Пароли и безопасность, взгляд в будущее

Предыдущие сообщения
22 мая 2017
#1 kanaris uid#1 Классическая привычная всем система авторизации по паре "логин - пароль" все еще не устарела, но уже подает некоторые поводы для сомнения в ее надежности. И я сейчас объясню, почему.

В интернетах простой пользователь помимо электронной почты юзает множество разных сервисов, такие как социалки, мессенджеры, аккаунты на различных сайтах, платежные системы. Обычный человек способен запомнить один-несколько стандартных паролей, которые он будет использовать на всех сервисах, но как известно, 95% юзеров используют вообще один пароль для всего. Более того, 95% юзеров не способны придумать и запомнить пароль, устойчивый к брутфорсу по хеш-таблицам. Поскольку сервисов много, вероятность взлома и слива базы паролей равна произведению вероятностей взлома всех этих сервисов, то взломав 1 сервис, хакер получает доступ не только к аккаунту взломанного сервиса, а получает целый букет аккаунтов.

Напрашивается вывод, что надежнее было бы для каждого сервиса генерировать уникальный, брутфорсо-стойкий пароль, не обязательный для запоминания человеком, а хранилище этих "паролей" (которые по сути являются цифровыми ключами доступа) шифровалось бы одним человеко-запоминаемым мастер-паролем, который бы не использовался ни в каких сервисах. Сейчас половину обязанностей такой системы выполняют браузеры, сохраняя пароли и шифруя их мастер-паролем, если юзер сам активно его установит (но мы знаем правило 95%).

Вангую в ближайшем будущем появление в браузерах принудительного использования одного мастер-пароля, а формы реги на сайтах будут заполняться тем же браузером генерированными паролями. Да-да, раньше и SSL был диковинкой, а сейчас это чуть ли не обязательное требование браузеров и поисковиков. А разработчики сайтов уже будут плясать под дудку браузеров. Переносимость будет достигаться за счет синхронизации браузерных аккаунтов между устройствами. Теоретически можно даже добиться исключения доверия облачным сервисам. Я вижу такие преимущества данного решения:
  1. существование фэйковых сайтов будет невозможно, потому что пользователь не знает пароля от конкретного сервиса, а браузер (который знает пароль) не позволит его ввести, т.к. фэйк для него - это совершенно другой сайт.
  2. взлом пароля от одного сервиса не будет означать взлом всех аккаунтов этого юзера;
  3. избавляет юзеров от типичных ошибок человеческого фактора: слабые пароли и забывание;
  4. избавляет юзеров от необходимости запоминания логинов/паролей к 100500 различным сервисам в интернете.
А в недалеком будущем вообще возможно появление карманных считывателей отпечатков пальцев, размером и способом эксплуатации как у флешки, копеечной стоимостью, которые будут обязательны для ВСЕХ пользователей, которые желают пользоваться любыми сервисами, в которых требуется авторизация.
19:52:41 0
#2 sermax uid#6072
Вангую в ближайшем будущем появление в браузерах принудительного использования одного мастер-пароля, а формы реги на сайтах будут заполняться тем же браузером генерированными паролями. Да-да, раньше и SSL был диковинкой, а сейчас это чуть ли не обязательное требование браузеров и поисковиков. А разработчики сайтов уже будут плясать под дудку браузеров. Переносимость будет достигаться за счет синхронизации браузерных аккаунтов между устройствами. Теоретически можно даже добиться исключения доверия облачным сервисам. Я вижу такие преимущества данного решения:

существование фэйковых сайтов будет невозможно, потому что пользователь не знает пароля от конкретного сервиса, а браузер (который знает пароль) не позволит его ввести, т.к. фэйк для него - это совершенно другой сайт.
взлом пароля от одного сервиса не будет означать взлом всех аккаунтов этого юзера;
Так то если такое будет, то это не самый лучший вариант в плане безопастности.. Ведь в случае заражения самого устройства, по сути эффект будет даже хуже чем от взлома какого то стороннего ресурса, где пароль может быть и случайным (не относящимся к 95% постоянных) , то если будет взломан допустим комп или смарт, то пароли точно уйдут все и именно те кот. есть . А уж расшифровать то их по любому найдётся как..дело времени просто. Вот с фейками , это да, там без вариантов , особенно если браузер при этом ещё и будет орать что то про не тот сайт ))
Хотя опять же , в связи с массовым нубизмом обычных юзеров и их стойким не желанием, хоть как то напрягать мозг, наверняка разрабы оставят какую то лазейку ,типа "забыли пароль, который не знали?" )) или что то в этом роде..
А вообще на сколько я заметил, то тенденция с паролями , авторизацией и пр, всё больше движется в сторону двухэтапного а то и трёхэтапного ,подтвердждения личности(благо что теперешние технологии это позволяют) И скорее всего в ближайшем будушем, аккаунт привяжут полностью , к железу , браузеру, ипу, и телефону ..Либо ещё проще к устройству и обмену ключами (по типу SSH ) . Да и всё наверное к тому и идёт, инет настолько прочно вошёл в действительность , что анонимности и свободе в сети , скорее всего скоро придёт конец..Уже смартфоны с которых не позвонить пока не приложил палец, уже приложения которые запоминают устройства и управляют вашими финансами и которым всё известно о вашей личности, уже попытки ввести регу по паспорту в соц.сетях (вк например) и тд..К тому же уже давно ходят слухи о так называемом "едином документе" который был бы и паспортом , и кредиткой и прочими доками в одном куске пластика вживлённым в тело... Типа как ты говоришь "флешки" , и без которой ни хрена не сможешь ни в аккаунт войти, ни в ноутбук, ни купить, ни продать.. Прям чё то сразу библия аж вспомнилась )))
положено будет начертание на правую руку их, или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его. Здесь мудрость. Кто имеет ум, тот сочти число зверя; ибо это число человеческое. Число его 666" (Откр. 13, 16-18 ) ...
22:09:14 0
#3 kanaris uid#1
Ведь в случае заражения самого устройства
Ну в таком случае сорянчик. "Мы делали что могли".
всё больше движется в сторону двухэтапного а то и трёхэтапного
Зарегился на порно-трекере, захотелось передернуть. Заходишь на сайт, а там помимо логин-пароля: пришлите скан паспорта, авторизацию по смс, фото с паспортом в руках на фоне страницы, код активации с запасного мыла, введите домашний адрес для верификации личности... Данунах, лучше подрочу на свои воображения.
Блин, да а вообще это маразм, ваша трехфакторная авторизация. Когда я захожу на подобные сайты, я убить готов админов.
И скорее всего в ближайшем будушем, аккаунт привяжут полностью , к железу , браузеру, ипу, и телефону ..
И снова критика. Девайсы сейчас меняют как гондоны. Айпишники далеко не постоянны, а тем более переход на ipv6. То есть при каждом заходе с нового устройства будет срабатывать 100500 проверок? Да и разработку антифрода такой сложности не каждый разработчик может себе позволить, особенно наблюдая, как сейчас вообще организовывают сайты, где даже по простому логин-паролю не всегда реально авторизоваться (вечно баги какие-то). Даже в ебаном Кивасе.
что анонимности и свободе в сети , скорее всего скоро придёт конец..
cypherpunks not dead!
ввести регу по паспорту в соц.сетях (вк например) и тд..К тому же уже давно ходят слухи о так называемом "едином документе"
Не ну это только в РФ такое допустимо, раз пакеты яровой пропихнули, то и "единый" документ с радостью примут, никто ж не хочет стать террористом и изменником родины.
Типа как ты говоришь "флешки" , и без которой ни хрена не сможешь ни в аккаунт войти, ни в ноутбук, ни купить, ни продать..
Ну теоретически можно сделать опенсорсную девайсину, которая не будет никак тебя идентифицировать, но сможет расшифровывать информацию, зашифрованную твоим открытым ключом. Потипу Trezor у биткоина, загугли.

