Відео: да разбиеш паролата на някой който непознаваш (Вересень 2024)
Бути в безпеці - це не часом, а тривалий процес. Ви не захищені, оскільки використовуєте певний інструмент - ви захищені, оскільки щодня застосовуєте систему безпеки.
Візьміть паролі. Ви постійно чуєте нагадування - не використовуйте повторно паролі на сайтах, програмах та службах. Не вибирайте слабкі паролі. Використовуйте диспетчер паролів, щоб ви могли вибрати суперскладні паролі і не потрібно хвилюватися, намагаючись запам'ятати їх. Увімкніть двофакторну автентифікацію, коли це можливо. Це все хороші поради, які слід пам’ятати та виконувати. На початку цього тижня мій колега Ніл Рубенкінг зробив ще один крок рекомендації менеджера паролів і сказав, що вхід на сторонні веб-сайти за допомогою ваших даних Google, Facebook, Twitter чи інших соціальних мереж є ризиком для безпеки. Я не купую цей аргумент.
Ви бачили, про що я говорю. Хоча більшість служб вимагають від вас створити обліковий запис з нуля, є сайти, на яких ви можете увійти за допомогою своїх облікових даних у соціальних мережах. Наприклад, Expedia дозволяє увійти в систему за допомогою Facebook. Або Inoreader (мій читання RSS на вибір), який дозволяє входити в систему з Google. Це дозволяє пропустити процес створення облікового запису та просто увійти в систему з уже наявним обліковим записом. Зручно, правда? Дуже. Це питання безпеки, як сказав Ніл у своєму творі? Немає.
Щоразу, коли я бачу сайт, який дозволяє мені входити в інший обліковий запис, я вибираю цю опцію. Я не використовую свій обліковий запис Facebook для входу (вибачте, Expedia), але якщо є можливість використовувати мій обліковий запис Google, я це роблю. У мене є міцний і складний пароль, і я також включив двофакторну автентифікацію. Тож мій обліковий запис Google настільки ж безпечний, наскільки я можу це зробити, і я довіряю Google вжити необхідних заходів для захисту моєї інформації. Нічого проти Facebook, але я думаю, що я вжив кращих кроків для захисту свого облікового запису Google, ніж Facebook.
Я тобі довіряю? Немає
Коли я заходжу на сайт і мені потрібно створити обліковий запис, моя перша думка: "Чи я вам довіряю?" Чи довіряю я сайту, щоб захистити свої дані? І я не маю на увазі лише паролі та номери кредитних карт. Чи я довіряю сайту, що він вжив необхідних заходів для захисту свого номера телефону, поштової адреси та моєї дати народження в його базі даних? Чесно? Для більшості компаній - ні. Безпека програм важко - більшість розробників все ще просто вивчають методи безпечного кодування - як це ефективно забезпечує базу даних. Це незавершена робота, і багато компаній досі не знаходяться з точки зору безпеки. Оскільки я не можу розібратися з питаннями компаній: "Чи я вам довіряю, щоб я захищав мій пароль і не вкрав його хакери?" Я проходжу легкий шлях і припускаю, що не можу.
Пам'ятаєте порушення Гаукера кілька років тому? Усі ці адреси електронної пошти та паролі викриті, оскільки розробники компанії Gawker не вживали заходів щодо їх належного захисту. Я не кажу, що Гаукер помилявся - це медіа-компанія, і ніхто там не уявляв, що хтось піде за системою коментування сайту. Але це сталося. Як споживач, я не збираюся намагатись перевірити, які компанії є достатньо налаштованими на безпеку, щоб довіряти їхньому застосуванню, а які - ні. Я збираюся зосередитись на тому, хто правильно виконує роботу.
Важлива річ у входженні за допомогою моїх облікових даних Google: сайт не зберігає мого пароля чи іншої інформації. Коли я натискаю кнопку Google+, мене переспрямовують на сторінку Google і я підтверджую автентифікацію щодо серверів Google. Потім Google повідомляє сайту, що так, я є тим, за кого я кажу, що є, і повертає мене назад на сайт. Що означає, що моя інформація залишається в Google, а сайт просто отримує маркер, в якому йдеться про те, що "вона зареєстрована успішно, нехай вона пройде".
