Навеяно этой записью. Сначала захотелось написать что-нибудь ехидное, навроде "кролики стали догадываться, что их не только разводят, но и едят"... но потом вдруг понял, что здесь много технически неграмотного и далёкого от ИТ люда, и далеко не всем очевидно то, что очевидно любому вменяемому ИТшнику.
Поэтому несколько правил с объяснениями - почему так, как нужно делать и чем вы рискуете. Если скучно читать многобукав, пролистывайте объяснения, но - если вам дороги ваши жизнь и рассудок - держитесь подальше от болот, и всё-таки, следуйте правилам.
1. НИКОГДА не используйте один и тот же пароль на разных сайтах.
Причина очень проста: сайты (особенно, дешёвые) часто взламывают (нет, это не голливудщина, это жизнь - простое вездесущее раздолбайство с одной стороны и лёгкие деньги с другой). Базы данных этих сайтов с паролями уходят налево, и если кому-то кажется, что он не оставил при регистрации в интернет-доставке пиццы ничего важного, он ошибается.
Как это выглядит со стороны хакера?
На современных сайтах пароли в базах не хранятся в явном виде (а вот раздолбаи, писавшие сайт доставки пиццы, как раз могут хранить в базе как есть). Представим, что хакер добыл базу данных с паролями от серьёзного сайта (соцсети, службы знакомств, какой-то более-менее важной услуги типа электронного дневника выших детей). Он не может использовать пароли, потому что они в виде хэша. Так называемые специальные хэш-функции специально сделаны так, что можно превратить пароль в набор цифр, но в принципе нельзя (математически нельзя, потому что информация потеряна) обратно превратить набор этот цифр в пароль. Когда сайт проверяет ваш пароль, он превращает его в хэш и сравнивает уже хэши. Таким образом, можно проверить, правильный ли пароль, не запоминая его. Красиво, да? И, казалось бы, надежно? ваш пароль от дневника сына в безопасности?
Лишь до тех пор, пока у меня не появляется список паролей. Современные компьютеры очень быстры. Я могу вычислять хэши от тысяч до миллионов паролей в секунду, были бы сами пароли. Поэтому все пароли с когда-либо взломанных сайтов, все пароли когда-либо использовавшиеся хакерами сливаются в одну большую базу. Не то чтобы она была доступна всем, но она доступна всем очень желающим за небольшие деньги или вовсе бесплатно. И если у меня есть хеши, первое, что я сделаю - прогоню эти хеши на соотвествие этим паролям. И что бы вы думали? Да, верно, есть очень большая вероятность, что кто-то когда-то (и возможно даже Вы лично) использовали где-то этот пароль, он утёк и теперь в моей базе.
Возможен и другой сценарий, более редкий, но вовсе не экзотический: моя цель - именно Вы, и я пытаюсь добраться до чего-то ценного у Вас. Кстати, далеко не факт, что ВЫ считаете это ценным - доступ к рабочему компьютеру, например, для Вас всего лишь доступ к бессмысленно скучным файлам и накладным, прошедшим через склад. Для меня это ещё и потенциальный доступ к бухгалтерии и компу директора, которые своей инфой дорожат. Не обязательно я буду её красть, я могу шантажировать с её помощью или просто зашифровать диск и попросить выкуп в биткойнах. Суммы там могут быть приличные - в более менее крупной конторе потеря бухгалтерии за месяц это ещё и неприятности с налоговой, которые могут вообще стОить всего бизнеса нафиг. Подумайте об этом.
Так вот в этом втором случае я возьму все доступные мне базы паролей, которые могут содержать такие полезные вещи, как IP пользователя, имя, фамилию, номер телефона, электронную почту, адрес, широту и долготу (ага, если Вы пользуетесь планшетом, смартфоном или нотебуком). Я прогоняю все эти базы на соотвествия всему, что я знаю о Вас, нахожу миллионы тёзок, тысячи однофамильцев, одно совпадение телефона, 120 совпадений по месту входа... и начинаю работать с этим, отсеивая инфу по дополнительным критериям, проверяя, выписывая. В итоге (не факт, но вполне возможно), я буду иметь список логинов, которые Вы когда-либо использовали.
Потом я запускаю скрипты, которые пробегают со всеми паролями по существующим сайтам, и... я найду и указанный 7 лет назад Вашим сыном Ваш точный адрес, и старый номер телефона, и то, что Вы женаты второй раз, и имя Вашей первой жены, и ещё много всего... Вам кажется, ради Вас никто так копать не будет: зачем мне знать имя Вашей первой жены? Да фигня вопрос - работают-то скрипты, а имя Вашей бывшей - запросто может быть паролем.
Хакерство с целью добычи данных - вовсе не то, что показывают в голливудских фильмах. Это не возня с кодом (с кодом возятся другие люди, и там дай бог чтоб раз в месяц дыру на одном сайте найти, не говоря уж о серьёзных системах). БОльшая часть криминала использует уже готовые уязвимости, написанные другими инструменты, скачанные другими базы данных старых взломов и т.п. Это социальная работа - понять, кто Вы, что Вы, как Вы, какие пароли могли бы использовать и как докопаться до того, что нужно и что (пока) знаете только Вы. Ещё и ещё раз: даже если Вы кладовщик в Мухосранском филиале ГосГовнослива, это НЕ значит, что Вы не имеете ничего ценного для хакера. Вы можете даже не знать, что у Вас это есть (скажем, доступ через Вас во внутреннюю VPN Минговна). Хакер знает, и хакер это использует.
И Вы в этом хакерам сильно помогаете. Особенно, если используете тот же самый пароль на разных сайтах. Поэтому. Не. Используйте. Один. И тот же. Пароль. Ни-ког-да.
Очень часто эти взломы идут вообще по всем пользователям, наудачу. Пишется скрипт, использующий какую-то уязвимость, пишутся скрипты, подбирающие пароли (иногда очень сложные скрипты), и всё то, с чем хакер возился бы сам несколько часов делается сразу для десятков тысяч-миллионов пользователей. Не прошло - и ладно, даже несколько процентов с кем сканало - хороший улов. Не будьте в этих процентах.
Как быть? Заведите себе простое (для Вас лично) мнемоническое правило генерации паролей. Например, сложные, нетривиальные химические формулы по определённому принципу. При составлении паролей и правил помните, что Вы не один умный в мире и слово "циклотриметилентринитрамин" известно любому химику и тривиально, несмотря на длину. Меняйте их от сайта к сайту, пользуясь другим личным мнемоническим правилом, привязанным к сайту. Если это очень, запредельно влом, то хотя бы используйте для всех важных сайтов другие и обязательно разные пароли (это Вас не спасёт в случае работы по Вам лично... но убережёт от скриптов).
2. НЕ ИСПОЛЬЗУЙТЕ в качестве паролей целые слова.
Даже с цифрами.
Да-да, и русские слова, записанные латиницей - тоже. Нет, это не хитрый трюк, а всем известная тема, хитрость наравне с запрятыванием конфетки за спину шеститилеткой. Да, и замена латинской "l" на 1, а "ч" на 4 - тоже всем известны. Скрипты делают подобные подмены при подборе хэшей автоматически. Все варианты подмен, поэтому один раз писать так, а другой этак - тоже бестолку, не обманете. И при переборе паролей слова и цифры не стесняются комбинировать: то, что сложно человеку, машина прогоняет с дикой скоростью - тысячи, а то и миллионы вариантов в секунду.
Поэтому пароль "ko1basa-1" - очень плохой пароль. (Конкретно этот, на самом деле - ужасный пароль, я не знаю, почему русские испытывают тягу именно к этому слову, почему оно считается таким прикольным, юморным, особым и "зашифрованным", потаённым от других. ВСЕ варианты этого слова есть в базах).
Меняйте в словах буквы, следуя своему личному мнемоническому правилу. Ту же латинскую "l" можно заменить не только на "1" или русскую "л"... подумайте об этом.
3. НЕ ИСПОЛЬЗУЙТЕ для входа на важные сайты или работы скомпроментированные машины.
Какая машина скомпроментирована? Любая, на которой Вы или Ваш сын погоняли пиратские игрушки или поставил кульную прогу с кряком. Просмотр порно или фильмов с самораспаковывающимися архивами сюда входит (это вообще должно быть табу, но хоть на рабочей машине этого избегайте всеми силами: сопротивляйтесь желанию открывать все вложения).
