Навеяно этой записью. Сначала захотелось написать что-нибудь ехидное, навроде "кролики стали догадываться, что их не только разводят, но и едят"... но потом вдруг понял, что здесь много технически неграмотного и далёкого от ИТ люда, и далеко не всем очевидно то, что очевидно любому вменяемому ИТшнику.
Поэтому несколько правил с объяснениями - почему так, как нужно делать и чем вы рискуете. Если скучно читать многобукав, пролистывайте объяснения, но - если вам дороги ваши жизнь и рассудок - держитесь подальше от болот, и всё-таки, следуйте правилам.
1. НИКОГДА не используйте один и тот же пароль на разных сайтах.
Причина очень проста: сайты (особенно, дешёвые) часто взламывают (нет, это не голливудщина, это жизнь - простое вездесущее раздолбайство с одной стороны и лёгкие деньги с другой). Базы данных этих сайтов с паролями уходят налево, и если кому-то кажется, что он не оставил при регистрации в интернет-доставке пиццы ничего важного, он ошибается.
Как это выглядит со стороны хакера?
На современных сайтах пароли в базах не хранятся в явном виде (а вот раздолбаи, писавшие сайт доставки пиццы, как раз могут хранить в базе как есть). Представим, что хакер добыл базу данных с паролями от серьёзного сайта (соцсети, службы знакомств, какой-то более-менее важной услуги типа электронного дневника выших детей). Он не может использовать пароли, потому что они в виде хэша. Так называемые специальные хэш-функции специально сделаны так, что можно превратить пароль в набор цифр, но в принципе нельзя (математически нельзя, потому что информация потеряна) обратно превратить набор этот цифр в пароль. Когда сайт проверяет ваш пароль, он превращает его в хэш и сравнивает уже хэши. Таким образом, можно проверить, правильный ли пароль, не запоминая его. Красиво, да? И, казалось бы, надежно? ваш пароль от дневника сына в безопасности?
Лишь до тех пор, пока у меня не появляется список паролей. Современные компьютеры очень быстры. Я могу вычислять хэши от тысяч до миллионов паролей в секунду, были бы сами пароли. Поэтому все пароли с когда-либо взломанных сайтов, все пароли когда-либо использовавшиеся хакерами сливаются в одну большую базу. Не то чтобы она была доступна всем, но она доступна всем очень желающим за небольшие деньги или вовсе бесплатно. И если у меня есть хеши, первое, что я сделаю - прогоню эти хеши на соотвествие этим паролям. И что бы вы думали? Да, верно, есть очень большая вероятность, что кто-то когда-то (и возможно даже Вы лично) использовали где-то этот пароль, он утёк и теперь в моей базе.
Возможен и другой сценарий, более редкий, но вовсе не экзотический: моя цель - именно Вы, и я пытаюсь добраться до чего-то ценного у Вас. Кстати, далеко не факт, что ВЫ считаете это ценным - доступ к рабочему компьютеру, например, для Вас всего лишь доступ к бессмысленно скучным файлам и накладным, прошедшим через склад. Для меня это ещё и потенциальный доступ к бухгалтерии и компу директора, которые своей инфой дорожат. Не обязательно я буду её красть, я могу шантажировать с её помощью или просто зашифровать диск и попросить выкуп в биткойнах. Суммы там могут быть приличные - в более менее крупной конторе потеря бухгалтерии за месяц это ещё и неприятности с налоговой, которые могут вообще стОить всего бизнеса нафиг. Подумайте об этом.
Так вот в этом втором случае я возьму все доступные мне базы паролей, которые могут содержать такие полезные вещи, как IP пользователя, имя, фамилию, номер телефона, электронную почту, адрес, широту и долготу (ага, если Вы пользуетесь планшетом, смартфоном или нотебуком). Я прогоняю все эти базы на соотвествия всему, что я знаю о Вас, нахожу миллионы тёзок, тысячи однофамильцев, одно совпадение телефона, 120 совпадений по месту входа... и начинаю работать с этим, отсеивая инфу по дополнительным критериям, проверяя, выписывая. В итоге (не факт, но вполне возможно), я буду иметь список логинов, которые Вы когда-либо использовали.
Потом я запускаю скрипты, которые пробегают со всеми паролями по существующим сайтам, и... я найду и указанный 7 лет назад Вашим сыном Ваш точный адрес, и старый номер телефона, и то, что Вы женаты второй раз, и имя Вашей первой жены, и ещё много всего... Вам кажется, ради Вас никто так копать не будет: зачем мне знать имя Вашей первой жены? Да фигня вопрос - работают-то скрипты, а имя Вашей бывшей - запросто может быть паролем.
Хакерство с целью добычи данных - вовсе не то, что показывают в голливудских фильмах. Это не возня с кодом (с кодом возятся другие люди, и там дай бог чтоб раз в месяц дыру на одном сайте найти, не говоря уж о серьёзных системах). БОльшая часть криминала использует уже готовые уязвимости, написанные другими инструменты, скачанные другими базы данных старых взломов и т.п. Это социальная работа - понять, кто Вы, что Вы, как Вы, какие пароли могли бы использовать и как докопаться до того, что нужно и что (пока) знаете только Вы. Ещё и ещё раз: даже если Вы кладовщик в Мухосранском филиале ГосГовнослива, это НЕ значит, что Вы не имеете ничего ценного для хакера. Вы можете даже не знать, что у Вас это есть (скажем, доступ через Вас во внутреннюю VPN Минговна). Хакер знает, и хакер это использует.
И Вы в этом хакерам сильно помогаете. Особенно, если используете тот же самый пароль на разных сайтах. Поэтому. Не. Используйте. Один. И тот же. Пароль. Ни-ког-да.
Очень часто эти взломы идут вообще по всем пользователям, наудачу. Пишется скрипт, использующий какую-то уязвимость, пишутся скрипты, подбирающие пароли (иногда очень сложные скрипты), и всё то, с чем хакер возился бы сам несколько часов делается сразу для десятков тысяч-миллионов пользователей. Не прошло - и ладно, даже несколько процентов с кем сканало - хороший улов. Не будьте в этих процентах.
Как быть? Заведите себе простое (для Вас лично) мнемоническое правило генерации паролей. Например, сложные, нетривиальные химические формулы по определённому принципу. При составлении паролей и правил помните, что Вы не один умный в мире и слово "циклотриметилентринитрамин" известно любому химику и тривиально, несмотря на длину. Меняйте их от сайта к сайту, пользуясь другим личным мнемоническим правилом, привязанным к сайту. Если это очень, запредельно влом, то хотя бы используйте для всех важных сайтов другие и обязательно разные пароли (это Вас не спасёт в случае работы по Вам лично... но убережёт от скриптов).
2. НЕ ИСПОЛЬЗУЙТЕ в качестве паролей целые слова.
Даже с цифрами.
Да-да, и русские слова, записанные латиницей - тоже. Нет, это не хитрый трюк, а всем известная тема, хитрость наравне с запрятыванием конфетки за спину шеститилеткой. Да, и замена латинской "l" на 1, а "ч" на 4 - тоже всем известны. Скрипты делают подобные подмены при подборе хэшей автоматически. Все варианты подмен, поэтому один раз писать так, а другой этак - тоже бестолку, не обманете. И при переборе паролей слова и цифры не стесняются комбинировать: то, что сложно человеку, машина прогоняет с дикой скоростью - тысячи, а то и миллионы вариантов в секунду.
Поэтому пароль "ko1basa-1" - очень плохой пароль. (Конкретно этот, на самом деле - ужасный пароль, я не знаю, почему русские испытывают тягу именно к этому слову, почему оно считается таким прикольным, юморным, особым и "зашифрованным", потаённым от других. ВСЕ варианты этого слова есть в базах).
Меняйте в словах буквы, следуя своему личному мнемоническому правилу. Ту же латинскую "l" можно заменить не только на "1" или русскую "л"... подумайте об этом.
3. НЕ ИСПОЛЬЗУЙТЕ для входа на важные сайты или работы скомпроментированные машины.
Какая машина скомпроментирована? Любая, на которой Вы или Ваш сын погоняли пиратские игрушки или поставил кульную прогу с кряком. Просмотр порно или фильмов с самораспаковывающимися архивами сюда входит (это вообще должно быть табу, но хоть на рабочей машине этого избегайте всеми силами: сопротивляйтесь желанию открывать все вложения).
Вы можете смело надеяться, что кряк только крякнул пиратскую программу, и чел, который это писал делал кряк из любви к искусству... У такого поведения есть девиз: "слабоумие и отвага!". Второй степени.
