Засада везде
30 октября 2020
– Я придумал пароль, которого нет в Интернете!
– Как ты это узнал?
– Проверил в Интернете!
– Теперь есть…
Известный анекдот
Довольно часто в качестве совета встречается фраза «проверьте в сервисе», подразумевающая, что тот содержит некую базу знаний о том, что вы ищете. Например:
А вы уверены в безопасности своего аккаунта или пароля? Они никогда не подвергались утечкам или взломам?
Чтобы в этом убедиться воспользуйтесь специальными сервисами. Быть может ваш сложный и уникальный пароль уже стал достоянием общественности.
Вот только одна проблема. Нет никакой уверенности в том, что эти сервисы безопасны. А вот то, что они привлекают своими данными злоумышленников, – очевидно.
Народ реверснул мобильное приложение для проверки номеров телефонов NumBuster на Android (собственно, это не новость, а давно реальность) и теперь активно парсит и выкладывают базы контактов в паблик (а вот это уже новость, пока около 1 млн. телефонов спарсили).
В мае 2016 года завершил существование сервис PwnedList, который предлагал проверить наличие своих данных в огромной базе скомпрометированных данных, насчитывающей сведения о более 866 миллионах аккаунтов. Как оказалось, сервис имел серьезные уязвимости, позволяющие киберпреступниками выполнять мониторинг новых утечек для любого домена.
Увы, желание сделать доброе дело не всегда идет рука об руку с умением обеспечить безопасность собираемых данных.
Плюс мошенники.
К сожалению, в сети можно найти несколько мошеннических сайтов, которые просто собирают вашу электронную почту и пароли для будущих попыток взломов. Используя непроверенный инструмент, вы подвергаете свои данные дополнительным рискам, что может привести еще к более серьезным нарушениям данных.
Даже сами организаторы таких сервисов публично признают их опасность.
Основатель компании Nitro-Team и ИБ-специалист Батыржан Тютеев запустил telegram-бот MailSearchBot, который позволяет проверить утечки паролей от email-адресов.
Тютеев признаёт, что существует риск использования MailSearchBot для взлома аккаунтов. Если какой-либо пользователь использует один и тот же пароль на разных сервисах, его учётные записи могут быть взломаны с помощью данных, полученных от этого бота. Также можно выявить закономерность, с какой пользователь выбирает пароли, и попытаться подобрать пароль для сайтов и сервисов, на которых он зарегистрирован. Разработчик не исключает, что в будущем в боте появится возможность отправлять запрос на удаление данных из базы.
Отметим важное: «в будущем в боте появится возможность отправлять запрос на удаление данных из базы». В будущем! Понимаете?
Фраза из комментария на форуме, где был представлен сервис проверки на утечку почтовых адресов:
Напоминает сервис проверки кредитных карт с указанием пин-кода :)
Точно сказано!
Проверять (пробивать) предлагают не только пароли, но и телефонные номера. Есть даже такая услуга у одного из ботов в Telegram — и это шедевр:
Антивирусная правДА! рекомендует
Можно ли пользоваться такими сервисами? Ответ один: это весьма рискованно. Вместо подобных проверок мы бы порекомендовали просто периодически менять пароли. Но современные тенденции ИБ подразумевают смену паролей при риске их утечки. А значит, их нужно периодически проверять и на предмет этой самой утечки. Получается, что выхода нет?
Вот так и живем, однако. Куда ни кинь – везде засада.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
21:41:43 2020-11-19
achemolganskiy
13:56:15 2020-11-03
Dragstars
18:44:11 2020-11-01
Filip_s
13:39:04 2020-11-01
Slava90
06:31:38 2020-10-31
Korney
23:57:13 2020-10-30
Неуёмный Обыватель
23:20:00 2020-10-30
Альфа
21:48:58 2020-10-30
Dvakota
21:46:40 2020-10-30
anatol
20:27:34 2020-10-30
Karnegi
19:56:26 2020-10-30
orw_mikle
19:20:22 2020-10-30
Геральт
19:18:54 2020-10-30
marisha-san
19:08:10 2020-10-30
Masha
17:38:24 2020-10-30
Татьяна
16:26:23 2020-10-30
Денисенко Павел Андреевич
15:11:35 2020-10-30
SGES
14:13:46 2020-10-30
Пaвeл
13:56:29 2020-10-30
Zserg
12:23:30 2020-10-30
vkor
11:27:11 2020-10-30
DrKV
10:29:35 2020-10-30
vinnetou
09:47:04 2020-10-30
admin_29
09:26:04 2020-10-30
Alexander
09:11:07 2020-10-30
И с Интернет аналогично, только больше и неожиданней. Зашёл в эту реку-океан и тут же "наследил". Отправил запрос любого содержания, и он тут же становится в очередь на свою монетизацию и собственно поисковиком, и рекламщиками, и другими, не обременёнными обязательствами любопытствующими субъектами.
Пароли - это такая "штука", которая изначально имеет срок своей "жизни" вне зависимости от своей сложности и стойкости. Например, разовый идентификационный 4-6-значный цифровой пароль, который передаётся клиенту банка, имеет срок годности всего несколько минут. Сложные и запутанные "стойкие" пароли из 8-12-24-48... знаков имеют срок жизни не равный периоду их теоретического взлома, выраженный в годах и столетиях. Они "живут" до их увода инсайдером или утечки из "дырявой" системы безопасности.
Какой вывод и где выход? Может быть, как вариант, - в их периодической замене на новые и непохожие на предыдущие. А периодически - это как? Ежедневно, раз в неделю, в месяц, на свой день рождения или...? Вчера сменил, а сегодня утекло, - такое тоже может быть. Панацеи по факту нет. Главное, - менять! Хотя бы раз в ... - каждый может выбрать своё любимое число. А вот полагаться на описанные в статье "сервисы".... Ну кому что нравится, у канатоходцев, например, свой способ пополнения адреналина.
P.S. Кстати, начать "новую жизнь" допустимо не в понедельник, а в пятницу... Главное помнить, что в любых наших приключениях нам поможет Dr.Web Security Space... и в пути, и в гавани... Да, а меняться к лучшему никогда не поздно... Это касается и паролей.
Vlad X
09:00:04 2020-10-30
maestro431
08:06:55 2020-10-30
GREEN
08:03:19 2020-10-30
В голове, однозначно, в голове ...
GREEN
08:01:09 2020-10-30
И никаких проблем! (правда, это только с паролями :)
Sergey
08:01:05 2020-10-30
Sergey
07:55:16 2020-10-30
GREEN
07:54:35 2020-10-30
Надо бы поправить, неудобно как-то читать "Talagram", хотя и не пользуюсь :)
Любитель пляжного футбола
07:10:16 2020-10-30
"...Народ реверснул ... и теперь активно парсит ..."
Вы бы порой перевод давали ... с "русского" на русский. :) Неохота было лезть в интернет и смотреть, что этот сленг означает.
ka_s
07:00:37 2020-10-30
tigra
06:41:03 2020-10-30
Morpheus
03:59:47 2020-10-30