Старый КГБ-шник о компьютерной безопасности: парольная дисциплина |
Опять Суббота, день Сатурна. Подходящее время вернуться к вопросам безопасности. И сегодняшняя тема – пароли и парольная дисциплина.
Почему это так важно? Потому что со стародавних лет повелось, что пользователь представляется вычислительной системе своим пользовательским псевдонимом (по-русски: логин, юзернейм, ник) и подтверждает свою достоверность паролем. В последнее время (где-то с 2000-го), в среднем раз в пару лет начинается вяканье на тему что парольная защита устарела, что уже через год её и следа не будет, что есть другие технологии... Но воз и ныне там. Ибо ничего более удобного для пользователя и пригодного для ежедневного применения не придумали. И, наверное, не придумают. Кое-где в эту схему добавляют кое-какие навороты, но это только кое-где, где и в самом деле очень и очень критично.
Нам тоже очень критично, везде, но не везде мы можем позволить себе одноразовые пароли по SMS. Но ничего! При правильном использовании и обычная парольная защита оказывается достаточно надёжной. Достаточно выполнять несколько простых правил, которые на сленге спецслужб называют парольной дисциплиной. Итак, начнём!
Вообще говоря, начать надо с правильно установленной на компьютере правильной операционной системы (ОС). Специально для коллег линуксоидов: В данном контексте правильная ОС это не обязательно Linux. Среди Windows тоже есть относительно правильные версии. Беда в том, что практически всегда на домашнем компе стоит неправильная Windows. А если и правильная, то установлена неправильно. Правильная установка правильной ОС – тема отдельная, большая и больная, после неё у читателя уже не останется сил читать, а у меня – желания писать, поэтому здесь и сейчас
Ну хорошо. Не сам комп, а вся информация с жёсткого диска скопирована и сейчас её внимательно изучают.
"Абзац! – скажет нервный читатель. – После этого можно ничего не делать. Потому что уже ничего не поделаешь...". И ошибётся. Во-первых, шифрование критически важных данных никто не отменял. Truecript не защитит Вас от ФСБ, но против чеченских террористов, вознамерившихся украсть ещё не опубликованные главы Вашего последнего фанфика по Наруто, он вполне эффективен. Во-вторых, часть Ваших данных хранится на внешних серверах (почта, например, если Вы не вняли моему совету по безопасности в Инет), а кое-где важны даже не сами данные, а доступ, например, к дневнику на Лире. Соответственно, даже если к врагам попал Ваш жёсткий диск это не значит что пропало всё. Если, конечно, Вы подумали о такой возможности заранее.
Отсюда
Я имею в виду десктоп. А уж про ноутбук и, тем более телефон и речи нет. Никогда! А всю самую важную информацию хранить на зашифрованных дисках. И лучше всего, если эти диски будут внешними. И надёжными, не важно, жёсткие диски это или флешки.
Можно ли хранить пароли на зашифрованном диске? Пока вы им не пользуетесь можно. Но как только шифрованный диск примонтирован информация на нём доступна, как и на любом другом. В общем, Вы поняли. Отсюда, кстати, и
Да, конечно, пароли там хранятся защифрованными. Но достаточно взломать/подобрать пароль к менеджеру паролей и все ваши пароли доступны злоумышленникам. А особенно не пользоваться менеджерами паролей встроенными в браузер. Отсюда, кстати ещё один вопрос: позволять ли сайтам запомнить себя, чтобы не вводит пароль каждый раз? Здесь надо подходить индивидуально. Где-то можно, но там где вы контактируете с критически важной для Вас информацией или Вам очень важно чтобы никто не смог работать от Вашего имени – лучше лишний раз ввести пароль.
Длина пароля должна быть не меньше 10 символов, там должны быть большие и маленькие буквы, цифры и... А вот дальше всё, увы, не однозначно. Во-первых, длина поля пароля всегда ограничена. Она большая (как правило), но ограниченная. И, часто, заранее не известно чем. Более того, бывает что в процедуре установки пароля предусмотрена одна предельная длина, а в процедуре ввода пароля – другая. И хорошо если при установке пароля предусмотрена меньшая длина и система об этом сообщает. А если наоборот и не сообщает? Такое выясняется только на опыте, как правило, печальном. Говорю об этом потому как сам нарывался. Из опытных данных следует что 10 – 16 символов прокатывает почти всегда. И везде влезает и сложность достаточная.
Если же взять серьёзные приложения для серьёзных задач, то там и к паролям относятся серьёзно. Тот же Truecript спокойно ест пароль и в 30 и в 40 символов.
Во-вторых, какие символы использовать в паролях? На своём домашнем компе – практически без ограничений, а вот в инете всё не так шоколадно. Дело в том, что технологическая особенность Инета такова, что гарантированно без искажений по нему могут быть переданы только латинские буквы, большие и маленькие, цифры и знак подчёркивания (_). Всё остальное передаётся не гарантированно. И даже если русский текст отображается в браузере корректно, это вовсе не означает что запятая в поле password будет принята удалённым сервером именно как запятая.
Если Вы входите на сайт только с одного конкретного компьютера, есть шанс что Вы этого косяка не заметите. До тех пор, пока не попытаетесь войти на тот же сайт с мобилы.
Отсюда мораль: используйте для составления паролей для Инет только латинские буквы, цифры и знак подчёркивания. На своём компе, повторюсь, это ограничение, как правило, не действует.
Собственно в одном ряду с правилами # 2 и 3. Никогда не дублируйте пароли. Для каждой службы и задачи – свой. Особенно важно для самых критичных паролей: админский аккаунт своего компа, собственный аккаунт на своём домашнем компе, уникальный пароль на каждый шифрованный диск, на каждый почтовый ящик. В идеале – уникальный для каждого порносайта, на который ходите.
Почему? Потому что разные службы имеют разную хакероустойчивость. И если злые люди взломают Ваш Твиттер, они не доберутся до вашего блога на Лире.
И никому никогда его не показывайте. Это правило в корне противоречит всем рекомендациям, которые сплошь и рядом разбросаны по Инету: все пароли всегда держать в памяти. И, с эссенциальной точки зрения, эти рекомендации правильные. А вот с практической... Помните, я как-то сказал: "Устранение одной угрозы всегда порождает другие."? Здесь тот же случай. Сколькими службами в Инет Вы пользуетесь? 10? 20? Начали считать и сбились? А теперь добавьте пароли к шифрованным дискам, локальным аккаунтам дома, на работе... Вот то-то и оно. Упомнить такую прорву стойких паролей (а ещё если их регулярно менять...) физически невозможно. Вот мозг тна этом повредить – это да. Вот и приходится выбирать между риском компрометации пароля и риском утраты доступа к данным или службе. И в каждом случае выбирать приходится индивидуально.
Почему бумажный блокнот, а не менеджер паролей?
– С него невозможно скачать информацию через Интет.
– У него не сядут батарейки.
– Он всегда с собой и Вы, при необходимости, всегда сможете просмотреть свою почту из любого интернет кафе.
По крайней мере, самые важные: от основного почтового ящика, банковского аккаунта,... в общем, сами решите, что для Вас важно. Но прежде всего – пароли к админскому и личному аккаунтам своего домашнего компа (если у Вас стоит правильная ОСь, ессно). Почему? Пароль могут подсмотреть, подслушать, перехватить, взломать. Как только Вы его поменяли, начинать придётся по новой. И, меняя пароль, запишите его. Вернее, сначала запишите, а потом, уже по записи, внимательно вбивайте новый пароль. Чтобы не было потом мучительно больно. Ладно если в утиль пойдут 100 террабайт коллекционного порно, а если анонимный счёт в уругвайском банке и миллиард долларов на нём? Вот то-то и оно.
В общем, успехов!
| Рубрики: | ЖИЗНЬ в ИНТЕРНЕТЕ |
| Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |
