#защита_инвестиций #2fa #пароли
Наткнулся на интересную статью где показывается секьюрность аутентификации используя (и комбинируя) разные методы - https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/
Номер 1 - самый лучший способ, и дальше вниз до худшего. Могу немного дополнить:
5й пункт, "Качественные пароли" для вас, как для пользователя, опасен совсем не тем, что пароль взломают или сдампят (как указано в vulnerabilities на сайте), а тем, что вы его просто напросто забудете )) Люди создают или хорошие пароли и их забывают, или легко взламываемую фигню которую легко взломать.
Также, несмотря на то, что пункт аутентификация по SMS стоит выше менеджера паролей (как например Keepassxc), но учитывая проблемы смс которые можно перехватывать через смс сервисы или sim swapping, я бы сказал что он более опасен. SMS добавляет много векторов атак, особенно если сервис куда вы авторизируетесь позволяет сбросить пароль через sms/email (в таком случае полная беда беда)
А так да, лучший совет это иметь менеджер паролей, а для 2fa иметь гугл аутентификатор. (Первый вариант обсуждать не будем, когда то потом расскажу почему)
Наткнулся на интересную статью где показывается секьюрность аутентификации используя (и комбинируя) разные методы - https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/
Номер 1 - самый лучший способ, и дальше вниз до худшего. Могу немного дополнить:
5й пункт, "Качественные пароли" для вас, как для пользователя, опасен совсем не тем, что пароль взломают или сдампят (как указано в vulnerabilities на сайте), а тем, что вы его просто напросто забудете )) Люди создают или хорошие пароли и их забывают, или легко взламываемую фигню которую легко взломать.
Также, несмотря на то, что пункт аутентификация по SMS стоит выше менеджера паролей (как например Keepassxc), но учитывая проблемы смс которые можно перехватывать через смс сервисы или sim swapping, я бы сказал что он более опасен. SMS добавляет много векторов атак, особенно если сервис куда вы авторизируетесь позволяет сбросить пароль через sms/email (в таком случае полная беда беда)
А так да, лучший совет это иметь менеджер паролей, а для 2fa иметь гугл аутентификатор. (Первый вариант обсуждать не будем, когда то потом расскажу почему)
Unsupervised Learning
Unsupervised Learning is a Security, AI, and Meaning-focused newsletter & podcast that looks at how best to thrive as humans in a post-AI world. It combines original ideas, analysis, and mental models to bring not just the news, but why it matters and how…
#защита_инвестиций #пароли #2fa
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
CyberNews
The password hassle: a strong one is no longer enough
A strong password is a must, though not enough to protect yourself or your employer from intrusion.