблюдений.
Все было плохо с самого начала
По версии журнала Wired, необходимость в паролях впервые возникла при строительстве компьютерных систем с общим доступом на основе разделения времени. В 60-х, когда компьютеры стоили очень дорого и занимали очень много места, это был единственный адекватный способ поделить вычислительные мощности между всеми желающими. Из системы Сompatible Time-Sharing System, разработанной в Массачуссетском технологическом в 1961 году, растут ноги множества современных технологий, включая концепцию Unix-подобных систем. С высокой степенью вероятности, авторизация по паролю впервые появилась там же.
При разработке CTSS стоял выбор между паролями и тем, что сейчас называется подсказками, вроде девичьей фамилии матери. Выбор в пользу паролей был очевиден: требовалось меньше памяти для их хранения и обработки. Системы безопасности при этом отсутствовали. В 1966 году в коде системы появилась ошибка, которая каким-то образом поменяла местами текст приветственного сообщения для пользователей и список паролей. В результате при каждом входе в систему можно было лицезреть пароли всех пользователей. Но еще раньше, в 1962 году, пароли пользователей украл один из аспирантов MIT: ему было положено всего 4 часа машинного времени, и он таким образом смог пользоваться чужими квотами. Сделать это было просто: каждый пользователь мог заказать печать файла, указав его имя и имя пользователя-владельца. Зная, что база паролей хранится в файле UACCNT.SECRET у пользователя M1416, аспирант смог распечатать всю базу целиком (больше воспоминаний о CTSS тут).
А ведь стало еще хуже
А из-за чего собственно сыр-бор? Новостной фон уже много лет не предполагает никакой реабилитации парольной защиты, но 2016 год все же стал особенным из-за огромного числа утечек паролей к различным популярным сервисам. Перечислю только основные:
» Mail.ru, Yahoo и Microsoft, всего около 300 миллионов паролей — база была скорее всего собрана в результате фишинга.
» LinkedIn — всплыла утечка 2012 года, с почтовыми адресами и хешированными паролями без соли (эксперты утверждают, что до 90% паролей можно расшифровать за трое суток).
» Tumblr — утекли хешированные пароли с солью, но на всякий случай администрация соцсети инициировала принудительный сброс.
» Вконтакте — 100 миллионов паролей открытым текстом, утекли старые пароли 2012 года, в соцсети утверждают, что это был не взлом.
» Twitter — 32 миллиона паролей, предположительно украденных с помощью фишинга и вредоносного ПО.
» Форум Ubuntu — 2 миллиона паролей украдены через SQL-иньекцию.
» Еще 2 миллиона паролей с форума игры Dota 2, как и в случае с Ubuntu, была атакована непропатченная система vBulletin. Пароли хешированы и посолены, но до 80% поддаются расшифровке.
» Dropbox — сброс паролей после всплытия утечки 2012 года. Предположительно была взломана учетная запись одного из сотрудников компании.
» Предположительно скомпрометированы 1,7 миллиона паролей службы синхронизации Opera.
» Rambler — почти 100 миллионов паролей, также датированные 2012 годом.
Пароли крадут у пользователей. У владельцев сервисов. По пути между первыми и вторыми. Продают на черном рынке, и выкладывают в открытый доступ. Взламывают сайты или используют фишинг. Сервис Have I Been Pwned? известного специалиста по безопасности Троя Ханта позволяет проверить, нет ли в утечках пароля, ассоциированного с вашим почтовым адресом. На данный момент там находятся базы со 136 ресурсов, а количество паролей превышает 1,4 миллиарда.
С высокой вероятностью ваши пароли четырехлетней давности доступны в сети почти открытым текстом. Утечки выходят боком и владельцам сайтов, изначально вроде бы не пострадавшим: их начинают атаковать, предполагая использование одного и того же пароля пользователем на разных сервисах. Вот примеры из недавних. Пароли пришлось сбрасывать сервису GoToMyPC после сообщений о взломе аккаунтов для удаленного доступа к рабочему столу. Аналогичную операцию пришлось провести сервису GitHub. Той же Mail.ru (и не ей одной) приходится мониторить утечки и сбрасывать пароли для доступа к своим сервисам на регулярной основе. Я уже говорил, что от паролей одни проблемы?
But why?
Все просто: мы используем слишком простые пароли. Выборку самых популярных паролей делают чуть ли не после каждой утечки, вот здесь есть показательный пример:
123456
password
12345
12345678
qwerty
123456789
1234
baseball
dragon
football
Дракон!11
Вот этот анализ компании WPEngine дает информацию по типичной длине паролей, чаще всего это от 6 до 9 символов. 11 и более символов используют менее 5% пользователей. Простые пароли выходят боком владельцам серверов. Открытым текстом базу паролей почти никто не хранит, но распознать хешированые пароли а-ля 111111 достаточно просто (подробнее о хешировании простым языком тут). Упомянутая выше утечка LinkedIn содержала только хешированные пароли, поэтому предполагается, что большинство паролей там можно расшифровать достаточно быстро. Добавление соли (случайных данных) усложняет атаку с использованием словаря, но не спасает от брутфорса — когда необходимо получить пароль конкретного пользователя, и этот пароль простой, атака остается реальной.
Но и это не все. По данным отсюда, примерно две трети пользователей используют одинаковые пароли на разных сервисах, сохраняют пароли открытым текстом, в том числе в электронном виде, забывают пароли, что побуждает использовать более простые комбинации. По нашим данным (PDF) примерно половина пользователей сохраняет пароли на своих устройствах в том или ином виде. Типовая длина пароля — 8-12 символов, более 20 символов используют только 3 процента пользователей.
Добавим к этому попытки активной кражи паролей пользователей, как с помощью вредоносного ПО, так и с помощью фишинга. По самым свежим данным «Лаборатории», фишинговые страницы были заблокированы у 8,7% пользователей. Утечка паролей открытым текстом как правило происходит именно в результате фишинга и атак вредоносного ПО. Крадут пароли из браузеров, таргетируют отдельные сервисы, такие как Steam. Типичной тактикой является кража всего, что плохо лежит — разберемся потом.
На этом фоне проблемы на стороне серверов, тем более вопросы перехвата паролей по пути кажутся не столь серьезными. На стороне сервера добавляет хаоса сложность инфраструктуры и нюансы работы, можно вспомнить хотя бы (исправленную) небезопасность одноразовых паролей приложений для Google. Сетевой перехват напрямую затрагивает пароли, когда они передаются открытым текстом по незащищенным каналам, но такое возможно все реже. Расшифровка кук, как это недавно было проанализировано на примере алгоритмов 3DES и Blowfish, остается пока чисто теоретическим упражнением, да и угон сессии напрямую к проблемам паролей не относится. Остаются атаки man-in-the-middle: условия для них создаются как на стороне пользователя, так и из-за небезопасной инфраструктуры. Пример последней — небезопасные точки доступа.
И что делать?
Сразу отметем попытки заставить людей использовать более безопасные пароли. Во-первых, заставить не получится. Во-вторых, это не решает проблему повторного использования паролей на разных сервисах. В-третьих, сложный пароль можно в первом приближении сравнить с использованием защищенного ключа для тех же соединений по SSH: ключи не генерируются руками, и в общем-то сложные пароли тоже не должны. Последнее возможно при использовании менеджеров паролей, это вполне надежный метод несмотря на взломы уже этих сервисов (например Lastpass в прошлом году). Увы, он остается весьма специализированным и вряд ли станет массовым. Туда же идет биометрия: уже давно понятно, что в текущей реализации (отпечаток пальца на телефонах, например) лишь дополнительный способ защиты вместе с паролем (еще более коротким, чем на десктопах!).
В отличие от менеджеров паролей, единственным массовым методом защиты пользовательских данных остается мультифакторная авторизация. Реализованная через телефон или через специальное приложение а-ля Google Authenticator и Яндекс.Ключ — такая схема либо полностью исключает многоразовое использование пароля, либо дополняет его рандомным кодом авторизации. Это очень круто, но в данной концепции один пароль заменяется другим, а значит остается возможность перехвата. Примеры перехвата банковских кодов авторизации вредоносным ПО уже есть. Предположу, что это рабочее, но временное решение проблемы, равно как и, например, попытки Microsoft ограничить использование небезопасных паролей на работе с помощью «больших данных» об утечках и кибератаках.
А вот реальное будущее наступит, когда пароли заменят данными о пользователе — в 1961 году на это не хватало ресурсов и памяти, а теперь и того, и другого в избытке. Google до конца этого года намерен допилить проект Abacus, идентифицирующий пользователя по поведению — по сути, о нас будут собирать большой объем информации, от манеры ходьбы до паттернов при наборе текста, и на основе множества признаков достаточно достверно отличать авторизованного пользователя от черт знает кого.
100% надежности уже не будет никогда
Да, ко всем предложенным методам — от менеджеров паролей, двухфакторной авторизации и до поведенческого анализа и биометрии можно предъявить претензии. Биометрию обходят силиконовыми пальцами, менеджеры паролей взламывают или угоняют мастер-пароль. Мультифакторную авторизацию обходят с помощью вредоносного ПО на смартфонах и мошенничеством с SIM-картами (а в перспективе еще и взломом сотовых сетей). Ни одно из решений не защищает полностью от фишинга — с ним в любом случае придется бороться отдельно.
И это, к сожалению, нормально. Золотой век интернета, когда вирусы были белыми и пушистыми, а почту почти ни у кого не ломали, был вызван тем, что и данные, хранящиеся за паролем были никому не нужны. Такое больше не повторится. Надо понимать, что любой метод защиты, применяемый лично вами, вашим банком или почтовым сервисом, не дает стопроцентной гарантии от взлома. Проблема парольной защиты в том, что в случае по умолчанию она в принципе небезопасна, как забор без ворот. Даже повсеместное внедрение двухфакторной авторизации (до него еще далеко, увы) значительно уменьшит количество успешных атак. Пока владельцы сайтов, форумов и прочих чатов переживают, что дополнительные меры защиты приведут к оттоку пользователей, сливы паролей будут продолжаться. На данный момент спасение утопающих находится в руках самих утопающих, пользователь по большому счету сам отвечает за защищенность свои аккаунтов. Изменить ситуацию может только волевое усилие одного из лидеров рынка (как у Apple с разъемом для наушников, только осмысленнее), за которым пойдут другие. И вот тогда наступит светлое будущее. И знаете что. При всей ущербности парольной защиты сегодня, совершенно не факт, что это будущее нам понравится.
Комментарии (43)
Sliver
12.09.2016 12:54+5Проблемы паролей понятны.
Я не понял из статьи, что предлагается делать. Сейчас.
pda0
12.09.2016 14:50+1Do something!
На самом деле желающих низвергнуть пароли много. Вот только раз за разом они предложить ничего не могут. Потому что предлагать нечего. (Вариант замена текстового пароля на не текстовый: нарисуйте картинку, решите головоломку, не рассматриваем, как не меняющий суть)
Пока не научились произвольно считывать память, мозг человека подобен криптопроцессору: пароль там создан, он там и остаётся. К сожалению, всё ещё возможен перехват по пути. Но от этого никакое решение особо не защищено. Безопасность канала связи — отдельная тема.
Соответственно, любое другое решение будет как минимум не лучше. Вынести пароль в брелок с генератором одноразовых паролей — его можно украсть. Голову украсть нельзя. Можно вынудить человека назвать пароль, можно использовать социальную инженерию в стиле Митника (позвонить и попросить пароль, копаться в мусоре, собирать личные данные), но это не делает пароли менее надёжными, чем брелок. Его можно украсть и подбросить похожий сбойный, так что человек, некоторое время будет думать, что его брелок сломан, а не украден.
Можно использовать биометрию. Но это фактически тот же пароль, только записанный не в голове и выдаваемый по желанию, а записанный в открытом виде на самом человеке. Кроме того, такой пароль не только хранится в открытом виде, но и вынуждает человека повторно использовать один и тот же пароль везде. Ведь у вас нет лишнего комплекта глаз и рук. Стоит одной системе оказаться скомпрометированной, как ваш пароль во всех системах станет известен злоумышленникам. Более того, его открытость приводит к возможности скрытой кражи. Уже известно, что удавалось обмануть сканер отпечатков на основе дистанционной съёмки руки человека на камеру высокого разрешения. Не удивлюсь, если и радужку так обмануть удастся.
Самым худшим в биометрии является то, что сменить скомпрометированный «пароль» нельзя. Не будете же вы пересаживать руки и глаза, после каждого взлома?khim
12.09.2016 16:22+2Вынести пароль в брелок с генератором одноразовых паролей — его можно украсть.
Но если добавить сюда простейший PIN — то этот брелок окажется бесполезен.
Можно вынудить человека назвать пароль, можно использовать социальную инженерию в стиле Митника (позвонить и попросить пароль, копаться в мусоре, собирать личные данные), но это не делает пароли менее надёжными, чем брелок.
Делает. Причём разница принципиальна. PIN в брелке имеет принципиальное отличие от пароля: его нельзя подобрать. Три (или там пять) попыток — и брелок стал тыквой.
Главное: кража брелков происходит в реальном мире и потому не масштабируется (чтобы получить миллион брелков вам нужно сделать миллион краж), подбор паролей — прекрасно осуществляется армией ботов…pda0
12.09.2016 18:20+1Но если добавить сюда простейший PIN — то этот брелок окажется бесполезен.
И пароль всё равно остаётся в голове пользователя.
подбор паролей — прекрасно осуществляется армией ботов…
Вопрос стандартов реализаций. Даже секундная задержка приёма нового пароля здорово осложнит брутфорс. Ну, а с брелками вы будете таскать в кармане килограмм тамагочи для разных сервисов. :)
Нет, на самом деле многие идеи могут быть здравыми. Собственно, я сам пользуюсь менеджером паролей. Я хотел сказать другое. Ситуация аналогична термодинамике. Там в замкнутой системе вы не можете уменьшить энтропию, здесь вы не можете создать более безопасное решение, чем секрет в голове человека. Можете менее. Можете более удобное и столь же безопасное (или близко, потому что не факт, что брелок никак не взломать электронным микроскопом). Но столь же безопасное обязано включать в себя хоть какой-то секрет в голове.
Так что все варианты убийц паролей типа «я милого узнаю по походке» можно сразу отправлять в /dev/null.
Suntechnic
12.09.2016 18:32> И пароль всё равно остаётся в голове пользователя.
Не совсем. Теперь он будет разделен на две части. Часть в голове, часть в кармане.pda0
12.09.2016 18:41-2Совсем. Поскольку часть в кармане однозначно получается по части в голове. :)
Suntechnic
12.09.2016 18:49+2М… Прошу прощения — как?
Допустим я вам назвал pin от аппаратного ключа и даже сообщил время, место и марку микроволновки в которой его уничтожил. Как вы получите эту часть?
Могу даже пепел федексом послать…pda0
12.09.2016 18:53Я имел ввиду, имея брелок на руках. Если у вас есть пин, то брелок больше ни от чего не защищает. Но пин — это то, что в голове. Лишь более удобный/надёжный способ хранить секрет.
Daar
12.09.2016 22:00+1Ну тут как в высказывании про снимать и бегать…
Давно работал в бооольшой конторе, там их СБ тоже сделала политику смены пароля каждый месяц, не менее 10 символов, и еще хранили все пароли что бы не повторялись. Память многих не бесконечна, и народ начал писать их на бумажках и клеить на монитор, класть под клаву или в стакане среди ручек… В общем во время обеда когда никого не было на рабочих местах, практически к 50% пользователям можно было войти в систему просто поисках бумажку на столе.
Хотя двухфакторная тоже имеет большой минус когда нужно что-то часто. Как-то был расчетный счет в банке, и наши бухи закалебывались вводить код из СМС на каждую платежку, когда их от 50-100 в день было… потом банк сменили :)))
И при этом, в новом направлении Контура, она теперь ключи ЭЦП хранят у себя в «облаке», а не на токене у клиента. И что бы подписать отчетность в налоговую или какой-то документ, нужно ввести код из СМС… Так что теперь если ломанут Контур, то не только хэши паролей получат но и закрытые части ЭЦП :))))
pda0
12.09.2016 14:33+5В NYT как-то бред написан. Как так получилось, что им требовались именно пароли? В компании с ~1000 сотрудников всё было организовано так, что каждая информация сотрудника была закрыта(зашифрована?) его личным паролем? Администратор, имея доступ к сети (а может быть и физический, или у них там серверы из под завалов продолжали работать?), не смог обеспечить доступ или сменить пароли?
Ну, тогда это не довод против паролей, а против такой сети.
P.S. «incorrect» понравилось. Но тогда уж надо было полностью по классике, пароль: password.vorphalack
13.09.2016 08:15я не удивлюсь если там какой-нить адски упоротый торговый софт имелся в виду, который общей логике не подчиняется.
или например 2000 винда со включеным шифрованием. даже если агентом восстановления был центральный сервер или его бекап во второй башне, они оба уничтожены. а данные могли зеркалироваться еще и на третью точку, которая как раз не пострадала…
ex0hunt
12.09.2016 14:39+4мы используем слишком простые пароли
Не мы, а Вы.
