Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 2086 сообщений
Cообщения с меткой

пароли - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

[Перевод] Эволюция паролей: руководство по аутентификации в современную эпоху

Вторник, 01 Августа 2017 г. 11:06 (ссылка)

Начиналось все просто: у вас есть два набора символов (имя пользователя и пароль) и тот, кто знает оба, может войти в систему. Ничего сложного.



Однако и экосистемы, в которых они функционировали, тоже были простыми — скажем, система с разделением времени от МТИ, которая считается первой компьютерной системой, где применялись пароли.







Но такое положение дел сложилось в шестидесятые годы прошлого века, и с тех пор много воды утекло. Вплоть до последней пары десятилетий у нас было очень небольшое количество учетных записей с ограниченным числом связей, что делало спектр угроз достаточно узким. Навредить вам могли только те, кто находился в непосредственной близости — то есть люди, которые имели возможность напрямую, физически получить доступ в систему. Со временем к ним присоединились и удаленные пользователи, которые могли подключиться через телефон, и спектр угроз расширился. Что произошло после этого, вы и сами знаете: больше взаимосвязей, больше аккаунтов, больше злоумышленников и больше утечек данных, особенно в последние годы. Изначальная схема с простой сверкой символов уже не кажется такой уж блестящей идеей.



Пару месяцев назад я писал о многоразовом использовании паролей, вбросе регистрационных данных и о том, что в базу сервиса Have I been pwned был добавлен очередной миллиард записей. Дела обстоят так: миллиарды реквизитов доступа лежат и ждут, когда какой-нибудь злодей начнет использовать их для взлома любого сайта, какой ему понравится. Это ставит перед нами очень интересный вопрос: как защитить себя в таких обстоятельствах? В смысле, вы тут пытаетесь удержать на плаву онлайн-систему, а у какого-то типа со стороны есть рабочие данные от учетных записей некоторых пользователей — как ему запретишь войти в систему? Простым сопоставлением символов родом из шестидесятых тут уже не обойдешься.



Но эволюция аутентификации не сводится к бесконечному расширению баз для вброса регистрационных данных — процесс входа в систему изменился и во многих других отношениях. В некоторых случаях это привело к тому, что все перевернулось с ног на головы, и те истины о создании и управлении аккаунтами, которые когда-то считались прописными, теперь уже неактуальны. Тем не менее, мы можем видеть, как некоторые организации и сегодня применяют устаревшие схемы к современным угрозам. Данный пост ставит своей целью проанализировать это несоответствие и объяснить, как на самом деле нужно проектировать эту критически важную часть системы в наше время. Надеюсь, когда-нибудь он станет тем ресурсом, куда доброжелатели будут отправлять компании, которые говорят: «Мы делаем эту глупость ради безопасности».



Слушайте, что говорит правительство (и толковые IT-компании)



Начну с отсылок к другим источникам, потому что в Сети за последнее время появилось много хороших материалов на эту тему, и я буду к ним обращаться. Хочу выложить все это сразу, чтобы прояснить один момент: большая часть рекомендаций, которые будут приводиться дальше, — это не просто мой личный взгляд на проблему, а прямое цитирование таких организаций, как Национальный институт стандартов и технологий (National Institute of Standards and Technologies, или NIST). На самом деле, их труд Digital Identity Guidelines, который вышел буквально в прошлом месяце, пожалуй, можно считать тем толчком, который побудил меня взяться за этот пост — столько там было всего интересного.



Национальный центр по кибербезопасности (National Cyber Security Centre) правительства Великобритании — еще один замечательный ресурс, данные которого я буду использовать. Они регулярно публикуют очень содержательные статьи на тему безопасности, и представляют один из редких примеров правительственного учреждения, которое действительно «соображает» в IT-сфере.



Также я буду обращаться к исследованию Microsoft's Password Guidance от команды Identity Protection. На первой его странице говорится, что Microsoft находится в «уникальном положении для понимания роли паролей в захвате аккаунтов», благодаря тому, что ежедневно переживает по 10 миллионов атак, так что опыта у этих ребят точно хватает! Это очень практичное руководство, составленное людьми, которые явно досконально продумали, как обезопасить свои онлайн-аккаунты.



Уверен, что есть и другие интересные материалы, и буду рад, если вы поделитесь своими находками в комментариях. Здесь я перечислил только несколько источников, дальше по тексту вы найдете отсылки и на многие другие. Ну, приступим!



Процесс аутентификации не должен сводиться к переключению между двумя состояниями



Для начала посмотрим на процесс аутентификации с более философской точки зрения: пока вы не зашли в систему, у вас нет доступа ни к каким ее компонентам, потом вы заходите и получаете доступ ко всему, что прописано у вас в правах. Никакой серой зоны — либо так, либо эдак.



Одна из замечательных тенденций, которые мы наблюдаем в ИБ-секторе в последнее время — дифференциация уровней угрозы и доверия, то есть осознание того, что в каких-то сценариях, связанных с потенциальным риском (таких, как вход в систему), мы чувствуем больше доверия к пользователю, а в каких-то — меньше. Для примера: вместо того, чтобы разрешать определенное число попыток входа, скажем, пять (замечали, что число почему-то всегда нечетное?), а затем просто блокировать аккаунт, возможно, стоит добавить шаг с вводом капчи после трех. Таким образом, мы показываем, что уровень доверия к пользователю снизился и мы вынуждены принять дополнительные меры, чтобы удостовериться, что система не подвергается автоматизированной атаке. Для ботов это серьезное препятствие, а для пользователей — легкое неудобство, к тому же, при необходимости можно все-таки заблокировать аккаунт после еще нескольких неудачных попыток.



Продолжая мысль, стоит ли при давать пользователям доступ ко всем возможностям сразу при успешном входе? Допустим, они не с первого раза правильно ввели пароль и пришли с браузера, который раньше не использовали, и из другой страны — предоставлять ли им в таком случае неограниченный доступ ко всему? Или лучше ограничиться самыми базовыми функциями и потребовать доказательств, что указанный адрес действительно принадлежит пользователю, прежде чем дать ему возможность производить какие-то серьезные операции?



С помощью этих простых примеров я пытаюсь навести читателей на мысль, что можно действовать умнее, чем позволяют традиционные бинарные системы, до сих пор превалирующие в большинстве сервисов. Эта темы будет развиваться в тексте и дальше.



Чем длиннее, тем лучше (как правило)



Теперь давайте углубимся в техническую составляющую и начнем с простого: то, что вы видите ниже — не лучшая политика для создания паролей.







Первое предложение во всплывающем окошке («Длина пароля должна составлять 8-10 символов») представляет, наверное, самый распространенный из ошибочных анти-паттернов по созданию паролей: маленькая заданная длина пароля. Это убивает менеджеры паролей (позже мы остановимся на них подробнее), это убивает пароли-фразы и, как следствие, это убивает юзабилити. Кстати о юзабилити: приведенный скриншот я взял из своей прошлогодней статьи о том, как мы допускаем ошибки в самых базовых вещах, и, помимо неэффективной политики Etihad (принятой, между прочим, «ради безопасности»), я описываю в нем случай, когда Paypal фактически перекрыл мне доступ к аккаунту благодаря политике подобного же рода.



Вдобавок к озвученным выше проблемам, низкий лимит по длине часто внушает людям подозрения, что хранение паролей плохо организовано. После криптографического хеширования все хранящиеся пароли имеют одинаковую фиксированную длину, поэтому подобные произвольные ограничения могут означать, что пароли хранятся в виде обычного текста и колонка вмещает только десять символов. Конечно, причина может быть и другой, но, сами понимаете, такие предположения небезосновательны.



Какое тогда ограничение по длине нужно ставить? «Никакого» — неправильный ответ, потому что за определенным рубежом у вас появятся уже другие проблемы. Например, если размер превысит четыре мегабайта, вы не уложитесь в размеры запроса по умолчанию в ASP.NET. Вот что говорит по этому поводу NIST:



Верификаторы должны разрешать ввод любого секретного кода длиной до 64 символов на выбор подписчика.


Ни один нормальный человек, регистрируясь на сайте с ограничением по длине пароля в 64 символа, не скажет: «Что за лажа у них безопасностью, мне даже не дали сделать пароль длиннее 64 символов». Но на всякий случай можете задать ограничение в 100 символов. Или подхватить идею NIST, и установить максимум в 256 символов — какая разница, все равно после хеширования все выровняется.



NIST указывает на еще один важный, хотя не настолько лежащий на поверхности момент:



Усечение секретного кода не допускается.


Это, на самом деле, самые базовые вещи: не задавайте маленькую длину и не урезайте конечные символы у предложенного пользователем пароля. На худой конец, компании, которые защищают правомерность такой практики, должны добавлять: «Мы знаем, что так нельзя, у нас проблемы с наследственностью, мы внесем это в список на срочную доработку».



Все символы особенные (но включать их необязательно)



Я хочу рассмотреть два аспекта использования специальных символов. Начну с этого:







Обычно некоторые символы в паролях использовать запрещается. Это правило вводится для защиты от возможных атак. Скажем, угловые скобки могут использоваться в XSS атаках, а апострофы — при внедрении SQL-кода. Но подобные аргументы показывают, что в профиле безопасности сайта есть серьезные недостатки. Во-первых, пароли ни в коем случае нельзя выводить на интерфейс из-за угрозы межсайтового скриптинга; во-вторых, пароли не должны отсылаться в базу данных без хеширования, после которого остаются только алфавитно-цифровые символы. Ну и конечно, даже если вы нарушаете эти правила, отображая пароли в интерфейсе и сохраняя их в базе данных в виде обычного текста, у вас остается кодировка при выводе и параметризация.



NIST выражается по этому поводу вполне однозначно — не делайте так:



В секретных кодах должно допускаться использование любых печатных символов ASCII [RFC 20], включая пробел. Символы Юникода [ISO/ISC 10646] также должны приниматься.


Стоит особо отметить их оговорку насчет символов Юникода — были прецеденты, когда разработчики накладывали запрет на вполне приемлемые с точки зрения языка символы просто потому, что они якобы выходили за рамки «нормальных». С другой стороны, конечно, встречаются и пароли вроде такого:







Что ж, если кому-то так уж хочется поставить паролем первый куплет «Отпусти и забудь» из «Холодного сердца», записанный смайликами — пожалуйста!



О другом аспекте, которого я хотел коснуться, также упоминает NIST:



Верификаторы не должны вводить дополнительные правила составления секретного кода (например, требовать использования разных типов символов или запрещать вводить одинаковые символы подряд).


