Пусть они вставляют пароли

перевод
m1rko 6 октября в 10:21 21,2k
Оригинал: Sacha B
Примечание переводчика: Автор статьи — эксперт по социотехнической безопасности (Sociotechnical Security Researcher) в Национальном центре кибербезопасности Великобритании (NCSC), подразделении Центра правительственной связи (GCHQ), который отвечает за ведение радиоэлектронной разведки и обеспечение защиты информации органов правительства и армии.



В твиттере нам часто присылают примеры сайтов, которые блокируют вставку пароля из буфера обмена. Почему сайты так поступают? Разгорелась дискуссия — и большинство спорщиков обращает внимание на то, что это сильно раздражает.

Так зачем организации это делают? Часто они не дают никаких объяснений, но если всё-таки дают, то говорят о «безопасности». NCSC не думает, что эти опасения обоснованы. Мы считаем, что блокировка вставки паролей (БВП) — это плохая практика, которая ухудшает безопасность. Мы считаем, что пользователям следует разрешить вставлять пароли.

Никто не знает, откуда это пошло


Остаётся загадкой, как появилась практика БВП. Никто не видел какой-то научной статьи, исследования, правила, RFC (технический стандарт правил работы Интернета) или чего-то подобного, с чего всё началось. Если вы знакомы с чем-то, дайте знать в комментариях. Мы думаем, здесь имеет место одна из тех «лучших практик», идеи которых рождаются из обращения к здравому смыслу. Раньше такая идея могла иметь смысл. Учитывая более широкую картину в наше время, сейчас у неё совершенно нет никакого смысла.

Так почему вставка паролей — это хорошо?


Основная причина, почему вставка паролей улучшает безопасность — то, что она снижает перегруженность паролями, о чём мы говорили в нашем «Руководстве по паролям». Разрешение на вставку паролей делает веб-формы хорошо совместимыми с парольными менеджерами. Парольные менеджеры — это программы (или сервисы), которые подбирают, хранят и вводят пароли в формы вместо вас. Они очень полезны, потому что:

  • облегчают хранение разных паролей для разных сайтов;
  • улучшают продуктивность и предотвращают опечатки при вводе паролей;
  • упрощают использование длинных, сложных паролей.

Дисклеймер: хотя парольные менеджеры могут обеспечить лучшую безопасность, чем, например, хранение паролей в обычном (то есть незащищённом) документе на компьютере, они не являются универсальным решением всех проблем с паролями в организации. В следующей статье мы более подробно расскажем, какие факторы следует учесть при выборе парольного менеджера.

Представьте, что у вас нет парольного менеджера и нет даже того незащищённого документа с паролями. Без парольных менеджеров будет практически невозможно запомнить все пароли. В этом случае вам придётся выбрать один из следующих плохих вариантов:

  • повторно использовать одни и те же пароли на разных сайтах;
  • выбирать очень простые (и поэтому легко подбираемые) пароли;
  • записывать пароли и хранить их в местах, которые легко найти (вроде листочков Post-It на мониторе).

Вот почему мы считаем БВП плохой практикой, а разрешение вставки паролей — хорошей. Преимущества перевешивают недостатки, и намного.

Почему блокировать вставку паролей (БВП) неправильно


Есть другие причины, которыми пытаются оправдать БВП. Маленькое и вводящее в заблуждение зёрнышко правды в этих аргументах может звучать очень убедительно. Давайте разберёмся.

Оправдание 1: «Вставка паролей облегчает брутфорс»


Если разрешить вставку паролей, то вредоносный софт или веб-страница могут непрерывно вставлять пароли, пока не подберут подходящий.

Это дейтсвительно правда, но также правда и то, что есть другие способы проводить брутфорс (например, через API), которые настолько же просты для злоумышленников, но гораздо быстрее. Риск атак с подбором паролей через копипаст очень мал.

Оправдание 2: «Из-за вставки паролей их труднее запомнить, потому что вы реже набираете их вручную»


В принципе это тоже правда: чем чаще вы вынуждены вспоминать что-то, тем легче вспомнить это в следующий раз.

Однако в реальном мире людям приходится создавать пароли в том числе для сервисов, которыми они очень редко пользуются. Это означает, что у них недостаточно времени для практики и небольшие шансы что-либо запомнить. Это оправдание верно только если изначально предположить, что пользователи обязаны помнить свои пароли — а это не всегда так.

Люди также создают пароли для сервисов, которыми пользуются настолько часто, что не могут забыть пароль, даже если бы захотели (что довольно неудобно, если вам нужно регулярно менять пароль), и набор его в дрянную форму снова и снова каждый день просто отнимает у них время. В такой ситуации помогают парольные менеджеры, а БВП их отметает.

Оправдание 3: «Пароль останется в буфере обмена»


Когда пользователь делает копирование и вставку, скопированный контент хранится в буфере обмена, откуда его можно вставить сколько угодно раз. Любое программное обеспечение на компьютере (и любой человек, работающий с ним) имеет доступ к буферу и может просмотреть его содержимое. Копирование нового контента обычно осуществляется поверх старого содержимого и разрушает его.

Многие парольные менеджеры копируют ваш пароль в буфер обмена, чтобы вставить его в форму на веб-сайте. Существует риск, что злоумышленник (или зловред) своруют пароль раньше, чем он удалён из буфера обмена.

Пароли в буфере обмена могут представлять бóльшую проблему, если они вручную копируются из документа на компьютере. Вы можете забыть почистить буфер. Но это не такой уж большой риск, потому что:

  • Большинство парольных менеджеров очищают буфер обмена, как только вставили пароль на веб-сайте, а некоторые вообще не используют буфер, набирая пароль на виртуальной клавиатуре.
  • Веб-браузер Internet Explorer 6 предоставляет вредоносным страницам доступ к буферу обмена; но этим браузером пользуется очень мало людей.
  • Вирусы на компьютере могут скопировать содержимое буфера и получить пароли. Но это всё равно не подходящее оправдание для БВП; если ваш компьютер заражён вирусом, то вы вообще не можете ему доверять. Вирусы и другие зловреды, которые копируют буфер обмена, почти всегда регистрируют все нажатия клавиш, все числа и символы, включая пароли. Они узнают ваш пароль независимо от того, копируете вы его из буфера или вводите вручную, так что БВП немного вам даёт.

Вместо того, чтобы блокировать вставку паролей, первым делом нужно защитить компьютер от вредоносного ПО, следуя руководству по обеспечению безопасности предприятия. И обновляйте программное обеспечение — это IT-версия здорового питания и один из лучших способов защитить компьютер.

Не только наши слова


Не нужно думать, что только мы высказываемся против блокирования вставки паролей. См. блог Троя Ханта (с «Историческим уроком для нас всех») или эту статью в Wired.

Улучшайте безопасность, поддерживая своих пользователей. Пусть они вставляют пароли.
Проголосовать:
+50
Сохранить: