Відео: Dame Tu cosita ñ (Вересень 2024)
Минулого місяця Джон Дворак, давній оглядач PCMag і самопроголошений "хитрий вун", написав діатриб про процес скидання пароля. Я серйозно займався висвітленням конференції RSA в Сан-Франциско, тому не приділяв цьому великої уваги. Тепер, коли я придивився, можу констатувати, що позиція Джона абсолютно і зовсім неправильна. Позичити фразу з " Гра престолів ", ти нічого не знаєш, Джон Дворак!
Дворак сказав: "Що б не сталося з ідеєю надіслати комусь пароль, а не посилання для скидання? Старий пароль мені сподобався". Натомість він продовжував знущатися над використанням посилання для скидання, кажучи: "Ніщо цього не захищає ні мене, ні кого-небудь від нічого. Це шарада. Як це захищає що-небудь?" Ну, Джон, я тобі скажу.
Вони цього не мають
Найбільшою причиною того, що захищений веб-сайт не надсилає вам забутий пароль, дуже проста: у них його немає. Вони ніде його не зберігають. І це добре. Якщо вони не зберігають ваш пароль, то хакери не можуть бути викрадені або розміщені на пастебіні незадоволеними працівниками. Дійсно так, веб-сайт, який фактично зберігає ваш пароль, загрожує вашій конфіденційності.
Отже, якщо вони не зберігають ваш пароль, як вони можуть знати, що ви ввели правильний? Відповідь полягає в концепції, що називається хешированием. Хешинг - це дуже схоже на шифрування, але це однобічний процес. Один і той же вхід до алгоритму хешування завжди дає однаковий вихід, але немає можливості взяти цей вихід і знову виявити оригінал.
Скажімо, ви підписуєтесь на новий обліковий запис в Інтернеті, використовуючи улюблений пароль, який, як буває, "пароль". На сайті розміщується те, що ви ввели за допомогою алгоритму хешування, і отримує зворотній зв'язок на зразок 991CEFz & Nw36, який він зберігає. Коли ви входите в систему, сайт запускає пароль, який ви ввели за допомогою того ж алгоритму. Якщо результат збігається, ви вступаєте.
Вони не повинні надсилати це
Навіть якщо на захищеному сайті зберігався фактичний пароль, він не повинен надсилати вам його електронною поштою. Електронна пошта сама по собі небезпечна. Ваші повідомлення відскакують від сервера до сервера на шляху до вхідних. Якщо ви не використовували якесь шифрування електронної пошти, ваш пароль просто не є безпечним під час його подорожі.
Дворак стверджує, що посилання для скидання пароля так само вразлива. Він помиляється. З одного боку, посилання для скидання зазвичай нетривалі. Через деякий час після запиту посилання воно стає недійсним. Після використання посилання знову стає недійсним. Також за допомогою посилання встановлюється захищене SSL-з'єднання між вашим браузером та серверами сайту. Ви вводите новий пароль, сайт хеширує його і зберігає результат, і ви знову починаєте справу.
Але я не можу згадати!
Дворак розкриває проблему свого облікового запису Dropbox, яким він користується лише кілька разів на рік. Природно, коли він змушений ним користуватися, він не може запам'ятати пароль. Насправді, пароль, який ви можете легко запам'ятати, дуже ймовірно, той, про який хтось міг здогадатися. Що йому дійсно потрібно зробити, це почати використовувати менеджер паролів і змінити всі існуючі паролі на нові, міцні, унікальні.
- Як зробити шалено безпечні паролі Як зробити шалено безпечні паролі
- Кращі менеджери паролів на 2019 рік. Найкращі менеджери паролів на 2019 рік
- Ділема скидання пароля Ділема скидання пароля
Так, певна робота займається переходом на надійні паролі, але це варте зусиль. Наша власна Джил Даффі пояснює, як вона робила це протягом п'яти тижнів. І це не повинно бути дорогим. Деякі з доступних безкоштовних менеджерів паролів роблять відмінну роботу.
"Але я все ще повинен пам’ятати той міцний головний пароль", - майже чую, як Джон сказав. Дійсно, ви так і робите. Але це лише один пароль, і є способи зробити його незабутнім. Крім того, ви будете використовувати його щодня, а не раз на рік. Тож, Іван, вважай це своїм пробудженням для неспання; саме час приєднатися до сучасного світу та отримати менеджер паролів.
