?

Log in

No account? Create an account
Ни о какой безапелляционности в моих высказываниях не может быть и речи! [entries|archive|friends|userinfo]
Anatoly Vorobey

[ website | Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Links
[Links:| English-language weblog ]

о паролях и URLах (компьютерное, англ.) [дек. 12, 2009|08:31 pm]
Anatoly Vorobey
Любопытная статья исследователя из Майкрософта Кормака Херли:

Cormac Herley: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice By Users.

Заставляет задуматься, скажем так. Херли рассуждает о том, почему пользователи в массе своей не следуют советам профессионалов в области security: например, советов о том, как выбирать и хранить пароли, как не попадать на phishing-сайты (внимательно проверять URLи важных сайтов) итд. Он приходит к интересному выводу: пользователям может быть экономически невыгодно следовать этим советам, а администраторы недооценивают их сложность.

Подробности в статье, но особо отмечу интересное обсуждение в пункте 4.1 того, что нужно понимать про URLи, чтобы убедиться, ты на правильном сайте или на phishing-копии. Для компьютерщиков это само собой разумеется и очевидно, но мы не задумываемся обычно над тем, насколько для "обычного пользователя" это на самом деле сложная система фактов и правил.
СсылкаОтветить

Comments:
Страница 1 из 2
<<[1] [2] >>
[User Picture]From: buddha239
2009-12-12 07:09 pm
Гляну, спасибо. Но заранее:) могу сказать, что мне очень было бы запарно запоминать и вводить в разные ресурсы сложные пароли - при том, что никто пока не озаботился взломом меня.
(Ответить) (Thread)
[User Picture]From: ramil
2009-12-12 07:09 pm
Я так понимаю, что Вы, Анатолий, говорите "Уэрэли" (URLи)?
Забавно. Я всегда слышал и говорил только URLы.
(Ответить) (Thread)
[User Picture]From: vyhuhol
2009-12-12 07:11 pm
подозреваю, что даже «юэрэли», а не у-.
(Ответить) (Parent) (Thread)
[User Picture]From: rednyrg721
2009-12-12 07:17 pm
когда утек файл с паролями к вконтакте (50 тыщ логинов) было интересно посмотреть самые частые, вот статистика:

123456 -> 165 (0.327%)
123456789 -> 97 (0.192%)
qwerty -> 94 (0.186%)
111111 -> 71 (0.141%)
123321 -> 45 (0.089%)
1234567890 -> 45 (0.089%)
666666 -> 44 (0.087%)
7777777 -> 43 (0.085%)
1234567 -> 41 (0.081%)
123123 -> 37 (0.073%)
000000 -> 34 (0.067%)
zxcvbnm -> 30 (0.059%)
qazwsxedc -> 28 (0.055%)
12345678 -> 28 (0.055%)
qwertyuiop -> 28 (0.055%)
любовь -> 27 (0.053%)
gfhjkm -> 25 (0.049%)
654321 -> 24 (0.047%)
1q2w3e4r -> 24 (0.047%)
555555 -> 24 (0.047%)
zxcvbn -> 20 (0.040%)
1q2w3e -> 20 (0.040%)
samsung -> 20 (0.040%)

Номер телефона («8» или «7» или «+7» и 10 цифр) использовался в качестве пароля 587 раз.
(Ответить) (Thread)
[User Picture]From: avva
2009-12-12 07:22 pm
да, совершенно угадываемый и знакомый списо, хотя "любовь" добавляет интересный местный колорит :)
(Ответить) (Parent) (Thread) (Развернуть)
(Удалённый комментарий)
[User Picture]From: msh
2009-12-12 07:40 pm
Спасибо, очень интересная статья. Но я вижу flaw в рассуждениях - действительно, с экономической точки зрения *в среднем* это не выгодно, но ведь вообще никакая страховка не выгодна *в среднем*. Есть еще одна метрика - вероятность катастрофичных потерь.

