PCI DSS про пароли

[leo_sosnine]

Аккаунт локауты это дебильнейшая идея, застрявшая в индустрии на десятки лет. Прикиньте: допустим, йа подбираю пароль к вашему аккаунту на некотором сервисе, но этот контрол наказывает не меня, нет; он наказывает вас -- невозможностью залогониться в свой аккаунт, ггг, и использовать сервис. Сколько горькой иронии и параллелей с clown world сегодняшнего дня в этом контроле.

Фактически, это самоиндуцированное приглашение к ДоСу: все наши аккаунты могут быть залочены, включая аккаунты топов, а работа бизнеса парализована, вот простой способ для этого. Привет от Конфикера, бородатейший вирус 2008 года, ггг, но воз, как видим, там же в 2019 году.

Подобрать в разумное время сложный пароль, если мы не говорим о хотя бы десятках гига попыток в секунду (что, разумеется, невозможно для любого онлайн сервиса), затея тухлая.

Вместо этого, разумеется, нужно просто банить источник.



Другая дебильная идея с паролями это менять их раз в эн дней. Нахуя, блядь! Чтобы гарантировать невозможность запоминания юзером? Чтобы гарантировать использование юзером схем для паролей типа September2019! (полностью удовлетворяет требованиям complexity)? Чтобы беспомощный юзер был вынужден записывать всио в блокнот как делал раньше (не знаю, делает ли щас) мудак Шнайер или на приклеенные к монегу стикеры?

Если нет оснований полагать, что аккаунт скомпрометирован, то нет резона менять сложный пароль, точка.

Всё это происходит потому, что корпоративные инфобезнички тупы, конформны и инертны и не в курсе базовых понятий о поведении человека (кроме, мб, Митника, но он никогда не был корпоративным андроидом). Именно поэтому >90% случаев получения первоначального доступа осуществляются через соц. инженерию. И ПЦИ ДСС это имхо лучший фреймворк, хайтраст, для сравнения, это куча бюрократического говна на почти 1000 страниц.

На эту тему граф с реддита (даю ссылкой, т.к. большой):

http://lpine.org/wp-content/uploads/2019/09/time-to-crack-password-complexity.png

Comments

[henry_flower]

більш наочно: https://www.grc.com/haystack.htm

[leo_sosnine]

хорошая, годная сцылка

[straktor]

> Вместо этого, разумеется, нужно просто банить источник.

если логин происходит из интернета, то очевидно, что банить 1 IP или его подсеть / страну / континент смехотворно
предлагаете банить весь интернет сразу?
сейчас, конечно, банят по IP (например всех за натом), так что целевым хакерам приходится ботнет нанимать

а если логин просто "приходит по эзернету" локальной сетки? забаните IP -- создаст виртуальный порт и запросит новый; 255 банов и тут даже админ в пролёте

можно банить IP в форме "invalid username or password" (а не conn refused), но тогда легит юзер тыкнется, матюкнётся и поползёт сбрасывать

> Если нет оснований полагать, что аккаунт скомпрометирован

т.е. если хацкер не палится, а чисто зашёл, слил инфу юзера и ушёл без хулиганства -- оснований нет, пусть висит старый

сантимент с 42 днями я разделяю, но раз в год менять, для паранойи, не так напряжно

опять же, рекомендации совершенно не учитывают вкусность акка, и пароль убощика в школе меняется с частотой как для директора финансовой конторы

2ФА могут спасти мир -- для этого надо просто карать фрод симкарт в мобильных конторах так же, как почтовый в сша -- по 25 лет за случай, дело фбр
а если разлюли малина "ой а я не знаю", то конечно

вот 2ФА с отп -- дело

[uselessextras]

карать фрод симкарт в мобильных конторах так же, как почтовый в сша -- по 25 лет за случай

Не наведете на информацию по случаю?

[perdakot]

sim swap это называется.

[uselessextras]

Я про почтовый случай и 25 дет, без подколки - просто на мой адрес упорно прет из разных магазинов и не только бумажная почта, адресованная другим людям, очевидно, давшим мой адрес как свой. Я бы пятью годами удовлетворился вполне...

[perdakot]

Вы про "tampering with us mail". Не следует чужую почту открывать, в вашем случае ее нужно посылать обратно с пометкой, что "такие здесь не живут".

[straktor]

https://life.ru/405140 таки 15
загуглил по свежачку... мать, как же штаты скурвились за 10 лет! полиция ваще херы пинает
лично я припоминаю, что был шокирован, узнав, что деньги МАССОВО пересылают чеками по почте -- это ж украл, обналичил -- но объяснялось, что это федеральное преступление и срока зверские

[perdakot]

обналичил

Только получатель же может обналичить. После обналичивания можно, наверное, узнать куда деньги пришли.

[straktor]

что, в банке паспорт проверят? а если чек конторе, то весь пакет? как видите по ссылке, зачем-то же воровали

СЯУ что есть практика снять отпечаток пальцев, но дактилоскопия в сша не у 100%, и пока вора не поймают...

[perdakot]

что, в банке паспорт проверят? а если чек конторе, то весь пакет?

Банк знает имя владельца аккаунта. Не вижу почему не может сверить. Я думаю, что если кэшить чек в волмарте, то там спросят документ.

зачем-то же воровали

Я не знаю. Думаю, что если получатель чека спросит "где мои деньги", должно быть достаточно легко выяснить где они и отменить покжшенный чек. Расчитывают, что банки таки не проверяют и получатель не спросит, наверное.

[uselessextras]

С нормальным 2Ф и пароль-то, как таковой, не нужен. Вопрос только, какой второй фактор для входа на мобильник, например? Кифоб? Ну его нафиг. Коллективная безопасность, как при пуллреквестах?

[malobukov]

Проблема с двухфакторной аутентификацией в восстановлении доступа при потере второго фактора.

[uselessextras]

Это решается наличием следующего уровня (сейчас - процедура восстановления пароля). Например, на запоминание паролей редко используемых сайтов можно время вообще не тратить, а просто восстанавливать, как понадобится.

[http://users.livejournal.com/sorcerer-/]

> но раз в год менять, для паранойи, не так напряжно

не надо. У гугла работает

> 2ФА могут спасти мир

чуть лучше, но соц инженерия все равно заборет
для того чтобы нормально охраняться от взлома надо быть клауд-провайдером, любая контора с чуть меньшими знаниями по теме быстро соснет. очень быстро. от китайских биосов, багов в цпу, сниффа по сайд ченелам и соц инженерии

[straktor]

соц инженерия в PCI DSS контексте? это типа фантомас маску начальника натянет и прикажет вахтёру пропустить, он карту дома забыл?

[malobukov]

> карать фрод симкарт

Народ постоянно покупает новые телефоны, теряет их, меняет провайдеров сотовой связи как перчатки. Не может при таком объёме транзакций продаван в магазине и тем более техподдежка проверить личность клиента. Да и не хочет, потери-то от угона сим карты у других, для опсосов это externality.

[straktor]

прежде всего продаван знает, что за подмену симки по взятке его максимум уволят
а вот если бы в игровой матрице была цифра -25 лет, это была бы другая игра

насчёт "не может" смешно -- что, в банках снятие со счёта проводятся реже, чем замена симки? но банки как-то справляются проверять

> потери-то от угона сим карты у других, для опсосов это externality

спасибо КО
предположу, что до 50% законодательства это перевод ответственности
зачем же полиция ловит мошенников, ведь потери у других

[malobukov]

Чтоб влепить 25 лет, надо доказать умысел. И это уже сейчас делается, недавно посадили мужика, который организовал бизнес по снятию локов с телефонов.

А если 25 лет давать за любую подмену симки, в том числе по ошибке, то народ либо не пойдёт туда работать, либо не будет менять симки вообще. Себе дороже.

В банках снятие со счёта производится либо когда клиент аутентифицирован двумя факторами (банковской карточкой и пин кодом), либо когда эту операцию можно откатить (транзакция по кредитной карте или чек другого банка). Если я потерял карточку и забыл пароль, то восстановление доступа потребует дофига времени и кучу бюрократии, с написанием заявлений, предъявлением документов, удостоверяющих личность и так далее. Потому что при ошибке в этом случае именно банк может попасть на деньги, и потому что такие ситуации редкие, можно позволить волокиту.

[straktor]

> то восстановление доступа потребует дофига времени и кучу бюрократии, с написанием заявлений, предъявлением документов
> при ошибке в этом случае именно банк может попасть на деньги

а казалось бы, чего банки-дебилы парятся? взяли бы и выдали новые карты-пароли безо всего этого!
а хули, экстерналитис не у них
умысел клерка пиздуй в суд доказывай
клиентов много, а банк один, начнёшь клерков карать, так никто не устроится
и прочие ваши "аргументы"


разница (банк вс опсос) в том, что опсосы искренне верят, что смски -- это пидросткам чятиться
а что там сейчас пароли ходят -- шооо? кааак? да вы шо!
я и говорю, что законодательство не успевает за прогрессом, и нужно не упираться рогом, а менять

можно например выдавать симку под оставленный отпечаток пальца + подпись "под страхом пержури клянусь, что это мой номер" -- вот тебе и надёжно 25 лет вору

[leo_sosnine]

предлагаете банить весь интернет сразу?

Никаких сложностей здесь нет, автомат типа fail2ban банит по айпишнику, если на той стороне ботнет и очень хочется то рано или поздно весь ботнет будет забанен, срок бана назначает автомат же, для начала ненадолго, допустим, 15 минут, если опять лезет -- больше и т.д.

Если ботнет это весь интернет и ботнет будет старательно лезть -- да, в экстриме это приведёт к бану всего интернета. И это правильно, без сарказма.

можно банить IP в форме "invalid username or password" (а не conn refused), но тогда легит юзер тыкнется, матюкнётся и поползёт сбрасывать

Нет, юзер владеющий аккаунтом будет сосать, т.к. даже если процедуры сброса пароля и т.д. не зависят от состояния аккаунта (залочен или нет), то даже после сброса залогиниться он не сможет, до тех пор, пока атака подбора не прекратилась.

т.е. если хацкер не палится, а чисто зашёл

На это есть другие контролы, если они провалились -- с ними проблемы. Здесь важно то, что владелец аккаунта непрерывно пользовался сервисом и у злоумышленника нет способа это нарушить.

[http://users.livejournal.com/sorcerer-/]

> Фактически, это самоиндуцированное приглашение к ДоСу

Не только, это еще отличная возможность по-социо-инжинирить доступ коллом в саппорт.

> Вместо этого, разумеется, нужно просто банить источник.

Банилка сломается. Увеличивать делей между попытками. До какого-то предела.

> Всё это происходит потому, что корпоративные инфобезнички тупы, конформны и инертны

Нет, это потому тов США исторически программисты и вообще производители сервисоа считают "норми" юзеров клиническими идиотами. Которые нихуя сами не способны и тупы как пробка. Именно из-за этого количества фрода чего угодно в США просто астрономические. У меня нигде столько всего не пытались стырить.
Тут можно посмотреть на ситуацию с внедрением кредиток с чипом и уже все будет ясно.

[malobukov]

Увеличивающийся тайм-аут нормально решает вопрос с перебором паролей. На первый запрос ответ сразу, на второй тоже, а на третий и последующие с задержкой. Если запросов какое-то время не было, то возвращаемся в исходное состояние.

> записывать всио в блокнот как делал раньше (не знаю, делает ли щас) мудак Шнайер

Шнайер рекомендует менеджер паролей. Что разумеется добавляет single point of failure и увеличивает риск скомпрометировать всю вязанку паролей одним махом и поэтому приемлемо только для некритичных приложений. А вот записывание в блокнот по-прежнему работает, продолжаю пользоватья для важных паролей и не вижу ничего лучше.

> Другая дебильная идея с паролями это менять их раз в эн дней.

Ничто не ново под луною: что есть, то было, будет ввек. Когда-то очень давно я работал в секретной лаборатории, дверь в которую запиралась на кодовый замок. Код этот вычислялся из числа и дня недели по особо секретной формуле с какими-то вычетами, чуть ли не в полях Галуа. Ну и кстати N=1, прям передний край научно-технического прогресса.

> использование юзером схем для паролей типа September2019!

Придумывание подобных схем - хорошее развлечение, когда скучно. Например, если куда-то далеко ехать, запасённая музыка пошла по второму кругу, подкасты закончились и о политике спорить надоело. В результате у меня их теперь есть их в запасе несколько, на разные случаи жизни. Разумеется, ни грубым перебором, ни по словарю, ни даже через expandpass они не ломаются.

[uselessextras]

Про блокнот вы, конечно, правы. Но это же все равно сингле пойнт.

[malobukov]

Нет возможности программным путём получить весь блокнот. А дырка в менеджере паролей может это позволить.

Блокнот, конечно, можно украсть или потерять, но можно не хранить в нём юзернеймы или например в паролях использовать постоянный суффикс, который не писать в блокнот. Чтобы при стихийном бедствии не потерять пароли, блокнотов может быть пара в разных местах.

[leo_sosnine]

А вот записывание в блокнот по-прежнему работает, продолжаю пользоватья для важных паролей и не вижу ничего лучше.

Глупое решение. Неизбежно, если вы не полный аутист, канешна, над вами начинает довлеть тенденция к упрощению сложной процедуры. Поскольку и правильно записать и правильно считать сложный пароль из записной книжки тяжело (тем паче, если сервис критичный, он наверняка имеет низкие тайм-ауты, т.е. не как в гугле, и логиниться придётся часто, плюс, если сервис действительно критичный, он может ещё и переспрашивать пароль для авторизации особо важных действий), просто тупо потому, что человеку привычно оперировать осмысленными словами, а не длинными случайными наборами букв, цифр и спецсимволов, то человек неизбежно будет стрремиться упростить процедуру и использовать более простые пароли, нежели он использовал бы если бы он делал это при помощи пассворд менеджера (типа 25-символьные из любых символов, полная абракадабра).

Придумывание подобных схем - хорошее развлечение, когда скучно.

В случае отдельного аутиста это возможно. В случае управления безопасностью корпорации с дохера народа -- нет. Неизбежно упрёмся в среднестатистического сотрудника и его среднестатистическим стремлением к схемам типа September2019!.

[malobukov]

> правильно записать и правильно считать сложный пароль из записной книжки тяжело

Сложный пароль не обязательно должен быть совершенно случайным набором букв, цифр и спецсимволов, см. Correct horse battery staple. Это не помогает его запоминать (что всё равно не нужно), зато помогает набирать без ошибок. Меньшее количество случайности в пересчёте на байт компенсируется удлинением пароля.

Исключением являются сайты некоторых банков, которые или ограничивают длину пароля или, что ещё хуже, тихо используют из него первые N символов.

[leo_sosnine]

Сложный пароль не обязательно должен быть

Это понятно и немного облегчает проблему, но не убирает её полностью.

тихо используют из него первые N символов

"когда мы придём к власти" за это будет полагаться пожизненный эцих с гвоздями

в нашем говноштате firearms services bureau ЕМНИП такой хернёй страдает

[laoxia]

>корпоративные инфобезнички тупы

Чепуха. Инфобезнички тупы, конформны и инертны потому что действуют как выгодно им, а не спасают корпорации против их желания? Попробуй посмотри на это с т. з. инфобезничка. Если он все сделает по правилам, а оно не поможет, то ему в худшем случае премию урежут (да и то врядли).

Если же он все сделает по своему, взломщики обламаются, но не дай бог кто из начальства что пронюхает - на кукан натянут всех включая начальство, из тех кто не успеет возглавить процесс.

[leo_sosnine]

Если он все сделает по правилам, а оно не поможет, то ему в худшем случае премию урежут (да и то врядли).

Т.е. этот инфобезничек а) туп б) не имеет яиц, ггг, регулярно то, как я их и характеризую в этом бложеке

[laoxia]

Мне казалось, что отсутствие стремления делать корпорациям хорошо за свой счет и против их желания это одно, а отсутствие яиц и тупость - это нечто другое. Видимо ошибался.

[kant_elz]

Я уже писал, что у нас почтовые провайдеры банят источник. И целая сеть с десятками тысяч пользователей не может попасть на свой аккаунт на почтовом сервере.

И я таки записываю пароли в книжечку. Ничего лучше до сих пор не придумано...

[rotbar]

(делает двукратное ку)

[scif_yar]

(адово зевая) 2фа прошлый день. некоторые граждане для серьезных дел вводят 4фа (смс, рожа, палец).