Вы можете смело надеяться, что кряк только крякнул пиратскую программу, и чел, который это писал делал кряк из любви к искусству... У такого поведения есть девиз: "слабоумие и отвага!". Второй степени.
Все (почти) кряки и крякнутые программы крякаются за деньги (хорошие) и распространяются не просто так, а ради чего-то. Что именно хотел чел, крякнувший конкретно вот то самое - Вы не знаете, это лотерея. Может, прога просто вешает ботнет и тихо майнит биткойны, пока машина не занята, а может - отсылает все пароли с сайтов куда-то в Китай... Вы не знаете. И проверить не можете, и даже сын, "крутой системщик", пялящийся в вайршарк и перешивший рутер на тотальную фильтрацию всего - тоже не знает, малвара может полгода собирать пароли, а потом зайти (честно по хттп!) на какой-нить испанский сайт и слить туда всё, что надо. И даже если Вы хорошо понимаете администрирование в винде - всё равно за последние годы было найдено множество уязвимостей, и большинство из них сначала были использованы нехорошими людьми, а уж потом кое-как пофикшены.
Есть и ещё более важна причина - связанная с сбором данных и анализом бигдаты. Поскольку краем я этого в своей карьере коснулся, то имею вам сообщить: Вы и вы все давно под колпаком, под тысячами колпаков, и все эти колпаки общаются, копят данные, анализируют всё и всех. Опять не надо думать, что "я человек маленький, кому я нужен, меня не коснётся". Когда ЭТО коснётся Вас (или Ваших детей, скажем), будет поздно - всё уже в базах необратимо. Каждый чих, каждое действие пишется так, что топором потом не вырубишь. Сопоставить данные и понять, чем пользуется человек - несложно, есть фирмы, специализирующиеся на этом и их код на очень многих вполне почтенных сайтах, которые Вы считаете надёжными. Так что если кто-то захочет узнать, кто именно заходит на правительственный или новостной сайт с правами администратора или редактора новостей, ему нужно лишь тыкнуть в несложный поиск, а потом выбрать наиболее удобную мишень.
Вы просто зашли на сайт анекдотов с рабочей машины - что тут такого? А на сервере скрипт собирает куки и теперь знает, куда ещё Вы с этой машины заходили. Что тут такого? Да ничего, кроме того, что все эти базы через пару недель окажутся у кого-то, кто ищет админский доступ к системе, в которую Вы заходите по работе. И этот человек видит Ваш IP, знает, откуда Вы это делаете, небольшой поиск - и вот он уже знает, кто Вы, идёт дальше... и см. выше про работу хакера: нет, это не "взлом ста миллионов кодов", это долгое копание в Вашей жизни и следах,Ю которые Вы оставили в сети.
Поэтому.
Есть машины для работы. Есть машины для развлечения. Разделение обязательно.
Вы думаете это паранойя? Нет. Это абсолютно необходимые и простые правила типа "не открывайте жестяные крышки зубами" и "не сри там, где ешь".
Комментарии
Очередная дырка от мелкософта сведет все ваши усилия в ноль. Так, что сильно не напрягайтесь. Статью писал большой оптимист)))
+1. Я в своем обзоре здесь на афтершоке это все вкратце уже рассматривал в рамках ликбеза
Это не "усилия". Это гигиена. Вы сильно мучаетесь, моя руки перед едой?
Мытьё рук - не спасёт Вас от всех болезней, не заменяет медицину. Оно лишь сильно снижает вероятность подцепить какую-нить заразу. Ну или использование презерватива не гарантирует здоровья ходокам налево, а лишь бережёт от совсем уж идиотского попадалова.
Только вот какой интересный момент: есть болезни, которые распространяются почти всегда через пренебрежение гигиеной (гепатит А, например) или половым путём. У нас ВООБЩЕ не было бы сифилиса, если бы люди просто ипользовали дешёвую резинку, если уж так захотелось с не-пойми-с-кем.
И 90% скрипт-кидди и кулхацкеров были бы бессильны, если бы люди нормально бы относились к паролям, не открывали бы что попало на рабочей машине и не запускали бы какие попало кряки где ни попадя. Если Вы попали под раздачу, на 90% в этом виноват вовсе не Микрософт, а Ваша личная дурость. И лишь в очень редких случаях простые пользователи попадают под каток, с которым не могли бы справиться в принципе.
