Comments 25
Было интересно почитать. Задумался над новой политикой паролей. Больше всего конечно напрягает обилие сервисов, а менеджеры паролей работают только на личных устройствах, а если надо зайти на почту или в соцсесть с рандомной машины он уже не поможет.
Вот так время создает проблемы, которых могло и не быть
Вот так время создает проблемы, которых могло и не быть
InstaHeat, некоторые известные мне промышленные серверы аутентификации предоставляют доступ к ресурсу в режиме реверс-прокси и предоставляют функционал SSO. Подключаетесь с любого устройства к этому серверу, а он уже откроет для вас остальные сайты с подставленными учетными данными. Такой облачный менеджер паролей получается.
Ну вообще такой способ есть, и даже пост от разработчика на хабре имеется:
У вас ссылка не добавилась
Да. Вот, о том, как KeeWeb разрабатывали https://habrahabr.ru/post/269895/
Я мечтаю, что со временем повсеместное внедрение менеджеров паролей позволит заменить пароли на криптографию с открытыми-закрытыми ключами. При регистрации генерируется закрытый ключи, сайт хранит у себя открытый ключ, а авторизация пользователей будет происходить по ЭЦП. Отпадают проблемы с кражей паролей, подбором паролей, повторением одного и того же пароля на разных сервисах, проблемы с хранением паролей на стороне сервера.
Главная проблема в такой схеме — безопасно хранить закрытые ключи на машине/устройстве пользователя.
Главная проблема в такой схеме — безопасно хранить закрытые ключи на машине/устройстве пользователя.
Боюсь, таким мечтам не суждено сбыться. Как быть, если у меня, например, с десяток устройств, половина из которых может быть потеряна или украдена или взломана потому что китайцы не хотят выпускать андроидопрошивки с исправлениями безопасности? Или что если устройство одно, но просто навернётся винт, а бэкапов простой пользователь делать не будет? С вышеупомянутой проблемой входа с рандомной машины тоже туговато.
А вообще это давно встроено в любой браузер (клиентские SSL сертификаты), просто никому не надо.
Вы не рассматриваете вариант KeePass + облачное хранилище? Так можно не боятся потерять всё пароли и секретные ключи с поломкой одного устройства.
Я использую LastPass на Desktop и Android. Было бы здорово открыть github.com однажды и увидеть, что разработчики добавили эллиптическую криптографию в процесс авторизации, а мой LastPass уже всё поддерживает :) Эх, мечты, мечты…
Я использую LastPass на Desktop и Android. Было бы здорово открыть github.com однажды и увидеть, что разработчики добавили эллиптическую криптографию в процесс авторизации, а мой LastPass уже всё поддерживает :) Эх, мечты, мечты…
Утекает мастер-пароль — прощайте, абсолютно все учётки? Или как это устроено?
В простейшем варианте — да. Но LastPass, например, предлагает 2-х факторную аутентификацию (или даже многофакторную со смарт-картами, сканерами отпечатков пальцев, с привличением SalesForce и других сервисов).
Главное, что отказ от паролей на сторонних сайтах позволит сфокусироваться на безопасности одного единственного хранилища. И тут нам помогут советы из статьи.
Главное, что отказ от паролей на сторонних сайтах позволит сфокусироваться на безопасности одного единственного хранилища. И тут нам помогут советы из статьи.
sheknitrtch, а как может быть связано распространение менеджеров паролей и замена их на аутентификацию с использованием закрытого ключа?
Кстати, рекомендую вам ознакомиться с FIDO U2F.
Кстати, рекомендую вам ознакомиться с FIDO U2F.
Посмотрите, как сейчас выглядит процесс работы с приватными ключами в Github: Generating a new SSH key and adding it to the ssh-agent, Adding a new SSH key to your GitHub account. Или например инструкция от Bitbucket: Add an SSH key to an account (целых 11 шагов с картинками). Если регистрация на Facebook будет такой сложной, то не каждый программист справится :)
И тут, мне кажется, менеджеры паролей могут взять на себя функции генерации закрытого и открытого ключа, и хранение секретной части, чтобы весь процесс сводился к нажатию кнопки «Register with public key».
Но это пока только мои хотелки, нет ни web-стандартов, ни предложений со стороны разработчиков сайтов.
И тут, мне кажется, менеджеры паролей могут взять на себя функции генерации закрытого и открытого ключа, и хранение секретной части, чтобы весь процесс сводился к нажатию кнопки «Register with public key».
Но это пока только мои хотелки, нет ни web-стандартов, ни предложений со стороны разработчиков сайтов.
UFO just landed and posted this here
В документе, о котором я упоминал выше, Microsoft вторит рекомендации от NIST:Откажитесь от требований к составу пароля
И, разумеется, Microsoft строго следует своим же собственным правилам, благодаря чему мой пароль в Скайпе сейчас очень похож на пресловутый 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗ@дницыЕслиТыНе ДашьМнеДоступПрямоБл%дьСейчас.
UFO just landed and posted this here
Это, на самом деле, самые базовые вещи: не задавайте маленькую длину и не урезайте конечные символы у предложенного пользователем пароля.
Особенно это хочется сказать тем банкам, что выпускают карты China UnionPay, используя VisaPVV алгоритм для проверки.
Для карт CUP PIN требуется 6 цифр, а VisaPVV алгоритм использует только 4.
Забавно как удивляется народ, когда говоришь "а ты попробуй последние две цифры PIN другими ввести" и получить нал в банкомате.
(не все… не все банки..)
Люди не могут придумывать и заучивать надежные, уникальные пароли для каждого сервиса, полагаясь только на свою память
Тренировать память тоже полезно. Хорошо запоминаются ассоциативные пароли типа kozel$$kapusta. Все равно основа безопасности останется в голове конкретного человека.
UFO just landed and posted this here
Такие люди, конечно, есть, но их очень немного.
Думаю, у большинства записей значительно меньше и их можно поделить на значимые (у меня их около 20) и не очень (к которым подходит шутка: если ты узнал мой пароль, ты узнал все мои пароли). Если запись потребуется через 10 лет — ее можно восстановить.
А мнемонику всем рекомендую — помогает не только запоминать, но и мышление развивает.
Думаю, у большинства записей значительно меньше и их можно поделить на значимые (у меня их около 20) и не очень (к которым подходит шутка: если ты узнал мой пароль, ты узнал все мои пароли). Если запись потребуется через 10 лет — ее можно восстановить.
А мнемонику всем рекомендую — помогает не только запоминать, но и мышление развивает.
Специально проверил свой парольный менеджер — 524 записи
Возможно, сотней паролей вы не воспользуетесь, но не в этом дело.
На мой взгляд, хай теком 21 века станут методики обучения человека, точнее, раскрытия его способностей. Поскольку они, также как Фейсбук, изменят общество. Память человека безгранична. Это не природный дар, а технология, в которой задействовано образное мышление и эмоции, то есть то, чего у машины нет и никогда не будет, в связи с чем машина всегда будет проигрывать. Сейчас почему-то эти технологии на задворках, хотя по идее, должны использоваться с первого класса.
Представьте, что каждый помнит несколько тысяч человек. Другое общество с другими коммуникациями. И это не сказка, а технология, которая есть и которую надо развивать и продвигать.
На мой взгляд, хай теком 21 века станут методики обучения человека, точнее, раскрытия его способностей. Поскольку они, также как Фейсбук, изменят общество. Память человека безгранична. Это не природный дар, а технология, в которой задействовано образное мышление и эмоции, то есть то, чего у машины нет и никогда не будет, в связи с чем машина всегда будет проигрывать. Сейчас почему-то эти технологии на задворках, хотя по идее, должны использоваться с первого класса.
Представьте, что каждый помнит несколько тысяч человек. Другое общество с другими коммуникациями. И это не сказка, а технология, которая есть и которую надо развивать и продвигать.
UFO just landed and posted this here
Никто не мешает развивать способности и создавать машины. Тем более, это не сверхспособности, а просто более правильное использование того, что есть. Воображение дано человеку не для того, чтобы строить воздушные замки, а интуитивный ум не переплюнет никакая машина. Опыт с Шерешевским показал, что память человека не имеет ясных границ. Есть интересное видео, когда читают 20 иностранных слов с переводом, потом без перевода, аудитория запомнила 3-5 слов, а потом лектор читает другие слова с переводом, но с использованием ассоциаций, и сразу резко вырастает запоминание до 17-20 слов из 24. У людей память вдруг стала лучше? Нет, конечно, это просто технология. Будет время, напишу статью.
Следует заметить, что с рекомендацией использовать менеджеры паролей (МП), не все так просто.
По своей сути это перераспределение ответственности. Эффективность централизованной атаки ресурса методом брутфорса снижается, владельцы ресурса могут меньше волноваться о мониторинге, необходимости внедрения многофакторной аутентификации и т.п., ведь пользователи используют хорошие пароли. Вместо этого для злоумышленников становится более привлекательной атака самого МП, процесса переноса пароля из МП.
В конечном счете, выиграет ли что-то в плане безопасности сам пользователь еще вопрос.
По своей сути это перераспределение ответственности. Эффективность централизованной атаки ресурса методом брутфорса снижается, владельцы ресурса могут меньше волноваться о мониторинге, необходимости внедрения многофакторной аутентификации и т.п., ведь пользователи используют хорошие пароли. Вместо этого для злоумышленников становится более привлекательной атака самого МП, процесса переноса пароля из МП.
В конечном счете, выиграет ли что-то в плане безопасности сам пользователь еще вопрос.
Sign up to leave a comment.
Эволюция паролей: руководство по аутентификации в современную эпоху