Offtopic: статья - интересный пример изменения значения слова moot в современном английском языке - moot court (учебный суд, в котором тренируются lawyers) -> moot point (вопрос, совершенно неважный практически, обсуждаемый с целью тренировки) -> this point is moot (этот вопрос неважен практически) -> the benefit is entirely moot (выгода на самом деле не существует)
(Ответить) (Thread)
[User Picture]From: gaz_v_pol
2009-12-12 07:51 pm
> Вообще никакая страховка не выгодна *в среднем*

Что за странная идея? Страховые компании делят людей на очень небольшое число групп (и разные страховые делят по-разному). Практически для каждой ситуации можно найти страховую компанию, которая Ваши риски оценивает неправильно и помещает Вас в дешёвую группу. На этом строится огромный бизнес страховых брокеров, отслеживающих изменения условий у страховых компаний и подбирающих для Вас оптимальный вариант.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: alexeybobkov
2009-12-12 07:41 pm

Крик души

Я вообще не понимаю, что делать с паролями. В каждой интернетовской подворотне требуют завести логин и пассворд. Я бы и завёл универсальных паролей штуки 4-5 (по степени секретности), так ведь нет, за меня ещё решают, сколько в них должно быть символов, сколько цифр, может или не может быть знаков препинания...
"Моя голова не помойка, оставьте меня в покое!" (C)
(Ответить) (Thread)
[User Picture]From: gaz_v_pol
2009-12-12 07:44 pm
Связку ключей можно положить в сундук, и носить с собой только ключ от сундука. Есть масса программ, позволяющих генерировать и хранить сложные пароли (с учётом требований к длине и наличию/отсутствую спецсимволов). Хранить можно в файле на флешке, а можно и в интернете. Помнить достаточно лишь один мастер-пароль от программы. Желательно его выбрать посложнее, конечно :-).
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: gaz_v_pol
2009-12-12 07:42 pm
Пока гром не грянет, мужик не перекрестится. Услугу настройки backup можно продать только тому, кто уже потерял данные. 123456 на что-то секьюрное меняет только пользователь, который из-за слабого пароля лично потерял деньги (или другую ценность, например репутацию). Пока таких мало. Для того, чтобы это вошло в привычку нужно, чтобы родители с детства приучали. Как руки мыть или на дороге в футбол не играть. Во взрослом возрасте на чужих ошибках люди практически не учатся.
(Ответить) (Thread)
[User Picture]From: alon_68
2009-12-12 07:46 pm
Имхо, правильное поведение для непопадания на пхишинг-сайты - это никогда не вводить пароль в окошко, не вызванное по вашей личной инициативе. И тогда не надо учить 25 правил проверки урлов.
(Ответить) (Thread)
[User Picture]From: msh
2009-12-12 07:50 pm
Типичный phishing сайт появляется в броузере после того, как юзер самостоятельно нажимает линк в своем email, по личной инициативе
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: olialia
2009-12-12 08:06 pm

URL

Нельзя одновременно создавать сервисы, дизайн и интерактивные сценарии которых подразумевают, что пользователю не нужно ничего знать про URL. Но при этом рассчитывать, что он этим знанием будет обладать и использовать для собственной защиты.
(Ответить) (Thread)
[User Picture]From: os80
2009-12-12 08:43 pm
Тоже мне откровение. "А мужики-то и не знают".
Но вообще-то некоторые пользователи даже понятия "пароль" и "логин" не различают. Спрашиваешь "какая ваша учётная запись?" - а в ответ пароль получаешь.
(Ответить) (Thread)
[User Picture]From: onkel_hans
2009-12-12 09:55 pm
А что такое "учетная запись"?
(давно хотел спросить)
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: amosk
2009-12-12 09:08 pm
Чтобы пользователь не уклонялся от безопасных процедур, их не надо вообще доверять пользователю.

Например лучшая защита от фишинга - отсутствие паролей.
Один из вариантов - аутентификация по сертификату выдаваемому юзеру при регистрации на сайте и хранящемуся в хранилище сертификатов браузера и предоставляемому браузером после ввода пароля.
Например в таком режиме умеет работать сайт Webmoney.
Тут конечно тоже есть недостатки. Например невозможность работы с чужого компа, где нет инсталлированного сертификата.

Второй пример - программы для автоматического ввода паролей.
Это фактически мягкая реализация выше приведенного механизма сертификатов. Тут в роли сертификата юзера - пароль юзера на сайте, а в роли сертификата сайта - URL этого сайта, к которому привязан пароль. Недостатки правда те же. Но возможностей больше. Например можно создать в плагин к браузеру перехватывающий ввод имени и пароля и предупреждающий юзера если на этом хосте он еще не вводил паролей (отображая при этом например домен сайта первых 2-3 уровней без отвлекающих артефактов синтаксиса URL)
(Ответить) (Thread)
[User Picture]From: onkel_hans
2009-12-12 09:56 pm
Много бед происходитт оттого, что вебсайты разрабатывают такие умные специалисты, как Вы.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: webface
2009-12-12 09:23 pm
Основная причина на мой взгляд в том, что пользователи знают что взлом банкинга или утечка номера кредитки им практически ничем не грозит. Все равно деньги восстановят при заявлении в банк.
(Ответить) (Thread)
[User Picture]From: digest
2009-12-12 11:30 pm
Интересная статья. Но как все теоретики любят обсуждать сферическую безопасность в вакууме, мама дорогая! Сначала подсчитывают теоретическую устойчивость пароля из 8 символов разных групп, теперь пытаются подсчитать сколько микроцентов стоит запомнить/ввести символ из этого пароля :).

Дело даже не в сложной системе правил для "обычного пользователя", а в том, что сама система правил строится на скомпрометированной основе. Скомпрометированной полностью: от простейшей невозможности вывода authentic сообщения от операционной системы или приложения, сквозь чрезмерное количичество security warnings (те самые волки! волки!) и до сетевых джунглей.

Ты думаешь многие компьютерщики знают правила URL, и только ламеры попадались на штучки вроде www.paypal.com@1.2.3.4?blahblah (1.2.3.4 - IP evil.com, в качестве blahblah идет всякий мусор, с одной стороны пытающийся выглядеть типа логином, а с другой скрыть, что 1.2.3.4 - это хост, а не привычная на многих сайтах белиберда с параметрами)?

Но это опять-таки частный пример. Через год запоминания всех правил URL и сдачи пользователем экзамена вирус добавит строчку www.paypal.com 1.2.3.4 в файл hosts, о котором до сих пор знал 1 человек из миллиона, и что теперь? URL еше можно выучить, DNS и сертификаты -- no way :).

Поэтому попытки построить безопасную стальную дверь к лачуге из бумаги будут заранее а) чрезвычайно сложны и б) обречены на провал.

На фоне всего этого требование моего банка раз в 2 месяца менять пароль из 8 символов с заглавными/строчными/цифрами и спецсимволами есть невероятный идиотизм и неоправданное усложнение и без того сложной системы. И даже livejournal.com ругается, что пароль, ишь, не безопасный. Вот нахрена livejournal.com-у безопасный пароль?!
(Ответить) (Thread)
[User Picture]From: _bigbrother_
2009-12-13 09:48 am
Вы знаете, я реально сталкивался с проблемой stealing identity в ЖЖ. И я бы сказал, что случай тот был довольно болезненным. В деньгах его оценить трудно - но и потери денег, и потери времени были, и серьёзные.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: laformica
2009-12-12 11:59 pm
Как раз недавно решал для себя проблему запоминания множества сложных паролей для каждого сайта, где у меня логин. Решил. Теперь все свои пароли я генерю и храню в интеренете.

Любопытная деталь: оказывается все сайты имеют разное ограничение на максимальную длину пароля, а также на допустимые символы. Так что теперь у меня обратная ситуация - многие сайты не принимают мои сложные пароли, приходится упрощать и резать.

Рекорд минимума максимальной длины пароля - пока на одноклассниках.
(Ответить) (Thread)
From: (Anonymous)
2009-12-13 01:57 pm
Пароли - одно, а когда их надо каждые два месяца менять и не использовать ни один из старых, да еще и назойливые емейлы получать с напоминанием каждый день последние две недели - это - новый уровень abuse
(Ответить) (Thread)
[User Picture]From: dizel
2009-12-13 08:42 pm
пользователям может быть экономически невыгодно следовать этим советам

Прикладная арифметика этого автора напоминают количественные оценки "экономистами" ущерба от забастовок или, скажем, ураганов. При большом количестве слабо поддающихся количественной оценке факторов можно обосновать любую точку зрения. Яркий пример - параграф 7.3.

администраторы недооценивают их сложность.

А этот вывод явно следует из неоднократно цитируемой работы #21

Где тут "research" - непонятно

Вообще тон статьи и некоторых источников умиляет - "может, эти пользователи и не дураки вовсе, хотя, конечно, запоминать пароли и отличать добро от зла good.com от bad.com не умеют".
(Ответить) (Thread)
Страница 1 из 2
<<[1] [2] >>