[Users] Про пароли
Кондаков Роман
support на cs.msu.ru
Вс Окт 21 18:05:20 MSK 2018
Добрый день, пользователи почтовой службы ВМК!
По поводу паролей, откуда их могли узнать и чем это грозит.
Сразу скажу, что не грозит ни чем.
Чтобы подключиться к вашему компьютеру, надо чтобы была запущена служба
входа,
компьютер имел внешний адрес (выданный только ему), был известен логин
входа и пароль.
Поэтому даже если вы напишете свой пароль всюду, зайти к вам на личный
ноутбук/компьютер
злоумышленник не сможет.
Немного особняком стоят службы типа Anydesk/Teamviewer (не требуется
внешний адрес), но
1. их надо отдельно поставить и запустить (используйте официальные
дистрибутивы, а не что-то вида ZverCD)
2. логин там, как правило, не совпадает с обычным,
3. пароль, как правило, случайный.
Теперь откуда берутся пароли у злоумышленников.
Очень редко, что пароль можно подобрать напрямую через почтовый сервер.
Хотя какая-то вероятность этого есть, но для этого надо либо
догадываться, как человек составляет пароли,
либо чтобы он использовал простой пароль (123456, или совпадающий с
логином).
Чаще же пользователь придумывает сложный пароль (прямым перебором
который быстро не подобрать), но использует его для разных сервисов.
Проблема в том, что был взломан ряд крупных старых сервисов (например,
qip).
Почти любой интернет-сервис (форум, соцсеть, картинки, конференции и
т.д.) хотят от вас почту и какой-нибудь пароль.
Если администраторы/архитекторы сервиса безответственно подходят к этому
вопросу, то пароль в их базе будет храниться
в открытом или восстановимом виде, поэтому достаточно, чтобы бекап или
дамп базы данных попал в плохие руки.
После этого нужно лишь поискать поля «password» или аналогичные, и
«email»/«login».
Для примера: в нашей базе аутентификации почты ваш пароль хранится в
виде значения необратимой хеш-функции,
для примера слово «support» может представляться в ней как:
Qx0KWc1B4W0lyql6H6ECZ2XJxHK+00Ze
qb5hZq59vNAkS0H3ssZRCZ/pY+9tXAJ4
5cu5zxbEtrB/zJ8po98520Ly4nHtj3XU
(используется защита от перебора по словарю (схема с «солью»), поэтому
строки получаются разные, но слово одно).
Если вы вдруг такой пользователь, что использует один пароль, то
рекомендуется от такой схемы уйти и пароли сменить.
Теперь на что менять.
Варианта тут два:
1. использовать случайные/уникальные пароли и хранить в защищенном
месте.
2. Если уж совсем сложно использовать совсем уникальные, то добавлять к
паролю суффикс/префикс, связанные с сервисом.
2.1 Тут, конечно, есть аналогичная проблема, что если злоумышленник
хочет насолить именно вам, то он может найти
в взломанных базах пароли, понять способ создания и т.д., поэтому даже в
этом схеме старайтесь использовать разные основы,
скажем, по уровню серьезности/доверия к сервису.
Кстати, браузер/почтовый клиент умеет хранить ваши пароли с шифрованием
(через мастер-пароль), поэтому если храните в них,
то используйте эту возможность, тогда без вас пароли просто так (без
подбора мастер-пароля) не получить.
--
Служба техподдержки факультета ВМК
Основной системный администратор факультета, Роман Кондаков
Подробная информация о списке рассылки Users