Security questions

[leo_sosnine]

Я уже тут оплёвывал многократно и всесторонне такое понятие как "security questions" которые пошла мода делать буквально на всех ресурсах в энторнете. Это типа вопросы типа девичьей фамилии матери, ответив на которые, юзер может заресеттить свой пассворд, в том случае, если он кретин и просрал свой пароль.

Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!

Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:



Как правильно поступать с этими вопросами? Примерно вот так:



А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.

Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.

Comments

[sun-jr.livejournal.com]

Мне просто эти менеджеры паролей напоминают шутку: брелок - это приспособление для потери всех ключей сразу. То есть если кто-то его вскроет, то получит все мои пароли сразу.

[genka8.livejournal.com]

Я бы сказал, что шансы вскрытия Ластпасса ниже, чем у потери паролей хранимых любым другим вышеперечисленным способом. У них криптография серьезней, и 2FA поддерживается. По user experience lastpass самый удобный, его можно настроить в соответствии с уровнем комфорта/ паранойи.

[sun-jr.livejournal.com]

Ясно, спасибо!

[volodymir-k.livejournal.com]

но если навернётся комп/ос, на котором установлен менеджер? сгорит, украдут, диск форматнётся или пробъёт, просто перестанет загружаться?

или бекапите копию?

[vladicusmagnus.livejournal.com]

Разнесенный бэк ключа/базы на облака. У меня активная база на одном облаке, ключ на втором, время от времени одним кликом загоняю с очень хитрым пассом на доп ресурсы. По факту - копий дохренищи, на самом деле, это все разгрести шансов почти нету.

[genka8.livejournal.com]

LastPass- он облачный, за что его и ругают. Но, как заметил хозяин, у них мощный алгоритм кодирования, который прогоняется многократно- дефолт 5000 раз по-моему, настраиваемый. После логина задержка открытия базы заметна- то есть ничтожную базу в пару килобайт он раскодирует несколько секунд, раскручивая 5000 раз. Пытаться подобрать пароль в таких условиях сложно и требует усилий. У меня нет иллюзий по поводу моего места в мире и важности моих паролей. Парочку самых важных паролей- например email, через котрый разные сайты присылают подтверждения и восстанавливают пароли я в LastPass не держу. Плюс 2FA везде, где возможно.
На мой взгляд, самый большой риск- кто-то получит удаленный доступ к моему компу, когда LastPass открыт.

[leonid-smetanin.livejournal.com]

> бекапите копию?

однажды лет двадцать назад я написал простенький батничек, который более-менее регулярно посылает копию базы локального пассменеджера с одного моего емейла на другой. Вероятность что разом помрёт и гугль и яндекс мне представляется близкой нулю. Точнее она конечно есть, но в этой ситуации пароли к (условному) пейпалу меня будут волновать довольно слабо.