Погодите, как так?! То есть людям необязательно включать в пароль заглавные, строчные буквы, цифры и символы?! Это настолько противоречит общепринятому подходу, что приходится сесть и обдумать все логически, чтобы понять, что они правы. В качестве иллюстрации: недавно я писал о том, как оценка пароля системой как «хорошего» или «плохого» подталкивает людей к неверным решениям. Базовый посыл был такой: чисто математический подход не помогает нам придумывать хорошие пароли. Подобные требования допускают пароли типа «Пароль!» и отсекают пароли-фразы только потому, что они не содержат заглавных букв.



В документе, о котором я упоминал выше, Microsoft вторит рекомендации от NIST:



Откажитесь от требований к составу пароля.


При наличии требований к сложности пароля ситуация обычно разворачивается так: люди сначала пробуют ввести что-то примитивное, а потом подправляют символы, пока не включат самый минимум обязательных составляющих. Micrisoft раскрывает эту проблему так:



По большей части люди прибегают к одним и тем же паттернам (первая буква — заглавная, специальный символ или две цифры в конце). Кибер-мошенникам это известно, поэтому, осуществляя перебор по словарю, они включают все замены, выполненные по стандартным схемам («$» вместо «s», «@» вместо «a», «1» вместо «l» и так далее).


В итоге пароль все равно получится плохой, причем скорее всего пользователь его уже где-нибудь использовал и раньше. Все, чего можно добиться этими мерами, — потрепать пользователю нервы без какого-либо результата!



Подсказки? Ни в коем случае!



По моим личным наблюдениям, сейчас подсказки уже далеко не так популярны, как были когда-то. Эта идея брала начало в «слушайте, люди постоянно забывают пароли, давайте помогать им вспомнить!» и выливалась в то, что при создании аккаунта пользователь получал возможность ввести не только пароль, но и подсказку к нему. Проблема состоит в том, что эту подсказку будут показывать неавторизованным пользователям — ведь только на этом этапе она и нужна. Еще одна проблема состоит в том, что эта информация вводится самим пользователем и, соответственно, скорее всего будет ужас кромешный.



Компания Adobe хранила подсказки к паролям в своей базе данных, которая попала в открытый доступ в 2013 году. Чтобы продемонстрировать, насколько все плохо, я просмотрел эту базу и решил поделиться отдельными образчиками:




  • мое имя

  • adobe

  • как обычно

  • пароль

  • e-mail



Все они хранились в виде обычного текста, так что можете себе представить, что произошло, когда система была взломана. Ясно, почему NIST считает, что это плохая идея:



Верификаторы секретного кода не должны допускать, чтобы подписчики оставляли «подсказку», которая будет доступна неавторизованному лицу при попытке войти в систему.


Как я уже говорил, сейчас подсказки и так редко увидишь в онлайн-системах, но просто на случай, если вы о чем-то таком задумывались — не вздумайте!



Полюбите менеджеры паролей



Я давно уже твержу о том, какую ценность в себе несут менеджеры паролей — аж с начала 2011 года, когда написал в одной из статей, что единственный надежный пароль — это тот, который вы не знаете на память. Мысль проста и изложить ее можно буквально в нескольких пунктах:




  1. Мы знаем, что пароли должны быть «надежными», то есть их должно быть сложно угадать или вычислить методом полного перебора. Иными словами, чем больше символов и чем более случайным образом они подобраны, тем лучше.

  2. Мы знаем, что использовать один пароль несколько раз нельзя: если один сервис взломают, то аккаунты пользователя на других ресурсах окажутся под угрозой. Проблема с вбросами регистрационных данных, о которой я упоминал выше, заключается как раз в этом.

  3. Люди не могут придумывать и заучивать надежные, уникальные пароли для каждого сервиса, полагаясь только на свою память.





Сейчас кто-то возразит, что использовать менеджер паролей — значит собирать все в одном месте, и будет прав: если кто-то проникнет в это место, у вас будут крупные неприятности. Но это очень редкое явление по сравнению со случаями взлома отдельных сервисов и последующей утечки данных учетных записей. Более того, как я недавно говорил, менеджерам паролей необязательно быть идеальными, достаточно, чтобы с ними было лучше, чем без них.



Но этот пост писался не как руководство для пользователей по созданию хороших паролей, он предназначен для тех, кто создает сервисы. Соответственно, как бы лично вы ни относились к менеджерам паролей, вот так поступать не стоит:







Добрый день! Мы не рекомендуем использовать менеджер паролей, ваш девайс могут взломать.



Такая близорукость встречается часто, я могу с ходу найти десяток подобных твитов. Они вообще не принимают во внимание те три пункта, которых я коснулся выше, и фактически говорят примерно следующее: «Эй, создавайте простые для запоминания пароли, они, конечно, будут слабыми и, скорее всего, вы будете их повторять из аккаунта в аккаунт, но так надо ради безопасности».



NCSC прямым текстом говорит об этой проблеме: в инфографике к руководству Password Guidance: Simplifying Your Approach у них есть такой фрагмент:







Создавайте для пользователей возможность безопасного хранения паролей



Иными словами, не ломайте менеджеры паролей и не делайте таких заявлений, как в приведенном твите. Но NCSC идет еще дальше и предлагает следующую рекомендацию, явно с расчетом на то, чтобы организации давали своим сотрудникам возможность создавать пароли и управлять ими, не рискуя безопасностью:



Вы также должны обеспечивать соответствующее оборудование для хранения паролей с уровнем защиты, соответствующим конфиденциальности информации, которую вы стремитесь обезопасить. Эти хранилища могут быть как материальными (например, сейфы), так и техническими (например, особые программы для управления паролями) или сочетать в себе аспекты тех и других. Крайне важно, чтобы ваша организация предоставляла санкционированный механизм, который помогал бы пользователям осуществлять контроль над паролями: это избавит их от необходимости прибегать к ненадежным «скрытым» методам, чтобы справиться с обилием паролей.


Задумайтесь о том, в какой обстановке работаете в данный момент. Есть ли какие-то критерии надежности паролей? Проводятся ли ежегодные тренинги или, может, на стенах висят плакаты, призывающие создавать уникальные, сложные пароли? Конечно, какой-то контроль и инструктаж, связанный с паролями, точно присутствует, но обеспечивают ли вам «санкционированный механизм», который помогал бы достичь поставленных целей? Скорее всего нет, и я говорю об этом с такой уверенностью потому, что часто задаю этот вопрос, когда провожу тренинги в различных организациях. Удивительно, как часто приходится видеть такую несостыковку.



Пусть вставляют пароли



С использованием менеджера паролей тесно связана возможность вставлять пароли в поле ввода. Существует множество менеджеров паролей, которые заполняют поля автоматически, но бывают и такие случаи, когда все равно приходится пользоваться вставкой или же сервис блокирует попытки ввести пароль не вручную (это легко проверить при помощи JavaScript). В результате получается следующее:







В 2014 году я писал об «эффекте кобры», который возникает, когда в поле пароля запрещена вставка. Я подробно объясняю значение этого термина в статье по ссылке, но если резюмировать вкратце: эффект кобры проявляется, когда попытка решить проблему ее только усугубляет. Когда на сайте блокируют возможность вставить пароль, чтобы обеспечить безопасность, это заставляет некоторых пользователей упрощать пароли, пока они не станут такими примитивными, что напечатать их не составит труда.



NCSC меня и здесь поддерживают:







Они даже ввели специальный термин для обозначения этого анти-паттерна — SPP (Stop Pasting Passwords, «Хватит вставлять пароли») и развенчивают популярные мифы о рисках, связанных со вставкой паролей. Они упоминают и мою статью, где говорилось об эффекте кобры — приятно получать такую протекцию от британского правительства!



NIST присоединяется к позиции NCSC, о чем свидетельствует их высказывание:



Верификаторы должны позволять лицу, проходящему авторизацию, пользоваться функцией вставки при вводе секретного кода. Это облегчает использование менеджеров паролей, которые широко распространены и во многих случаях стимулируют пользователей создавать более сложные секретные коды.


Так что даже не сомневайтесь: люди по обе стороны Атлантического океана единодушно поддерживают использование менеджеров паролей и выступают против активных действий по их блокировке.



Не требуйте регулярно менять пароль



На своей предыдущей работе в частной компании я придумал простой способ вычислить, сколько я уже использую свой текущий пароль: просто брал число, которое в нем содержалось и которое я увеличивал раз в квартал, когда компания требовала заменить пароль, и делил его на четыре. Таким образом я растянул один-единственный пароль почти на шесть лет, каждый раз меняя в нем не более пары символов. Если у вас на работе тоже заведено регулярно менять пароли, вы, вероятно, поступаете так же — ведь это легкий и естественный выход из положения, когда сталкиваешься с техническим требованием, которое доставляет неудобства.



Давайте разберем обоснование такого подхода: аргумент в пользу периодического обновления паролей состоит в том, что если пароль попадет в чужие руки, после вынужденной замены он станет неактуальным, а значит мошенники не смогут им воспользоваться. Проблема здесь в том, что в моем примере у хакеров было до трех месяцев времени, а в других случаях, возможно, и больше:







Если так подумать, хакеры обычно не выжидают сложа руки, они сразу принимаются за работу с аккаунтами, пытаясь извлечь из них выгоду. Команда Lifeboat не учла этого соображения в своих попытках загладить последствия прошлогодней утечки данных, и цепочка рассуждений получилась неверная:



После того, что произошло в январе, мы решили, что лучший курс действий — по-тихому провести замену всех паролей, чтобы хакеры не знали, что у них остается мало времени на воплощение своих планов.




Как упоминалось в приведенном выше твите, NCSC разделяет мнение, что на сегодняшний день вынужденная замена паролей — это анти-патерн в информационной безопасности. Вот что они говорят об этой практике в своем руководстве по управлению паролями:



[она] не приносит никакой реальной пользы, так как взломанные пароли обычно используются сразу же.


Они выносят эту мысль и в инфографику:







Просите пользователей поменять пароль только в том случае, если появились признаки или подозрения, что старый пароль скомпрометирован.



Microsoft высказывается в том же духе:



Политика установления срока действия паролей приносит больше вреда, чем пользы, так как подталкивает пользователей к тому, чтобы создавать крайне предсказуемые пароли из последовательных чисел и слов, тесно связанных друг с другом (как следствие, каждый последующий пароль легко угадать, опираясь на предыдущий). Что касается снижения рисков, смена пароля и здесь не играет большой роли, так как кибер-мошенники в большинстве случаев используют реквизиты сразу же, как получают к ним доступ.


Их слова, конечно не следует понимать как «не вынуждайте пользователей менять пароли, и больше от вас ничего не требуется». Это скорее указание на то, что необходим более широкий, более продвинутый подход к управлению паролями. Например, NCSC также дает и такие рекомендации:




  1. Отслеживайте все случаи авторизации, чтобы выявлять необычное поведение.

