Пакет Безопасности

​🔑 БезПарольность

Многие из вас наверняка устали уже записывать куда-то пароли от своих аккаунтов социальных сетей, сервисов, почт и прочего. Хранить их в облаках не безопасно, каждый раз перезаписывать их в тетрадке – не удобно, а хранить такие данные локально на своём личном устройстве – и не безопасно, и не удобно одновременно.

Уверяю вас, вы такие не одни и человечество давно уже пытается перейти в эру “учётных данных нового поколения” при помощи концепции PasswordLess.

Проблема паролей состоит в том, что они, во-первых, крайне редко меняются пользователями, а во-вторых, они могут быть осознанными и вычисляемыми.

Первую проблему не решить без автоматизации, так как нам нужно менять пароль чаще, чем то время, за которое его могут вычислить или подобрать. Тут речь не про кибергигиену, при которой пароль желательно менять каждый месяц. По мнению Google Authenticator, например, это каждые 30 секунд для комбинации из 6-ти цифр.

Вторая проблема состоит в том, что пароли можно вычислить. Вычисляется пароль разными способами, например, перебором, социальной инженерией (пользователь сам его выдаст в том или ином виде) или разведкой (на основе данных о пользователе, таких как имя собаки, дата рождения или название любимой спортивной команды). Более того, люди любят использовать один и тот же пароль сразу для нескольких сервисов, поэтому, если ваш пароль хоть раз засветился в слитых базах в одном месте, будьте уверены, его будут пробовать подставлять и во все остальные распространённые сервисы.

Кажется, что с этими проблемами может помочь удалённый централизованный сервис, который и будут генерировать и хранить в себе пароли от разных сайтов, приложений и прочего. Но это не совсем так, поскольку у нас появляется единая точка отказа в виде этого сервиса. Чем это грозит – думаю очевидно. Например, LastPass уже второй раз за последнее время подвергся успешной кибератак с последующим сливам данных.

Правильнее будет разнести генерацию ключей, паролей и токенов между этим централизованным сервисом и тем устройством, через которое и происходит авторизация/аутентификация. И сделать это так, чтобы ни на одном из них не хранилась информация, достаточная для полного подбора/взлома/вычисления пароля.

В уходе от паролей заинтересованы не только пользователи, но и ключевые игроки рынка IT. Именно поэтому большие ребята решили объединиться, из чего родился passkey. Очень хочется надеяться, что эта инициатива продолжить жить и развиваться, а мы скоро забудем о проблемах хранения паролей в блокнотах.

#Мнение

Пакет Безопасности

👍17❤‍🔥5❤4🔥3🤯2⚡1😁1

www.tgoop.com/package_security/16

2.95K viewsDec 15, 2022 at 15:55

​🔑 БезПарольность

Многие из вас наверняка устали уже записывать куда-то пароли от своих аккаунтов социальных сетей, сервисов, почт и прочего. Хранить их в облаках не безопасно, каждый раз перезаписывать их в тетрадке – не удобно, а хранить такие данные локально на своём личном устройстве – и не безопасно, и не удобно одновременно.

Уверяю вас, вы такие не одни и человечество давно уже пытается перейти в эру “учётных данных нового поколения” при помощи концепции PasswordLess.

Проблема паролей состоит в том, что они, во-первых, крайне редко меняются пользователями, а во-вторых, они могут быть осознанными и вычисляемыми.

Первую проблему не решить без автоматизации, так как нам нужно менять пароль чаще, чем то время, за которое его могут вычислить или подобрать. Тут речь не про кибергигиену, при которой пароль желательно менять каждый месяц. По мнению Google Authenticator, например, это каждые 30 секунд для комбинации из 6-ти цифр.

Вторая проблема состоит в том, что пароли можно вычислить. Вычисляется пароль разными способами, например, перебором, социальной инженерией (пользователь сам его выдаст в том или ином виде) или разведкой (на основе данных о пользователе, таких как имя собаки, дата рождения или название любимой спортивной команды). Более того, люди любят использовать один и тот же пароль сразу для нескольких сервисов, поэтому, если ваш пароль хоть раз засветился в слитых базах в одном месте, будьте уверены, его будут пробовать подставлять и во все остальные распространённые сервисы.

Кажется, что с этими проблемами может помочь удалённый централизованный сервис, который и будут генерировать и хранить в себе пароли от разных сайтов, приложений и прочего. Но это не совсем так, поскольку у нас появляется единая точка отказа в виде этого сервиса. Чем это грозит – думаю очевидно. Например, LastPass уже второй раз за последнее время подвергся успешной кибератак с последующим сливам данных.

Правильнее будет разнести генерацию ключей, паролей и токенов между этим централизованным сервисом и тем устройством, через которое и происходит авторизация/аутентификация. И сделать это так, чтобы ни на одном из них не хранилась информация, достаточная для полного подбора/взлома/вычисления пароля.

В уходе от паролей заинтересованы не только пользователи, но и ключевые игроки рынка IT. Именно поэтому большие ребята решили объединиться, из чего родился passkey. Очень хочется надеяться, что эта инициатива продолжить жить и развиваться, а мы скоро забудем о проблемах хранения паролей в блокнотах.

#Мнение

Пакет Безопасности

BY Пакет Безопасности