Google до конца этого года намерен допилить проект Abacus, идентифицирующий пользователя по поведению — по сути, о нас будут собирать большой объем информации, от манеры ходьбы до паттернов при наборе текста, и на основе множества признаков достаточно достверно отличать авторизованного пользователя от черт знает кого.
Ну, офигеть теперь. Я лучше попользуюсь паролями(2х-факторными), чем расскажу какому-то дяде о себе всё, только лишь бы он разрешил полайкать видосики.
khim
12.09.2016 14:45Я лучше попользуюсь паролями(2х-факторными), чем расскажу какому-то дяде о себе всё, только лишь бы он разрешил полайкать видосики.
Ну зачем же рассказывать-то? Это вам дядя сможет рассказать о том, какие у вас привычки и что вам лучше сделать, чтобы стать досточным человеком.
pda0
12.09.2016 14:51Мертворождённо. Идентификация по поведению — разновидность биометрии, о которой я написал выше. С тем недостатком, что скрыто собрать данные, для того, чтобы выдать себя за другого ещё проще.
Suntechnic
12.09.2016 15:00+1Я думаю никто не будет использовать это как основной и единственный метод. Скорее как некоторую дополнительную проверку. Допустим некто вошел в аккаунт с сохраненной авторизацией в сессии, но ведет себя странно — давай его попросим ввести пароль еще раз. Или одноразовый пароль или и то и другое, в зависимости от степени странности. Т.е. как допмера защиты.
khim
12.09.2016 16:26С тем недостатком, что скрыто собрать данные, для того, чтобы выдать себя за другого ещё проще.
Вы это серьёзно? Проще поставить трояна на комп, собрать данные для того, куда и как вы кликаете, а потом понять — что именно сайт проверяет?
Опять-таки разница между биометрией и поведенческой блокировкой та же, что и между паролем и PIN'ом на брелке. Первое — происходит на клиенте и, соответственно, может быть подобрано на клиенте. Второе — принципиально не брутится. Apple для решения этой проблемы сохраняет данные в зашифрованном виде и обрабатывает из в специальном чипе, там надёжность повыше… хотя возможность «тупого» снятия отпечатков всё равно остаётся…
pda0
12.09.2016 18:47А текст мы читаем не глазами, а каким-то другим местом…
от манеры ходьбы до паттернов при наборе текста
Паттерны набора текста собираются где угодно. Они не меняются. Манера ходьбы — сложнее, но если гугл не будет высылать людей шпионить за каждым пользователем, то сбор информации будет осуществляться «обычными» методами, через датчики мобильного. А эту же информацию будут собирать и другие программы. Возможно изначально в тех же целях. Потом это начнёт утекать в сеть, собираться, объединяться и в один прекрасный момент — опа. У вас есть возможность достоверно прикинуться самыми разными людьми.
Насчёт «принципиально не брутится» — смешно. Принципиально оно пока новое и не слишком массовое. (Да, iPhone это пока не достаточно, раз есть способы проще.) Но стань оно общим решением — сразу появится интерес в инструментах взлома.khim
12.09.2016 19:02Насчёт «принципиально не брутится» — смешно.
Это вам смешно. А мне грустно. Когда люди, ничего не понимающие в безопасности вообще начинают рассуждать о ней — добра не жди.
Но стань оно общим решением — сразу появится интерес в инструментах взлома.
Я правильно понимаю, что решения типа такого — недостаточно «общи»? То есть миллионы пользователей и денежные переводы на миллиарды — это «фигня вопрос»? Не интересна?
Вот когда этот подход используется для того, чтобы Вася защитил свою переписку — вот только тогда «появится интерес в инструментах взлома» — так, что ли?
Вы бы хоть чуть-чуть историю вопроса изучили бы, перед тем, как чушь писать.
nmk2002
12.09.2016 15:01+2Сервис Have I Been Pwned? известного специалиста по безопасности Троя Ханта позволяет проверить, нет ли в утечках пароля, ассоциированного с вашим почтовым адресом.
Несколько месяцев назад подписал свой email на проверку в базе утечек. Это действительно удобно, чем отслеживать все новости и искать себя в списке. Жаль только, что информация об утечках на этом ресурсе появляется с некоторой задержкой. Например, Рамблера там пока нет.
gimntut
12.09.2016 15:18+1Сегодня я попробую проанализировать, что именно плохого в паролях (короткий ответ — всё), что можно с этим сделать
Так, что же можно сделать?