  2. Сообщайте пользователям подробности о попытках входа, неважно удачными они были или неудачными. В свою очередь, пользователи должны оповещать вас, если какие-то из этих попыток исходили не от них.





И тут мы плавно переходим к следующему разделу.



Сообщайте пользователям о нетипичном поведении



Это важный аспект «продвинутого» подхода к процессу аутентификации и вполне возможно, что вы уже наблюдали его в действии. Недавно я зашел на свой аккаунт в Yammer cо своего нового Lenovo Yoga 910 — до того момента я не пользовался их сервисом на этой машине. Чуть позже мне пришло такое оповещение:







Позже я зашел на Dropbox через бразуер на той же машине и сразу же получил сообщение:







Разумеется, эти письма никак не помешали мне зайти в систему и, само собой, на моем месте мог бы быть злоумышленник, заполучивший реквизиты доступа жертвы. Но они немедленно оповестили меня о произошедшем, и это имеет огромную ценность — руководствуясь этой информацией, я мог бы при необходимости пойти и выгнать того, кто вторгся в мою учетную запись. Dropbox даже показал мне все девайсы, которые я авторизовал за последние пять лет, и предоставил возможность отменить авторизацию.







Возможность отслеживать таким образом поведение аккаунта очень полезна; например, можно посмотреть на каких девайсах в данный момент осуществлен вход на мой аккаунт в Facebook.







Как и в случае с Dropbox и Yammer, здесь также предлагается опция выйти из системы на любом девайсе из списка. А это значит, что законный владелец может хоть в какой-то степени вернуть себе контроль над аккаунтом в ситуации, когда кто-то получил к нему несанкционированный доступ. Многие из современных сервисов предлагают такую возможность; хороший пример тому — Github, который приводит еще более подробную информацию, включая IP адрес и конкретные события, значимые с точки зрения безопасности, например, запрос на двухфакторную идентификацию или создание открытого ключа.



Вот еще один возможный сценарий:







Хотелось бы, чтобы мне сообщали о попытках входа, когда пароль вводился верный, но двухфакторная идентификация не проходила. Это явно говорит о том, что пароль попал в чужие руки.



Это также представляется очень разумным, и когда задумываешься о различных сценариях, в которых стоило бы проявить инициативу и предупредить пользователя, начинаешь понимать, как много можно сделать с минимальными затратами труда.



Блокируйте скомпрометированные пароли



Вернемся на минутку к вбросам регистрационных данных и всему с ними связанному. Если пароли где-то засветили, их следует считать «оскверненными» — в том смысле, что использовать их больше нельзя. Никогда. Теперь, когда они побывали в открытом доступе, огромное количество людей располагает информацией об этих реквизитах, что существенно повышает риски для тех, кто их использует. Только представьте: доступ к миллиарду пар e-mail адрес-пароль, взятых из утечек реальных данных, о которых я распространялся в посте о вбросах регистрационных данных:







NIST говорит об этой проблеме следующее:



При обработке запросов на создание или изменение секретного кода верификаторы должны сверять предложенные коды со списком тех, которые считаются широко распространенными, предсказуемыми или скомпрометированными. Такой список может включать, среди прочего, пароли из корпусов, составленных на материале утечек баз данных.


Говоря простым языком: когда кто-нибудь создает аккаунт или меняет пароль, вы должны следить, чтобы этот пароль не входил в число тех, которые фигурировали в утечках данных. Неважно, что это, возможно, не тот же самый пользователь, который устанавливал пароль на взломанный аккаунт — одно то, что пароль оказался в публичном доступе, повышает вероятность его использования в хакерских атаках. В цитате также упоминается, что пароль не должен представлять собой слово в его словарной форме или «слово, порожденное контекстом». Описывая случай, когда база данных CloudPets оказалась в общем доступе, я обращал внимание читателей на то, что хеши-строки bcrypt крайне легко взломать при помощи небольшого словаря паролей, в число которых входят и такие слова как «cloudpets». Не давайте пользователям возможность ставить в качестве пароля название ресурса, на котором они регистрируются — а то ведь они именно так и поступят!



Следующий уровень



Есть много других тонкостей, которые я умышленно не стал включать в эту статью. Скажем, разнообразные механизмы многошаговой верификации, которые сейчас доступны, — о них, кстати, говорит и NIST в своей документации. Здесь я хотел сосредоточиться на самых базовых принципах, хотя, конечно, дополнительные слои защиты (например, приложение для аутентификации) значительно улучшают ситуацию с безопасностью — жаль, что ими почти никто не пользуется.







В январе прошлого года только 1% пользователей Dropbox использовали двухфакторную идентификацию (еще до утечки данных)



Еще один аспект, которого стоило бы коснуться — это возможность выявлять и отражать автоматизированные хакерские атаки. Задумайтесь: насколько ваша система подготовлена к тому, чтобы идентифицировать неожиданный наплыв попыток войти в систему как атаку, например, при вбросе регистрационных данных? Все выяснится, только когда пользователи начнут массово сообщать о взломе аккаунтов, или вы с самого начала будете в курсе? А если, предположим, вам удалось обнаружить атаку, сможете ли вы немедленно провести контрмеры, чтобы минимизировать риски? Например, как на Cloudpet, где можно проставить нужный уровень защиты?







Также я не разбирал подробно способы хранения паролей, решив уделить основное внимание тем составляющим политики аутентификации, которые можно увидеть невооруженным глазом. Чтобы не оставлять эту тему совсем не затронутой, предлагаю вам ознакомиться с Password Storage Cheat Sheet от OWASP и почерпнуть там все необходимые напутствия. Вдобавок советую внимательно прочитать статью о том, как Dropbox хранит ваши пароли — это очень интересный текст, где современный подход к хешированию сочетается с шифрованием.