Все (почти) кряки и крякнутые программы крякаются за деньги (хорошие) и распространяются не просто так, а ради чего-то. Что именно хотел чел, крякнувший конкретно вот то самое - Вы не знаете, это лотерея. Может, прога просто вешает ботнет и тихо майнит биткойны, пока машина не занята, а может - отсылает все пароли с сайтов куда-то в Китай... Вы не знаете. И проверить не можете, и даже сын, "крутой системщик", пялящийся в вайршарк и перешивший рутер на тотальную фильтрацию всего - тоже не знает, малвара может полгода собирать пароли, а потом зайти (честно по хттп!) на какой-нить испанский сайт и слить туда всё, что надо. И даже если Вы хорошо понимаете администрирование в винде - всё равно за последние годы было найдено множество уязвимостей, и большинство из них сначала были использованы нехорошими людьми, а уж потом кое-как пофикшены.
Есть и ещё более важна причина - связанная с сбором данных и анализом бигдаты. Поскольку краем я этого в своей карьере коснулся, то имею вам сообщить: Вы и вы все давно под колпаком, под тысячами колпаков, и все эти колпаки общаются, копят данные, анализируют всё и всех. Опять не надо думать, что "я человек маленький, кому я нужен, меня не коснётся". Когда ЭТО коснётся Вас (или Ваших детей, скажем), будет поздно - всё уже в базах необратимо. Каждый чих, каждое действие пишется так, что топором потом не вырубишь. Сопоставить данные и понять, чем пользуется человек - несложно, есть фирмы, специализирующиеся на этом и их код на очень многих вполне почтенных сайтах, которые Вы считаете надёжными. Так что если кто-то захочет узнать, кто именно заходит на правительственный или новостной сайт с правами администратора или редактора новостей, ему нужно лишь тыкнуть в несложный поиск, а потом выбрать наиболее удобную мишень.
Вы просто зашли на сайт анекдотов с рабочей машины - что тут такого? А на сервере скрипт собирает куки и теперь знает, куда ещё Вы с этой машины заходили. Что тут такого? Да ничего, кроме того, что все эти базы через пару недель окажутся у кого-то, кто ищет админский доступ к системе, в которую Вы заходите по работе. И этот человек видит Ваш IP, знает, откуда Вы это делаете, небольшой поиск - и вот он уже знает, кто Вы, идёт дальше... и см. выше про работу хакера: нет, это не "взлом ста миллионов кодов", это долгое копание в Вашей жизни и следах,Ю которые Вы оставили в сети.
Поэтому.
Есть машины для работы. Есть машины для развлечения. Разделение обязательно.
Вы думаете это паранойя? Нет. Это абсолютно необходимые и простые правила типа "не открывайте жестяные крышки зубами" и "не сри там, где ешь".
Комментарии
Линуху юзаю уже давно и дома и на работе. А тут пришлось на винде поработать бах! и шифровальщик и база 1с не читаема. Один день пропал.
Вас это, возможно, обидит... но дело тут не только в винде.
Линукс кажется менее уязвимым, потому что он просто менее интересен - меньший процент машин-десктопов, поэтому большинство всякой дряни пишется именно под винду. И тут есть опять же опасность посчитать себя "никому не нужным": Вы действительно никому не нужны... до тех пор, пока не станете вдруг нужными (а это может случиться по любому поводу и в любой неожиданный для Вас момент).
Но уязвимостей в Линуксе полно.
Под винду проще написать. В линухк же чуть ли ни каждая машина - отдельный мир со своими настройками. Сложно сделать универсальный хук.
Хе-хе... С точки зрения хакера Линукс - самая заветная мечта. Там можно все что угодно сделать, а на виндах - ничего интересного.
Хакера в классическом понимании - да. Крекерам же удобнее одинаковые системы.
В линуксюникс можно сделать все. Но если есть права. А вот получить их есть задача нетривиальная.
В этом и заключается сама суть хакерства :-)
Хакеры это вообще взломщики программ и паролей. Суть хакерства в решении интересных задач.
Как бы в виде тоже права есть:) и получить рут доступ к Винде так же сложно как и в линуксе.
Вся фишка в интересе. Эксплойты есть и там и тут, но искать их сложно и дорого, поэтому винда наш выбор:)
Чувак, ты не поверишь, но 90% того, чего конкретно ломают для добычи паролей - это линуксы. Включая этот сайт. Немного ликбеза.
Ломают не линукс, а кривые веб-приложенки. Линукс сам по себе отломать, ну то есть не само ядро даже, а какую-то системную утилиту или библиотеку - адски тяжело. Когда всплывает такой баг, вроде SSL как было с heartbleed, это всегда эпичное событие, про которое потом айти-приближённые круги год орут и кирпичами срут. Затроянить десктоп - ещё тяжелее, система распространения программ в линуксах такая, что софт весь в репозиториях, а сторонний троян придётся скомпилировать и поплясать с бубном, чтоб запустился (и это почти не шутка). С микрософтовскими поделиями в этом плане всё гораздо проще. А, да, Андроид - это тоже линукс, формально подходя, это такой специфичный весьма, но всё же линукс-дистрибутив. Троянится прекрасно, в силу того, как там всё внутри устроено.
Я лично видел шифровальщик под линуксы, написанный на bash-e. Там ничего сложного не было, он просто делал apt-get install gnupg, шифровал ей файлы а потом делал rm. Вспомнился анекдот про "здравствуйте, я таджикский разрушительный вирус, пожалуйста откройте командную строку, запустите format c:
И последнее. Если вектор атаки - ваш браузер, то способы по типу "утащить куки и сделать xss" прекрасно работают независимо от операционной системы. Так что для просмотра порнухи и лазанья по разным левым сайтам с всплывающими окнами используйте отдельный браузер, а не тот, в котором вы денежки в сбербан-онлайн переводите жене. Но это не относится к теме паролей.
Как-то так.
Чувак, я отвечал на сообщение человеку, комп которого был залочен каким-то крипто-вымогателем. Вот почему-то почти полная уверенность, что дело там было совсем не в паролях, а в том, что человек просто работал под логином администратора или был использован какой-то простой эксплойт на давно не обновлявшейся винде (ну и какая-то дрянь была запущена вместе с кряком или чем там ещё). :)
Так вот Линукс в смысле всяких эксплойтов ни разу не безопаснее. Единственная причина, по которой криптовымогатели не получили широкого распространения под Линуксом - это та, что Линуксы обычно сервера и их выгоднее "доить" иначе, а редкие Линукс-десктопы просто не стОят возни с ними.
Статья из разряда "не покупайте пиратское, покупайте лицензионное"
Статья из разряда "мойте руки перед едой".
Мыть руки - это несложно. Но снижает риски вляпаться в очень нехорошие истории и резко повышает устойчивость коллективов.
Вообще, статья из разряда не хочешь попасть в зону риска не пользуйся компом:) Пока чем больше элементов бузопастности в системе тем сложнее ей пользоваться.
Привел бы в пример какойнибудь связки типа keepass + облако было бы разумней. А то используйте разные пароли на разные сайты, ОГА, и храните список этих паролей наклеенным на мониторе.
Часто даже накленный на мониторе стикер с паролями (чего, конечно, делать НЕЛЬЗЯ!) безопаснее, чем один, заученый наизусть, пароль на всех сайтах. И да, стикер с паролями дома на мониторе, при этом в пароле заменены символы по известному только тебе правилу - гораздо более безопасен.
До стикера на мониторе доберутся только Ваша жена, дети и случайные гости, а вот один пароль на всех сайтах - это приглашение сразу всем школярам-кулхайкерам мира, причём, не просто так, а к автоматическому взлому. Всё равно что добровольно выйти на скоростное шоссе и расставить руки - рано или поздно всё же собьют.
Кипасс - выход с оговорками. Облако (в виде всяких там LiveID) - порождает больше проблем, чем решает, так что вот это посоветовать точно не могу.
рецепт Кевина Митника, да?
Он по помойкам шарился. И я НЕ предлагаю записывать пароли на стикерах.
Просто заметил, что для домашнего же пользования блокнот с паролями (особенно, записанными с изменениями по какой-то простой для запоминания личной схеме) более безопасен, чем хитромудрый пароль в памяти, но зато используемый везде.
В конце-то концов, если злоумышленник проник в квартиру и получил физический доступ к компу, он и без паролей может столько всего, что лучше б не мог.
Спасибо за ликбез.
Не раскрыта тема паролехранилок.
Я использую Password Safe 12 лет, ни одного прокола пока не было, тьфу-тьфу.
А, понял о чём Вы... погуглил. Да, эта штука хранит пароли локально. Замечательно! Надёжное, отличное решение. Пока (и если) в неё при компиляции не встроили троян. :)
З.Ы.
Нет, я не параноик, это просто жизнь такая.
Почти все эти рассказы о всемогущих хакерах - как правило, рассказы об утекших паролях и идиотском пренебрежении компутерной безопасностью. Только рассказчики об этом не догадываются...
У меня есть дистрибутив 2010 года, он по прежнему отлично работает
Хотя в последних версиях стало много удобных плюшек, пользуюсь им, старым добрым проверенным.
Ну и если кто захочет скачать - только с оф.сайта, must have.
Тут скорее вопрос, а с планшета ходите? А с телефона?
А с работы? А ноут у ребёнка?
разбивка сайтов по зонам безопасности - да,
разные пароли для разных зон - да
меняющиеся пароли для критичных зон (работа, ибанк) - да
ТС - молодец :)
Всех с наступающим!
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Не совсем по теме: Выпуск крупнейших газет США нарушен из-за кибератаки
Использовать один пароль на ВСЕ - хороший вариант, если это ВСЕ мастер-пароль на локальную базу. Которая работает и хранится как на десктопе, так и в портабл и не имеет доступа в сеть. Есть встроенный генератор, который моментально генерит 100 битные ключи, а для параноиков есть ручной энтропийный алгоритм. Который делает вот такие симпатичные записи 9EV\GM>@"H,!+]6;SM$d У меня на все сервисы такие пароли, от всевозможных логинов на почту до FTP к серверам сайтов. Главное тут не потерять эту базу, поэтому надо время от времени дублировать на внешний диск или на облако, и не забыть мастер-пароль конечно.
Да, сохранность такой базы ключевой момент, конечно.
И да, это может быть очень хорошим решением.
Правила 3 это, впрочем, не отменяет. Никаких сторонних программ на рабочей машине быть всё равно не должно. В нынешнем мире это, фактически запрет играть на таком компе или ходить куда-то ещё, кроме некоторых доверенных сайтов, необходимых по работе.
Вы правы насчет крякнутых, даже в безобидном Эвересте есть троян, удаление которого не повлияло на работу. А вот как отказаться от фотошопа CS3, ума не приложу. А всякие проги, имеющие отношение к торговым счетам, вот это опасно. Но их тоже можно заставить работать локально.
Gimp?
PS это же не только картинки. Данная версия удобная, легкая и быстрая. Во всех смыслах оптимальная.
Несерьезно.
И чо так все упёрлись в этот фотожоп? Кореловский Paint Shop ни чем не хуже, а по мне, так намного удобнее. Пользуюсь лицензионной 12й версией уже 10 лет.
Сие правило, После пассажа про локальную базу, не имеющую доступа в сеть, очень важно.
Облако это не cloud mail.ru. Оно бывает личным и настольным.
одни проблемы с этой эстонией и эстонцами. надо вторгаться.
Не, это немцы виноваты. И потом не вторгаться, а "инкорпорировать"
не, именно агрессивно агрессировать и имперски вторгаться
Условно бесполезная статья... т.е. местами толк от неё есть, но местами наоборот... + создает ложное чувство что део=лай так и не будет проблем
Скорее, "делай так и не будет ЛИШНИХ проблем".
кстати, вчера перешел на нового тотала от касперского. там пассворт менеджер есть. он надежен?
Предыдущий паспорт менеджер отправлял данные в ЦРУ, а этот в ФСБ. Вам выбирать.
Генератор паролей(упрощено):
хреновый, кстати вариант. Если уж такие пароли генерятся, буквы с одинаковым начертанием лучше исключить из алфавита - I и l, 0 и O и тд
начертание одинаково, байты разные... I, l, | внешне одинаковы, ага.
AnsiString UUID_Create(void)
{
unsigned char* ustrUUID = NULL;
AnsiString astrUUID;
UUID ID;
UuidCreate(&ID);
UuidToString(&ID, &ustrUUID);
astrUUID = (char*)ustrUUID;
RpcStringFree(&ustrUUID);
return astrUUID;
}
Вот это пароли так пароли.
Например: 1fb970ac-7752-4dac-aa39-24ce3f8396aa
Жава хороша или двухцилиндровая, или в кружке.
Автор забыл еще одно предупреждение !
Дамы и господа, не используйте смартфоны для доступа к платежным системам. Андроид и АйОсь насквозь дырявы.
Нет. Не так. Выделите отдельную карточку привязанную к смартфоновой платежной системе. Тогда проблем не будет. Крупных сумм на ней не храните.
При такой постановке вопроса вершиной логической цепочки будет невозможность использования платёжных систем в принципе.
Корень пароля един для всего, суффикс, префикс меняется для каждого сайта по определенному закону. Например, корень, Ztvn1#, префикс для АШ будет AFT (берем первые три буквы названия сайта) суффикс лень писать, соединяем, получаем пароль AFTZtvn1.
Ещё лучше это чередованием делать - тогда пароли получаются вида: AtFvTnZ1.
И сломавший один пароль - легко вскрывает все остальные ;-)
Да-да, но для этого нужно знать Ваше секретное правило формирования суффиксов префиксов
Страницы