Igor (digest) wrote,
Igor
digest

Безопасность и пароли

Ну чего, круто Мэта хакнули. И всего-то хотели его трехбуквенный твиттер увести. В итоге — стёртые лэптоп, айпэд и айфон, уведенные аккаунты в Гугле, me.com и Амазоне. А, ну твиттер, конечно. Браво Амазону за возможность добавить фейковую кредитную карту к аккаунту на основании публично известной информации и получение (сразу же вслед за этим!) полного доступа к аккаунту на основании только что введенной кредитной карты! Браво Эпплу за возможность получить доступ к аккаунту на основании последних 4х цифр кредитной карты — не бог весть какой секретной информации. Браво всем вокруг!

С другой стороны, чего вы хотели от индийской поддержки амазонов-эпплов: чутья Шерлока Холмса, ассоциативного мышления? С третьей стороны, какого протокола, какой процедуры защиты данных о ваших несчастных книжках вы ждёте от Амазона? Не сканирование же сетчатки глаза.

С четвертой стороны компании бесконечно "усложняют" защиту, превращая жизнь простых пользователей в адъ, но это, разумеется, не помогает от обычных малолетних придурков. Эппл требует пароля в 8 символов с обязательной комбинацией больших, малых букв и цифр. Я не хочу 8 символов и большие буквы, бля#ь! Я каждый раз ввожу этот пароль с айфона для апдейта своих на 90% бесплатных приложений, можно мне не вводить большие буквы, ну плиииз? Хрена, нельзя! Они лучше посадят беспросветно тупого работника call-центра, который сдаст мой пароль любому знатоку whois, но все сотни миллионов юзеров будут трахаться с Caps, набирая якобы крутую секурную комбинацию.

Как же объяснить, на каком языке рассказать, какими пальцами и жестами показать этим долбоёбам, что компрометация брутфорсом — это последнее, чего должен бояться пользователь! Чёрт возьми, посмотрите, кто нам запрещает ковыряться в носу, это же спецЫалисты, хранящие хэши паролей без соли, а то и в открытой форме!

Сегодня мне потребовалось открыть новый аккаунт в майкрософтовских дебрях (кто их теперь разберет, как они сейчас называются: msn? passport? outlook?) для доступа к MSDN. Я был спокоен и выбрал необходимую длину и комбинацю букв-цифр для пароля. Я был доволен собой, ведь даже насилующая глаза captcha не вывела меня из душевного равновесия. Остался пустяк: выбрать и ответить на секретный вопрос. И тут я сплоховал, выбрав имя своей первой собаки. Что отвечает мне эта долбанная система? Имя должно быть минимум из пяти букв. Из пяти, поняли?! Я дико, бля#ь, извиняюсь, но в имени моей собаки было 4 буквы! Где я теперь найду придумавшего такое правило мудака, чтобы лично раскрыть ему глаза на этот занимательнейший факт мироздания? Слышишь, мудак! В именах и кличках животных встречается меньше 5 букв, я гарантирую это. Прими это за аксиому в проектировании своего следующего сервиса, равно как и то, что 4 буквы не делают систему менее устойчивой. Если вы позволите брутфорс как минимум 84,934,656 комбинаций ответов на секретный вопрос, вы должны отрубить себе руки немедленно. Если таблицы ответов на секретные вопросы не зашифрованы и/или могут быть физически скомпрометированными вместе с  таблицами юзеров, вы никогда больше не должны приближаться к онлайновому бизнесу. Это же так просто. Да вся идея с секретными вопросами — сама по себе дичайшая дыра в безопасности, недаром съевшие собаку в computer security никогда не отвечают на подобные вопросы правду. Имя собаки? Эйяфьятлайокудль, ёпта. Получите свои 5 букв, у меня еще есть.

Вывод на самом деле неутешительный: настоящая безопасность очень сложна для среднестатистического ламера. Хуже того, она слишком сложна для специалистов по безопасности, нанимаемых компаниями, и тем более, для техподдержки. К слову сказать, я чрезвычайно доволен гугловской двухфакторной аутентикацией, но даже в страшном сне я не вижу её широкого применения простыми потребителями. Что остается, беспроводные токены? биометрия? встроенный в телефоны чип? Самоадаптируемые к IQ пользователя алгоритмы?

Tags: интернет, кампутеры, технологии
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 43 comments