9 июля 2017

Беседка №145. Отпечаток — не пароль

Мнение о биометрической аутентификации и уровне её безопасности.

Для большинства из нас давно очевидна вся важность паролей. Вкратце об основных правилах:

  • Не использовать один и тот же пароль на разных сайтах. В случае взлома баз паролей на одном сайте ваши учетные записи на других сайтах автоматически подпадают под аналогичный риск.
  • Не использовать короткий пароль. Пароли короче 12 символом (некоторые утверждают, что до 16 символов) уязвимы для атак методом перебора.
  • Не использовать простые пароли. Комбинация пароля должна включать комбинацию строчных и заглавных букв, чисел и символов.
  • Не использовать легко угадываемые пароли. Имена членов семьи, важные даты, клички животных и подобная информация не подходит для паролей.
  • Не использовать понятия из словаря. Хотите — верьте, хотите — нет, но в словаре не так много слов. Их полный перебор занимает не так много времени, особенно если учесть доступную современным компьютерам вычислительную мощность. За двадцать лет мы научились придумывать пароли, которые непросто запомнить человеку, но которые с легкостью «взломает» компьютер.

Если всё это кажется сложным, то вы не ошиблись.

Интересно, сколько человек сменили пароль на correcthorsebatterystaple

Чтобы облегчить себе (и потенциальным мошенникам) задачу мы используем менеджеры паролей (LastPass, KeePassX и встроенные в ваш браузер инструменты). Их минус в том, что они настолько надёжны, как 1) пароль, защищающий вход в приложение 2) пароль, защищающий устройство с приложением, будь то телефон, планшет или компьютер.

Вдобавок к традиционным менеджерам паролей вы можете использовать на своём телефоне приложение-кошелёк (Apple Pay, Android Pay, Samsung Pay, Coinbase, Google Wallet, Square, PayPal или даже банковское приложение), что означает потенциальный риск для ваших финансов в случае ненадёжной защиты устройства.

Чтобы облегчить нам жизнь (мне кажется, я начинаю видеть закономерность), OEM-производители начали создавать способы подтверждения нашей личности на аппаратном уровне. От распознавания лица до сетчатки глаза и отпечатка пальцев большинство из них пытается отсканировать что-то, имеющее способность персонально идентифицировать нас и каждый раз осуществлять этот процесс под нашим контролем (подразумевая, что некто не завладел чужим глазом или пальцем).

Но подтверждение личности не является паролем и в этом кроется важное различие.

Когда я показывают кому-то свои права или карточку Tribal ID, я тем самым подтверждаю свою личность. Я не оплачиваю счёт. Я не покупаю газировку. Я не открываю дверь. Я не делаю чего-то, кроме представления доказательств, что я — это я. На каком-то этапе повествования аналогия смешалась и вместе с этим появилась угроза для нашей безопасности.

Да, есть те, кто говорят, что сейчас мы больше защищены, чем раньше. Если под «раньше» понимать время, когда мы не использовали пароли и ПИН-коды для защиты наших устройств, то они, возможно, правы. Как бы то ни было, если вы использовали пин-код, пароль или рисунок для разблокировки устройства, а сейчас перешли на отпечаток пальца, распознавание лица или сетчатки глаза, то я бы поспорил, что защита стала лучше.

«Надо не забыть протереть дисплей»

Проиллюстрируем мои доводы на примере: представьте, что вы возвращаетесь домой из отпуска и таможня (или другой правоохранительный / разведывательный орган) хочет «осмотреть» ваше устройство. Надеемся, что вы вняли нашим советам и выключили телефон до того, как попали в эту ситуацию. Когда современное устройство включается, то вам необходимо ввести пароль или ПИН перед тем, как пользоваться сканером отпечатка пальца, сетчатки или распознаванием голоса. Если вы поступили иначе и не хотите, чтобы представитель таможни получил доступ к вашему устройству без особого предписания, то им для этого всего лишь нужно поднять устройство к вашему лицу или прижать ваш палец к сканеру и вуаля, доступ получен.

Естественно, некоторые из вас повторят всё ту же избитую фразу: «Если нечего скрывать, то и нечего бояться». Для тех, кто продолжает поддерживать это заблуждение: что если вместо правительственного агента будет уличный грабитель, кто-то захвативший вас в заложники или какой-либо другой представитель криминального мира? Всё еще чувствуете себя в безопасности?

Вне зависимости от того, принадлежите ли вы к параноикам, которые не хотят, чтобы другие совали свой нос в их личные дела, отпечаток пальца, сетчатка глаза и голос не являются вашими паролями и будет разумно с вашей стороны не относиться к ним как к таковым.

Оригинальный материал, автор — Джо Леви

Попробую несколько развить высказанный автором тезис. Под предлогом облегчения ввода идентифицирующей нас информации для разблокировки устройства производители с другой стороны подложили нам «свинью», и вот мы уже читаем безобидные и не очень истории о разблокировке устройств пальцами спящих владельцев, а также их фотографиями. Ну и не стоит забывать более изощрённые способы, например, изготовление отпечатка пальца невнимательного владельца. Поневоле задумываешься, стоят ли все вот эти нововведения появившихся рисков?

Я одобряю заботу автора о безопасности личных данных пользователей, но пока есть не совсем грамотные в этом плане люди, будут и готовые нажиться на этом. И никакие объяснения причин хранения на смартфоне без какой-либо защиты от несанкционированного вторжения фотографии с записанными на бумажке логином и паролем к учетной записи Google / Apple не вернут потерянное /украденное и впоследствии сброшенное до заводских настроек устройство. Если вы на 100% уверены в том, что ваши гаджеты не попадут в чужие руки, то вам не о чем волноваться, если же нет — вероятно, стоит задуматься.

twitter

Читайте также

115 комментариев на «“Беседка №145. Отпечаток — не пароль”»

  1. Alexandr.Noskov:

    Илья классную статью нашел, есть что обсудить! Наш англоязычный визави забыл еще один важный момент. Момент в том, что, к примеру, эксперт дает заключение, что отпечаток на стакане идентичен отпечатку гр-на Х. Но нигде в открытых источниках не обсуждается, почему он не указывает, что это отпечаток гр-на Х. Чуете разницу? А знаете почему? 🙂 Да потому что один и тот же отпечаток принадлежит разным людям с вероятностью около 1:100 000))) Сейчас не помню точно где наткнулся на глобальные исследования (очень давно было), но точный тезис звучит так — «каждый конкретный отпечаток пальца одного человека идентичен по крайней мере еще одному отпечатку другого человеку на планете». Вот такая вот безопасность и уникальность. С другой стороны, такая вероятность взлома устройства меня вполне устраивает.

    • anonymousses_v5:

      1:100 000? А почему не к 1 000 000? Не к 1 000 000 000? Не классические 1:64 000 000 000? А наткнулись вы на обсуждение «людей было 100млрд уже, поэтому наверное можно считать, что когда-то отпечатки уже совпали». Только непонятно у кого и с кем. У питекантропа Аоуыауы с жившим в позапрошлом веке Сан Хозе Бернардино Марией Альфонс Дельмарио, например.

      А про эксперта вообще … гм, домыслы. Потому что эксперт буквально отвечает на вопросы и не может заниматься домыслами. А в нормальной экспертизе нельзя поставить вопрос «чей это отпечаток», можно только спросить «соответствует ли какой-то оттиск вот на этой карте» вот этому, снятому с предмета. Потому что иначе юридически некорректно.

      • Alexandr.Noskov:

        Посмотрел несколько стримов про наши суды, все судьи судят кто как хочет, какая-то анархия.

        • anonymousses_v5:

          Право не прецедентное, только ВС с пленумом может устанавливать правоприменение. Остальное на усмотрение каждого судьи. И в экспертизе все тоже весело, эксперт единица в целом вполне самостоятельная и иногда это веселит (кроме случаев с пьяным ребёнком, конечно). Но требования к постановке вопросов и ответам все же стандартные. Конкретный вопрос и ответ именно на него (ну или отказ от ответа в случае некорректного вопроса).

          • Alexandr.Noskov:

            Что эксперт фигура самостоятельная спора нет. Но вот лично сталкивался, привозишь ему кулечек порошкообразного вещества светло-серого цвета весом не менее 4гр, а он после исследования пишет, что там 1,9гр. Мне в принципе по-барабану, но получается что люди зря работали? Зря разматывали зловонный наркотический клубок и выходили на дилера? И сколько раз так было.

            • anonymousses_v5:

              Ой тут надо вопросы задавать эксперту вне эфира «что это было вообще и почему».

              • Alexandr.Noskov:

                Вообще он же не знает, кому принадлежит то или иное в-во или предмет. Скорее всего причина банальная до безобразия, писанины больше, а неохота.

                • anonymousses_v5:

                  Ну я примерно о том же. Что-то ему не понравилось, что-то не сошлось и он пошёл по пути наименьшего сопротивления при отказе 😉

                • sergey ivanov:

                  «Вообще он же не знает, кому принадлежит то или иное в-во или предмет»

                  Почему не знает? На упаковке всё описано, подписи следака и понятых.

                  • Alexandr.Noskov:

                    Хм, точно. Забывать начинаю. Это кстати серьезный косяк.

            • ArtemV:

              Меня больше по подписям бесило 🙂 один спокойно идентифицирует, а другой — НПВ и все тут. Слишком простая.

            • ArtemV:

              А вы там на месте весами вешали?)

              • Alexandr.Noskov:

                Конечно! Операм Обнона лень реально бегать за наркошами. Они опрашивают соседей, потом берут объект под наблюдение и когда убеждаются в том, что он реально наркоман, то тупо подбрасывают, потом сажают в стакан на пару дней, а потом узнают адрес имя и т.д. дилера. Так гораздо проще. Это законно? Нет! Это правильно? Да! Я их не осуждаю от слова совсем.

                • Gordon Freeman:

                  Как мило. А если ошиблись и подкинули не тому? Будут прессовать до последнего и посадят, спасая «честь мундира» и свои задницы?

                  • Alexandr.Noskov:

                    Нет, вы не поняли. Суть захвата наркомана — посадить его на пару дней, а когда начнет ломать, то выдать дозу за информацию. А потом вербануть (если еще пока нормальный человек) и отпустить. Или по административке пустить. Понимаете? Если вы не наркоман и произошла «ошибка» то во-первых вас ен будет ломать, во-вторых вас отпустят, в-третьих к вам домой придет опер со вкусным пакетом и будет извиняться, а потом вы подружитесь. Это все незаконно, но это самый верный путь выйти на дилера. А вообще всякое бывает. Вот есть такой населенный пункт в пригороде СПб — Горелово. И там 7 лет назад наши обноновцы (с транспортной) вместе с ОМОН-ом штурмовали цыганский мини-дворец. Таки и шо вы думаете? Приехали из местного территориального отделения милиционеры и начали типа «давайте стрелку забьем, это наша корова и т.д.». Разумеется были посланы. Я это к тому, что соблюдая закон до запятой, выйти на дилера практически невозможно, плюс — вам будут мешать.

                    • Gordon Freeman:

                      Какая прелесть. Чел, тут ошибочка вышла, ну помариновали тебя в обезьяннике, ну бывает, мир дружба, жевачка, ты ведь не против? Вот тебе вкусняшка. Охренеть. А потом обижаются на, как минимум, настороженное к себе отношение.

                    • Alexandr.Noskov:

                      Вероятность такой ошибки крайне мала, беспокоиться не о чем.

                    • Gordon Freeman:

                      https://uploads.disquscdn.com/images/37ab79d61c641b882e1b1e04245d69dca1bf748b9b8e78f9b2022baadef009e7.jpg
                      Извините, не удержался 🙂
                      Тем не менее. Сама возможность работы правоохранителей, скажем так, неправовыми методами, никак не повышает степень доверия в их адрес. Один, скажем, ошибся и извинился. А второй — перепугался последствий и полез в бутылку. В итоге имеем немых, выкрикивавших экстремистские лозунги и колясочников — грабителей спецназовцев.

                    • Alexandr.Noskov:

                      А я и не спорю. Только мне кажется они должны бороться с преступностью, а не вызывать доверие. Это имхо, не навязываю его.

                    • Gordon Freeman:

                      Лес рубят — щепки летят? Ок, я вас понял. Просто потом не стоит удивляться, ачоета население не желает сотрудничать с органами. Ибо опасается. Даже не криминал, а тех, кто от него должен защищать.

                    • Alexandr.Noskov:

                      Они и не должны сотрудничать. Такого сотрудничества нет ни в одном законе. А полицейских пускай воспитывают блогеры, у них это получается лучше всех))

                    • Gordon Freeman:

                      Не должны. Но согласитесь, сотрудничество сильно облегчает работу. А когда на каждый звонок в дверь — «Ничего не знаю, ничего не видел», бесит же.

                    • Alexandr.Noskov:

                      Согласен с вами, сотрудничество само по себе хорошая штука. Но вы забываете момент, что полиции здорово увеличили права по сравнению с милицией. Теперь уже и от приглашения быть «понятым» отказаться нельзя и пр.. Так что сотрудничество теперь уже не так критично.

                    • Vladimir Medvedev:

                      Много раз слышал такое — если тебя задержали, оформили документы, то просто так отпускать уже не будут, вредно для статистики. Или придумают административку, или что похуже.
                      И в рамках уголовки — если прихватили некоего «соучастника» преступления, а потом оказалось, что он не при делах, о преступлении не знал — то вряд ли его отпустят, будут натягивать соучастие всеми способами. За раскрытие групповой и оргпреступности большие плюшки, тут чем группа больше, тем лучше. Да и признаваться в ошибке неохота. Это мое мнение — о паре таких случаев узнал хоть и через третьи руки, но вроде достоверно.

                    • Vladimir Medvedev:

                      Чего-то с «вкусняшкой» и предложением дружбы перебор. Сколько слышал, максимум говорят «свободен», и пойдешь домой. Про одного знакомого слышал, что его сначала отвезли в отделение, а потом через несколько часов ночью отпустили. Денег на такси нет, общественный транспорт не ходит, человек был в двух шагах от дома, а оказался на другой стороне района. Ну дошел, конечно.

                    • Александр Данилин:

                      более того, еще ни один не сказал «я лучше до утра посижу»

                    • Александр Данилин:

                      «…опер с вкусным пакетом» — а в голубом вертолете там волшебник не прилетает??

                      в ГИБДД есть экспресс-тест к примеру есть, 5 минут и готово. ломку конопляного или кислотного наркомана опер будет ждать до пенсии.

                    • Alexandr.Noskov:

                      Опытный опер их на глаз быстрее определяет, чем тесты. Вот если сразу после школы, тогда конечно без тестов не обойтись.

                • ArtemV:

                  Это мне все известно. Лучше б законодатель устранил такую феерическую отмазку для взяточников и наркодиллеров, как провокация преступления. Тогда бы можно было вести нормальную борьбу и с дилерами, и с коррупцией.

                • Александр Данилин:

                  Операм также реально бегать за опозиционерами, они хватают их на улице, сажают в стакан, и когда убеждаются что он реально оппозиционер, тупо подбрасывают 4 грамма темно белого порошка. Так гораздо проще и не надо принимать всякие лишние законы.

    • sergey ivanov:

      Вывод эксперта в сравнительной дактилоскопической экспертизе (где представлен какой-то след и дактилокарта подозреваемого Пупкина) звучит именно как «…след пальца руки, изъятый там-то и там-то, оставлен Пупкиным Иваном Ивановичем, указательным пальцем правой руки», т.е. конкретика предельная, никаких обтекаемых формулировок.
      По крайней мере несколько лет назад, когда я ещё работал экспертом, именно так и писали. Возможно, сейчас методики поменялись, я не отслеживаю уже.

