Bitcoin Forum
November 21, 2017, 05:00:51 AM *
News: Latest stable version of Bitcoin Core: 0.15.1  [Torrent].
 
   Home   Help Search Donate Login Register  
Pages: [1]
  Print  
Author Topic: Бoльшинcтвo internet-ceрвиcoв нe зaбoтитcя o пaрoляx пoльзoвaтeлeй  (Read 231 times)
Cripto DeD
Hero Member
*****
Offline Offline

Activity: 938



View Profile
June 24, 2015, 02:19:01 PM
 #1

Большинство интернет-сервисов не заботится о паролях пользователей

Результаты недавнего исследования компании Digital Security, специализирующейся на анализе защищенности систем, свидетельствуют, что крупнейшие интернет-сервисы не уделяют должного внимания парольным политикам. Иван Юшкевич, исследователь Digital Security, проанализировал 80 крупнейших ресурсов различного назначения: почтовые сервисы; социальные сети; электронная коммерция; платежные сервисы; игровые сервисы; криптовалюта; хранение файлов и совместная разработка.

Выяснилось, что в большинстве случаев существующие настройки ресурсов дают пользователю возможность обойтись комбинацией цифр и букв, которую легко может подобрать злоумышленник. Меньше других о безопасности своих подписчиков заботятся файловые хранилища и социальные сети. Также слабые парольные политики применяют игровые ресурсы, сервисы электронной коммерции и отдельные почтовые системы.

Строгий подход к выбору пароля применяют сервисы криптовалюты, платежные системы и отдельные «почтовики». Исследование показало, что только 2 из 10 широко известных ресурсов разного профиля используют строгую политику аутентификации. Лучшими оказались такие популярные ресурсы, как Gmail, Apple Store, MEGA, WebMoney, eBay. Самые слабые парольные политики — у социальной сети Meetme, почтового сервиса Pobox, виртуальных магазинов Aliexpress и Alibaba, а также файловых хранилищ Justcloud и Box.

Подобрав пароль и получив доступ к чужому аккаунту, злоумышленник иногда может завладеть следующей информацией: персональные данные; платежные данные (история операций, платежная информация и др.); переписка, включающая файлы с копиями паспортов, приватные фотографии и другие критичные документы. Далеко не у всех, даже крупных, сервисов поддерживается двухэтапная аутентификация, и на дополнительную защиту надеяться не стоит.

Захватив контроль над пользовательским ресурсом, атакующий затем может задействовать его для рассылки спама, вирусов, атаки на других пользователей: в частности, попросить всех друзей по социальной сети перевести деньги на номер телефона под каким-нибудь предлогом.

Не стоит забывать и о том, что компрометация даже одного аккаунта может привести ко взлому более критичных данных того же пользователя (многие применяют один пароль для разных сервисов). Помимо этого, через почтовый ящик возможен доступ к разным ресурсам, которые привязаны к нему с помощью функционала восстановления пароля. Цепочка аккаунтов может рухнуть, как карточный домик, если, допустим, будет восстановлен пароль к аккаунту в соцсети, а через него успешно совершена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, «ВКонтакте», LinkedIn и т. д.

Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов.

Советы пользователю по созданию пароля: пароль должен быть длинным — желательно, больше 10 символов; пароль должен содержать заглавные символы, цифры и спецсимволы; пароль не должен быть похожим на логин или почту пользователя; пароль не должен быть похожим на словарные пароли; используйте разные пароли для различных сервисов.

Советы разработчику сервиса: выдвигать жесткие требования к пользовательскому паролю — больше 8 символов длиной, длина не ограничена, пароль должен содержать цифры, заглавные и строчные буквы и спецсимволы, пароль не должен быть похожим на логин, сервис должен иметь базу словарных паролей, сервис должен также давать общие рекомендации пользователям; строго придерживаться выдвигаемых правил; не позволять регистрироваться со словарными паролями — например, с использованными в этом исследовании.


Пресс-релиз
24.06.2015


http://www.pcweek.ru/security/news-company/detail.php?ID=175517

bitJob                       ▄▄▄██████▄▄▄
                ▄▄▄▄██████████████████▄▄▄▄
        ▄▄▄▄██████████████████████████████████▄▄▄▄
  ▄▄▄████████████████████████████████████████████████▄▄▄
██████████████████████████████████████████████████████████
  ▀▀██████████████████████████████████████████████████▀▀
      ▀▀█████████████████████████████████████████████
         ████████████████████████████████████████  ██
         ████████████████████████████████████████  ██
         ████████████████████████████████████████  ██
         ████████████████████████████████████████  ██
         ████████████████████████████████████████  ██
         ████████████████████████████████████████  ██
         ▀██████████████████████████████████████▀  ██
          ▀▀██████████████████████████████████▀▀  ████
                                                 ▄████▄
                                                ▀▀████▀▀
IIII
1511240451
Hero Member
*
Offline Offline

Posts: 1511240451

View Profile Personal Message (Offline)

Ignore
1511240451
Reply with quote  #2

1511240451
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
Alex_ZZX
Legendary
*
Offline Offline

Activity: 980



View Profile
June 24, 2015, 03:50:44 PM
 #2

Спасение утопающих - дело рук самих утопающих. Я это к тому что если пользователь дурак то его и политика сложного пароля не спасет т.к. будет его на бумаге держать перед клавой в офисе и использовать на всех сайтах...
А меня больше бесила политика времени жизни пароля(по умолчанию в виндовых серверах 45суток)

                                 
           ░▓█████████████████▓░
          ▒▓██▓▓▓▓▓▓▓▓▓▓▒▓▒▒▒██▓▒░
      ░▒▓███▓                 ▒██▓▓▒░░    ░
▓▒███████▓▒        ░▒▒▒▒▒▒▒░    ░▓▓▓██▓▓▓▒▓
▒░██▒░░         ▒▓▓▓▓▒▒▒▒▓▓██▓▒     ░ ▒▓▓░▓
░▒▓█▒         ▒█▓▓▒▒▒▒▒▒▒▓▓▓████▓▓▒   ▒█▓▒▒
 ▒░██        ██▒▒▒▒▒▒▒▒▒▒▒▒▒░▒▒░██▒   ██▒▒
 ▓░▓█▒      ██▒▒▒▒▒▒░▒░░▒▒▒░░▒▓██▓   ▒██░▒
 ░▓░█▓     ▓█▓▒░▒▒▒▒▒▒▒░░░▒▒▓▓▓▓▓▒   ██░▓░
  ▓▒▒█▓  ▓▒█▓▒▒▓▓▒░▒░░░▒▒▒▒▒▒▒▒ █▒  ██▓░▓
   █░▒█▓ ▓███▓▒▒░░▒▒▒▒▒▒▒▒▒▒▒░ ▓█  ██▓ ▓
    █░▓█▓ ░██▓███▓▓▒▒▒▒▒▒▒░▒▒▓██  ██▓░▓
    ░█░▒██  ░ ░▓███████▓██████▒  ██▒░▓
      █▒░██▓      ░▒▒▓▓▓▓▒▒░   ▓██░▒▓
       ▓▓░▒██▒               ▒██▓░▓▓
        ░█▓░▓██▒           ▒██▓░▓█░
          ▒█▓░▓██▓       ▓██▓▒▓█▒
            ▒█▓▒▒███░ ▒███▒▒▓█▒
              ▒██▓▒▓███▓▒▒██▒
                ░▓██▒▒▒███░
                   ▒███▒














Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!