[Users] Про пароли

[Кондаков Роман]

    Добрый день, пользователи почтовой службы ВМК!

По поводу паролей, откуда их могли узнать и чем это грозит.

Сразу скажу, что не грозит ни чем.

Чтобы подключиться к вашему компьютеру, надо чтобы была запущена служба 
входа,
компьютер имел внешний адрес (выданный только ему), был известен логин 
входа и пароль.
Поэтому даже если вы напишете свой пароль всюду, зайти к вам на личный 
ноутбук/компьютер
злоумышленник не сможет.

Немного особняком стоят службы типа Anydesk/Teamviewer (не требуется 
внешний адрес), но
1. их надо отдельно поставить и запустить (используйте официальные 
дистрибутивы, а не что-то вида ZverCD)
2. логин там, как правило, не совпадает с обычным,
3. пароль, как правило, случайный.

Теперь откуда берутся пароли у злоумышленников.

Очень редко, что пароль можно подобрать напрямую через почтовый сервер.
Хотя какая-то вероятность этого есть, но для этого надо либо 
догадываться, как человек составляет пароли,
либо чтобы он использовал простой пароль (123456, или совпадающий с 
логином).

Чаще же пользователь придумывает сложный пароль (прямым перебором 
который быстро не подобрать), но использует его для разных сервисов.

Проблема в том, что был взломан ряд крупных старых сервисов (например, 
qip).
Почти любой интернет-сервис (форум, соцсеть, картинки, конференции и 
т.д.) хотят от вас почту и какой-нибудь пароль.
Если администраторы/архитекторы сервиса безответственно подходят к этому 
вопросу, то пароль в их базе будет храниться
в открытом или восстановимом виде, поэтому достаточно, чтобы бекап или 
дамп базы данных попал в плохие руки.
После этого нужно лишь поискать поля «password» или аналогичные, и 
«email»/«login».

Для примера: в нашей базе аутентификации почты ваш пароль хранится в 
виде значения необратимой хеш-функции,
для примера слово «support» может представляться в ней как:

Qx0KWc1B4W0lyql6H6ECZ2XJxHK+00Ze
qb5hZq59vNAkS0H3ssZRCZ/pY+9tXAJ4
5cu5zxbEtrB/zJ8po98520Ly4nHtj3XU
(используется защита от перебора по словарю (схема с «солью»), поэтому 
строки получаются разные, но слово одно).

Если вы вдруг такой пользователь, что использует один пароль, то 
рекомендуется от такой схемы уйти и пароли сменить.

Теперь на что менять.

Варианта тут два:

1. использовать случайные/уникальные пароли и хранить в защищенном 
месте.

2. Если уж совсем сложно использовать совсем уникальные, то добавлять к 
паролю суффикс/префикс, связанные с сервисом.
2.1 Тут, конечно, есть аналогичная проблема, что если злоумышленник 
хочет насолить именно вам, то он может найти
в взломанных базах пароли, понять способ создания и т.д., поэтому даже в 
этом схеме старайтесь использовать разные основы,
скажем, по уровню серьезности/доверия к сервису.


Кстати, браузер/почтовый клиент умеет хранить ваши пароли с шифрованием 
(через мастер-пароль), поэтому если храните в них,
то используйте эту возможность, тогда без вас пароли просто так (без 
подбора мастер-пароля) не получить.

-- 
Служба техподдержки факультета ВМК
Основной системный администратор факультета, Роман Кондаков