leo_sosnine (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
leo_sosnine) wrote2016-12-01 11:50 am
leo_sosnine) wrote2016-12-01 11:50 am
Entry tags:
Security questions
Я уже тут оплёвывал многократно и всесторонне такое понятие как "security questions" которые пошла мода делать буквально на всех ресурсах в энторнете. Это типа вопросы типа девичьей фамилии матери, ответив на которые, юзер может заресеттить свой пассворд, в том случае, если он кретин и просрал свой пароль.
Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!
Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:
Как правильно поступать с этими вопросами? Примерно вот так:
А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.
Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.
Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!
Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:
Как правильно поступать с этими вопросами? Примерно вот так:
А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.
Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.
no subject
no subject
Пароли они хэшируют в два этапа, много раундов PBKDF2 (https://en.wikipedia.org/wiki/PBKDF2) в браузере на стороне клиента (джаваскриптом?), далее догоняют >9000 раундов у себя на сервере.
PBKDF2 очень computationally expensive, но для NSA и подобных семь вёрст не крюк. Могут и крякнуть, особенно если пароль слабый.
Я лично вцелом он-лайн/облачным сервисам не очень доверяю, т.к. нет гарантии, что NSA (или аналогичные) не потребуют от них содействия и не получат его в конце концов.
no subject