Вообще у тебя какой-то параноидальный, пессимистичный и антиутопичный пост. Я таким был в 2010 году, особенно после просмотров роликов, сорт оф "Дух времени", "Большое американское шоу", ... Но сейчас, с появлением таких людей, как Ассандж, Сноуден, да и вообще деятелей опенсорса; таких проектов, как тор, биткоин, у меня более оптимистичный настрой. Я заметил, что чем больше закручивают гайки, тем зубастее становятся разные шифропанковские инструменты и больше растет курс криптовалют. Да, 95% людей бараны и согласятся идти на скотобойню, тем не менее, большинство НИЧЕГО НЕ РЕШАЕТ. А решает именно интеллектуальное меньшинство, которое и ведет за собой это стадо баранов. Так что не парься, не думаю, что наступит тотальный контроль.
09:36:19 0
3 июня 2017
#4 MyP3uk uid#1395
Классическая привычная всем система авторизации по паре "логин - пароль" все еще не устарела— kanaris
Не совсем корректно. Устарела не система авторизации, просто мы постепенно перешли к аутентификации. Погляди, что делают гиганты - Google, Apple - биометрическая аутентификация. Это даже не будущее, это уже реальность.
23:19:15 0
5 июня 2017
#5 kanaris uid#1 Вот пугает, что к этому все идет. 01:13:00 0
9 июля 2017
#6 MyP3uk uid#1395 Это просто результат интеграции ИТ в общество 01:21:50 0
#7 MyP3uk uid#1395 Я всё жду рассвет нейроинтерфесов и более тесного внедрения биометрии это должно быть интересно очень. Вот глянь, несколько юскейсов, некоторые уже имеются:
  1. Использование гаджетов станет просто максимально удобным, можно вести машину и писать сообщение жене даже не произнося его вслух
  2. Ограниченные люди (слабое зрение или слух) перестанут быть таковыми
  3. Безопасность личных данных обеспечивается максимально качественно и мой смартфон может разблокировать только моим пальцем (причем неизвестно каким именно и на какой руке)
Мне кажется это здорово, а там какие-то слежки и прочая херотень будет всегда, нам еще повезло в СНГ находится, у нас руки развязаны, а посмотри что в штатах и Европе - там жестче в этом плане.
01:38:13 0
10 июля 2017
#8 sermax uid#6072
Вот пугает, что к этому все идет.
Мне кажется это здорово, а там какие-то слежки и прочая херотень будет всегда, нам еще повезло в СНГ находится, у нас руки развязаны, а посмотри что в штатах и Европе - там жестче в этом плане.
Канарис прав в чём то..не то что бы "пугает". Но тенденция именно такая , что электронные гаджеты и средства , настолько прочно уже интегрировались в жизнь. Что современного человека уже сложно представить без сотового и кредитки. Отсюда и смена методов авторизации , с традиционного логин-пароль, на аунтефикацию . Ведь если раньше авторизация допустим на сайте, использовалась не столько для безопастности юзера, сколько для безопастности и приватности доступа ,самого сайта. То сейчас IT-технологии стали чем то обычным , что являются практически "частью личности" отдельно взятого индивида. К примеру ,ещё лет 5-7 назад ,вопрос "а у тебя есть сотовый?" , звучал нормально и уместно, по тому как далеко не у всех они были. А сейчас люди уже просто спрашивают "у тебя номер какой", то есть уже на уровне подсознания , "определяют" того или иного человека , по признакам "лицо круглое ,волосы тёмные, зовут вася,телефон билайн", и гаджет в сознании ,уже как бы "часть" того или иного человека вроде как рука или нога, а номер её отличительные признаки ,как рост или вес..
И так же с многими другими вещами , и явлениями в сфере IT , это и интернет банкинг масса людей уже не представляют себя без кредиток, И профили в соц сетях, ставших для многих частью реальной жизни.(вспомнить хотя бы тот не давний дурной хайп с "синими китами" , и прочую чушь) И в силу того что общество потребителей , требует всё больше и больше "удобных вещей" для собстенного комфорта, а производители имеют с каждым годом всё большую конкуренцию. Число "персонализированных" устройств и софта , будет расти. Не удивлюсь даже ,если в будущем , появится что то вроде индивидуальной Оп.системы , которая будет управлять всеми устройствами и данными принадлежащим одному человеку. И что "выдаваться" она ему будет при рождении и служить чем то вроде теперешних документов..
23:18:43 0
12 июля 2017
#9 kanaris uid#1
Я всё жду рассвет нейроинтерфесов и более тесного внедрения биометрии это должно быть интересно очень. Вот глянь, несколько юскейсов, некоторые уже имеются:— MyP3uk
Вот про биометрию поподробнее. Каким боком она вообще относится к тому, что ты перечислил?
масса людей уже не представляют себя без кредиток— sermax
К сожалению 95% не представляет. Я представляю. Люди выменяли свою свободу на удобство.
Не удивлюсь даже ,если в будущем , появится что то вроде индивидуальной Оп.системы , которая будет управлять всеми устройствами и данными принадлежащим одному человеку. И что "выдаваться" она ему будет при рождении и служить чем то вроде теперешних документов..— sermax
худшее будущее, чем в "Терминаторе"
00:11:33 0
15 июля 2017
#10 MyP3uk uid#1395
Вот про биометрию поподробнее. Каким боком она вообще относится к тому, что ты перечислил?— kanaris
Это самая что есть аутентификация :)
Безопасность личных данных обеспечивается максимально качественно и мой смартфон может разблокировать только моим пальцем (причем неизвестно каким именно и на какой руке)— MyP3uk
12:12:48 0
#11 kanaris uid#1
(причем неизвестно каким именно и на какой руке)
Это разве сложно сбрутфорсить криптоанализаторам? :-D
10:18:38 0
Следующие сообщения
*Ник: Проверка уникальности... Если вы уже зарегистрированы, авторизуйтесь.
*Сообщение:
  Загрузка...