Компонент управления паролями в KIS

[SergeyUser]

Поразмышляв над тем, какой аспект является наиболее важным с точки зрения безопасности в Интернете, и при этом абсолютно слабо поддерживаемым на уровне Kaspersky Internet Security, пришел к выводу, что это именно управление паролями.

 

Единственная функция, которая лично для меня абсолютно бесполезна, и при этом связана прежде всего с безопасностью паролей - это "виртуальная клавиатура". Внимание, вопрос - почему разработчики не пошли дальше, и никак не помогают пользователям управлять безумным множеством паролей, с которым приходится сталкиваться при работе в интернете? А ведь именно у продуктов класса "Internet Security" все возможности и право взять на себя ответственность и помочь пользователям безопасно работать с паролями:

 

1. Создавать безопасные пароли;

2. Обеспечить резервное копирование (по выбору пользователя; раз уж тот же Symantec в Total Security обеспечивает backup данных, и ЛК тоже планирует что-то похожее добавить (сервис резервного копирования), то уж что-то, а пароли стоило бы сохранить в интересах же пользователей, безопасным образом);

3. Обеспечить соблюдение политик пересоздания паролей, которые могут быть необходимы (это больше для enterprise-продуктов, но и для KIS могло бы быть полезным);

4. Обеспечить (полу)автоматический и безопасный способ ввода паролей, с использованием уже имеющихся механизмов интеграции с ОС и браузерами.

 

Конечно, можно сказать, что мол управление паролями - это другая песня, другая ниша. Но я не вижу ни одной разумной причины для того, чтобы нарушить стандартную классификацию продуктов и разделение их по нишам и не добавить такой модуль в KIS.

 

На текущий момент, именно за счет отсутствия полноценного решения, мне, как пользователю, приходится полагаться в управлении паролями на ОС, возможности браузера и дополнительные программы. На текущий момент у меня в использовании находится 120 паролей, при этом я хочу сказать, что я еще не самый активный пользователь сетевых сервисов. Т.е. можно ожидать, что типичный Интернет-пользователь регистрируется на десятках ресурсов минимум, и, скорее всего, использует одинаковые пароли. За примерами последствий далеко ходить не нужно: "Крупнейшая кража корпоративных документов Twitter" (http://habrahabr.ru/blogs/infosecurity/64516/).

 

Такой компонент, как мне кажется, был бы на порядок важнее многих уже реализованных компонентов для обычных пользователей. Взять ту же "песочницу". Да, модная штука. Да, конкуренты используют. Но многим пользователям такие возможности существенно менее полезны, IMHO.

[MedvedevUnited]

Здравствуйте.

 

Думаю, уместной будет ссылка на эту статью.

[SergeyUser]

MedvedevUnited,

 

Спасибо за ссылку. Хотя статья написана в 2007-м году, многое из нее все еще актуально. Позволю себе слегка откомментировать, дополнив свой же пост выше:

 

- В статье упоминаются способы утечки конфиденциальной информации (правильнее будет назвать это рисками) 3х типов - фишинг, программы-шпионы ("Trojan-Spy") и программы-воры ("Trojan-PSW").

 

От указанных способов защита в KIS присутствует. Однако я выше говорю о риске четвертого типа - потеря данных вследствие неспособности пользователя эффективно управлять большим количеством паролей, в результате чего пользователи, в большинстве своем, вынуждены использовать одинаковые пароли. Т.е. часто и единственный пароль не слишком безопасен, но когда он еще и используется для доступа к множеству систем одновременно - уровень защищенности пользователя также падает многократно.

 

- Упомянутый способ защиты конфиденциальных данных, использованный в продуктах Symantec. Полностью согласен с автором, не вижу смысла использовать описанный в статье подход.

 

Предлагаемый мной способ решения проблемы управления паролями не подвержен описанным в статье недостаткам, потому как вместо попыток контроля посылаемого в сеть содержимого реализуется защита самих паролей и способов их использования пользователями, с пользователя снимается ответственность за хранение и ввод паролей. Это дает существенно больше возможностей для защиты, в том числе на защищенных (httpS) сайтах, и не только на сайтах (пароли к почтовым программам, IM-клиентам и проч.)

 

- Упомянутый в статье риск атаки на сам компонент, защищаемый конфиденциальные данные. Это конечно должно отпугивать разработчиков от попыток разработать такой компонент, по той приичне, что репутационные и иные риски возрастают многократно. Замечу, что:

 

a. Для пользователя, IMHO, так будет все равно лучше - KIS, даже будучи целью атак хакеров (которым он является и так многие годы), все еще сможет выполять указанную задачу существенно эффективнее, чем существующее ПО и пользователь;

b. Механизм обновления позволяет дать пользователям уровень защиты, который не доступен для любого другого решения управления паролями (декодировали хакеры формат хранения паролей - а тут уже через обновление пользователям пришла новая версия с новым форматом, которую можно даже заранее написать )

c. Если хорошо подумать над решением задачи, можно придумать и другие принципиальные способы решения проблемы. Например, не хранить пароли у пользователя вообще (по его выбору и желанию), а хранить только удаленно, давая запрашивать не более чем 2 пароля в минуту. Мы же движемся в сторону "облачных" решений, как-никак

 

- Упомянутый в статье "альтернативный" подход блокирования вредоносного ПО на ранних этапах. Тут замечу, что, как часто говорит ЛК, хорошая защита должна быть многоуровневой. Поэтому не вижу причин не дополнить уже имеющиеся механизмы - ничто не мешает совместить все имеющиеся технологии защиты (которые уже есть) с дополнительным уровнем защиты в виде существенно более безопасного (по сравнению со встроенными в Windows стандартными решениями, стандартными механизмами управления паролями в браузерах и стронних программах) управления паролями.

