Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Две правды о паролях — где истина?

Прочитали: 4810 Комментариев: 138 Рейтинг: 304

Регулярная смена паролей — это не чья-то прихоть, а насущная необходимость для всех пользователей, небезразличных к безопасности собственных данных. И так думаем не только мы!

25 ноября 2016 года ФБР разместило в «Твиттере» очередные советы. В частности, специалисты этой известной организации посоветовали читателям использовать криптостойкие пароли и регулярно их менять. В целом, рядовая статья с банальными рекомендациями. О ней не стоило бы даже упоминать, если бы ее не заметили эксперты и не начали критиковать.

Частая смена паролей является небезопасной практикой, поскольку в конечном итоге пользователи устанавливают легкозапоминающиеся пароли, тем самым упрощая хакерам работу.

«Я удивлен и опечален тем, что ФБР продолжает давать подобные советы, когда многочисленные исследования, организации, корпорации и само правительство США называют частую смену паролей плохой практикой. Я не знаю, кто в ФБР управляет аккаунтом бюро в Twitter, но люди, которые это делают, по всей видимости, не знакомы с текущими лучшими наработками в данной области», — отметил Пер Торсхейм (Per Thorsheim), организатор конференции PasswordsCon.

https://motherboard.vice.com/read/the-fbi-is-wrongly-telling-people-to-change-passwords-frequently

Интересная мысль! Что же предлагает эксперт в качестве альтернативы?

Люди должны использовать менеджеры паролей, в результате чего они будут иметь уникальные надежные пароли для каждого своего ресурса. Также должно поощряться использование двухфакторной аутентификации, что дает еще один уровень безопасности.

https://motherboard.vice.com/read/the-fbi-is-wrongly-telling-people-to-change-passwords-frequently

Кто прав? Как всегда, правда у каждого своя, но, чтобы разобраться в этом, нужно понимать риски.

Пароли могут использоваться для доступа к операционной системе, разделам на жестком диске, отдельным файлам и папкам, интернет-ресурсам (почта, системы ДБО, различные личные кабинеты и т. п.), могут применяться на личном ПК или на компьютерах организации, находящихся в локальной сети.

Исключим случай, когда злоумышленники узнают пароль вследствие электромагнитных утечек (например, с помощью удаленного перехвата изображения с дисплея) или с внедрением аппаратной закладки: если за обычным пользователем развернется такая охота, то этим будут заниматься серьезные организации с серьезным бюджетом.

Ограничимся в этом выпуске рассмотрением утечки пароля в результате действий хакеров, любопытных сотрудников и не менее любопытных детей, желающих обойти ограничения по доступу к ПК или Интернету на время игры. В этих случаях пароль могут:

  • подглядеть из-за плеча (сотрудники/супруга/дети...);
  • украсть — злоумышленники с помощью вредоносной программы либо сами хакеры, получившие доступ к компьютеру или устройству (как правило, опять же по причине слабого пароля).

Вредоносная программа на данный момент — это чаще всего троянец. Сам по себе он не распространяется, для внедрения троянца на компьютер нужны «услуги» хакера или — что чаще происходит и о чем говорят жертвы шифровальщиков — самого пользователя. Вероятность взлома личного компьютера существует, но куда вероятнее, что троянца запустит сам пользователь, кликнув по ссылке или зайдя на вредоносный сайт. То есть вероятность проникновения вредоносной программы на компьютер или устройство зависит от защитных качеств антивируса и «настойчивости» пользователя в попытках самозаражения.

Может ли менеджер паролей
спасти от утечки пароля
в результате действий троянской программы?

Вот что умеет менеджер паролей:

  • запоминать введенные пользователем пароли;
  • генерировать случайные последовательности для паролей.

Вешать на менеджер паролей задачу периодической замены паролей — рискованно, так как в случае потери доступа к нему будут утрачены и все пароли.

Однозначно менеджер паролей спасет от подсматривания (если пароль вводится постоянно вручную), но вот спасет ли от хакеров? Вопрос! Ведь, как и любая программа, менеджер паролей может содержать уязвимости, которые могут использовать хакеры.

Чтобы исключить негативные последствия возможных утечек, пароли нужно менять. И желательно, чтобы новый пароль был известен владельцу устройства. Соответственно, риск, от которого не защищает менеджер паролей — подсматривание пароля в момент его ввода или генерации.

#пароль #взлом #хакер #киберпреступление #безопасность

Dr.Web рекомендует

Любая защита что-то да значит, когда ею управляют с пониманием — в том числе с осознанием предела ее возможностей. Берегите свои пароли и меняйте их чаще!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: