Показано с 1 по 3 из 3.

От регулярной смены паролей нет пользы

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    От регулярной смены паролей нет пользы

    Сотрудник Microsoft Research Кормак Хёрли (Cormac Herley) полагает (PDF), что эксперты по компьютерной безопасности слишком многого требуют от пользователей, практически ничего не предлагая им взамен. Правил, которых нужно придерживаться пользователям, слишком много, но даже строгое следование всем советам экспертов не даёт никаких гарантий — лишь снижает вероятность пострадать от действий злоумышленников.

    Например, по мнению Хёрли, совет по периодической смене паролей на деле почти не имеет никакого смысла, потому что если ваш пароль попадёт в руки злоумышленнику, он вряд ли будет ждать, пока вы его смените.

    Не так много толку и от создания "сильного" пароля (длинного, не из словаря, с цифрами и спецсимволами). Причина: многие веб-сервисы всё равно блокируют доступ после нескольких попыток подобрать пароль к аккаунту.

    Также для рядового пользователя слишком сложны правила, позволяющие распознать фишинговые письма и сайты — и то не всегда юзеры могут наверняка сказать, что посетили стопроцентно настоящий сайт. Что до понимания SSL-сертификатов и предупреждений, которые выдаются о них браузерами, то это, опять-таки, слишком сложно, в то время как фишеры всё равно практически не занимаются подделкой сертификатов.

    Словом, от пользователей для обеспечения приемлемой (с точки зрения экспертов) безопасности требуется слишком много — и будет требоваться ещё больше с появлением новых типов угроз. Между тем, время — деньги, считает исследователь, а "большинство советов имеют смысл только, если мы полагаем, что пользовательское время ничего не стоит".

    Таким образом, если пользователь будет придерживаться всех без исключения советов по безопасности, это отнимет у него массу времени и сил и при этом не гарантирует, что он не станет жертвой злоумышленников.

    Поэтому Хёрли считает, что не нужно требовать от юзеров всего комплекса защитных мер, а следует подходить к этой задаче с учётом того, сколько времени (и денег) эти меры отнимают и какой эффект дают.
    http://www.webplanet.ru/news/securit..._security.html
    http://club-symantec.ru/forum.php

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    А это именно так и есть ... варианты:
    1. Запускается троян типа Pinch. Он находит все сохраненные пароли и ворует их (длинна пароля и частота его смены не важны, если только пользователь немедленно не поменяет их после кражи, в течении буквально минут);
    2. Пользователь вводит совершенно секретный несмысловой пароль длинной 20 символов, который он меняет раз в месяц ... но у него на ПК стоит кейлоггер, который отловит ввод и отправит кому надо ...
    пароль обычно используется в течении 1-3 дней (т.е. смена пароля не поможет)
    3. Ситуация 2, только вместо кейлоггера троян, который отловит введенные в форму данные (как - не важно, будет это формграббер или отлов данных в трафике)
    4. Ситация 2, только трояна вообще нет - пользователь зашел на фишинговый сайт
    Вот и выходит, что сложные пароли и частая их смена - это конечно хорошо, но радикального эффект от этого почти нет, в особенности от частой смены. Радикальный эффект есть от применения токенов и двухфакторной авторизации, генераторов разовых паролей или на худой конец "шифровальных таблиц" (т.е. отправки по запросу сервера данных из секретной таблицы)

  4. #3
    Junior Member Репутация Репутация
    Регистрация
    01.02.2008
    Сообщений
    16
    Вес репутации
    38
    Цитата Сообщение от SDA Посмотреть сообщение
    даже строгое следование всем советам экспертов не даёт никаких гарантий — лишь снижает вероятность пострадать от действий злоумышленнико
    Даже строгое следование всем правилам техники безопасности не даёт никаких гарантий — лишь снижает вероятность пострадать в экстремальной ситуации.
    И столь же очевидный факт: если пароль уже отслеживается, то поздно его менять. Действительно, если в квартиру уже пробрались грабители, то поздно пытаться сменить замок.

Похожие темы

  1. Программа для смены IP?
    От Remark в разделе Софт - общий
    Ответов: 60
    Последнее сообщение: 01.04.2010, 06:20
  2. Ответов: 1
    Последнее сообщение: 10.01.2010, 00:03
  3. Программа для смены ip
    От Arhangel87 в разделе Софт - общий
    Ответов: 2
    Последнее сообщение: 22.07.2009, 10:20
  4. Проблемы после смены фаервола?
    От U_M_A в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 28.03.2008, 09:30
  5. Kernel Patch Protection: больше вреда, чем пользы?
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 19.08.2006, 10:58

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01123 seconds with 16 queries