Розглянемо всі порушення сайту, які ми спостерігали за останні два роки. Є сайти, на які я підписуюсь просто, щоб побачити, що це таке, а потім відмовитися через кілька днів, тому що це не те, що мені потрібно. Якщо я створив обліковий запис на сайті, моя інформація знаходиться в базі даних цього сайту. Навіть після того, як я відмовлюся від цього сайту, мій обліковий запис працює. (Ось чому я не люблю сайти, які не дозволяють видаляти облікові записи, але це вже інша історія для іншого дня.) Це дуже багато потенційних місць для вкрадання моїх даних. Якщо я використовую свій обліковий запис Google для входу, то на сайті немає жодної інформації про мене, щоб його викрали. Це заспокоює. Якщо я відмовлюся від цього сайту, Google дозволяє мені скасувати дозволи на обліковий запис, щоб ніхто більше не міг увійти як я.
Поговоримо про відкликання. Вся суть дозволу Google, Facebook та Twitter обробляти вхід означає, що ви також можете використовувати їх для блокування доступу. Наприклад, я використовую Google для входу в Inoreader. Скажіть, я більше не хочу використовувати Inoreader. Я просто заходжу в налаштування свого акаунта Google і натискаю "скасувати доступ". І це все. Ось чому я використовую Twitter для входу на деякі сайти. Щойно я закінчу, Twitter дозволяє надзвичайно легко відключати програми.
Моя мета - створити якомога менше баз даних у світі, що містять записи з моєю особистою інформацією.
Ще одна річ, яка мені подобається при вході в Google: паролі для облікових записів. Я генерую випадковий пароль, який Google тепер знає - це пароль для цього сайту. Цей пароль працює лише для цього сайту і не дає доступу ні до чого іншого. Замість того, щоб генерувати паролі за допомогою менеджера паролів і створювати абсолютно новий обліковий запис, я продовжую процес з Google. Я використовую інший пароль, ніж пароль електронної пошти, і я пропускаю весь процес створення облікового запису, дотримуючись механізми Google. Це дуже зручно, якщо, наприклад, я підписуюся на мобільний додаток. Тепер Google знає, як підтвердити свою особу, і, як і звичайний вхід, я просто відкликаю пароль, і ця програма більше не може входити.
Дотримуйтесь того, кому ви довіряєте
Ніл задав дуже гарне запитання: запитайте себе, чи повинен цей сайт знати щось про вас. Чи повинен сайт про вас знати ваше ім’я, електронну адресу, фізичну адресу та номер телефону чи будь-яку іншу інформацію профілю? Якщо цього немає, не здайте його. Зберігайте це з тим, кому довіряєте.
Якщо у вашому паролі у Facebook є "Password1", а хтось із шаленими намірами це визначив, то так, ця людина може продовжувати роботу та може ввійти на будь-який інший веб-сайт, який ви пов’язали зі своїм обліковим записом. Але чим це відрізняється від того, що для цього сайту ви вибрали "Password1"? Якщо ви користуєтеся простим запам'ятовуючим паролем для свого електронного листа або веб-сайту соціальних медіа, ви, ймовірно, не використовуєте рядок важких для запам'ятовування символів для свого частого рахунку, що пролітає милі, правда? Тож саме той слабкий пароль кричить "Рубайте мене!" не факт, що ви входили з іншим обліковим записом. І якщо хтось розібрався з вашим паролем Google, я не думаю, що ви найбільше хвилюєтесь, чи зможе ця людина тепер увійти у ваші пов’язані облікові записи. Не так просто, коли просто просити електронну пошту для скидання пароля.
У безпеці немає чарівної кулі. Даний інструмент може використовуватися як для хорошого, так і для поганого. Вся справа в тому, як ви підходите до цього. Я вважаю за краще не базуватись. Що твоє?
