20 марта 2016
Беседка №80. Пароль мёртв, да здравствует.. МФА
Илья Субботин
Несмотря на нашу лень и несознательность в вопросе выбора кодового набора символов, пароли служили нам верой и правдой долгое время. Однако, их время, возможно, уже позади.
Факт: сами по себе пароли больше не эффективны. В этом нет сомнений. 2014 год запомнился многим как «год взлома» после того, как отдельно взятая преступная организация из России завладела более, чем одним миллиардом паролей. С тех пор воровство паролей уверенно «прописалось» в новостях и первым в этом списке стоит кража трёхсот двадцати тысяч паролей в Time Warner. Сопоставим эту информацию с тем фактом, что самыми популярными паролями в 2015 (!) году стали «123456», «пароль» и «qwerty» и станет ясно, что пользователи находятся под постоянной и весьма вероятной угрозой стать жертвой деструктивного вторжения в частную жизнь.
Что под угрозой? Доступ к банковским учетным записям, счетам кредитных линий, медицинской документации, завещаниям, информации о наших детях, полный отчет о переписке через SMS и e-mail и многое другое. Когда мошенники получают наш пароль, то в их безраздельном пользовании оказывается весь персональный профиль.
Некоторые пользователи достаточно подкованы и знают, что не стоит открывать электронные письма или переходить по ссылками с неизвестных доменов. Многие натренировали свои глаза примечать подозрительные ссылки или странные адреса почты. Но когда люди получают ссылку / почту от друга, то они с большой долей вероятности откроют её. Или, например, при получении письма со счётом из банка, они его оплатят. Вот здесь и происходит охоты на ничего не подозревающих пользователей. Имея миллиарды украденных паролей в своём распоряжении, преступники могут легко превратиться в наших друзей, работодателей и представителей банка. Затем они пишут от имени надежных адресатов обманные письма, содержащие в своём составе ПО, известное как кейлоггер или клавиатурный шпион и автоматически записывающее каждое нажатие пользователем на клавиатуру, и это касается как обычных действий в браузере, так и паролей, и сообщений в чатах. Подобный софт использует известные уязвимости в Java и Flash, об обновлении которых пользователи зачастую не следят, и затем направляет полученную информацию непосредственно «плохим парням».
Как предполагает название, многофакторная аутентификация (МФА) требует несколько источников информации для предоставления доступа к личным данным. Даже обычные сканеры отпечатка пальца дают дополнительный уровень безопасности уже за пределами пароля и они смогут предотвратить тот масштаб взломов, которые мы могли наблюдать за прошедшие два года. Пусть и не идеальный способ, но он значительно лучше, чем одиночная «линия обороны».
При установке способа защиты мы должны исходить из позиции, что у мошенников уже есть наши пароли. И это становится больше, нежели просто предположение, скорее, это — уже свершившийся факт. Если от моей онлайн-информации меня отделяет только пароль, то безопасность нарушена. Но это легко изменить. Допустим, добавим к паролю секретный вопрос. Теперь хакерам придется приложить больше усилий. Или сделать и пароль, и код, который присылается текстовым сообщением на мобильный. Это даже надежнее, чем контрольный вопрос, ведь для взлома злоумышленнику необходимо заполучить телефон жертвы. А если в телефоне установлен сканер отпечатков пальцев, то барьер для преступников становится еще более неприступным. При подобном сценарии потребуется и телефон, и фальшивый отпечаток пальца — или возможность перехватывать сообщения по пути на конкретное устройство. Одного пароля уже недостаточно.
Идеальных решений среди упомянутых нет, но они являются призывом к оружию и фундаментальному сдвигу в правильном направлении. Как часть индустрии, МФА даёт нам время для отказа от паролей в пользу лучших, более безопасных методов проверки личности. Аналитические, эвристические, поведенческие методы воспринимаются как научно-фантастические инструменты будущего, подобно тому, как в недавнем прошлом думали о мобильных телефонах. Сегодня они могут казаться нереальными, но со временем станут частью нашей повседневной жизни. Со временем мы приблизимся к идеалу, но для этого нам нужно использовать лучшие на сегодняшний день методы и способы защиты.
Оригинальный материал, автор — Крис Веббер
Elir: и снова в потоке рассуждений автор потерял полноценный вывод, а также забыл рассказать, как же защититься от взлома устройства. Если говорить об устройствах без сканера отпечатка пальцев, то как минимум стоит зашифровать данные устройства, во многих современных аппаратах такая функция предустановлена. Также, могут помочь приложения, подобные Cerberus, предоставляющие доступ к утерянному устройству с возможностью удаленного уничтожения данных на нём (опять же, никто не отменял стоковый Android Device Manager). Касаемо аксессуаров, поможет опция разблокировки лишь при подключении конкретного дополнительного аксессуара, например, специальной «заглушки» в порт 3.5 мм и т.д.
Многофакторная аутентификация уже стала своего рода эталоном безопасности и пренебрегать ей не стоит, ведь она является предпосылкой к переходу к следующему поколению способов защиты информации от чужих глаз. Уже сейчас некоторые производители экспериментируют над сканерами сетчатки глаза, так что работа в этом направлении предстоит обширная. Не хочу казаться алармистом, но, на мой взгляд, нужно задуматься о каком-то дополнительном способе защиты своего устройства. Опять же, далеко не всем так важна безопасность данных на устройстве, ведь зачастую там ничего секретного и нет, с этим не поспорить. Но всё же подобное беззаботное поведение может вполне поспособствовать тому, что как в пословице «грянет гром». К тому же, это обезопасит друзей, родных и близких от обмана посредством вашего взломанного аккаунта.
Только вот не стоит забывать о соответствии мер по защите ценности самой информации.
Использовать двухфакторную авторизацию при помощи СМС для доступа к личному кабинету в банке это одно, а вот светить свой номер на сайте, где залогиниться надо лишь один раз в жизни (скачать, например, что-то редкое) уже довольно глупо.
Отпечаток пальца для разблокировки мобильничка ещё нормально (хотя я лично категорически против ключа, который не заменить в случае компрометирования), то вот привязывать всё к воле одного дяди, который может дёрнуть рубильник в ответ на какой нибудь «Ну зато Аляска наша», тоже не особо.
Проблема всех этих новомодных, всё чаще принудительных, средств защиты для обезьян, которые не способны, уходя, закрыть дверь на ключ, а вместо этого залепляют её жвачкой, в том, что они, как правило, совершенно не подконтрольны владельцу информации, и ответственность, в случае чего, перед ним никто нести не будет.
недавно думал вот над чем,допустим телефон потерян,заходишь в аккаунты,смс приходит на него и вперед с песней) нужно отключить показ инфы на заблокированном экране,но это ставит крест на всем удобстве этой фишки:с часто ловлю себя на мысли,что однажды я доиграюсь,и все эти отпечатки и коды будут просто не к чему,так как на экране просто высветится код))) гениально
но не скрываю его в настройках. ох доиграюсь-же… погорю на такой плевой мелочи)
Почему «алармист», а не, например, «паникёр»? У автора статьи проблемы со знанием русского языка, похоже.
Это слово из книжной лексики.
Да? Это с каких таких книг? Что-то ни разу не встречал.
комиксы, наверное )
Ну раз не встречали, значит таких нет.
А вы встречали? Поделитесь названиями, будьте любезны.
Это устаревшее словечко, принадлежит к эпохе, когда было принято замусоривать родной язык не англицизмами, как сейчас, а французскими словами.
Разумовский О.С. Значение и смысл экологического алармизма // Ноосферные взаимодействия и ядерная безопасность. Томск, 1994
Давайте не будем придираться к терминам, слово абсолютно нормальное, возможно, немного устарело, но существует. Или Вы против заимствований?
Я против неуместных заимствований в тех случаях, когда без них можно обойтись.
Al’allamie!
Разве сканер отпечатков не дублируется паролем в телефонах? В ноутбуках по крайней мере так, поэтому никакого «дополнительного уровня безопасности» там не появляется, фуфел это.
Дублируется. Но поскольку сканер работает быстрее и проще — то пароль можно поставить достаточно сложный.
Сейчас задача сканера — не создать «второй уровень защиты», а облегчить ввод пароля.
Угу, сканер обеспечивает удобство, при этом добавляя новую дыру в безопасности. Теперь злоумышленникам достаточно получить отпечаток жертвы.
Если злоумышленник настолько продвинут, что заморачивается изготовлением отпечатка пальца — то, разумеется, ни отпечаток, ни пароль уже не спасут.
Но от обычного гопника — вполне.
не держу на смарте информацию, которую можно использовать — все во внешнем жестком диске, который подключается только в случае надобности при выключенном интернете 🙂 единственное — сбербанк надо на старую 3310 перекинуть
Лучше на другую звонилку с поддержкой 3g. Стандарт 2g, мягко говоря, не вполне безопасен.
Найти простозвонилку с 3G сейчас — та ещё задачка. Недавно искал для производственной необходимости.
Новых не делают почти, это да. На память приходит самсунг s5611, да какой-то филипс, не помню названия. И то, не уверен, что на данный момент они выпускаются.
Я, в итоге, купил какую-то Нокию, индекс не помню точно, т.к. сразу отдал, но, вроде бы, с 2… начинается. Последний витринный экземпляр. Желтенькая)
207/208 скорее всего. 2013 года модель уже.
есть нокия 6233… а чем 2g в 3310 опасен? Тем более, что номер новый и нигде не «засвечен»
я с него даже баланс не могу 🙂 Мегафон не дает ответа на столь сложный запрос.
Расписал было процесс «тыринга» ваших банковских смс, но боюсь тут не поймут наличия такой информации. Гуглите Osmocom BB.
благодарю за ссылку.
на самом деле службы безопасности в кредитках и в банках работают так охрошо, что вылавливают, раньше чем надо. и вылавливают ран;ше чем ты заметишь)))
МФА подключил ко всем своим аккаунтам сразу после угона почты на Mail. Много работы проходит через электронную почту и скайп. И боюсь не столько за переписку — нет у меня вселенских тайн, сколько за облачное хранилище, где лежат готовые продукты для клиентов.
Ключевое слово тут — mail.ru. Для меня сервис mail.ru не существует, вне зависимости от собственной парольной политики, а по причине неудовлетворительного ведения своего сервиса. Давно уже перестал им пользоваться.
Но пользоваться для спама можно…
а тут какие заморочки?
Не светить почту с которой можно получить доступ к вашему телефону.
Можно сколько угодно говорить, что «сервиса не существует», но отрицать его бесполезно. Миллионы людей на нем сидят. И если уж на то пошло, многие, в том числе и платные, сервисы ведут себя не менее отвратительно.
У меня там почта уже лет пятнадцать. Что же, отказываться от нее?
Ну каждый сам решает чем пользоваться, в конце концов.
Над кем-то еще довлеют обстоятельства.
Нам очень важно ваше мнение. Держите нас в курсе. Вы же профессионал? Специалист по информационной безопасности? Экономист-бизнесмен, оценщик и скупщик компаний заодно? Ну это чтобы понять в каком же ключе вы употребили ваш термин «неудовлетворительное ведение своего сервиса», ахаха.
Ну раз не усекли, значит проходите мимо. Хохотун вы наш.
Да просто такие карманные говоруны, как здесь («ежу понятно, что … — …») обычно не могут обосновать свои ценные точки зрения, а лишь ссылаются на то, что оно очевидно. Неудивительно, что вы не стали исключением.
Мне то как раз очевидно, так как пользовался в полной мере указанным почтовым сервисом. А как он вам, мне не очень интересно.
Когда последний раз пользовались? Ибо за более чем полтора десятка лет он представал в очень разных видах. Из прямых конкурентов в России — Я мало чем отличается по сути, у каждого сервиса свои тараканы просто. Из импортных Г — сильно на любителя, который попадает в идеологию системы. Но чтобы вот «этот прекрасен, а этот фу» ни про какой сказать нельзя.
Прошло время. Перегружен всякой шнягой, тормозной, спам добивал, письма ходили не айс. У знакомых именно его часто ломали. Когда перешел на гмэйл — почувствовал разницу. Ничего лишнего. Быстро, аскетично, функционально. Проблем с ним не было. Даже спам перестал доставать. А каждый год тестировать по новому кругу каждый почтовый сервис, чтобы потом менять свои адреса — увольте. Короче, пустое. Можете любой сервис пользовать. Меня это как то не сильно волнует.
У знакомых. Ломали. Отлично. Нереально прекрасный аргумент. Спасибо.
А если для меня существует сервис Mail.ru, то как там усилить свой пароль?
Проблемы МФА в неудобстве: мало кто готов дополнительно выполнять 10 телодвижений на ввод кода по СМС, всякие сканеры и тэде-тэпе. Доработают — будет отлично!
Например, в виде цельного сканера оформить весь корпус, включая экран смартфона. Тогда, стоит взять его в руки, как он уже авторизуется. Однофакторным юзерам станет ненужны даже пароли, а многофакторным — только они и останутся, если сканер радужки автоматически не сработает.
А где 10 телодвижений? Только при первоначальной настройке, которая нужна один раз. Потом только просят ввести часть номера для подтверждения и код из СМС. По-моему, это намного легче, чем переписка с поддержкой в случае взлома. Хотя, нажать ключик в браузере удобнее, не спорю. Тут вопрос в приоритетах.
Без сканера мозговых волн никак не обойтись. Мозговые волны гораздо более уникальны, чем даже отпечатки пальцев (которые повторяются с периодичностью 1 из 100к). И более того, можно будет паролить образом, находящимся в момент сканирования в голове. Например смартфон разблокируется, только если в этот момент пользователь представляет себе определенную вещь. И наоборот, навсегда блокируется, если пользователь думает о вертлявых обезьянах, визжащих, корчащих ему всякие рожи и вертящих перед ним ярко-красным задом. Только не думай про обезьян!
ну это уже совсем из области фантастики .
А вот и нет. Такие датчики существуют, все упирается только в низкое разрешение мозгового сканера. Но это вопрос времени и технологий, а не науки.
Нет, не в это. Все упирается в энергоемкость такого устройства. Называется оно, кстати, аппарат для снятия ЭЭГ. 🙂
Уже есть датчики, которые позволяют человеку управлять силой мысли инвалидным креслом. Технология набирает обороты. Это уже попахивает прямым мысле-действием, техномагия 😀
Та самая техномагия?
Да! Та самая! 😀
Android и безопасность — понятия несовместимые. Концепция самой системы изначально это не предполагает.
Что именно в концепции андроид не предполагает безопасности?
https://habrahabr.ru/company/drweb/blog/143971/
Разница в деталях. ДА, в гугл плей проще разместить вредоносное ПО — ну так нефиг ставить всякий мусор, не глядя на запрашиваемые права. Да, код открыт — ну и что? Он в принципе в линуксе открыт в отличие, например, от винды, так что это не аргумент. Да, доступны левые магазины — снова к вопросу о том, что нефиг ставить всякую левоту. Рутование доступно и там и там — собственно таит в себе одинаковые риски. Что имеем по итогу? Эпл как всегда позаботился о своих пользователях чуть больше, давая им меньше свободы в обмен на большую безопасность. Гугл дает чуть больше свободы, но требуется немного думать и брать на себя ответственность. Но никакой принципиальной разницы в безопасности не вижу.
А у кого предполагает? Сдаётся, троллинг — не Ваш konёk.
Симба, наверно.
«самыми популярными паролями в 2015 (!) году стали «123456», «пароль» и «qwerty» »
Они всегда такими популярными были. Я и сам ими часто пользуюсь в местах, где пароль и нафиг не нужен, но зачем то есть.
Что же касается МФА, то я далеко не всем готов свой номер телефона дать, ибо спамер не спит.