      И да, нас учили, что полная повторяемость папиллярного узора в пределах населения Земли равна нулю.

      • Alexandr.Noskov:

        Странно, когда я работал в соседней организации (15 лет назад), учили по другому. Мне кажется это вопрос «у нас так принято» или «не принято». Вообще вопрос все-равно открыт до сих пор, мне кажется.

      • Vladimir Medvedev:

        Полная повторяемость — да. Но эксперты-то вроде бы полную повторяемость не исследуют, Сравнивают несколько характерных пятен. Это как я помню. Ну а при таком подходе достаточно, чтобы те же 5-10 (не помню, сколько) характерных пятен (локусов) совпали, а не весь отпечаток

        • sergey ivanov:

          «Пятна» :)))
          Это называется «частными признаками папиллярного узора», начала, окончания, слияния, фрагменты и т.д.
          Действительно, принято для дачи положительного экспертного заключения указывать 8-12 совпадающих частных признаков, но строгих методик нет. Эксперт даёт заключение, «основываясь на внутреннем убеждении» (цитата из НПА). Я однажды дал идентификацию всего по 4-м признакам, был вызван в суд и отстоял свою позицию.

      • Александр Данилин:

        если я правильно понимаю, есть еще две формулировки — «может быть оставлен Пупкиным» или «не может быть оставлен Пупкиным». просто потому, что следы подозреваемые оставляют не очень тщательно и аккуратно.

        • sergey ivanov:

          Нет, именно в дактилоскопической экспертизе вероятностный вывод не применяется. Либо Пупкин, либо не Пупкин. Либо след для идентификации личности не пригоден.

    • SewAwOw:

      А слабо перевести на англ и написать в источнике? Вдруг автор статьи ответит?

    • Александр Данилин:

      не совсем так. отпечатки уникальны. цифровой слепок с сенсора — нет.

      именно по этой причине преступников откатывают на бумажку, чтоб когда комп выдает совпадение, эксперт взял бумажку, лупу и сравнил.

      • Alexandr.Noskov:

        Рисунок сам по себе довольно простой и не дает математического обоснования 100% уникальности. На суперкомпьютере можно посчитать вероятности, наверное.

  2. bot!:

    «что если вместо правительственного агента будет уличный грабитель, кто-то захвативший вас в заложники или какой-либо другой представитель криминального мира?» которому срочно надо посмотреть мои фото и послушать музыку? я не буду жадничать)

    • Alexandr.Noskov:

      Покажи фотки или смерть? =) Или жизнь. Как правильно вообще писать, «кошелек или смерть» или «кошелек или жизнь»?

    • Vladimir Medvedev:

      Если налички нет, но на телефоне банковское приложение, а к нему доступ через отпечаток — то почему бы нет. Появятся и такие продвинутые грабители. Но тогда какая разница — либо заставят с ножом у горла сделать вход отпечатком — либо заставят ввести пароль, чем безопаснее пароль в такой ситуации? Можно, конечно придумать вариант «неправильного входа», который будет действовать для кризисной ситуации. Например, пароль, который открывает фейковый вариант приложения, в нем денег на счету нет. Но тогда можно завести и отпечаток для аналогичных целей. Например, большой с левой руки — правильный, а большой с правой — открывает фейк.

      • bot!:

        а что он будет делать с моим банковским приложением?
        себе на счет деньги переводить? это как-то палевно)
        даже если он деньги куда-то и выведет, я через 5 минут отменю транзакцию по звонку в банк

        • gelioson:

          Не факт, что через 5 минут после встречи с грабителем Вы будете в состоянии позвонить в банк, не говоря уж о том, что устройство для звонков будет у Вас изъято с вероятностью, близкой к 100%

          • bot!:

            5 минут или 5 часов не суть важно, всегда можно развернуть транзакцию, особенно если она подозрительная
            я так и не понял, что все таки грабитель сделал с моим банковским приложением?
            перевел деньги себе на счет?

            • YMA:

              Наивный… Давайте вы мне переведете средства на сберовскую карточку, а потом попробуйте отменить транзакцию? 🙂 хотя бы 1000 р, я их обещаю через полгода на развитие википедии пожертвовать :)))
              PS: переводы card2card не откатываются и не опротестовываются. Вообще.

              • Костямба:

                это если не удасться доказать, что действия были по принуждению
                З.Ы. у меня знакомой вернули снятые с терминала 20к — ей нож приставили и заставили (камера это засняла)

              • bot!:

                ну хорошо, в России я давно не живу, не знаю что там можно опротестовать, что нет
                мне другое интересно) вы считаете грабитель будет деньги себе на карту переводить?
                может он вам еще свой паспорт оставит?

        • beerbody:

          Обналичивание бабла через банкомат занимает одну минуту буквально, если стоять рядом с банкоматом.

      • >> Например, пароль, который открывает фейковый вариант приложения

        Лучше отдельное рабочее пространство (свои рабочие столы и меню, если оно есть). Там просто не будет банковского приложения.

        • bot!:

          да что вы все к этому банковскому приложению пристали?
          что грабитель будет с ним делать по вашему?

          • 1. Никто, кроме вас, никуда не переставал.
            2. Грабитель переведет все деньги на телефон, а оттуда их уже выведет.

            • bot!:

              все не получится, есть дневные лимиты как никак
              а если он переведет деньги на телефон, он тем самым не оставит огромный след? после этого его найти займет, ну минут 5, разве нет?

              • Лимиты — да, усложнят ему задачу. Если денег много, а карта всего одна, то выведет не все.

                А найти его не смогут. Очевидно, что перевод будет сделан на симку, зарегистрированную по фальшивым данным (или по реальным документам какого-нибудь бомжа).

                • bot!:

                  а с симки он потом куда будет выводить?

                  • Есть разные способы. Та же анонимная карта Мегафона, например. Сергей Потресов и Эльдар не раз же писали об этих проблемах.

                    • bot!:

                      но ок, уболтали) пошел просвещаться)
                      но схема преступления очень сложная все равно в итоге при относительно малом выхлопе

                  • beerbody:

                    Запросто. Я иногда с симки Би вывожу налик через банкомат БинБанка. Быть клиентом банка и иметь карту необязательно. Правда, проценты конские, но для мошенника особой разницы нет.

          • Alexandr Lbov:

            Втарится биткоинами на всю имеющуюся у вас сумму?

            • bot!:

              на всю не получится, дневные лимиты на снятие и переводы никто не отменял
              а вообще грабитель, который на вашем телефоне будет ставить софт или браузером пользоваться, это прям фантастика какая-то

              • Alexandr Lbov:

                А какой там лимит. Тыщ 300? Пойдёт. А так-то не проблема, один раз заучил правильный порядок действий и всё. Знать при это всю подноготную процесса не обязательно.

                • bot!:

                  в моем банке можно самому лимиты выставлять, я себе выставил $AUD 300 на снятие в банкоматах
                  и $AUD 100 на переводы, поскольку переводами не пользуюсь

  3. CruelPillow:

    Статья высосана из пальца (каламбур!). Отпечаток пальца — идеальный вариант с точки зрения «надежность-удобство» для потребительской электроники. При этом автор предъявляет к технологии претензии, не соответствующие тому уровню защищенности, который требуется для защиты телефона обычного гражданина.

    • SewAwOw:

      Ну напиши это в источнике, там тоже дискасс. Зачем ты это тут пишешь? Тут всего лишь перевод.

      • CruelPillow:

        Это комментарии к статье на портале и мы здесь обсуждаем статью, а не качество перевода или личность переводчика. Нет?

        • SewAwOw:

          Нет, я прост о том, что если ты чем-то недоволен/не согласен в статье, то можешь написать в источнике, вдруг, автор статьи тебе ответит?

    • Orevuar:

      ленивый, но самый ненадежный, ибо бывают ситуации, когда ты себя не контролируешь, например сон или когда ты пьяный…Тут даж граф. ключ на заляпанном смартфоне будет надежней)

  4. Р:

    Терморектальный криптоанализ взламывает пароль любой сложности за считанные минуты.

  5. ReadFact:

    Дурдом конечно, отпечаток нужен вместо пароля исключительно для удобства

  6. Filipp:

    отпечаток надёжнее, чем пароль, это же факт
    пароль можно угадать или подсмотреть, в отличие от отпечатка

    • Miller Lite:

      ну зато пароль можно только выбить,а не приложить палец

    • Aleksandr Kirikoff:

      «…звонил своему другу с телефона убитой, при этом отмечая, что подростку пришлось поднести аппарат к ладони девушки, поскольку на нём была установлена система снятия блокировки через отпечаток пальца.» из описания нашумевшего дела об убийстве девушки в Новосибирске. К сожалению, случай из жизни. Так что воспользоваться можно не только телефоном живого владельца при помощи силы, но и уже мертвого

  7. Lecron:

    Все зависит от того, случайный интерес злоумышленника к устройству или целенаправленный. Оценка уязвимости разных способов в этих вариантах отличается. Точнее, от случайных угроз, оба варианты нормальны, а от целенаправленных — оба слабы. Приложили палец во сне? А просто подсмотреть пароль они конечно не смогут. Применить насилие для прикладывания пальца к датчику? А применить насилие для выбивания кода, постеснялись.

  8. Quato:

    Коротко — очередная бредовая статейка ни о чем.

  9. Виктор Ковыршин:

    Вот новые рекомендации от NIST: https://pages.nist.gov/800-63-3/sp800-63b.html

    Вкратце: Сл0ЖнbIй пароль не нужен. СУПЕРДЛИННЫЙПАРОЛЬ тоже.
    Надо не тупить, менять его переодически, и не вводить на левых сайтах.

    Все боятся перебора пароля(12, а лучше 16 сисмволов!), но никто не думает про коллизию хэшей. (когда у пароля аааа и «оченьсложныйпароль11111» получается одинаковый хэш.

    • Александр Данилин:

      семь бед — один ответ, мультифакторинговая авторизация.

      пусть гугл и майкрософт сделают по центру авторизации, которые всего лишь разрешают или нет вам доступ на сайт. ресурс на который нужно войти спрашивает у вас ваш простой и удобный пароль, потом запрашивает гугл и майкрософт — пускать или нет. если кто нибудь скажет ни пускать — вы не войдете. в итоге взломщику для доступа к ресурсу надо сломать три аккаунта, притом два хорошо защищенных.

      • Виктор Ковыршин:

        Microsoft предлагает 2FA всем кто пользуется его облаком. Пара приложений в телефоне у меня используют Google Authenticator

  10. Духаст Вячеславович:

    Наверное многие читали, про графический пароль…
    https://m.habrahabr.ru/post/174773/

    • Sviatoslav Syrtsov:

      Графический ключ зачастую можно увидеть по следам от пальца.
      А если его долго не менять — там вообще дорога протрётся)

      • Духаст Вячеславович:

        Об этом и статья

        • Я хотел дочке помочь подготовить доклад на тему «как взломать смартфоны родителей» (на примерах следов пароля от пальцев и использования отпечатков, когда родители уснули) для научно-практической конференции в школе, но жена запретила 🙂

          • Shlomo Levi:

            я читал как к пьяному в дупель мужику жен приложила айфон, короче проснулся он уже разведённым)))

      • Mic111:

        Добавил часы в надежные устройства, графический ключ вообще не ввожу. С другой стороны через отладку рутированное устройство можно разблокировать в течении пары минут (

  11. bot!:

    я один такой, кто ни один из своих девайсов не паролит?

    • sidor sidorov:

      Нет. Не один.

    • Андрей Юдин:

      Не один!

    • Evgeniy Berd:

      безопасность в телефонах — модный тренд, не более. 99% людей не хранит ничего важного или секретного в телефоне, а если он еще и запаролен, то в случае его потери это резко снижает ваши шансы на возвращение.

  12. PatentCrusher:

    Я, кстати, уже слышал про ситуацию с принуждением прикладывания пальца к датчику на телефоне. Это говорил Кевин Митник в качестве приглашенного эксперта на каком-то западном канале.

    Он оперировал теми же фразами, что автор статьи и указывал на то, что отпечаток пальца себя дискредитировал тем, что по запросу судьи вы будете обязаны приложить палец к сенсору и разблокировать для властей телефон. А вот с пин-кодом из четырех символов такого не произойдет. Мозг, типа, пока не взламывают.

    На мой взгляд проблема надумана. Ну или не до конца продумана. Противостояние перебору пин-кода заложено в ограниченном количестве попыток ввода. Ну или в принудительной паузе между попытками. Что стоит сделать принудительную блокировку устройства в случае неверного отпечатка пальца, например, с последующей разблокировкой устройства через старый добрый аккаунт электронной почты? Схем можно придумать много. Однако есть одно НО.

    И это «НО» заключается в том, что вполне возможно, не все достижения криптографии доступны на коммерческой основе. Вполне возможно, что существует некая структура специального назначения (чаще всего аббревиатура состоит из трех букв), которая имеет в своем распоряжении условный «компьютер грубой силы». Да, типа того, что был в книге Дэна Брауна «Цифровая крепость». И с помощью этого устройства легко перебирает абсолютно стойкие для коммерческих дешифраторов пароли. Так что здесь и правда проще быть законопослушным гражданином и никому не вредить.

    С кражей паролей злоумышленниками все проще. Никому не показывать. Не использовать одинаковые пароли. Не подключаться к незнакомым вай-фай сетям. Не ставить сторонние клавиатуры. Держать телефон запаролленым сканером отпечатка, чтобы в случае утери успеть заблокировать кредитки, привязанные к установленным приложениям. Как-то так.

  13. YMA:

    Возможно, это поможет сохранить ваши деньги и спокойствие — поставьте обязательно PIN-код на SIM-карту. Иначе злыдень, наплевав на ваши пароли, отпечатки, и прочее — вставит вашу симку в свой телефон, зарегистрирует приложение или тупо выведет средства через мобильный банк (особенно он будет рад, если у вас Сбербанк).

    • Антон Иванов:

      Так вроде же такие приложения запрашивают доступ к IMEI устройства, и фокус с перестановкой симки не прокатит?

      • YMA:

        Возможно вывести средства через мобильный банк посылкой СМС (да, есть ограничения по сумме, но на 8-50 тысяч пострадать тоже неприятно).

  14. Sevilho:

    Про длину паролей и легкость подбора автор чушь написал. Плохо представляю «безграничный перебор» т.к. после 3-кратной неудачи подсистема безопасности скажет адью и надолго. Насчет 16 символьных паролей — явный перебор. В половине случаев длинее 8-10 веб сайты не разрешают делать. И этого достаточно если изредка менять пароли (о чем ни гугу, хотя это азы).

    • Александр Данилин:

      эээ… никто не подбирает пароли через вебморду, скачивают хешовый файл, обычно сделать это не особо сложно.

      • Sevilho:

        файл хэшей паролей? Это как, заплатив админу $1000, через уязвимость или есть еще «не особо сложные» методы?

        • Александр Данилин:

          обычно уязвимость веб-движка. но бывает и всего сервера. через какой порт ломиться, не столь важно, и открыто портов поболе будет обычно. сервер как то админят? обратный dns резолвят?

  15. Shlomo Levi:

    достаточно много людей имеют стабильный зароботок, помогаы хозяевам придумавшим суперумный пароль и забывших))) я уже не говорю о том что возврат потерянного телефона с паролем почти невозможен(зачем мне эта мозгокрутка))))