В статье про это не слова. Написано, что делается и что это не лучше, чем пароль, хотя бы по тому, что сложнее в использовании.
Пароли просты в обслуживании. Задача сервисов — зарабатывать деньги. Если сервис предупредил пользователя о высокой вероятности потери чего бы то не было, в результате использования слабого пароля, хотя бы с использованием красно-жёлтой-зелёной индикации, а пользователь проигнорировал предупреждение, то это уже его проблемы. Заставить поменять пользователей пароли и выплатить компенсации особо упёртым в случае утечки значительно дешевле, чем потерять клиентов из-за сложной системы аутентификации.
Google до конца этого года намерен допилить проект Abacus, идентифицирующий пользователя по поведению
Не знаком с абакусом, но по описанию из этой статьи очевидно, что его предназначение прямо противоположное — обеспечить вход без ввода пароля. Но если пользователь только что приобрёл новое устройство, или заблокировал на какое-то время доступ, то ему нужно плясать с бубном у телефона с риском того, что телефон его не узнает. Зато если телефон разблокирован, то любой получивший к нему доступ, имеет доступ ко всему.
f15
12.09.2016 22:09Мое предположение, что двухфакторная авторизация в любом виде — это промежуточный этап, который уже обеспечит неплохую защиту. А будущее — за системами вроде абакуса, где пароли действительно отменяются и заменяются на более сложный набор данных — такая многофакторная авторизация по десятку параметров. И да, с ними будут проблемы: от указанной вами проблемы покупки нового устройства (ок, отвяжут от устройства) до каких-нибудь непредвиденных глюков. В этом случае будет какая-то заковыристая процедура с отправкой скана паспорта или посещением местного Дворца Авторизации им. С. Брина.
Насколько я прав, станет понятно года через три.
alex1603
14.09.2016 11:56Было бы забавно посмотреть на ввод пароля, если использовать гироскоп и датчик положения и акселерометр для генерации и ввода пароля… стоит человек танцует только ему известный танец в ему известном ритме. И вуаля доступ к сервису получен! А еще если будет популярно то можно весь мир заставить танцевать. Весело и полезно. А потом появятся танцоры хакеры и танцы будут сложнее и сложнее-прогресс!
Arxitektor
12.09.2016 18:52Я представляю систему так:
Есть какой то цент авторизации как сейчас войти через google+ и тп.
есть аппаратный токен с беспроводным каналом и пин кодом.
на подобие брелка для авто.
пользователь заходит на сайт и жмет авторизация ему введите пин.
он вводит пин на брелке. для двухфакторной вводит код пришедший на телефон также вводит на брелке.
и входит на сайт. при утере брелка заявка на утерю и всё брелок заблокирован в системе.
В брелке анализатор на подобие абакуса сам брелок в формате фитнес трекера.
снимает биометрию непрерывно.
khim
12.09.2016 20:59Вы примерно описали системы, которые используют банки для авторизации крупных денежных переводов. Но, понимаете ли, это ж неудобно: брелок там, его забыть можно или потерять. Но да — эти технологии существуют уже 100 лет (ну хорошо, может не 100 — но 20 лет точно), работают и «каши не просят».
Но это ж не «иноовационно»! Зачем нам что-то что, что работает? Мы будем изобретать 100500 «велосипедов», но носить брелок нас не заставят ни-ко-гда.
Странно человек устроен, ой как странно…
sven47
12.09.2016 22:10Все это вопрос стоимости взлома против получаемой выгоды и стоимости защиты против возможного убытка.
khim
12.09.2016 22:38Вообще-то всё это используется для миллиардных транзакций. То есть возможный убыток — примерно таков же. Сломал защиту — и деньга прямо тебе в карман. Бесплатно и без SMS. Утрирую, конечно, но идея ясна, я надеюсь.
Цена же — не знаю во сколько оно обходится банку, но я знаю человека который в такую железку AES добавлял. Всовывая его в 256 байт на четырёхбитном процессоре. Большего ставить не хотели, так как себестоимость на сколько-то там центов могла возрасти.
Так что нет, здесь не проблема стоимости защиты — это скорее маркетинговые заморочки.
svboobnov
12.09.2016 22:02-1Позвольте и мне флагами помахать!
Во-первых все банковские СМС прилетают на мой кнопочный телефон, в котором я даже Java отключил.
Во-вторых, все пароли храню в JPassword (есть множество других хранилок паролей, не онлайновых).
Да, на меня подействовало длительное сотрудничество с безопасником компании ( паранойя заразительна ).
Но принятые мной меры рекомендую и вам. Всем добра и уютной приватности =)alsii
14.09.2016 15:34+1Во-первых все банковские СМС прилетают на мой кнопочный телефон, в котором я даже Java отключил.
Вы правы. Меньше знаешь, крепче спишь. https://habrahabr.ru/company/pt/blog/237981/
svboobnov
14.09.2016 23:43Ну, компаний, имеющих очень дорогое оборудование для доступа в подсистему SS7 очень мало, и вероятность того, что мой онлайн-банк (где лежат хх тысяч руб) их заинтересует крайне мала.
Известно же: На любую защиту найдётся пробойник, главное — чтобы пробой защиты был дороже защищаемой ценности.alsii
15.09.2016 15:35Вы видимо не прочитали статью.
В конце августа газета Washington Post обнародовала буклет американской компании Verint, которая предлагает своим клиентам сервис Skylock по выслеживанию абонентов мобильных сетей в разных странах мира – без ведома самих абонентов и операторов".
Речь идет об августе 2014 года. Компанию интересует не ваш онлайн-бакн. Компания оказывает услуги. Компанию интересуют деньги тех, кого интересует ваш онлайн-банк. И не только ваш. И я думаю, что стоимость разовго пререхвата СМС с блокировкой его доставки получателю будет невелика, особено оптом. представьте. Добывает злоумышленних базу клиентов вашего банка. Находит, ну скажем 10 тыс. человек у которых остаток на счете больше 10 тыс. рублей. Скидывает номера телефонов этим красавчикам, платит по 10 долларов за перехваченнкю СМС. Итого: компания имеет $100 тыс., злоумышленник 100 млн. руб. минут $100 тыс. Т.е. около 90 млн. Ну пусть треть составят транзакционные и прочие издержки. Итого 60 млн. руб. Ну а вы будете просто одним из многих пострадавших.
DeadKnight
12.09.2016 22:02На самом деле все совершенно не так. Проблема не в паролях, а в тех, кто ими пользуются. Люди не хотят и не будут вводить пароль из 20 символов только чтобы посмотреть на 20-ю за день картинку милого котенка, со всеми вытекающими последствиями.
С развлечениями у нас в Лос-Аламосе было неважно, нам приходилось
развлекать себя самим, и возня с мозлеровским замком моего шкафа была одним
из моих развлечений. Как-то раз я сделал интересное наблюдение: когда замок
был открыт, ящик выдвинут, а лимб оставлен на 10 (именно в таком состоянии
люди оставляли свой шкаф, когда они его открывали и вынимали из него
документы), запирающий стержень все еще оставался в нижнем положении. Что же
это означало, что стержень был внизу? Это означало, что стержень продет
через прорези всех трех дисков, которые, следовательно, все еще стоят друг
против друга. Ага.
…
Я сообразил, что то же можно проделать и для второго числа: если я знаю
последнее число, я могу прокрутить лимб в обратную сторону и снова, шагами
по пять делений, постепенно повернуть второй диск в такое положение, при
котором стержень перестанет проходить через него. Предшествовавшее этому
число будет вторым числом комбинации
ov7a
13.09.2016 11:56В статье какая-то вода, никаких толковых предложений нет. Насчет поведения человека — это очень плохая идея. Сейчас мы на реактивном двигателе летим в эпоху, когда все знают все обо всех. Человек стал товаром, о нем известно очень многое соцсетям, ОПСОСам, поисковикам, гуглу/эплу/амазону/государству (шапочка у меня есть, спасибо). Всю информацию о человеке уже можно считать публичной.
Кроме того, как и у биометрии, у поведенческой аутентификации есть фатальная проблема — если один раз что-то было скопроменитровано, то пиши пропало — новый глаз или палец вы себе не сделаете, внезапно не станете гопарем из кандидата наук. Ну и параметры могут изменяться со временем.
Я ожидал увидеть в этой статье что-нибудь новое. Да в ней даже токены не упомянуты (только в комментариях написали)!
b_bbb
14.09.2016 11:55А почему бы сервисам не генерировкть устойчивые пароли самостоятельно, и раздавать пользователям? Или же сохранять измененную каким-либо шифром версию пароля?
svboobnov
14.09.2016 23:47-1Так есть же множество сервисов и приложений, которые хэшируют данные пользователя на сервисе:
$password = hash_func($соль. $имя_сервиса. $имя_пользователя),
И в самой программе ничего не хранится. Но как-то не прижились эти решения.
khim
15.09.2016 21:31По всё той же причине: люди не будут этим пользоваться. Там где у пользователей выбора нет — да, прокатывает…
Beholder
> Сразу отметем попытки заставить людей использовать более безопасные пароли.
Это примерно как: «Сразу отметём попытки заставить солдат соблюдать устав и дисциплину». Или хотя бы как: «Сразу отметём попытки заставить работников соблюдать трудовую дисциплину и технику безопасности».
khim
К сожалению или к счастью, но подавляющее большинство пользователей не являются солдатами и устав соблюдать ен обязаны. Более-менее удаётся заставить использовать приличные пароли админов или программистов. А в бухгалтерии всегда будет пароль максимально приближенный к идеальному «1111». Нужны 8 символов? «11111111». Нужны разные символы? «12345678». И так далее.
Всё просто: забытый пароль == невыполненная работа == лишение премий и штрафы. Украденный пароль? Проблемы фирмы.
Действенный способ — не давать пользователю задавать пароль самому и давать ему один из паролей сгенерированных APG. Для внутренних сайтов — годится. Но в интернете это плохо работает: пароли от сайтов, пароль от которых сложный, человек будет забывать — а значит они проиграют тем сайтам, где пароль «дракон!11» допустим.
whiplash
«А в бухгалтерии всегда будет пароль максимально приближенный к идеальному «1111». Нужны 8 символов? «11111111». Нужны разные символы? «12345678». И так далее.»
Откуда этот идиотский стереотип? Есть политика информационной безопасности компании, оформлена так же в виде допника к ТК, в нём например явно прописаны базовые «8 символов, стронг, память на 20 паролей назад, смена раз в 90 дней». Хотя я бы делал 10 и 30 дней.
Все, бумага подписана. Все остальные разговоры — с СБ компании и непосредственным руководством.
Для особо критичных вещей — смарт-карты.
И это УЖЕ будет лучше и эффективнее, чем классика про 123456, хотя пароли вида Октябрь2002 так же небезопасны.
khim
В армии — такое прокатит. И то не факт. На гражданке… Вы можете прописать в политике что угодно, но бухгалтера будут стремиться к тому, чтобы пароль был максимально простым и легко запоминающися. В дело идут всякие дни рождения, имена кошек и собак — всё, что угодно, кроме случайных букв и цифр. А политика на 20 паролей назад будет тупо обойдена тем, что что будет введено 19 случайных паролей и потом — тот самый, родной и любимый, простой и хорошо заученный.
Будет лучше — но не сильно, потому что бороться вам придётся не с мифическими взломщиками, а ленью ваших собственных сотрудников. А это — страшная сила, я вам скажу.
Вот это — уже лучше. Хотя PIN там всё равно будет «1111».
alsii
В общем технически заставить сотрудников "Sphere in Vacuum Ltd." соблюдать инструкции можно, вопрос только в том, какие деньги им придется за это платить, чтобы они не разбежались.
Suntechnic
Заставлять кого-то делать что-то, это самый глупый, неэффективный и крайний метод.
Применять его стоит только тогда, когда осознал что, не в состоянии разработать такую систему, где никого не надо заставлять что-то делать.
Это справедливо не только с паролями. Это справедливо от воспитания детей и до управления государством.
Невозможно заставить ребенка скажем учить математику. Но создать условия в которых он сам захочет ее учить можно.
Невозможно заставить экономику страны развиваться, но создать условия при которых это будет не надо делать — вполне.
То же самое и с паролями.
Так что все верно — эти попытки надо отметать сразу, как малоэффективные.
Тоже кстати и с работниками. Помните статью где у механизма поднятия моста две кнопки?
alsii
Угу… Самое эффективное, это когда пароль от корпоративной системы позволяет снимать деньги в банкомате в счет будущей зарплаты и расплачиваться в столовой :-)
Suntechnic
Ну собственно да — неплохая идея. Не можешь заставить пользователя выбирать надежный пароль — сделай так чтобы он защищал что-нибудь такое, что всем надо, а для пользователя лично очень ценно.
А можно еще игру запустить — угадай пароль сотрудника. Кто угадал тому перечисляется премия того чей пароль угадали. Хотя это слишком прямолинейно.