На разных сайтах могут быть разные функции хеширования.
Да, конечно. Поэтому способы подбора включают их все. :)
Ессно, до сих пор встречаются самописатели хэш-функций и как бы это ни противоречило всем рекомендациям, от скрипт-киддей это спасает... Но если не влом повозиться, самопалка представляет меньше проблем, чем даже МД5. В конце-то концов, о какой безопасности можно говорить, если сайт сделан на PHP и скачивается вместе с базами? :)
Статья смешная. ЛЮБОЙ сервер можно взломать, незаметно очень сложно.
Комментарий смешной. Речь не о серверах, а о простой отвественности пользователей.
Насчёт "можно любой" - бред, насчёт "нельзя незаметно" - тоже. Ну и в большинстве случаев пофиг, что там кто заметил, если базы уже месяц как ушли налево.
Ещё проще совет. На сайтах, которых боитесь потерять информацию используйте двухфакторную авторизацию. Пароль + смс либо пароль + QR код при каждом входе. Там, где этих функций нет, нужную и важную информацию не храните. На остальных сайтах по фиг. Все просто)
В дни моей бурной молодости работал я в процессинговом центре.
Количество компьютеров было 3 на одного человека, пароли к которым он должен быть знать.
Каждая прога работала в своей оболочке, к которым так же был пароль.
Общая сумма паролей была около 10-15 штук с разными требованиями к длине, сомтаву..т.е. сложности.
И с разной периодичностью их нужно было менять.
И требования к замене паролей были так же разные (недопускались похожие пароли).
Вы представляете как я ненавидел пароли? Я ненавидел их физически. И не я один.
Это можно было реально свихнуться придумывая пароль в очередной раз (смена некоторых паролей была раз в две недели).
И - да. Там где было возможно - пароли были одинаковыми :(
Да, увы.
Это одна из проблем - многие предпочитают "удобство". Ну и "да кому я нужен?".
На большинстве сайтов есть вход через Фейсбук, вКонтакте. Твиттер. На большинстве сайтов есть птичка "запомнить меня". Сложные пароли нужны наверно только от акк в соцсетях и почтовых ящиков? И пароли можно записывать в блокнотик. Потому что когда после какого-нибудь обновления сайт тебя забудет, сам тоже хрен пароль вспомнишь.
Хаха )) И попробуйте запретить секретарше генерального директора с рабочего компьютера лазать по соцсетям и интернет магазинам. )) Будете врагом навсегда. Она будет вас доставать и шефу на мозг капать, пока сами не уволитесь или вас не уволят. И возьмут "хорошего", который не будет этим глупым тиранством заниматься. ))
Птичка "запомнить меня" часто сохраняет данные в куках. Привет, безопасность. :\
Это лечится техническими мерами: например, ставится отдельный бравзер со своими настройками для таких дел. Ну и возможность запускать чего не попадя отсекается точно так же - технически. В большинстве случаев секретаршам этого достаточно. Если у Вас секретарша, которая может выкрутиться на компе, над которым поработал нормальный админ, она просто сидит не на месте, ей нужно повысить зарплату и/или отослать в ИТ-отдел.
О! Спасибо. А это поможет?
А дома, если в сбербанк он-лайн заходить скажем с интернет эксплоера, а по всем остальным сайтам лазать через оперу это будет считаться безопасно? Касперский все время предлагает так делать, как только дело касается денег. Но обычно лень. Интернет эксплоер такой тормознутый что это реально бесит. Надо все-таки через отдельный браузер платежами и переводами заниматься? Неужели это поможет обезопасить платежи. Комп же один и тот же. Какая разница с какого браузера, если они на одном жестком диске находятся?
Я к тому что можно иметь и разные пароли на сайтах и вообще их не помнить, если входить автоматически. И парольне придумывать, а просто тыкать пальцем в клавиатуру куда попало меняя регистр и можно даже раскладку. Или пустить кошку на клавиатуру. А полученный результат использовать как пароль. Только его надо из электронного блокнотика аккуратно переписать в бумажный. Чтобы, если что-нибудь слетит не регистрироваться снова.
А с секретаршей просто личное наблюдение.
Страницы