leo_sosnine (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
leo_sosnine) wrote2016-12-01 11:50 am
leo_sosnine) wrote2016-12-01 11:50 am
Entry tags:
Security questions
Я уже тут оплёвывал многократно и всесторонне такое понятие как "security questions" которые пошла мода делать буквально на всех ресурсах в энторнете. Это типа вопросы типа девичьей фамилии матери, ответив на которые, юзер может заресеттить свой пассворд, в том случае, если он кретин и просрал свой пароль.
Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!
Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:
Как правильно поступать с этими вопросами? Примерно вот так:
А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.
Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.
Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!
Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:
Как правильно поступать с этими вопросами? Примерно вот так:
А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.
Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.
no subject
no subject
а наше боблестное правительство еще недавно КАЖДЫЙ раз при логине на госуслуги докапывалось с такими вопросами. Сейчас правда перестало и всего лишь смс-код шлет, что не сильно лучше.
no subject
если ответы на секретные вопросы требуются для чего-то помимо восстновления пароля их нужно просто считать отдельными парами логин/пароль и также хранить в пассворд манагере.
no subject
мне вот давеча яндекс внезапно при заходе с чужого ПК спрашивает:
"а вот у вас есть переадресация на этот ящик с другого ящика, вот такого: i*******d@yandex.ru
напишите полное имя ящика."
а я эту переадресацию делал лет 5 назад и, естественно, не помню.
no subject
no subject