Comments 25
Вот так время создает проблемы, которых могло и не быть
Главная проблема в такой схеме — безопасно хранить закрытые ключи на машине/устройстве пользователя.
Боюсь, таким мечтам не суждено сбыться. Как быть, если у меня, например, с десяток устройств, половина из которых может быть потеряна или украдена или взломана потому что китайцы не хотят выпускать андроидопрошивки с исправлениями безопасности? Или что если устройство одно, но просто навернётся винт, а бэкапов простой пользователь делать не будет? С вышеупомянутой проблемой входа с рандомной машины тоже туговато.
А вообще это давно встроено в любой браузер (клиентские SSL сертификаты), просто никому не надо.
Я использую LastPass на Desktop и Android. Было бы здорово открыть github.com однажды и увидеть, что разработчики добавили эллиптическую криптографию в процесс авторизации, а мой LastPass уже всё поддерживает :) Эх, мечты, мечты…
Утекает мастер-пароль — прощайте, абсолютно все учётки? Или как это устроено?
Главное, что отказ от паролей на сторонних сайтах позволит сфокусироваться на безопасности одного единственного хранилища. И тут нам помогут советы из статьи.
Кстати, рекомендую вам ознакомиться с FIDO U2F.
И тут, мне кажется, менеджеры паролей могут взять на себя функции генерации закрытого и открытого ключа, и хранение секретной части, чтобы весь процесс сводился к нажатию кнопки «Register with public key».
Но это пока только мои хотелки, нет ни web-стандартов, ни предложений со стороны разработчиков сайтов.
В документе, о котором я упоминал выше, Microsoft вторит рекомендации от NIST:Откажитесь от требований к составу пароля
И, разумеется, Microsoft строго следует своим же собственным правилам, благодаря чему мой пароль в Скайпе сейчас очень похож на пресловутый 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗ@дницыЕслиТыНе ДашьМнеДоступПрямоБл%дьСейчас.
Это, на самом деле, самые базовые вещи: не задавайте маленькую длину и не урезайте конечные символы у предложенного пользователем пароля.
Особенно это хочется сказать тем банкам, что выпускают карты China UnionPay, используя VisaPVV алгоритм для проверки.
Для карт CUP PIN требуется 6 цифр, а VisaPVV алгоритм использует только 4.
Забавно как удивляется народ, когда говоришь "а ты попробуй последние две цифры PIN другими ввести" и получить нал в банкомате.
(не все… не все банки..)
Люди не могут придумывать и заучивать надежные, уникальные пароли для каждого сервиса, полагаясь только на свою память
Тренировать память тоже полезно. Хорошо запоминаются ассоциативные пароли типа kozel$$kapusta. Все равно основа безопасности останется в голове конкретного человека.
Думаю, у большинства записей значительно меньше и их можно поделить на значимые (у меня их около 20) и не очень (к которым подходит шутка: если ты узнал мой пароль, ты узнал все мои пароли). Если запись потребуется через 10 лет — ее можно восстановить.
А мнемонику всем рекомендую — помогает не только запоминать, но и мышление развивает.
На мой взгляд, хай теком 21 века станут методики обучения человека, точнее, раскрытия его способностей. Поскольку они, также как Фейсбук, изменят общество. Память человека безгранична. Это не природный дар, а технология, в которой задействовано образное мышление и эмоции, то есть то, чего у машины нет и никогда не будет, в связи с чем машина всегда будет проигрывать. Сейчас почему-то эти технологии на задворках, хотя по идее, должны использоваться с первого класса.
Представьте, что каждый помнит несколько тысяч человек. Другое общество с другими коммуникациями. И это не сказка, а технология, которая есть и которую надо развивать и продвигать.
По своей сути это перераспределение ответственности. Эффективность централизованной атаки ресурса методом брутфорса снижается, владельцы ресурса могут меньше волноваться о мониторинге, необходимости внедрения многофакторной аутентификации и т.п., ведь пользователи используют хорошие пароли. Вместо этого для злоумышленников становится более привлекательной атака самого МП, процесса переноса пароля из МП.
В конечном счете, выиграет ли что-то в плане безопасности сам пользователь еще вопрос.
Эволюция паролей: руководство по аутентификации в современную эпоху