 

Не будем забывать, что безопасность паролей дает защиту пользователям существенно за границами его работы на конкретном компьютере. Так что если взвесить все плюсы и минусы, то получится, что такой компонент все-таки повысил бы уровень защиты пользователей.

Изменено 26 июля, 2009 пользователем SergeyUser

[SergeyUser]

Хочу попросить модераторов перенести тему в форум "Задай вопрос Е.К.", где я ее исходно и разместил. Я прежде всего хотел спросить мнение у Е.К. Спасибо.

[Ummitium]

Если имеется в виду создание модуля сохранения введенного пароля для определенного сайта, то идея неудачная. Почему?

Потому что, скажем, после удаления продукта пароли тоже удалятся и начнутся претензии. Если пользователь сам введет свой пароль на фишинг-сайте или в какой-нибудь троянской программе и пароли отошлются, то опять посыплются претензии...

Доступ к личным данным пользователя отслеживается (Настройки Контроля приложений - Персональные данные - Интернет браузеры)

 

В Outpost Firewall вроде была интересная функция по предотвращению передачи указанных личных данных, вот нечто подобное реализовать в KIS было бы не плохо.

[Nesser]

В Outpost Firewall вроде была интересная функция по предотвращению передачи указанных личных данных, вот нечто подобное реализовать в KIS было бы не плохо.

Да она там так и есть, никуда не делось. Очень хорошее решение, с точки зрения безопасности пользователя.

[SergeyUser]

Если имеется в виду создание модуля сохранения введенного пароля для определенного сайта, то идея неудачная. Почему?

Потому что, скажем, после удаления продукта пароли тоже удалятся и начнутся претензии. Если пользователь сам введет свой пароль на фишинг-сайте или в какой-нибудь троянской программе и пароли отошлются, то опять посыплются претензии...

Доступ к личным данным пользователя отслеживается (Настройки Контроля приложений - Персональные данные - Интернет браузеры)

 

В Outpost Firewall вроде была интересная функция по предотвращению передачи указанных личных данных, вот нечто подобное реализовать в KIS было бы не плохо.

 

Предполагается создание резервной копии где-то там, далеко, на безопасных серверах, которые выживут даже после ядерной войны И уж тем более переустановку продукта они переживут.

 

От фишинговых сайтов защита реализована в отдельном модуле.

 

Претензии конечно могут быть всегда, но они и есть сейчас, потому что любой антивирус может какую-то часть вирусов не поймать? Так и что с того? Это нормально, главное решить задачу лучше, чем это сейчас делает сам пользователь (а решает он ее на текущий момент очень и очень неэффективно). Объем воруемых паролей просто космический, а так утечек будет меньше на порядок.

[SergeyUser]

Что скажут эксперты на появление аналогичной функции в Norton Internet Security 2010 (http://www.symantec.com/norton/internet-security)? Все еще сомневаемся, что добавление этой функции - плохая идея? Я пользуюсь продуктами ЛК, и очень хотел бы, чтобы в данном случае ЛК просто скопировала эту функцию себе. Похоже, она была и в версии 2009, не заметил ранее.

 

Единственно, что я бы совместил backup на online-сервис для версии Total, а не в файлах все хранил, это позволило бы повысить надежность решения, а при правильной реализации - и безопасность.

 

Кто-то пользовался, может поделиться впечатлениями? По-моему, это очень серьезная штука. Из-за того, что KIS не поддерживает такую возможность, мне приходится использовать отдельную программу для хранения более 100 персональных паролей, которые я бы с большим спокойствием доверил именно KIS.

[sergio342]

SergeyUser

Возможно, что в КТС это будет .

[SergeyUser]

sergio342,

 

Хорошо бы. Просто мне пытались выше доказать, что добавлять этот компонент вообще не стоит.

[sergio342]

Помнится кто-то доказывал из ЛК (наверное, специально ), что невозможно сделать базу доверенных программ из-за размера, как в АВЗ, а в итоге в 8-ке это сделали

[valet]

Помнится кто-то доказывал из ЛК (наверное, специально ), что невозможно сделать базу доверенных программ из-за размера, как в АВЗ, а в итоге в 8-ке это сделали

sergio342, а в восьмерке разве KIS только локальную базу использует, а не обращается к БД ЛК в интернете?

[sergio342]

Имелось в виду, что вообще сделали

[valet]

А, ну это да.