Адрес для входа в РФ: exler.world

Passkeys - будущее паролей в Сети

07.04.2023 10:14  14684   Комментарии (218)

Во многих профильных изданиях пишут о том, что в скором времени обычные логины-пароли в Сети будут заменяться ключами доступа (passkeys). (Вот, например, одна из таких статей "Why passkeys from Apple, Google, Microsoft may soon replace your passwords".) Эту систему, разработанную FIDO Alliance и World Wide Web Consortium, внедряют крупнейшие корпорации - Apple, Google, Microsoft, Best Buy, GoDaddy, PayPal, Kayak и eBay - и в их глобальных планах - полный перевод пользователей с системы паролей на ключи доступа. И это, замечу я, очень и очень правильно, потому что на порядки более безопасно, чем сильно устаревшие логины-пароли.

Что такое ключи доступа? Вы наверняка с подобным уже встречались - в каких-то сервисах, банковских приложениях и так далее. Это технология аутентификации, позволяющая входить в приложения и на веб-сайты без использования пароля: при этом производится аутентификация через телефоны/планшеты и криптография с открытым/закрытым ключом. Чтобы не копаться в деталях, это происходит следующим образом: чтобы зайти в какой-нибудь личный кабинет (приложение), вам сначала нужно будет каким-то образом идентифицировать себя (биометрия или легко запоминающийся PIN-код), после чего механизм аутентификации проверяет связь между открытым ключом, генерируемым сайтом/приложением с закрытым ключом, хранящимся локально на личном устройстве пользователя, и если связь подтверждается, то пользователю дают доступ.

Для пользователя это все выглядит просто, легко и знакомо - как, например, использование смартфона для оплаты, только тут вместо оплаты - вход в аккаунт или приложение, - а безопасность при этом увеличивается в разы. Все хорошо знают, какие проблемы существуют с обычными паролями, и от них, конечно же, обязательно нужно избавляться. (Замечу, что первоначально обычные пароли могут сохраняться как резервная форма аутентификации.)

Разработанные FIDO Alliance и World Wide Web Consortium стандарты позволяют также использовать Bluetooth для аутентификации на различных устройствах - это может использоваться для ускорения доступа в различные учетные записи, если устройство поблизости обнаруживает, например, доверенный смартфон. И что-то подобное уже используется некоторыми системами, однако тут речь идет о том, что все это будет работать глобально.

С этими стандартами, конечно, тоже существуют свои проблемы: например, что делать в случае утраты смартфона. Переход на новый смартфон при наличии старого делается элементарно - я сам это проделывал неоднократно, перенося все системы идентификации, работающие подобным образом. Но если доступа к старому устройству нет, то тут уже начинаются всякие проблемы, которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.

В общем, мы находимся на пороге великих свершений, и мы должны быть готовыми перейти на новые, намного более безопасные стандарты аутентификации. Аминь.

P.S. Нет, ну правда, пароли - это же такая архаика. У меня во всех важных приложениях/сервисах, где это позволяется, давным-давно установлены современные системы аутентификации. (Тот же Google Authenticator, например, много где можно использовать.)

Комментарии 218

Чем дальше, тем хуже. Компьютеры тормозят, надо бегать от телефона к компьютеру, приставке и обратно. А толку нет. Многие сервисы неспособны элементарно определить, с какого компьютера я захожу и каждый раз начинаются танцы с аутенфикатором и бубном. При всем при этом у меня спокойно увели суперзащищенный пароль от сайта, приложение которого я поставил на "смарт", поменяли адрес для вывода денег и вывели деньги. Это маниакальное стремление использовать смартфон для всего и во все дыры до хорошего не доведет.
08.04.23 09:24
1 1

Гугл аутотентифкатор, как я понимаю, далеко не панацея и безопасности разве что от диванных хакеров добавляет. Наверное, потому и хотят перейти на что-то посерьёзнее.
08.04.23 08:27
0 0

Гугл аутотентифкатор, как я понимаю, далеко не панацея и безопасности разве что от диванных хакеров добавляет.
научите как сломать или обойти.
09.04.23 00:39
0 0

- Скоро все пароли будут заменены RSA SecurID
[Сеть RSA взламывают, похищают ключи для привязки устройств к аккаунтам]
- @#$%^!!!
<== вы находитесь здесь
08.04.23 07:59
0 2

Но если доступа к старому устройству нет, то тут уже начинаются всякие проблемы, которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.
На самый главный вопрос внятного ответа нет.
08.04.23 02:12
0 3

Как уже писали, есть приложения, для которых важна хорошая защита (банки), но большинство создаёт трудности на ровном месте.
Сейчас я пользуюсь keepass с файлом на дропбоксе, периодическими бэкапами на NAS.
Из 100 с лишним паролей, подавляющее большинство не критично для взлома, т.к. даже получив доступ, у меня ничего не смогут украсть. Для них одинаковый пароль средней сложности, который можно запомнить, оптимальный вариант.
Есть несколько сервисов, где нужна улучшенная защита: например, у меня есть мили, достаточные для покупки билета у 2х авиакомпаний. Там стоят уникальные пароли минимум 10 символов. Без keepass я их не вспомню.
Далее идут банки и инвестменты. Сейчас там сложные пароли, которые хранятся в keepass, но желательно улучшить защиту.
Проблема с чем-то привязанным к телефону в том, что телефон могут украсть.
Двухфакторная аутентификация работает только там, куда доходят СМСки. (Например в заграничной поездке, если нет роаминга, или в круизе, где даже при наличии интернета, в банк не зайдёшь).
Ubikey и иже с ними хороши, но, опять же, если украдут за границей, то проблем будет дофига.
Как это всё улучшить? Очень просто.
- Стандартизировать уровни защиты: например ввести 3 уровня: сильный, средний и слабый. Для слабого не вводить серьёзных ограничений для пароля. Для среднего ввести минимумальное количество символов. Для сильного необходима двухфакторная.
Предоставлять пользователю выбирать необходимый уровень защиты в зависимости от чувствительной информации.Например, пользователь может зайти в банк и посмотреть остаток на счету с обычным паролем, но для операции по снятию и переводу нужна двухфакторная аутентификация. Не требовать средней и сильной аутентификации, там, где этого не надо.
Критерий - максимальная сумма денег, которые можно украсть. Например, на сайте электрической компании можно заплатить счёт и посмотреть потребление. Нафиг там требовать серьёзный пароль ?
- Стандартизировать устройства типа Ubikey (ок, пусть будет олигополия) таким образом, чтобы один и тот же ключ мог использвоваться для разных сайтов. То есть, чтобы я мог купить физический ключ, потом прийти в банк, привязать к счёту, а потом пойти в другой банк и привязать тот же ключ к счёту в другом банке.
- При заказе ключа чтобы можно было заказать дупликаты: один у меня, второй у жены, третий в сейфе в банке. Иными словами, этот ключ схож с обычным ключом от машины или от дома.
- Ключ использовать как часть двухфакторной аутентификации: то есть ключ не достаточен. Нужен ещё и пароль. (Это для тех, кто не знаком с Ubikey) . Это добавляет безопасности по сравнению с ключом от машины.
gab
07.04.23 23:04
1 1

Телефон зло.
Мкб и сбер некогда печатали одноразовые пароли. Мкб даже на скретчкарте, сотри и введи. Альфа имела карту с еинк экраном и кнопкой.

Преимущества - одноразовые пароли просты и удобны. Абсолютно неломаемы. В любой момент перевыпускаемы. Легко бакапятся на листочек, который в конверт и в книжку положить можно.

В качестве быстрого пароля может быть банально формула, скажем этот форум может выдать два числа, и только вы знаете два арифметических действия и третье число. Это быстро, довольно надежно, и удобно.
08.04.23 01:53
2 1

Ломаются кражей ключей привязки к счету и "перевыпуске" той самой "карты с экраном и кнопкой". Так взломали RSA SecurID, бывший практически стандартом в больших компаниях.
08.04.23 08:03
0 0

Проблема с чем-то привязанным к телефону в том, что телефон могут украсть.
Он может просто сломаться.
08.04.23 09:05
0 2

Двухфакторная аутентификация работает только там, куда доходят СМСки.
Почему вдруг? MFA это не только СМС. А последнее время "ни в коем случае не СМС!". Второй фактор это аутентификатор (кстати тот же KeepasXC тоже умеет генерить коды)), это может быть и email, push-нотификация на телефон, приложение для аутентификации (мое банковское мобильно приложение читает одноразовый QR и подтверждает аутентификацию на сайте или в банкомате), хардварный ключ, да даже статические бекапные коды. Вариантов куча.
У меня, кстати, мастер пароль на keepasXC как раз со вторым фактором – Yubikey
08.04.23 15:15
0 0

Для них одинаковый пароль средней сложности, который можно запомнить, оптимальный вариант.
niet. Получив один пароль, хацкер получает доступ к пачке вашиз сайтов.

подавляющее большинство не критично для взлома, т.к. даже получив доступ, у меня ничего не смогут украсть
ошибочное мнение. Красть деньги не обязательно, могут украсть вашу "личность" и от вашего имени совершать мошеннические действия.

Двухфакторная аутентификация работает только там, куда доходят СМСки. (
нет, конечно. Смс - не единственный вариант добавления второго фактора.

Предоставлять пользователю выбирать необходимый уровень защиты в зависимости от чувствительной информации
плохая идея. У 87% пользователей "паролем" будет год рождения.

Нафиг там требовать серьёзный пароль ?
какая разница какие там требования, если все пароли хранить в парольном менеджере.
08.04.23 15:37
0 2

какая разница какие там требования, если все пароли хранить в парольном менеджере.
А как быть, когда под рукой нет телефона и своего компа? На чужом компьютере логиниться в свой парольный менеджер? Но для этого как минимум нужно зайти в почту и подтвердить свое новое местоположение. А пароль от почты (т.к. разницы нет) хранится в парольном менеджере.
09.04.23 11:29
0 0

А как быть, когда под рукой нет телефона и своего компа?
либо никак.

На чужом компьютере логиниться в свой парольный менеджер?
ну, либо так

Но для этого как минимум нужно зайти в почту и подтвердить свое новое местоположение.
не очень понимаю как связаны между собой парольный менеджер, почта и местоположение.
12.04.23 23:11
0 0

Да, теперь и в кино / сериалах надо соответствовать, а то зрители засмеют 😉 "Rabbit Hole":
07.04.23 22:35
0 0

Ну не знаю… вот прям сейчас имею кучу гемора именно из-за этого самого аутентификатора.
Работаем мы с одним рестораном. Я и управляющий в их фейсбуке имеем права админа с полным доступом, однако вдруг оказалось, что доступ неполный есть еще более полный доступ. Оказалось, что у ресторана есть еще один эккаунт на фэйсбуке (непонятно на кого зарегистрированный, скорее всего на владельца, а может на его сына, который активно занимается управлением ресторана. Они не помнят, регистрировалось это все несколько лет назад, тогда этим занимался парниша, который давно уже у них не работает). Короче, мы знаем емайл адрес, на который зарегистрирован эккаунт, можем поменять пароль, но зайти не можем, так как требуется ввести код из аутентификатора, который неизвестно где. Хозяин и его сын регулярно меняют телефоны. Сейчас вот переписываюсь с саппортом, посмотрим, чем закончится. Борюсь, как бы вообще не прикрыли эккаунт, они ведь даже не помнят, на кого он зарегистрирован.
07.04.23 22:25
0 7

У меня примерно такая же история с Инстаграм. Сменил номер телефона. Восстановить аккаунт невозможно.
07.04.23 22:40
0 2

Потерял ключи от сейфа. Не могу достать свои драгоценности. Сейф зло!
08.04.23 15:16
0 0

В случае е сейфом у меня был выбор, где хранить нажитое непосильным трудом. Могу хранить в банке, могу в трехлитровой банке, могу у тещи в огороде закопать, а могу в сейфе. В случае с аутентификаторами меня заставляют насильно это делать.
08.04.23 15:35
1 0

Могу хранить в банке, могу в трехлитровой банке, могу у тещи в огороде закопать, а могу в сейфе. В случае с аутентификаторами меня заставляют насильно это делать.
что насильно делать? Seed аутентификатора вы можето хранить в скольки угодно экземплярах и где угодно. При утере одного устройства просто инициализируйте аутентификатор тем же значанием и пользуйтесь дальше.
08.04.23 15:40
0 1

И как это сделать в случае с Фэейсбуком и судя по всему, гугловским аутентификатором? Я искренне интересуюсь. Мне вот саппорт ничего такого простого не предлагает. Подскажите, только медленно, как для альтернативно одаренных, я правда не знаю.
08.04.23 16:59
0 0

Гугловский, майкрософтовский и окта - позволяют сохранять резервные копии и восстановить конфиг при смене устройства. Был у меня еще OnePass, так вот это зло пришлось полностью пересинхронизировать.

UPD: Перепроверил. Окта не дает делать копии
08.04.23 21:09
0 0

как это сделать в случае с Фэейсбуком и судя по всему, гугловским аутентификатором?
отписался в соседней ветке.
08.04.23 23:52
0 0

Несколько лет назад умер телефон с гугл аутентификатором, до сих пор не могу часть доступов восстановить. Каждый сервис это целый квест на неделю. Хорошо, что еще номер телефона не сменил хотя обычно раз в 5 лет меняю.
Лично для меня возможность доступа из любой точки планеты с чужого компьютера и без телефона создает ощущение, что мои данные пока принадлежат мне. Понятно, что некоторые доступы требуют специальной защиты, но во-первых я бы предпочел сам выбирать какие, а во-вторых лично для меня это явно не сервисы гугл, эпл и майкрософт.
P.S. Ну подобрал кто-то пароль к моему аккаунту litres, ну и фиг с ним, пусть читает.
07.04.23 21:43
0 3

Несколько лет назад умер телефон с гугл аутентификатором, до сих пор не могу часть доступов восстановить.
люди делятся на тех, кто уже бэкапит данные и...
08.04.23 15:47
0 1

Я тут недавно делала новый доступ через аутентификатор, если там и есть какая возможность чего-то забэкапить, то она какая неочевидная простому пользователю.
08.04.23 17:03
0 0

если там и есть какая возможность чего-то забэкапить, то она какая неочевидная простому пользователю.
в самом начале нужно ввести число. Вот его и нужно забэкапить (обычно, система, предоставляющая этот код об этом предупреждает). Если мы про гугловский аутентификатор говорим. Кнопка Enter a setup key. Также в меню есть строчка Transfer accounts с пунктами Export и Import. Уж не знаю насколько ещё очевиднее надо было сделать.

PS Но, справедливости ради, несколько лет назад этого не было и чтобы выцепить эти числа нужно было чуть ли не дамп памяти снимать 😉

PS2 ай, блин, эта зараза qr-коды генерит на экспорт. Ну, хоть так.
08.04.23 23:44
0 0

в самом начале нужно ввести число. Вот его и нужно забэкапить (обычно, система, предоставляющая этот код об этом предупреждает).
Несколько лет назад там в самом начале единожды выдавали код, который предлагали распечатать на бумаге. При наличии этого кода можно восстановить доступ в любой момент. Вопрос только в том, что принтера под рукой не было, да и фиг бы я эту бумажку сохранил столько лет. Можно было еще "сохранить его в текстовый файл и положить на рабочий стол"))
Также в меню есть строчка Transfer accounts с пунктами Export и Import. Уж не знаю насколько ещё очевиднее надо было сделать.
Если под рукой есть старое устройство, то действительно перенос аутентификатора проще ответа на звонок и занимает секунды. А вот если старое устройство уничтожено плюс ты уже пять раз поменял телефонный номер и не помнишь ни дату рождения ни фамилию, ни имя, указанные при регистрации, то все - аутентификатор не восстановить, а единственный путь слать свое селфи и видео с развернутым паспортом и заполнять кучу бумажек в те сервисы, которые для тебя стоят подобных рисков и неудобств.
09.04.23 03:43
0 0

то все - аутентификатор не восстановить,
см. пункт первый - люди делятся на тех, кто уже бэкапит данные и...
09.04.23 13:49
0 0

www.ownid.com

Есть уже немало коммерческих имплементаций (NFL, Carnival Cruise, Nestle, etc..)
07.04.23 19:50
0 0

Многообещающе 😉
YOUR CUSTOMERS DESERVE
a frictionless experience
08.04.23 03:04
0 0

Помню в 0х при доступе в клиент-банк дискетку посовывали.
07.04.23 18:32
0 0

Один, но очень жирный недостаток аутентификации, подобной Гугл/ФБ - это прененепременный SingleSignOn сквозным образом через все сайты и приложения. А это не есть гут, я абсолютно не желаю использовать тот идентитет, что для банковских операций, для посещения всяких помоек соцсетей, типа мордокниги.
07.04.23 17:41
0 5

Совершенно не разбираюсь в компьютерной безопасности, но я давно уже недоумеваю, зачем какие-то пароли, если у меня телефон в кармане?

Как мне кажется, все запароленные сайты должны быть двух типов: куда для входа достаточно просто наличия телефона где-то рядом, и более защищённые, где этот телефон должен проверить, что я это я. А все прочие системы защиты это только для каких-то особых случаев.
07.04.23 16:45
3 0

зачем какие-то пароли, если у меня телефон в кармане?
Хорошая ли это идея, собирать множество функций исключительно в одном устройстве?
Или нет?
07.04.23 17:30
0 5

Для 95% пользователей подойдёт идеально. А те несколько процентов, которым есть что и от кого прятать (плюс ещё какое-то количество параноиков), могут озаботиться хоть ключами доступа, хоть многофакторной идентификацией, и ещё всем чем угодно, лишь бы им было спокойно и комфортно. Остальных-то зачем мучать?
07.04.23 23:11
0 2

Остальных-то зачем мучать?
Вы спотыкаетесь, телефон падает и разбивается. Или телефон вдруг ломается сам. Или у него кончается заряд, а подзарядить в данный момент негде. А на телефоне - проездной билет, кредитные карточки, аутентификатор банка, а также... хотя, разве недостаточно и этого?
Ах да, вы по нему еще и звонили.
И всё это происходит где-то вне вашего дома.
08.04.23 09:18
0 0

Вы спотыкаетесь, телефон падает и разбивается. Или
Или
А на телефоне - проездной билет, кредитные карточки
Вы так говорите, как будто должен, просто обязан быть выход из любых ситуаций. А если то, а если это... С такими рассуждениями никакая защита невозможна, всегда будет вариант когда что-то пойдёт не так.
А если телефон сломал, а там проездной билет?! Ну значит всё, придётся пешком идти. Скажите, а как раньше до смартфонов, если у человека украли или он потерял билеты, то что он тогда делал?
08.04.23 11:28
0 1

Скажите, а как раньше до смартфонов, если у человека украли или он потерял билеты, то что он тогда делал?
покупал новые. Теперь не может, тк карточка была в телефоне, и симка (другой страны) была в телефоне и банк-аккаунт привязан к imei телефона.
08.04.23 16:59
0 1

как будто должен, просто обязан быть выход из любых ситуаций.
Можно постараться предотвратить ситуацию, а не провоцировать её наступление. Зачем класть все яйца в одну очень хрупкую корзину?

С такими рассуждениями никакая защита невозможна, всегда будет вариант когда что-то пойдёт не так.
Можно постараться предотвратить ситуацию, а не провоцировать её наступление. Зачем класть все яйца в одну очень хрупкую корзину?

а как раньше до смартфонов, если у человека украли или он потерял билеты, то что он тогда делал?
Для разнообразия, отвечу иначе:
Если билет упадет на землю - им можно будет потом пользоваться, а можно ли будет телефоном?
Если билет слегка повредится, им можно будет пользоваться, а можно ли будет телефоном?
Ответ на оба вопроса - возможно, да, но далеко не факт и уж точно с куда меньшей вероятностью, чем в случае с билетом.

А кроме того, если у вас испортится билет, сможете ли вы пользоваться паспортом или кредитками? А если у вас украдут билет, сможете ли вы пользоваться паспортом или кредитками? Тут на оба вопроса ответ однозначный - да в случае с билетом и нет в случае с телефоном.

Так что, придется мне снова стать неоригинальным: зачем класть все яйца в одну очень хрупкую корзину?
08.04.23 19:00
0 0

покупал новые.
Это в идеальном случае.
А теперь в духе как тут пишут "а если":
- А если билеты украли/потерял и нет денег на покупку новых?
- А если билеты уже все раскупили?
- А если до поезда-самолёта осталось 10 минут и нет времени покупать?
и т.д.
09.04.23 11:35
0 0

Это в идеальном случае.
почему в идеальном? Это в случае исходной постановки вопроса - потеря одной учётной единицы. Так-то можно навертеть потерю всего, включая вырезанную в подворотне чёрными имплантологами почку. Но это ответ на другой вопрос.
09.04.23 13:55
0 1

Как программист, выскажусь про безопасность. Большая часть "безопасности" в интернете — такой же театр, как в аеропорту, и примерно по таким же причинам. Вы бы ужаснулись, если бы узнали, какое количесто сайтов хранит ваши супер-длинные пароли в открытом или почти открытом виде, или имеет другие подобные дыры.

А сами ограничения вводятся как с ковидом — чтобы не отвечать за реальные последствия. Сколько раз с фейсбука и ему подобных площадок воровали инфу миллионов пользователей? Ну, у вас же пароль был... Наверное, небезопасный, сами виноваты.

Гипертрофируем и возьмём самый жёсткий пример: банки. Вроде бы, ну уж там-то безопасность, и понятно зачем она, да? Но на самом деле лучшей безопасностью банка была бы возможность отменить любой платёж. Тогда не так уж важно, какой у вас там пароль или ключ или секретный вопрос. Всё это всё равно ломается, сами знаете примеры. А зато любая мутная контора может брать и списывать у вас какие-нибудь "долги" — а именно это настоящая "безопасность" должна бы предотвращать. Ах, вы "агентство по недвижимости" и считаете, что съехавший от вас жилец оставил вам пятно на полу, и за это вы хотите с него снять деньги за перестилание всего паркета? Идите в суд, куда угодно, но просто так никаких денег вы с него не получите — ведь мы, банк, на стороне нашего клиента и безопасности его денег. Ах, вы какое-то приложение и решили "автоматически" списать денег за мошенническую "подписку"? Мы на стороне... Ну, вы поняли.

И так же с любым другим сервисом — возможность отменить содеянное или нормально обращаться со своими данными убирает большую часть необходимости вообще в каких бы то ни было паролях. Но нет, это никому не хочется делать.

В общем, с этим такая же проблема как и в целом с бизнесом, законами и т.п. — защищать нужно слабого и маленького от больших, а получается всё время наоборот.
07.04.23 16:14
0 5

Начал про "возможность отменить любой платёж", а оба примера - про отказ в проведении платежа на выдуманных банком условиях. Что и до санкций было и бесило, а теперь вообще непонятно, при какой погоде какой платёж может пройти.
С каких пор банк решает, мошенническое приложение или нет? Мне как-то раз пришлось объяснять по телефону, что услуги, условно, "педрильного клуба любителей почесать очко" действительно необходимы. И я не чувствовал себя при этом более защищённо.
08.04.23 13:45
0 0

А кто сказал, что это банк должен решать? Я имел в виду, что решаете именно вы. Вам — уведомление с вопросом, добрым человеческим тоном: "вот такие хотят снять с вас, уважаемый клиент, вот столько денег, вы согласны или нет?", и если нет — то уже "им" приходит холодный роботический ответ: мы, дескать, банк на защите наших клиентов, а клиент послал вас на три буквы — так что денег не получите и всё тут. Обращайтесь в инстанции, если угодно.
08.04.23 14:13
0 1

Так это уже сейчас и есть, приходят SMS либо с кодом для подтверждения отправки, либо с "ответьте на это сообщение для возврата" при снятии.
09.04.23 14:05
0 0

Сколько раз с фейсбука и ему подобных площадок воровали инфу миллионов пользователей?
да, кстати, а сколько раз с фейсбука сливали пароли миллионов пользователей?
10.04.23 21:02
0 0

Вспомнилась страшная история про чёрный ноутбук.

В одной семье умер один дедушка. Когда он умирал, то попросил, чтобы его похоронили вместе с его любимым ноутбуком и оплачивали бы потом каждый месяц ему Интернет.
Но как только дедушка умер, папа сказал, что старик выжил из ума, и вместо ноутбука положил дедушке в гроб калейдоскоп.
Ночью, когда поминки закончились, папа сел за дедушкин ноутбук, и тут все услышали страшный папин вопль.
Когда все сбежались, то увидели, что папа топчет ноутбук и кричит, что дед унёс в могилу не только калейдоскоп, но и пароль.
©
07.04.23 15:36
1 6

Флешка в калейдоскопе, пароль на флешке... Игла в ©
07.04.23 23:30
0 0

Прошлым летом у знакомого американца украли сумку с паспортом и смартфоном где было пару современных аутентификаторов (passkey), кстати украли в Барселоне.
Из Испании уехал со справкой, всё нормально, но на родине пару вещей делал несколько недель вместо дней, как раз из-за аутентификаторов. Дайте документ - нет документа, нет аутентификатора, а чтобы получить этот документ нужен был доступ к сервису, где он всмето пароля установил двойную авторизацию.
Вот он по кругу набегался, и первое что сделал, когда всё восстановил - убрал в одном месте аутентифиактор и поставил обычный, старый ламповый пароль.
...
07.04.23 15:10
1 10

Кстати, в прошлом году Cloudflare продавали своим клиентам Yubikey со скидкой 50%. Я как раз прибарахлился.
Ну и любой андроид телефон работает как хардварный ключ безопасности по bluetooth.
07.04.23 14:53
0 0

"С этими стандартами, конечно, тоже существуют свои проблемы: например, что делать в случае утраты смартфона. "
В Эстонии это реализовано на привязке сим-карты к ID карте - Mobiil ID. У оператора можно заказать именно такую карту. При утере телефона покупаешь новый. Номер, прижелании, тоже можно изменить. Всё, что нужно - получить новую симку и лично подтвердить привязку симки к ID карте.
Все банки, госорганзации и многие интернет магазины используют такой способ авторизации. Логины и пассворды ушли в прошлое.
07.04.23 14:19
0 3

Майор может заказать у оператора такую карту. И злоумышленник может. И смысл?
08.04.23 01:59
0 0

Майор может заказать у оператора такую карту. И злоумышленник может. И смысл?
Для себя может, а на чужое имя нет.
08.04.23 14:09
0 1

Да заколебали со своей безопасностью. Можно Я буду решать, какой уровень безопасности мне нужен, а? Если речь идёт о моей личной почте, или даже банковском аккаунте. Может, я специально этот аккаунт завёл, чтобы держать там деньги на карманные расходы.
Mit
07.04.23 13:30
2 6

Нельзя. Может, ты нормальный. А, может, ты из тех полудурков или хитрожопых, из-за которых потом в инструкциях пишут, что кошку нельзя стирать в стиралке с барабаном, а горячий кофе в самом деле горячий.

Лучше перестраховаться, испортив жизнь 99% нормальным людям, чтобы не выплачивать огромные бабки 1% особенных.
07.04.23 14:06
0 2

Лучше перестраховаться, испортив жизнь 99% нормальным людям, чтобы не выплачивать огромные бабки 1% особенных.
Как много выплачено бабок пользователям, которые заявили, что под их аккаунтом залогинился злоумышленник, укравший пароль и произвел злонамеренные действия?
07.04.23 15:22
1 3

Ну, давайте я где-нибудь подпишусь, что я нормальный.
Mit
07.04.23 15:37
0 0

Ну, давайте я где-нибудь подпишусь, что я нормальный.
Нельзя.
Подобное разрушит концепцию Master/Slave в куче общественных систем и отношений.
А она фундамент.

Что бы подписывать такие документы нужно получить статус Master.
07.04.23 15:43
2 2

Как много выплачено бабок пользователям, которые заявили, что под их аккаунтом залогинился злоумышленник, укравший пароль и произвел злонамеренные действия?
До того, как постирали кошку в барабане, прокипятили часы или пролили на себя горячий кофе, наверное, умники тоже так задавались вопросом. А умные обосновывали перед начальством резервы для выплат по решению суда / досудебного урегулирования на случай такой дичи.
08.04.23 08:13
0 0

Во всех этих изменениях у меня вызывает подозрение одна вещь.
Вы все меньше контролируете вашу безопасность и приватные ключи генерируются "кем-то" для вас.
07.04.23 13:10
1 7

приватные ключи генерируются "кем-то" для вас.
А вы как обычно генерируете приватный ключ? 1024 раза бросаете монетку?
07.04.23 13:35
0 5

Раньше было лучше..... Ты и только ты отвечал за то, что убежишь от тигра или не съешь ядовитое растение.....
07.04.23 14:07
3 3

А вы как обычно генерируете приватный ключ?
Примерно так:

ssh-keygen -t rsa -b 4096 -C "mymail@mail.com"

А что, можно как-то по другому? 😄
07.04.23 14:07
1 3

Примерно так:
ssh-keygen -t rsa -b 4096 -C "mymail@mail.com"
А что, можно как-то по другому? 😄
Всё, верно, но подавляющее большинство пользователей и слов-то таких не знает.
07.04.23 14:38
0 1

Раньше было лучше..... Ты и только ты отвечал за то, что убежишь от тигра или не съешь ядовитое растение.....
И жил ты 25 лет.
08.04.23 08:28
1 1

Примерно так:
Это тоже "кем-то", если только вы ssh-keygen не собрали сами из лично отсмотренных исходников.
09.04.23 16:05
0 0

Пошел смотреть как на сайт exler.ru можно залогинится не используя архаичный метод... 😄
A_F
07.04.23 13:05
0 10

С юбикеями и другими системами Passkeys ситуация в точности как с магнитными кабелями для зарядки: если делаешь, то сразу для всего "в доме". Но, к сожалению, далеко не все онлайн сервисы поддерживают данную штуку сейчас, во-вторых - все далеко не просто с офлайн приложениями на вашем компе.. сервере.. телефоне. Ну и с резервным устройством и синхронизацией ключей - тот еще вопрос, я к нему и не подошел близко, завязнув в болоте вопросов как это правильно и надежно сделать. И вместе с disaster recovery планом, из серии - я в отпуске и у меня в отеле крадут сумку с ноутом и кеем.
я взял для теста юбикей себе. круто и красиво и выглядит и читается про него, установил на пару сервисов в качестве одного из вариантов аутентификации.. но прошло пару месяцев - вообще не помню на какие установил...
07.04.23 13:01
0 2

которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.
Вот до этого момента всё было хорошо (относительно), а дальше опыт метрической и имперской систем измерения, USB-C и Apple Lignting, ширины колеи железной дороги в разных странах и т.п., меня, если честно, наводит на какие-то другие мысли.

Не привело бы это к тому, что в мире образуются 2-4 якодзуна, между которыми будет битва стандартов, а в проигрыше, как всегда, будет юзер, который в ненужное время в ненужном месте окажется с ненужным стандартом, и ой...
07.04.23 12:41
0 8

Есть одна проблемка - люди не любят делать лишние телодвижения. А еще любят надежность.
А тут всё как-то сомнительно, устройства какие-то дополнительные, отпечатки какие-то сдавать куда-то.
Доступ может быть с телефона, с десктопа, может быть с чужого устройства. Где-то нет камеры, где-то нет USB. Потеря телефона, нет доступа к телефону в текущий момент и т.д. Всё это как-то не особо решено.
И кстати слитый пароль можно поменять, а как поменять слитые отпечатки?
yva
07.04.23 12:19
0 7

Нет ни одного абсолютно надежного человеческого решения. Или за него нужно заплатить много-много денег - и то не всегда помогает.

Пароли забываются, мобильники ломаются и теряются, интернета кое-где нет. Всё ненадежно. А жизнь коротка.

Не помню ни одного сообщения о базе слитых отпечатков. Наверное потому, что обычно отпечатки хранятся только у вас в мобиле или ноуте, никуда не передаются и зашифрованы вполне надежно.
07.04.23 12:29
0 2

Не помню ни одного сообщения о базе слитых отпечатков
потому, что ПОКА отпечатки используют в основном на локальных устройствах - телефонах, лаптопах.

никуда не передаются
ну, аот, как только будут использоваться удалённо, начнутся и сливы. Или снятие отпечатка со стакана в кафе.
07.04.23 13:03
2 3

Или снятие отпечатка со стакана в кафе.
Современные системы вполне умеют уже отличать "живой" палец от картинки. Другое дело, что я не готов поставить, что на практике реализован именно это вариант. 😄
07.04.23 13:42
2 0

Современные системы вполне умеют уже отличать "живой" палец от картинки.
эти системы легко обходятся желейным мишкой или распечатаной плёночкой, наклееной на живой палец.
07.04.23 13:59
0 3

Так, я правильно понимаю, что для этого нужно иметь при себе телефон с работающей связью? Или нет? А если такого телефона нет, то я доступ не получу? Офигительная идея.
07.04.23 12:12
0 11

Да, именно так. И в статьях об этой системе об этом говорят, что это их недостаток.
Похожая альтернатива: у вас должен быть мобильник, но на нем должно быть приложение, где генерится случайный код каждую минуту и вы должны его ввести (тогда хотя бы интернет не нужен).

И еще раз скажу - потеря мобильника в современном мире равносильна потере документов. Естественно, что это куча лишних проблем. Не теряйте мобильники )

Если вам кажется, что иметь телефон при себе - это очень накладно, то подумайте, что вы предпочтете - думать о том, есть ли мобильник под рукой, или чтобы из-за ненадежного пароля у вас угнали ваши деньги со счета или вы вляпались в какие-то проблемы с утратой identity?
07.04.23 12:24
2 1

что вы предпочтете - думать о том, есть ли мобильник под рукой, или чтобы из-за ненадежного пароля у вас угнали ваши деньги со счета или вы вляпались в какие-то проблемы с утратой identity?
Я лично предпочитаю вообще не думать.
07.04.23 12:36
0 7

Плюсую )) Но именно из-за этого и происходит 99% хакерских атак и сливов.
07.04.23 12:41
0 0

И еще раз скажу - потеря мобильника в современном мире равносильна потере документов. Естественно, что это куча лишних проблем. Не теряйте мобильники )
Вот потому-то докУменты хранятся дома, в надежном месте - а с собой носят то что потерять не так страшно.
07.04.23 13:15
0 5

Так, я правильно понимаю, что для этого нужно иметь при себе телефон с работающей связью? Или нет? А если такого телефона нет, то я доступ не получу? Офигительная идея.
Т.е. у вас нет телефона, нет связи но нужен доступ к онлайн ресурсу. Удивительное стечение обстоятельств. 😄
Но в целом, почти все токены, в том числе и из приложений работают автономно без онлайна. Онйлан нужен только на момент регистрации.
07.04.23 13:41
0 1

у вас должен быть мобильник, но на нем должно быть приложение, где генерится случайный код каждую минуту и вы должны его ввести (тогда хотя бы интернет не нужен)
Й-извините, если это тру случайный код и нет интернета - откуда другая сторона узнает правильность введенного кода? Чего-то не сходится...

Другая сторона знает все необходимое для генерации OTP (алгоритм, уникальный ID, хэш,...).
А на вашей стороне вместо телефона пароль может генерировать даже примитивное устройство в формфакторе миникалькулятора, которое от одной батарейки работает 3-5 лет.

Процесс может выглядеть так: другая сторона показывает вам некий набор цифр вы их вводите в токен (тот самый миникалькулятор), токен дает в ответ свой набор цифр. Вы в течение 1-3 мин (обычно дают минуты 3 вроде) отправляете ответ другой стороне. Все.

Собственно, процесс не отличается от списка одноразовых паролей на бумажке, только список бесконечный (пока батарейка в токене не сядет).

Такие токены появились у банков уже очень давно. Минимум лет 20-30 назад. Т.е. намного раньше идеи рассылать ОТР в СМС.
И, конечно же, такой токен намного безопаснее дебильных костылей в виде СМС с паролем из банка.
07.04.23 20:41
0 0

Если список бесконечен, значит это алгоритм и не одноразовый блокнот, а значит уязвим.
08.04.23 02:04
0 0

Токеном может быть голова. Ее не украдут, не используют насильно как палец.
08.04.23 02:06
0 0

Т.е. у вас нет телефона, нет связи но нужен доступ к онлайн ресурсу. Удивительное стечение обстоятельств. 😄Но в целом, почти все токены, в том числе и из приложений работают автономно без онлайна. Онйлан нужен только на момент регистрации.
В роуминге в разных странах совершенно стандартная ситуация. Именно так - на телефон хрен чего получишь, и вообще стоит симка местного провайдера, а залогиниться надо срочно из какого нибудь левого интернет кафе.
08.04.23 06:33
0 1

Токеном может быть голова. Ее не украдут....
Всякое бывает... )
08.04.23 06:34
0 0

Замечательный процесс, никаких возражений! Только где здесь случайный код, о котором пишет уважаемый yuriyg?..

не одноразовый блокнот
блокнот тоже уязвим

а значит уязвим.
Возможно взломы были, но я о них не слышал.
А уж как пароль через СМС уязвим..., зато дешево, т.е. практически даром.
08.04.23 09:49
0 0

Если список бесконечен, значит это алгоритм и не одноразовый блокнот, а значит уязвим.
уязвимо всё, вопрос в оцене риска. Пока такой аутентификатор считается достаточно надёжным для большинства применений, включая банковские.
08.04.23 15:46
0 0

Замечательный процесс, никаких возражений! Только где здесь случайный код, о котором пишет уважаемый yuriyg?..
он просто забыл добавить приставку "псевдо-". Псевдослучайный код.

В роуминге в разных странах совершенно стандартная ситуация. Именно так - на телефон хрен чего получишь, и вообще стоит симка местного провайдера, а залогиниться надо срочно из какого нибудь левого интернет кафе.
Т.е. подключить телефон к вайфаю этого же самого интернет-кафе нам религия не позволяет? Будем изображать безвыходную ситуацию. Ну ок. 😄
10.04.23 08:00
0 0

Нет, ну правда, пароли - это же такая архаика.
Фиг бы с ними, с паролями.
Больше достают корпоративные политики по смене пароля, которые требуют их регулярно менять.

Причем нужно соблюсти кучу дурацких требований - не меньше X символов длиной, содержать буквы в разных регистрах, цифры и спецсимволы, не должны совпадать ни с одним предыдущим паролем за последним 100 замен, не должны частично совпадать (т.е. не прокатит замена MoiParol1234# на 846#5MoiParolNew) и т.п.