Представленные проблемы не исчерпываются тем, что я здесь написал. Суть в том, что принципы, намеченные мной выше, должны в наши дни быть обязательным минимумом, но это не значит, что вы должны останавливаться на этом этапе.



Обобщая сказанное



Вот общая картина того, что признают все эти руководства от правительственных учреждений и IT-компаний: безопасность все чаще связывается с комбинацией элементов управления, которые в совокупности обеспечивают более надежную защиту. В этом посте вы найдете набор рекомендаций, которые, дополняя друг друга, помогают создать мощное решение. Соотвественно, отдельные рекомендации, такие как отказ от требований к сложности, могут на первый взгляд показаться странными, но когда вы вдумаетесь в то, как люди обычно действуют в реальности (просто выбирают плохие пароли с комбинацией из разных типов символов), и примете во внимание другие инструкции, например, совет блокировать ранее взломанные пароли, все начинает становиться на свои места.



И вот еще что: теоретически все эти руководства – вещь хорошая, однако реализовать их на практике может быть несколько сложнее. Я собираюсь развить эту тему в следующем посте, который выйдет на этой неделе. Там я собираюсь рассказать кое-что интересное и новое, что поможет владельцам сайтов обеспечить безопасность своим подписчикам. Я работал над ним в течение нескольких недель, потратил немало сил и собираюсь поделиться с вами результатом бесплатно, так что заглядывайте в ближайшее время на мой сайт. Также я намерен обновить этот пост, добавив ссылку на ресурс, как только выложу его в открытый доступ. Следите за обновлениями!
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/334600/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
SoftLabirint

BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS » SoftLabirint.Ru: Скачать бесплатно и без регистрации - Самые Популярные Новости Интернета

Среда, 19 Июля 2017 г. 23:25 (ссылка)
softlabirint.ru/soft/system...7-rus.html


BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS

Встречайте обновлённый BootPass - загрузочный диск (Windows 7PE x86), теперь и с поддержкой загрузки Native. На диске размещены полнофункциональные программы для сброса и редактирования паролей Windows. Программы удаления баннеров-вымогателей. Подробнее о возможностях и составе диска читайте ниже.



Список программ:

Загрузочное меню:

• Kon-Boot

• Active@ Password Changer

• Windows Password Killer

• Password Reset

• CIA Commander

• Paragon Password Cleaner

• Windows Key Enterprise

• Volkov NTFSdos



Win7Live:

• Reset Windows Password

• Elcomsoft System Recovery

• Proactive Password Auditor

• SAMInside

• Windows key Enterprise

• Active @ Password Changer

• Password ReNew

• NTPWEdit

• Locksmith

• Recover My Pass

• Admin Pass Resetter

• Unpassword logon

• DreamPack

• Windows Gate

• Backup Key Recovery

• EFS Data Recovery

• Total Commander 9.0а

• AOMEI Partition Assistant Tech

• Symantec Ghost 11.5.1.2269

• Ghost Explorer

• BootIce

• WinNTSetup3

• AntiWinLocker

• AntiSMS

• uVS

• CMOS De Animator

• CMOS Manager

• BIOS Master PG - сборник утилит разных производителей

• Драйверы USB 3.0

• Драйверы HDD



Описание программ:

Kon-Boot это прикладная программа, которая изменяет содержимое ядра Windows на лету, во время загрузки, обходя систему авторизации Windows и позволяя войти в защищенную паролем учётную запись без ввода пароля.



Active@ Password Changer программа позволяет сбросить пароль администратора операционной системы Windows. Утилита будет полезна в тех случаях, когда вы не можете вспомнить пароль или он попросту не подходит.



Windows Password Killer профессиональный инструмент для сброса забытого пароля Windows



Password Reset программа поможет разблокировать учетную запись Windows



CIA Commander первое, чем стоит воспользоваться для восстановления пароля Windows



Paragon Password Cleaner позволяет обнулять пароли для любых пользователей в системе Windows.



Windows Key Enterprise представляет собой простой в использовании инструмент для получения доступа в любую Windows систему. Программа позволяет сбросить пароль любого пользователя без необходимости переустановки операционной системы



Volkov NTFSdos русский аналог программы CIA Commander. Позволяет сбросить пароли пользователей, редактировать реестр, получить доступ к файлам и папкам на жестком диске NTFS/FAT32.



Reset Windows Password лучшая профессиональная программа для сброса, изменения или восстановления паролей всех типов учетных записей Windows



Elcomsoft System Recovery позволяет мгновенно сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.



Proactive Password Auditor помогает администраторам проверить безопасность локальных вычислительных сетей, выполняя аудит пользовательских паролей.



SAMInside профессиональная программа для восстановления паролей пользователей Windows



Password Renew Сбросит или установит новый пароль для любого локального пользователя, создаст новую учетную запись с правами администратора или даст права рута существующему.



NTPWEdit это программа для редактирования паролей в системах семейства Windows.



UserManager редактирование свойств учетных записей, сброс паролей.



WindowsGate обход проверки пароля учетной записи на гостевой системе.



AntiSMS предназначен для автоматического лечения программ-вымогателей, блокировщиков и троянов Trojan.Winlock, которые блокируют ОС Windows, требуя от пользователя отправки СМС для разблокировки системы. Позволяет даже неопытным пользователям разблокировать Windows в случае заражения системы блокировщиками (программы-вымогатели, рекламные и порно-баннеры) или троянами Trojan.Winlock.



AntiWinLocker LiveCD предназначены для разблокировки и для лечения уже зараженной (заблокированной) ОС Windows, в случае заражения винлокером (трояном-вымогателем Trojan.Winlock.)



uVS предназначен для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов, как непосредственно в зараженном Windows, так и для лечения неактивных и удаленных систем. Возможностей у uVS хватает вполне: вы сможете восстанавливать и дефрагментировать реестр; вести работу с неактивными системами; также имеется возможность работать с удаленными машинами, причем устанавливать на них программу не нужно; присутствует автоматическое определение файловых вирусов; если присутствует скрытый автозапуск какого-либо приложения, вы будете уведомлены об этом, это лишь часть основных возможностей.



Total Commander самый мощный и стабильный файловый менеджер для Windows с удобным пользовательским интерфейсом.



Дополнительная информация:

Горячие клавиши:

Ctr+Shift+~ Запуск Process Killer (альтернатива диспетчеру задач Windows)



Про AntiWinLocker...

На диске размещена версия Lite, но есть возможность использовать версию PRO с флешки или ZALMAN.

При запуске, поисковый скрипт ищет в корне всех дисков папку: AWLCD и если находит - запускает программу.

(удобно, если у вас есть носитель с PRO-версией или более новая версия программы)

Так же можно использовать PRO-версию и с Zalman, можно даже вшить ключ в образ.



Про Dr.Web...

Программы в сборке нет! Только поисковый скрипт!

Используем, если на носителе имеется проект AntiWinBlock!



Запись на диск и флешку:

Запись на диск:

• Запускаем Iso-Burner.exe

• Ставим минимальную скорость записи. Прожигаем диск.

• Перезагружаем компьютер в Биосе выбираем загрузку с CD.



Установка на флешку:

• Запускаем: USBboot Installer++.exe

• Выбираем флешку, в списке устройств

• Нажимаем: Установка

• Ждем окончания копирования.

• Перезагружаем компьютер в Биосе выбираем загрузку USB



Добавление образа на мультизагрузочную флешку (GRUB):

• Открываем образ BootPass.iso программой UltraISO или 7Zip

• Копируем папку: PASS в корень флеш накопителя

• В файле конфигурации menu.lst прописываем следующее:



title BootPass v4.2

map --unmap=0:0xff

map --unhook

root (hd0,0)

chainloader /PASS/bootmgr



Или так:

title BootPass v4.2

chainloader /PASS/bootmgr



• Перегружаем компьютер.

• Устанавливаем в Bios загрузки с USB

• Ждем загрузки.



Особенности версии:

• Версия: Full

• Полная версия, собранная на загрузчике BOOTMGR (стандартный загрузчик Windows)

• Оптимизировано для запуска с мультизагрузочной флешки.

• Дополнительный пакет драйверов HDD и USB3.0

• Поддержка видимости скрытых разделов

• Поддержка загрузки в режиме Native

• Все файлы проекта находятся в папке: PASS



Что нового:

Обновлено:

• uVS 4.03

• 7-Zip v17.0

• NTPWEdit v0.6

• Backup Key Recovery v2.2.1

• AOMEI Partition Assistant Tech v6.3

• UserManager v1.0.1.4573

• Total Commander 9.0a



Добавлено:

• PC Unlocker v3.8

• SmartFix v1.4.6.0

• Disk Unlocker v1.0 (zxen)

• Поддержка видимости скрытых разделов

• Режим загрузки Native



Если не отображаются все ярлыки на рабочем столе:

• В меню Пуск добавлены ярлыки с рабочего стола;

• На случай если уйдут за пределы экрана, при не оптимальном разрешении.

 



BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS



BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS



BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS






Системные требования:

• ОЗУ (оперативная память) 380 Mb и более.

• Windows c возможностью загрузки с CD/USB



Контрольные суммы образа:

Файл: BootPass.iso

CRC32: F3771BCB

MD4: B5C22F3227EF303D68EBC1CD8D20324B

MD5: AB808C8EC94C284D04CAA9C002FD1F5E

SHA-1: 2B376D7451E0E172D2D05E153371A8A8EF9F5469



Информация о софте:

Дата выпуска: 19 июля 2017 года

Название: BootPass

Версия: 4.2.5 Full Native Update 19.07.2017

Разрядность: 32bit, 64bit

Разработчик: Joker-2013 / обновил vovan1982

Язык интерфейса: Русский

Таблэтка: Не требуется

Размер: 383.39 MB



Скачать: BootPass v.4.2.5 Full Native Update 19.07.2017 (2017) RUS >>>

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
elfimof

Как снять пароль с компьютера на Windows 8\10.

Понедельник, 17 Июля 2017 г. 07:42 (ссылка)

Это цитата сообщения Владимир_Шильников Оригинальное сообщение

Как снять пароль с компьютера на Windows 8\10.

Как убрать пароль с компьютера на Windows 8

Многих пользователей интересует, как снять пароль с компьютера или ноутбука на Windows 8. На самом деле это совершенно не сложно, тем более, если вы помните комбинацию для входа. Но бывают случаи, когда пользователь просто забыл пароль от своей учетной записи и не может войти в систему. И что же делать? Даже из таких, казалось бы, непростых ситуаций есть выход, о чем мы и расскажем в нашей статье.


