Security questions

[leo_sosnine]

Я уже тут оплёвывал многократно и всесторонне такое понятие как "security questions" которые пошла мода делать буквально на всех ресурсах в энторнете. Это типа вопросы типа девичьей фамилии матери, ответив на которые, юзер может заресеттить свой пассворд, в том случае, если он кретин и просрал свой пароль.

Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!

Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:



Как правильно поступать с этими вопросами? Примерно вот так:



А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.

Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.

Comments

[genka8.livejournal.com]

Говорят, что нехорошо использовать кличку собаки, как пароль. Но я уже так привык... Эй, Sdj7fPa9U, пойдем домой.

[leo-sosnine.livejournal.com]

[kikzan.livejournal.com]

что-то есть нынче вместо лавабита?

[leo-sosnine.livejournal.com]

https://prism-break.org/en/all/

https://freedomhacker.net/list-of-secure-email-providers-that-take-privacy-serious/#

Присоединяюсь к совету

[livejournal.livejournal.com]

User schegloff referenced to your post from Присоединяюсь к совету (http://schegloff.livejournal.com/1156307.html) saying: [...] б их взлома - это наводящие вопросы "девичья фамилия щенка вашей любимой вещи". Поэтому вот так [...]

[sun-jr.livejournal.com]

Воспользуюсь моментом и спрошу, насколько безопасно изпользовать менеджер паролей, тот же keepass?

[alexeybobkov]

Присоединюсь к вопросу, и заодно, как насчёт Lastpass, Dashlane и т.п.?

[leo-sosnine.livejournal.com]

Нужно учесть, что ластпасс это цель для хакеров номер 1. В 2015 летом их взломали и украли некоторую часть хэшей.

Пароли они хэшируют в два этапа, много раундов PBKDF2 (https://en.wikipedia.org/wiki/PBKDF2) в браузере на стороне клиента (джаваскриптом?), далее догоняют >9000 раундов у себя на сервере.

PBKDF2 очень computationally expensive, но для NSA и подобных семь вёрст не крюк. Могут и крякнуть, особенно если пароль слабый.

Я лично вцелом он-лайн/облачным сервисам не очень доверяю, т.к. нет гарантии, что NSA (или аналогичные) не потребуют от них содействия и не получат его в конце концов.

[alexeybobkov]

Спасибо!

[leo-sosnine.livejournal.com]

В зависимости от Вашей модели рисков.

Для простого человека это более безопасно чем засирать этим мозги, записывать на бумажке, в текстовом файле или в браузере.

[sun-jr.livejournal.com]

Мне просто эти менеджеры паролей напоминают шутку: брелок - это приспособление для потери всех ключей сразу. То есть если кто-то его вскроет, то получит все мои пароли сразу.

[genka8.livejournal.com]

Я бы сказал, что шансы вскрытия Ластпасса ниже, чем у потери паролей хранимых любым другим вышеперечисленным способом. У них криптография серьезней, и 2FA поддерживается. По user experience lastpass самый удобный, его можно настроить в соответствии с уровнем комфорта/ паранойи.

[sun-jr.livejournal.com]

Ясно, спасибо!

[volodymir-k.livejournal.com]

но если навернётся комп/ос, на котором установлен менеджер? сгорит, украдут, диск форматнётся или пробъёт, просто перестанет загружаться?

или бекапите копию?

[vladicusmagnus.livejournal.com]

Разнесенный бэк ключа/базы на облака. У меня активная база на одном облаке, ключ на втором, время от времени одним кликом загоняю с очень хитрым пассом на доп ресурсы. По факту - копий дохренищи, на самом деле, это все разгрести шансов почти нету.

[genka8.livejournal.com]

LastPass- он облачный, за что его и ругают. Но, как заметил хозяин, у них мощный алгоритм кодирования, который прогоняется многократно- дефолт 5000 раз по-моему, настраиваемый. После логина задержка открытия базы заметна- то есть ничтожную базу в пару килобайт он раскодирует несколько секунд, раскручивая 5000 раз. Пытаться подобрать пароль в таких условиях сложно и требует усилий. У меня нет иллюзий по поводу моего места в мире и важности моих паролей. Парочку самых важных паролей- например email, через котрый разные сайты присылают подтверждения и восстанавливают пароли я в LastPass не держу. Плюс 2FA везде, где возможно.
На мой взгляд, самый большой риск- кто-то получит удаленный доступ к моему компу, когда LastPass открыт.

[leonid-smetanin.livejournal.com]

> бекапите копию?

однажды лет двадцать назад я написал простенький батничек, который более-менее регулярно посылает копию базы локального пассменеджера с одного моего емейла на другой. Вероятность что разом помрёт и гугль и яндекс мне представляется близкой нулю. Точнее она конечно есть, но в этой ситуации пароли к (условному) пейпалу меня будут волновать довольно слабо.

[gmz.livejournal.com]

Твой совет не соответствует реальной жизни. Некоторые банки и кредитные карты при заходе с другого компа или с того же, но из другого города штата и тп, после введения правильного пароля требуют ввести еще и ответ на один из таких вопросов.

[antontsau.livejournal.com]

они пидарасы.

а наше боблестное правительство еще недавно КАЖДЫЙ раз при логине на госуслуги докапывалось с такими вопросами. Сейчас правда перестало и всего лишь смс-код шлет, что не сильно лучше.

[leo-sosnine.livejournal.com]

удваиваю, они пидарасы.

если ответы на секретные вопросы требуются для чего-то помимо восстновления пароля их нужно просто считать отдельными парами логин/пароль и также хранить в пассворд манагере.

[mindfactor.livejournal.com]

об этом обычно узнаёшь потом.

мне вот давеча яндекс внезапно при заходе с чужого ПК спрашивает:
"а вот у вас есть переадресация на этот ящик с другого ящика, вот такого: i*******d@yandex.ru
напишите полное имя ящика."

а я эту переадресацию делал лет 5 назад и, естественно, не помню.

[leo-sosnine.livejournal.com]

дважды пидарасы

[kranov.livejournal.com]

это еще ничего, вот например канада страна непуганных идиотов, пароли в банках 6 символов, регисронезависимы, no symbols or special characters allowed. А все потому что пароль к ДБО тот же самый что и к голосой авторизации для телефона.

[wordsmsdnua.livejournal.com]

Всегда так поступал, во всяком случае отвечал что-то что никак не может быть ответом на вопрос. У меня инфобез в крови)))

[leo-sosnine.livejournal.com]

молодэц!

[67red.livejournal.com]

А что такое: "БД пассворд-менеджера хранить в разнесённых локациях."?

[leo-sosnine.livejournal.com]

ну типа один у себя на харде, другой на секретной флэшке хранимой у родственников, третий в секретном месте в энторнетах

периодическая синхронизация всех

[67red.livejournal.com]

А, ты имеешь в виду, что один и тот же обьем данных (перечень паролей) лежит в трех разных местах на случай утери остальных.

Да логично, надо будет сделать.

[vladicusmagnus.livejournal.com]

делается со свистом, после установки пары кипас/кифокс (дырка конечно, дополнительная, но ладно уж, пусть пиздят пасс от рутрекера и пронхаба xD) все остальное легко разгоняется по облакам. Дропбокс как более-менее прикрытый сойдет для базы, а вот ключик поищите куда спрятать. Ну и мастер-пасс не вздумайте забыть, будет ОЧЕНЬ больно.

[leonid-smetanin.livejournal.com]

ну я так и делаю, только не белиберду пишу, а ответы *похожие* на настоящие (ну типа собачку звали не Тузик, а Грелка), а чтобы не забыть что там где, храню их в пассворд менеджере.

[psn84.livejournal.com]

Типа грелку сложнее сбрутить чем тузика.