Придумывание и запоминание нового пароля требует времени и, честно говоря, безопасность не повышает нифига.
07.04.23 12:09
0 16

Что-то у вас админу сильно злобствуют )) Я с регулярной сменой пароля сталкивался в нескольких компаниях и везде можно было менять MoiParol1234# на MoiParol1235# ну в крайнем случае на MoiParol2345# )) ну или заведите менеджер паролей )
07.04.23 12:21
0 1

Не админы, безопасники. Их целый департамент.

Менеджер паролей не подойдёт - на комп ничего поставить нельзя, политики такие. Да и не хочется, т.к. мониторинг ведётся регулярно и если что-то не из реестра корпоративного ПО найдут, настучат по шапке или уволят. С бозопасностью строго.
07.04.23 12:26
0 5

Что-то у вас админу сильно злобствуют ))
Во-первых, не админ, а CSO - Chief Security Officer, со своими миньонами (и даже, в некотором смысле, посіпаками).
Во-вторых, это, как правило, регламентируется внутренними политиками безопасности, с соответствующим уровнем секретности (только для сотрудников), с которыми, как правило, ознакомляют при приёме на работу (и иногда со сдачей экзамена).
Ну и регулярное проведение внешнего аудита безопасности с пенетрейшн-тестами показывает, что если в политиках этого не предусмотрено, то ломаются такие "будто-бы поменяные пароли" гораздо легче, чем реально уникальные.
07.04.23 12:30
0 6

не должны частично совпадать
Это требование означает что ваши админы *знают* ваш пароль (ну или могут легко его расшифровать в случае необходимости.
07.04.23 12:31
1 1

Даа, жуть )

Есть мобильные приложения менеджеров паролей. Хоть собственный мобильник можно использовать? (хотя слышал, что вроде кое-где и этого нельзя)
07.04.23 12:31
0 0

Кстати, да. Как они могут знать о частичном совпадении, если хранится хеш? ))
07.04.23 12:32
0 2

Это требование означает что ваши админы *знают* ваш пароль (ну или могут легко его расшифровать в случае необходимости.
три поля в окошке:
"введите старый"
два раза
"введите новый"
старый проверили - да, он. есть что сравнить с двумя новыми.
07.04.23 12:38
0 4

Ну, тогда вы можете легко обойти это требование 😄
07.04.23 12:42
0 0

А, ну если так, то можно просто сделать два шаблона паролей MoiParol****# и Bezopasnost****# а потом менять их по циклу
07.04.23 12:43
0 1

Это требование означает что ваши админы *знают* ваш пароль (ну или могут легко его расшифровать в случае необходимости.
Да, написал так, что неясно. Прошу прощения.
Это только при смене и работает для двух паролей - текущего и нового, когда они оба есть в чистом виде. В БД, понятно, хранятся криптографические хэши.
07.04.23 12:43
0 0

три поля в окошке:
Ну, тогда вы можете легко обойти это требование, поскольку это чисто клиентская проверка 😄
07.04.23 12:43
2 1

Не админы, безопасники. Их целый департамент.Менеджер паролей не подойдёт - на комп ничего поставить нельзя, политики такие. С бозопасностью строго.
Кажется , что ужесточение политики безопасности улучшает безопастность. Однако это далеко не всегда так. Я сталкивался с этим не один раз. Один раз, в одном из атомных центров страны Х, где получение пароля для гостей превращено департаментом безопасности в настоящий бюрократический ад, один коллега давал всем своим гостям собственный логин и пароль. Он был написан у него в комнате на доске, большу-ущими буквами.
07.04.23 12:45
1 5

Кажется , что ужесточение политики безопасности улучшает безопастность. Однако это далеко не всегда так.
Так и есть.
07.04.23 12:46
0 0

Ну, тогда вы можете легко обойти это требование, поскольку это чисто клиентская проверка 😄
Сорри, но я не могу 😉
т.е. я понимаю о чем вы, но как-то не задалось с опытом подобных работ 😉
07.04.23 13:05
0 0

А, ну если так, то можно просто сделать два шаблона паролей MoiParol****# и Bezopasnost****# а потом менять их по циклу
уверен, что так и есть.
хороший повод проверить на какой-то из корпоративных систем с подобными требованиями к паролям.
07.04.23 13:06
0 1

Это требование означает что ваши админы *знают* ваш пароль (ну или могут легко его расшифровать в случае необходимости.
не обязательно. Есть гомоморфное шифрование, где можно обойтись без расшифровки. Не слышал, чтобы кто-то использовал его в таких уелях, но мало ли...
07.04.23 13:07
0 0

Ну, тогда вы можете легко обойти это требование, поскольку это чисто клиентская проверка
нет, не клиентская. "Старый" пароль проверяется же.
Обходится, как уже заметили, двумя паролями, меняемыми по кругу.
07.04.23 13:10
0 1

один коллега давал всем своим гостям собственный логин и пароль. Он был написан у него в комнате на доске, большу-ущими буквами
где-то здесь ваш коллега? 😉
07.04.23 13:12
0 4

Ой, я вас умоляю. Пароли, ха. У меня у самого три уровня паролей и три разных аутентификатора на девайсе, слава богу, корпоративном - на аккаунт, на впн, на проект, и постоянная ротация не в такт. И да, нельзя три последних, нельзя последовательные, высокая сложность и тэпэ, что, как обычно, решается файликом "пароли.тхт".

Так вот, это всё фигня. Больше всего радует регулярная рассылка от безопасников "мойте руки перед едой и не верьте фишинговым письмам". Основной признак фишинга - "грамматические ошибки и опечатки", что уже отдельно весело в сильно международном холдинге, где у многих родной язык - javascript.

И когда приходит письмо, ну одно из полусотни в день, которые не отправляются автоматически в "меня не касается", с ошибками - например, нет точки в конце предложения - и ты недостаточно ещё задолбан, чтоб на это обратить внимание, есть два стула два варианта: ты отправляешь письмо в спам и сообщаешь безопасникам, или ты кликаешь там на ссылку и видишь "агага! попался!" и тебе назначают обязательный тренинг по кибербезу, где ты смотришь видосы, как не кликать куда попало.

А вот если ты написал безам, что пришёл фишинг, то тебе тоже назначают этот тренинг с формулировкой "отлично, но пересмотреть ещё раз лишним не будет".

И так примерно раз в два месяца.
07.04.23 13:27
0 3

— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1грёбанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1грёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1грёбанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНеДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
Mit
07.04.23 13:33
0 16

Обходится, как уже заметили, двумя паролями, меняемыми по кругу.
Не обходится. Хранить хеши старых паролей для истории и делать проверки при смене - не сильно трудно. Дальше можете назначать любые правила на количество итераций до повтора.
07.04.23 13:38
0 0

В одном секретном институте пересчитывали перфокарты (были такие ИТ-технологии) при входе и выходе. Листы в блокноте тоже. А через месяц даже пропусков не спрашивали, историю с протезом я когда-то рассказывал.
07.04.23 14:04
0 0

Не обходится. Хранить хеши старых паролей для истории
да, не два пароля, а два шаблона пароля. С инкрементом цифирьки в конце.
07.04.23 14:12
0 1

Ротация паролей каждый 3 месяца это строгое требование PCI DSS 3.* к примеру. PCI DSS 4.0 уже не требует ротации, но пароль должен быть не менее 12 символов длиной и должна применяться MFA.
Все требования по длине, сложности и ротации паролей не каприз CISO а требования стандартов безопасности.
07.04.23 14:16
0 1

А причем тут PCI DSS? Тут же не про процессинг речь идёт, а про логины в корпоративной сети.
07.04.23 14:44
0 0

А причем тут PCI DSS? Тут же не про процессинг речь идёт, а про логины в корпоративной сети.
Логины в корпоративной сети, в которой работают те же люди, что и с CDE так же должны соответствовать. Ну и PCI DSS далеко не единственный стандарт.
07.04.23 14:55
0 0

Логины в корпоративной сети, в которой работают те же люди, что и с CDE так же должны соответствовать.
Насколько я понимаю, в систему, которая содержит данные платежных карт, должен быть доступ под отдельными УЗ и именно к ним применяются эти требования.
В чем смысл применять требования стандарта там, где они не требуются? Работает девочка офис-менеджер, кофе и бумагу заказывает для коллег. Нафига ей для ее работы нужно каждые 90 дней менять пароли в сеть, когда у нее рабочих инструментов - Word, Excel и Outlook?
07.04.23 15:35
0 0

означает что ваши админы *знают* ваш пароль
Не факт. когда ставишь новый пароль, предварительно же вводишь старый. Что мешает в этот момент сравнить пароли в соседних строчках?
07.04.23 15:53
0 0

Нафига ей для ее работы нужно каждые 90 дней менять пароли в сеть, когда у нее рабочих инструментов - Word, Excel и Outlook?
Вот буквально на днях на хабре пентестер публиковал историю, о том, как удалось получить доступ по всему внтури сети через.. принтер. На котором была доменная учетка с сильно ограниченными правами.
Для общего понимания, при взломе первый этап - попасть внутрь сети. Не важно под какой именно учетков, главное попасть внутрь. И в этом случае девочка офис-менеджер вполне подойдет.
07.04.23 16:42
1 2

И? Как от этого защитит смена пароля?

Будет девочка ставить безропотно пароли, каждый раз все больше запутываясь, а потом начнет их на бумажку записывать в открытом виде. Секьюрно получится?
07.04.23 17:44
0 2

а потом начнет их на бумажку записывать в открытом виде. Секьюрно получится?
нет конечно, совершенно не секьюрно. но это вопрос уже не к ИТ безопасности. Ведь и простые пароли ей никто не мешает записывать на листике.. где предел?
07.04.23 19:11
0 1

но это вопрос уже не к ИТ безопасности.
Как раз к ней.

Потому что простые пароли ей никто не мешает записывать на листике и это действительно так.
Но вероятность того, что человек таки будет записывать на листике пароли в случаях:
А) если они сложные и их регулярно надо менять
Б) если пароль может быть простым и тебя его менять не заставляют
- эта самая вероятность в случае "А" гораздо выше.

А выбор между А и Б как раз политикой безопасности в организации и устанавливаются. Не сама же девочка придумала себе правила и мучается, в самом деле?
07.04.23 20:17
0 1

Насколько я понимаю, в систему, которая содержит данные платежных карт, должен быть доступ под отдельными УЗ и именно к ним применяются эти требования.В чем смысл применять требования стандарта там, где они не требуются? Работает девочка офис-менеджер, кофе и бумагу заказывает для коллег. Нафига ей для ее работы нужно каждые 90 дней менять пароли в сеть, когда у нее рабочих инструментов - Word, Excel и Outlook?
Не правильно понимаете. Через учетку девочки-офисменеджера можно попасть внутрь сети и начать атаку. Что кстати уже было в парочке знакомых организаций.
07.04.23 22:28
0 0

И? Как от этого защитит смена пароля?
Смена пароля защищает от утечек пароля. Но да – эксперты приходят к выводу что смена пароля на самом деле плохо. О чем я и написал – новейшая версия PCI DSS уже не требует ротации паролей, но требует что бы он был длинным (защита от подбора) и использовалась многофакторная аутентификация – ключи, аутентификаторы на устройстве, OTP.
Но защищать надо всех.
07.04.23 22:31
0 0

Не правильно понимаете. Через учетку девочки-офисменеджера можно попасть внутрь сети и начать атаку. Что кстати уже было в парочке знакомых организаций.
Ок, давайте упростим.
Я говорю про PCI DCC, он относится к обработке данных пластиковых карт. Если в организации вообще не обрабатываются такие данные, то как он применим?
08.04.23 06:51
0 0

Ок, давайте упростим.Я говорю про PCI DCC, он относится к обработке данных пластиковых карт. Если в организации вообще не обрабатываются такие данные, то как он применим?
Если организация предоставляет сервис, который каким то образом интегрируется с PCI DSS compliant системой то проще для продаж этого сервиса проходить аудит и поддерживать compliance. ну и кроме PCI DSS есть еще масса стандартов которым любая более-менее серьезна организация должна соответствовать.
08.04.23 15:21
0 0

Многие отмечают, что главные недостатки Passkeys - это возможное отсутствие интернета и утеря девайса. Альтернатива с отпечатками пальцами и распознанием лица - та еще проблема. Здесь тоже не всё однозначно, т.к. некоторые девайсы плохо распознают пальцы, особенно после того, как на них попадает вода и т.п. Про распознавание лица Эппл говорит, что это "супернадежно", ну как всегда, но вы же сами понимаете, что проснулся не с той ноги - и не распознает оно тебя... Почему-то распознавание по глазу тоже не делают в телефонах особо - видно тоже есть ограничения. Поэтому идеального метода нет вообще, пока, во всяком случае. И обычно, сейчас их комбинируют, а телефоны требуют, чтобы был и пароль и отпечаток пальца - и регулярно пароль переспрашивают, даже если вы хотите только отпечатками пользоваться.

То, что пароли должны уйти - это несомненно, учитывая постоянные взломы баз и то, что большинство людей не могут придумать более надежные пароли (хотя в корпоративной среде - всё больше ужесточают требования и уже "1234" просто не прокатит).

PS: В чем особенное преимущество именно Passkeys не очень понимаю. Уже сейчас есть аутентификаторы (Гугл, Майкрософт и т.п.), которые позволяют на втором шаге либо ввести код из мобильного приложения, либо запросить разрешение с девайса (но нужен интернет) либо ввести код (вызов) который показали при логине.
07.04.23 12:02
1 3

В чем особенное преимущество именно Passkeys не очень понимаю. Уже сейчас есть аутентификаторы (Гугл, Майкрософт и т.п.), которые позволяют на втором шаге либо ввести код из мобильного приложения,
аутентификаторы не спасают от шпионского ПО, которое точно так же отправит ваш код злоумышленнику. Ключи обещают работу по принципу, что отменяет такую возможность.
07.04.23 12:47
0 2

некоторые девайсы плохо распознают пальцы
С пальцами была одна веселая история. Конечно, в тот момент она смешной не казалась, человек, получается, остался без телефона, но потом я ее рассказывал с улыбкой.
Поставили разблокировку по пальцу. Проверили, все отлично. Прошло несколько дней, телефон явно видит палец (дребезжит иконкой замка на экране), но разблокироваться не желает. То же самое с левой рукой. Все, тупик.
Разблокировался он при попытке протирки сканера ворсистой тряпочкой и переходил сразу в платежную систему - пользуйся, не хочу. Ладно, платежная система - это мы сами так настроили, но разблокировка тряпочкой немало говорит о качестве алгоритма распознавания. Эксперимент был повторен много раз и повторяемость оказалась на высоте, так что это была не случайность.
Уже не помню, как я вышел на настройки, но как-то все же вышел и вернул авторизацию по паролю, после чего наступила тишь да благодать.
07.04.23 13:18
0 2

проснулся не с той ноги - и не распознает оно тебя...
Ни разу не было. Хотя, возможно, Тома Круза из Tropic Thunder оно и не опознает.
Я бы, скорее, волновался насчёт внешне похожих людей.
А вот отпечатки... моя мать всегда ругалась на сканеры отпечатков. У неё отпечатки вообще еле-еле распознаются, в том числе на пограничном контроле. Сканер в телефоне не распознаёт её отпечатки вообще.
Mit
07.04.23 13:39
0 0

аутентификаторы не спасают от шпионского ПО, которое точно так же отправит ваш код злоумышленнику.
Код действителен минуту, так что вряд ли злоумышленник от этого что-то выиграет.
Mit
07.04.23 13:40
0 0

Код действителен минуту, так что вряд ли злоумышленник от этого что-то выиграет.
Ну мы же о целенаправленной атаке - конечно же, иначе смысла никакого нет собирать сгенерированные коды
07.04.23 15:40
0 1

И как эта целенаправленная атака должна выглядеть?
Mit
07.04.23 16:56
0 0

И как эта целенаправленная атака должна выглядеть?
в идеале? я захожу в ваш банковский аккаунт, а зловред отправляет мне полученную вами проверочную смску.
07.04.23 17:56
0 0

Какая СМС-ка, если речь об аутентификаторе?
Mit
07.04.23 18:52
0 0

Какая СМС-ка, если речь об аутентификаторе?
ну речь вообще о двухфакторках. ну ок, если про аутентификаторы, вот еще ссылка:
processer.media
07.04.23 19:01
0 0

Вы буквально написали: «аутентификаторы не спасают от шпионского ПО». Я не знал, что это означает двухфакторную аутентификацию.

А этот Cerberus, как я понимаю, может гораздо больше. Слишком мощная штука, чтобы от него защищаться на уровне отдельных приложений. Так что, да, от этого аутентификатор не спасёт — но от него вообще ничего не спасёт, кроме перехода с андроида на iOS.
Mit
07.04.23 19:42
0 0

аутентификаторы не спасают от шпионского ПО, которое точно так же отправит ваш код злоумышленнику.
Ээээээ.... И толку ему от этого кода если он а) одноразовый б) ограничен по времени.
07.04.23 22:32
0 0

. Я не знал, что это означает двухфакторную аутентификацию.
да, вы правы, подразумевал ответ в более общем виде, чем написал.
ссылка - это один из примеров, которой был первый в поиске гугла. Вариантов может быть больше, та же банальная социальная инженерия, когда "сотрудник банка" уговорит жертву просто произнести полученный код или нажать на нужную кнопку.
07.04.23 23:08
0 0

Все хорошо знают, какие проблемы существуют с обычными паролями
Вообще-то не все.
Какие проблемы, к примеру, с паролем типа "0b4HUbDIlwFJpRC"? Легко запоминается, а подбирается разве что теоретически.
А вот мне иногда нужно с чужой машины заглянуть на свою почту, причем всегда неожиданно. Постоянно таскать с собой приватный ключ? Так себе идея, КМК.
07.04.23 11:59
1 7

Таскать мобильник, на котором будет приватный ключ. А он сейчас есть везде и у всех. Проблема с паролем в том, что его могут слить из базы, даже хотя он и сложный. Поэтому второй шаг нужен, т.к. там второй код генерится случайным образом раз в минуту (обычно).
07.04.23 12:04
4 0

А при потере поломки/мобильника что делать? Тем более учитываем что потеряется/поломается все по закону подлости, в самый неподходящий момент))
07.04.23 12:09
0 4

Лучше обе. Пароль + биометрия + сгенерированный ключ.
07.04.23 12:09
1 0

В базе не хранятся пароли, хранятся хэши.
07.04.23 12:15
0 5

Сейчас многие банковские системы привязаны к мобильному номеру и тому подобное. Так что в современном мире - потеря мобильника где-то равносильна потере документов. Да, будут проблемы. Если же говорить об этих системах - то в них предусмотрена возможность переноса на другие девайсы, для этого обычно они еще требуют электронную почту и/или номер телефона (да, опять привязка к мобильнику, но сейчас часто у людей по два номера) - куда могут прислать код. В общем, с потерей/поломкой мобильника у вас проблемы будут, но они решаемы, если вы об этом подумали заранее. Привыкайте, что тут можно сказать. Да, я сам этого боюсь, но что делать - другого лучшего пути, пока нет.
07.04.23 12:16
0 0

Я знаю, но тем не менее, регулярно сливают именно пароли, видно, не все разработчики знают об этом )) или я не знаю как это получается...
07.04.23 12:17
0 0

А при потере поломки/мобильника что делать?
Не говоря уж о том, что не у всех телефон с андроидом или айфон (а под другие системы уже как правило приложения и не пишут).
Есть и виндовсфоны и линуксофоны. Некоторые ходят с кнопочными или прочими ретрофонами.
07.04.23 12:18
1 4

Я знаю, но тем не менее, регулярно сливают именно пароли, видно, не все разработчики знают об этом )) или я не знаю как это получается...
Ну разработчики знают, надеюсь, все, если это не студент-первак с наколенным приложением.
Сливают, видимо, с компьютеров владельца, троянами или ещё какими-то зловредами, где они хранятся в файликах записанные.
07.04.23 12:21
0 1

В случае потери телефона - банковское можно на пару дней притормозить обычному человеку, ибо если вы нормальный человек, то условные n долларов стрельнуть у друзей и родственников можно на пару дней.
А вот в экстренной ситуации получить доступ к контактам, Ватсаппу, мейлу и прочее - бесценно. А если весь доступ зациклен на телефон, то.... То потеря/поломка телефона, если в шаговой доступности нет друзей - очень забавная будет.
07.04.23 12:26
0 2

типа "0b4HUbDIlwFJpRC"? Легко запоминается
Что-то никак не могу понять каким образом он легко запоминается. Тут, видимо, какая-то мнемоника, понятная для вас, но от меня ускользающая.
07.04.23 12:30
2 3

Ну давайте реально оценим: какова вероятность потерять телефон или его поломки? Я конечно, вас не знаю, какой образ жизни вы ведете, где вы живете и т.п. Но среднестатистически вроде это случается не так часто, разве нет? Я же говорю, сейчас мобильник - это аналог документов, его нужно беречь. Насчет поломок - покупать надежные мобильники. Не знаю, у меня среди друзей / родственников / знакомых - даже не припомню, чтобы у кого-то он ломался. Я не говорю, что там происходит со всеми, но вроде они достаточно надежные сейчас и ломаются через годы использования. Или нет?
07.04.23 12:37
4 0

Тут, видимо, какая-то мнемоника
Именно так. Запомнить придется только 0b4 и wF. Hub, dll, Japan и Release Candidate - достаточно часто употребляемые понятия. Десяток раз набрать вручную и запомнится, пока будете достаточно регулярно пользоваться.
07.04.23 12:41
5 1

Я знаю, но тем не менее, регулярно сливают именно пароли, видно, не все разработчики знают об этом
Первый мой сайт с авторизацией по логину-паролю был написан чуть более двадцати лет назад. Уже тогда существовало незыблемое правило: ни в коем случае даже не думать хранить пароли plaintext-ом.
Именно поэтому на всех сайтах есть функция "сбросить пароль", но ни на одном не видел "напомнить пароль", то есть, изменить его можно, а вот увидеть - нет.
Ну, не знаю, может и есть идиоты, которые этому правилу не следуют, но вряд ли их заметное количество (да, эта неистребимая вера в человеческую разумность, ничего не могу с этим поделать).
07.04.23 12:49
0 2

Что-то никак не могу понять каким образом он легко запоминается. Тут, видимо, какая-то мнемоника, понятная для вас, но от меня ускользающая.
объясняю. Это была шутка. В этом месте нужно смеяться 😄
07.04.23 12:50
4 0

Какие проблемы, к примеру, с паролем типа "0b4HUbDIlwFJpRC"? Легко запоминается, а подбирается разве что теоретически.
ничего никому не придется подбирать - просто отправить вас на фишинговую страницу, где вы сами все введете. Ну или в установке зловреда вам на комп, который будет записывать нажатия клавы и содержимое буфера. Весь вопрос в тщательности отработки легенды и эффекта неожиданности. В общем - все в точности как со звонками от "СБ Сбербанка", вроде как все всем понятно, а потом все удивляются, как же так - таки попался!
07.04.23 12:52
0 4

Сейчас многие банковские системы привязаны к мобильному номеру и тому подобное. Так что в современном мире - потеря мобильника где-то равносильна потере документов. Да, будут проблемы.
Таким образом, переходом аутентификации на телефон вы увеличиваете степень проблем, которые произойдут при его утрате. Эта степень и так уже велика. Не боитесь ли вы, что в какой-то момент при утрате телефона вы вообще ничего сделать не сможете, Может, вы лично и не боитесь, но у большинства людей будет точно так же, как с паролями. Люди стремятся делать минимум телодвижений.
07.04.23 12:53
0 4

Так что в современном мире - потеря мобильника где-то равносильна потере документов. Да, будут проблемы.
но они решаемы, если вы об этом подумали заранее
Как человек, однажды внезапно оказавшийся за границей с неработающей симкой (точнее, без роуминга и без вариантов его включить) и поимевший очень интересный квест по реактивации гугль- и эппл-аккаунтов, я бы эти проблемы охарактеризовал другим словом, к которому синоним - "фиаско".

То есть внезапно приходит письмо, что у вас какая-то подозрительная активность за границей, поэтому залогиньтесь, пожалуйста, взад. Код мы вам послали на номер такой-то, спасибо, других каналов мы не поддерживаем, хотя вы их и указывали. И двухфакторка включена.

Восстановление доступа у эппл занимает в среднем три недели, и нет, ускорить его нельзя никак, об этом пишут в первом же письме. К AWS доступ восстановить не удалось вообще, все письма уходят на обучение ChatGPT уже скоро год - а там, на минуточку, платные подписки. Благо, не дорогие и не очень важные. Гугль вообще параноик, я хз как прокатило, потому что по предыдущему опыту восстановить к нему доступ можно только чудом.

Банковские приложения, что интересно, не без приключений, но отработали все.
07.04.23 13:14
0 4

В базе не хранятся пароли, хранятся хэши.
Это вам кто рассказал? Владелец сервиса?
В базе не должны храниться пароли. Но что именно и как хранится в базе знает только ее владелец. Вы же, на форме логина, вводите и передаете свой пароль в открытом виде, поэтому он запросто может быть где-то сохраненным в силу различных причин.
07.04.23 13:30
0 1

Hub, dll, Japan и Release Candidate
А что мешает просто использовать эти слова целиком без всяких вставок, который можно легко забыть? Парольные фразы вполне себе надежный вариант.
07.04.23 13:32
0 1

Это была шутка.
Нет. Я действительно сгенерил один пароль, другой, а на третьем понял, что он очень хорош для запоминания.
Ну, а кроме этого, часто используемые пароли надо набирать ручками, вот и все. Не запоминать в броузере, не копировать из текстового файлика, и не создавать себе SSH токен. На самом деле, это совсем не сложно.
Был, кстати, случай, когда я был ну очень далеко от компа, а чуваку срочно нужен был пароль на одну базку. Он и охренел, когда я сходу продиктовал по телефону 10 символов с цифрами и апперкейзами.
07.04.23 13:37
0 1

Как человек, однажды внезапно оказавшийся за границей с неработающей симкой
Это и в России может приключиться. А в местном салоне связи только руками разведут - ничем помочь не можем, езжайте в свой регион.
07.04.23 13:45
1 1

просто отправить вас на фишинговую страницу
Ну, в моем случае это вряд ли так уж просто, с учетом уже повсеместного https и того, что у меня в адресной строке всегда виден полный адрес, и я на него таки поглядываю.
Но со многими сработает. Знаю даже одного весьма грамотного человека, который когда-то всех призывал зайти на какой-то мутнейший сайт, где Viber, якобы, раздавал подарки в честь своего юбилея. Ну ОК, тут убедил. И все же потенциальных проблем от ключей в мобильнике вижу больше.
07.04.23 13:45
0 0

Это вам кто рассказал? Владелец сервиса?В базе не должны храниться пароли. Но что именно и как хранится в базе знает только ее владелец
В производстве подобного рода приложений есть определённые стандарты. И согласно этим стандартам в базе более-менее серьёзного приложения, куда заходят больше чем раз в год полтора калеки, никогда не хранятся пароли в текстовом виде. Поэтому я написал в исходном комментарии про студента: он может хранить в своём изделии всё что угодно, но в промкоде - нет.

То есть, мне не надо залезать в продакшн базу Гугла, чтобы быть уверенным, что там моего суперсложного пароля qwerty1234 нету, и "скачать" его оттуда не выйдет.
07.04.23 13:47
1 0

То есть, мне не надо залезать в продакшн базу Гугла, чтобы быть уверенным, что там моего суперсложного пароля qwerty1234 нету, и "скачать" его оттуда не выйдет.
И при этом все равно остается вероятность, что это пароль был сикнут в файл, а файл утек налево.
На а цена этим "стандартам" отлично винда как на пентестах, так и по количетсву утечек и крупных игроков на рынке.
07.04.23 13:50
0 1

А что мешает просто использовать эти слова целиком без всяких вставок
В принципе, ничего, но подбор по словарю - одна из тех страшилок, в которые можно поверить. Сам никогда не пробовал, за ненадобностью, но такая утилита есть даже в репах линукса.
07.04.23 13:51
0 0

В принципе, ничего, но подбор по словарю - одна из тех страшилок, в которые можно поверить..
Подбор по словарю не очень работает с парольными фразами, так как слова в них не имеют какой-то явной связности - это не цитаты, не отсылки а просто случайный набор слов. Плюс к этому вместо доп. символов можно использовать нарочно ошибочную грамматику или орфографию - запоминается легко, подбирается не очень легко.
07.04.23 13:54
0 0

Fotoclub ru. Редко захожу и забыл пароль. Мне прислали именно мой пароль по запросу. 😄
Первый раз такое встречаю.
07.04.23 13:59
0 3

В производстве подобного рода приложений есть определённые стандарты. И согласно этим стандартам в базе более-менее серьёзного приложения, куда заходят больше чем раз в год полтора калеки, никогда не хранятся пароли в текстовом виде.
да, бросьте! Все эти "стандарты" - вещь сугубо добровольная, кроме нескольких особопараноидальных случаев.

То есть, мне не надо залезать в продакшн базу Гугла, чтобы быть уверенным,
помимо базы есть стопиццот мест откуда могут утечь пароли. Начиная от пропущенного на код ревью записи всего http запроса в логи, заканчивая хипдампом упавшего приложения.
И это в условном "гугле". А утечки базы паролей (пусть даже шифрованных) регулярны и это не студенческие поделия. Почему люди до сих пор хранят пароли, а не хэши неизвестно, но факт налицо и пока с этим ничего не поделать.
07.04.23 15:36
1 2

И все же потенциальных проблем от ключей в мобильнике вижу больше.
Тут такая штука.. обратил внимание, что мы все делимся СВОИМ опытом и СВОИМ восприятием и СВОИМИ подходами к обсуждаемым проблемам. А так получается, что тут на форуме срез участников в подавляющем своем большинстве люди весьма подкованные как в практических, так и в теоретических аспектах многих проблем и рисков, связанных с ИТ. А подавляющее число пользователей тех же телефонов (и, как следствие, различных онлайн сервисов) - люди весьма далекие от аспектов безопасности. и хорошо если они эти самые пароли создают хотя бы с минимальными требованиями безопасности (мои родители к гугл аккаунтам пароли создали у продавца телефонов в магазине. и, поверьте, там каждый символ - подтверждение правил, как делать не надо). не будут они париться менеджерами паролей, сложными паролями и всем таким. и вот тут вполне себе решение с таким физическим ключом безопасности будет в тему. Тут только юзабилити подкрутить и довести до уровня стандарта. Ну и, как и с https, тем или иным способом насильно повсеместно внедрить.
07.04.23 15:56
0 1

Там DIl, а не Dll. i заглавное, а не L строчное.
Mit
07.04.23 17:08
0 1

пока будете достаточно регулярно пользоваться
Какой первый звонок по внутреннему телефону в первый день после отпуска совершает 99% сотрудников?
#админ, сбрось пароль!

Довольна высокая, у меня. Я могу упасть с мопеда и разбить телефон и я раздолбай и могу его тупо в кафе оставить. Да и тут уровень криминала чуть выше чем в России, могут, наверное, и не улице немесиного ограбить. Пока нет было, но тоже есть вероятность
Приходится дома держать старую нокию с банковскими симкартами и привязанными учетками. Благо давно уже никто на физический номер не звонит.
И для меня да, гибель российский сим-карты сейчас катастрофа. Благо хоть зарплатную банковскую карту оставил дома)))
07.04.23 17:52
0 2

Больше чем вы думаете.
08.04.23 02:19
0 0

А есть какие-то надежные мобильники?

В каком-то кине Брюс ругался, что все сделано на Тайване...
08.04.23 02:24
0 0

Вы же, на форме логина, вводите и передаете свой пароль в открытом виде
Гениев которые передают пароль не по https надо отстреливать. Пользователей которые на это не обращают внимания тоже.
08.04.23 15:24
0 0

Давно уже Юбикей пользуюсь
07.04.23 11:57
0 2

а вот мне бы хотелось USB ключ для доступа к веб сервисам с собственным дисплеем и кипадом. Чтобы при запросе на аутентификацию (с провереной ключом подписью) ключ показывал мне источник запроса прежде чем я дам подтверждение. Естественно, ключ должен требовать ввода пина (на самом ключе) прежде чем начать подтверждать запросы.
07.04.23 11:50
0 0

>>>вам сначала нужно будет каким-то образом идентифицировать себя

T.e. сначала ввести обычный пароль/PIN.
07.04.23 11:21
0 6

>>>вам сначала нужно будет каким-то образом идентифицировать себяT.e. сначала ввести обычный пароль/PIN.
Пока (только пока) это работает так, но просто знание обычного пароля или PIN при такой системе ничего не дает - оно не предоставляет доступ.
07.04.23 11:23
0 0

Пока (только пока) это работает так, но просто знание обычного пароля или PIN при такой системе ничего не дает - оно не предоставляет доступ.
Обычно PIN это защита от утери/кражи токена. Чтобы нельзя было его взять и пользоваться. Не ахти какая защита, но всяко лучше чем совсем ничего.
07.04.23 12:22
0 0

В более продвинутых системах еще предусматривают возможность послать код на имейл и/или телефонный номер. Иначе сложно будет при потере токена доказать, что ты - это ты.
07.04.23 12:45
0 0

В более продвинутых системах еще предусматривают возможность послать код на имейл и/или телефонный номер
Это ни разу не более продвинутые системы. Это наоборот, то с чем надо бороться, так как такая возможность нивелирует ценность токена, так как его может заменить код из СМС.
Для восстановления токена обязаны быть другие процедуры с дополнительной валидацией владельца.
07.04.23 13:21
1 3

07.04.23 11:09
4 3

Специалисты? На medium.com?
07.04.23 11:21
2 1

Ну, не то, чтобы прямо очень плохая. Там скорее обсуждение имплементации Passkeys и именно у Эппл. А Алекс вообще писал в общем, а не только именно об этой имплементации.
07.04.23 11:38
0 0

Я за биометрию.

07.04.23 11:03
2 1

Я тоже, но лучше палец 😉 The Colony | Double Team.
08.04.23 02:41
0 0

Осталось только вспомнить, где у тебя логин-пароль, а где вход через гугл-фб.

Только браузер и помнит
07.04.23 11:02
0 6

Счастливый человек, который 20 лет работает на одном компе? ) Можно только позавидовать )
07.04.23 12:09
2 0

А по сути: гуглите "менеджер паролей" - полезная штука. Пытался объяснять некоторым людям зачем оно - а они "да я помню один и тот же пароль для всех сайтов" ) это опасно, а если их варьировать, то можно не угадать и потерять доступ...
07.04.23 12:11
4 2

Счастливый человек, который 20 лет работает на одном компе? ) Можно только позавидовать )
Эмм, синхронизация профиля - не, не слышали? 😉
07.04.23 12:20
1 8

Я предпочитаю не синхронизировать ) У меня интересы меняются, рабочие потребности меняются, и т.п. А некоторые пароли (для простых сайтов) у меня Гугл помнит. Не знаю насколько это надежно, но думаю, что могу вкатить иск на 1 млрд. долларов, если Гугл зафейлит свою секьюрити. Шучу.
07.04.23 12:48
3 0

А по сути: гуглите "менеджер паролей" - полезная штука. Пытался объяснять некоторым людям зачем оно - а они "да я помню один и тот же пароль для всех сайтов" ) это опасно, а если их варьировать, то можно не угадать и потерять доступ...
я не очень понимаю, как менджер паролей улучшает безопасность. Достаточно злоумышленнику узнать пароль от менеджера паролей, и все, он знает все ваши пароли.
07.04.23 12:58
0 4

я не очень понимаю, как менджер паролей улучшает безопасность. Достаточно злоумышленнику узнать пароль от менеджера паролей, и все, он знает все ваши пароли.
тут все просто. Вам нужно беречь не пару десятков, а всего один пароль. Что сильно проще, чем следить и помнить все свои пароли и где они применялись.

Наиболее частый сценарий взлома: утекает ваш пароль на сайт XXX. Дале, зная этот пароль и меня в нем пару символов пытаются подобрать ваш пароль к другим ресурам. В большинстве своем, как показывает практика, у людей если и разные, то все равно крайне схожие пароли, поэтому такой подбор весьма эффективен.
Менеджер паролей устраняет данную уязвимость, так как позволяет использовать уникальные пароли любой сложности при одинаковом уровне удобства.
07.04.23 13:25
0 1

я не очень понимаю, как менджер паролей улучшает безопасность
зависит от модели угрозы. Например, от злоумышленника с гаечным ключом - никак. От некоторых других видов атаки защищает.

Достаточно злоумышленнику узнать пароль от менеджера паролей,
нужно получить И пароль И файл с паролями. Да, это наиболее слабая часть защиты. Сохранение в безопасности этих частей защиты находится за рамками этого способа защиты.
07.04.23 15:43
0 0

>У меня интересы меняются, рабочие потребности меняются, и т.п.

В Хроме для этого есть профили. Я начал с "дом" и "офис", и понеслось...
08.04.23 13:55
0 0

Но если доступа к старому устройству нет, то тут уже начинаются всякие проблемы, которые в настоящий момент решаются по-разному в разных системах, а в ближайшем, надеюсь, будущем это все будет стандартизовано.
В яблочных устройствах ты просто поднимаешь копию из бэкапа и она полностью идентична, даже если новое устройство другой модели. Я так переехал с SE на 12 мини и с iPad Mini 4 на iPad 9 Не подтянулись только карты в эппл пэй.
07.04.23 11:00
1 1

Да везде это уже есть.
07.04.23 12:49
2 1

Это как? Я могу ксиоми сменить на хуавей и одной кнопкой поднять полный бакап - приложения с их настройками и кешами, смс, рингтоны, файлики которые я положил в папочку системную чтоб никто не нашел?
08.04.23 02:30
0 1

FIDO вечно
07.04.23 10:58
0 11

- Наши взяли вокзал?! (с)
07.04.23 11:29
0 0

ЭТО ТЕСТ. МЕЯ ВИДО?
07.04.23 12:55
0 4

ФИДО ГЕИАЛЬАЯ СЕТЬ.
07.04.23 15:12
0 2

Ну ты и ламо! Сначала голого деда пропач!
07.04.23 18:17
0 2
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 443
видео 4002
вино 359
еда 500
ЕС 60
игры 114
ИИ 29
кино 1582
попы 192
СМИ 2762
софт 930
США 132
шоу 6