Убрать пароль, если вы его помните


Если вы помните свой пароль для входа в учетную запись, то никаких проблем со сбросом пароля возникнуть не должно. В данном случае есть несколько вариантов, как отключить запрос пароля при входе в учетную запись пользователя на ноутбуке, заодно разберем, как убрать пароль для пользователя Microsoft.


Сброс локального пароля


Способ 1: Отключаем ввод пароля в «Настройках»


Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
newspoker

Покер Форум: Пароли на фрироллы, freeroll пароли. Платежные системы

Вторник, 20 Июня 2017 г. 17:01 (ссылка)
pokeryour.ru/forum/fr/4-par...3740#27789


Турниры, акции в poker румах.Ввод-вывод: WebMoney, PayPal, Neteller, Moneta, помощь новичкам. Покерный софт, книги о покере, бонус...

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
FinGuru

Заработок на файлах — HappyEarn.ru

Понедельник, 15 Мая 2017 г. 12:17 (ссылка)
happyearn.ru/49-zarabotok-na-failah.html


В чем же заключается данный способ? А суть его такова: Вы регистрируетесь на различных хостингах, ну допустим DepositFiles, RapidShare и разные другие. На хостинги заливается различный контент. Какой?

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
newspoker

Пароли на фрироллы, приватные турниры.

Понедельник, 03 Апреля 2017 г. 16:41 (ссылка)
pokeryour.ru/forum/index.html






О фрироллах



Кто ни мечтал о возможности выиграть в лотерею, покер, в казино? Но для того, чтобы испытать удачу, нужны деньги. А с этим, как правило, есть проблемы. Ведь  если вкладывать в игру свои деньги, всегда есть большая вероятность их проиграть. А своими честно заработанными  деньгами рисковать очень не хочется.



И вот теперь эта проблема решена.  В некоторых покерных теперь    можно играть совершенно бесплатно и выигрывать при этом реальные деньги. Называются такие покерные турниры фрироллами. Это такие рекламные акции покерных заведений. Покер-румы проводят фрироллы для того, чтобы привлечь в покерное заведение больше новых игроков.  Или для того, чтобы поощрять фрироллами игроков, которые  давно играют в их покерных заведения.



И если во фрироллах для новых игроков, как правило,  можно играть свободно, то фрироллы для бывалых покеристов  обычно проводят по паролям. Соответственно и призовые фонды этих турниров гораздо больше.  Для того, чтобы не допустить  в такие турниры лишних игроков, очень часто пароли на фрироллы выдаются за 10-15 мину до начала.  Организаторы полагают, что так, пароль на фриролл  не сможет широко разойтись по Интернету. Доля истины в этом есть. За 15 минут поисковые системы  не успевают отиндексировать пароль. И найти его, используя google или yandex затруднительно. Вот для тaких случaев и сoздaна эта стрaница, где пароли на фрироллы выкладываются практически сразу после того, как они появляются у кого-либо из участников.



Безусловным лидером по количеству парольных фрироллов является «PokerStars» (ПокерCтарс). Это самое большое покерное заведение в мире. Соответственно  у них есть больше всего ресурсов для проведения фрироллов  как по паролям так и без них. Перечислить  все фрироллы Pokerstars затруднительно, но можно назвать основные из них.  



В 2015 году большой популярностью пользуются BankrollMob 25 USD Freeroll,  которые в дневное время проводятся практически через каждые 3 часа. Пароли на эти фрироллы, как правило, появляются за 15 минут до начала состязания. Недостатком этих фрирооллов является очень маленький призовой фонд – всего 25 долларов США. Аналогичные  фрироллы проводятся в поке-руме Full Tilt poker.



По четвергам проводится  Online Poker Show freeroll. Начинается он обычно в 23-35 по московскому времени. Пароль на этот турнир обычно появляется за 2-3 дня до начала фриролла. Призовой фонд – 275 долларов США.



Обратите внимание также на $100k Privilege Freeroll . Это фриролл без паролей с  очень большим призовым фондом – 1000 долларов США. Проводится этот фриролл примерно каждые 6 часов. Единственная загвоздка в том, что для того, чтобы поучаствовать в этом фриролле необходимо ввести в покер-рум свои деньги (сделать минимальный депозит 10 долларов с кодом 100k). Ничего страшного в этом нет. Свои деньги сразу можно свободно вывести обратно. А вот билеты на этот фриролл останутся на месяц вперед, и можно будет каждый день  в 5-00, 12-00, 18-00 и 23-00 (пo мoсковскoму врeмeни) играть в этом замечательном покерном состязании.



Фрироллов много и в других покер-румам. Мы попытались  наиболее полно перечислить все возможные фрироллы в таблице, которая находится под споллером вверху  страницы. Чтобы их посмотреть кликните там по надписи Открыть список регулярных фрироллов.  Но все равно надо иметь в виду,  что данный список не является исчерпывающим.  В сфере фрироллов всегда наблюдались  и  наблюдаются активные изменения, а за изменениями надо следить.

Метки:   Комментарии (1)КомментироватьВ цитатник или сообщество
colombina_vale

Надежный пароль. Каким он должен быть?

Четверг, 23 Марта 2017 г. 07:12 (ссылка)
https://www.chaynikam.net/v....php?id=19

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Аноним

Среда, 01 Декабря 1970 г. 03:00 (ссылка)

Комментарии ()КомментироватьВ цитатник или сообщество

Следующие 30  »

<пароли - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda