Перейти к содержанию

Компонент управления паролями в KIS


Рекомендуемые сообщения

Поразмышляв над тем, какой аспект является наиболее важным с точки зрения безопасности в Интернете, и при этом абсолютно слабо поддерживаемым на уровне Kaspersky Internet Security, пришел к выводу, что это именно управление паролями.

 

Единственная функция, которая лично для меня абсолютно бесполезна, и при этом связана прежде всего с безопасностью паролей - это "виртуальная клавиатура". Внимание, вопрос - почему разработчики не пошли дальше, и никак не помогают пользователям управлять безумным множеством паролей, с которым приходится сталкиваться при работе в интернете? А ведь именно у продуктов класса "Internet Security" все возможности и право взять на себя ответственность и помочь пользователям безопасно работать с паролями:

 

1. Создавать безопасные пароли;

2. Обеспечить резервное копирование (по выбору пользователя; раз уж тот же Symantec в Total Security обеспечивает backup данных, и ЛК тоже планирует что-то похожее добавить (сервис резервного копирования), то уж что-то, а пароли стоило бы сохранить в интересах же пользователей, безопасным образом);

3. Обеспечить соблюдение политик пересоздания паролей, которые могут быть необходимы (это больше для enterprise-продуктов, но и для KIS могло бы быть полезным);

4. Обеспечить (полу)автоматический и безопасный способ ввода паролей, с использованием уже имеющихся механизмов интеграции с ОС и браузерами.

 

Конечно, можно сказать, что мол управление паролями - это другая песня, другая ниша. Но я не вижу ни одной разумной причины для того, чтобы нарушить стандартную классификацию продуктов и разделение их по нишам и не добавить такой модуль в KIS.

 

На текущий момент, именно за счет отсутствия полноценного решения, мне, как пользователю, приходится полагаться в управлении паролями на ОС, возможности браузера и дополнительные программы. На текущий момент у меня в использовании находится 120 паролей, при этом я хочу сказать, что я еще не самый активный пользователь сетевых сервисов. Т.е. можно ожидать, что типичный Интернет-пользователь регистрируется на десятках ресурсов минимум, и, скорее всего, использует одинаковые пароли. За примерами последствий далеко ходить не нужно: "Крупнейшая кража корпоративных документов Twitter" (http://habrahabr.ru/blogs/infosecurity/64516/).

 

Такой компонент, как мне кажется, был бы на порядок важнее многих уже реализованных компонентов для обычных пользователей. Взять ту же "песочницу". Да, модная штука. Да, конкуренты используют. Но многим пользователям такие возможности существенно менее полезны, IMHO.

Ссылка на комментарий
Поделиться на другие сайты

MedvedevUnited,

 

Спасибо за ссылку. Хотя статья написана в 2007-м году, многое из нее все еще актуально. Позволю себе слегка откомментировать, дополнив свой же пост выше:

 

- В статье упоминаются способы утечки конфиденциальной информации (правильнее будет назвать это рисками) 3х типов - фишинг, программы-шпионы ("Trojan-Spy") и программы-воры ("Trojan-PSW").

 

От указанных способов защита в KIS присутствует. Однако я выше говорю о риске четвертого типа - потеря данных вследствие неспособности пользователя эффективно управлять большим количеством паролей, в результате чего пользователи, в большинстве своем, вынуждены использовать одинаковые пароли. Т.е. часто и единственный пароль не слишком безопасен, но когда он еще и используется для доступа к множеству систем одновременно - уровень защищенности пользователя также падает многократно.

 

- Упомянутый способ защиты конфиденциальных данных, использованный в продуктах Symantec. Полностью согласен с автором, не вижу смысла использовать описанный в статье подход.

 

Предлагаемый мной способ решения проблемы управления паролями не подвержен описанным в статье недостаткам, потому как вместо попыток контроля посылаемого в сеть содержимого реализуется защита самих паролей и способов их использования пользователями, с пользователя снимается ответственность за хранение и ввод паролей. Это дает существенно больше возможностей для защиты, в том числе на защищенных (httpS) сайтах, и не только на сайтах (пароли к почтовым программам, IM-клиентам и проч.)

 

- Упомянутый в статье риск атаки на сам компонент, защищаемый конфиденциальные данные. Это конечно должно отпугивать разработчиков от попыток разработать такой компонент, по той приичне, что репутационные и иные риски возрастают многократно. Замечу, что:

 

a. Для пользователя, IMHO, так будет все равно лучше - KIS, даже будучи целью атак хакеров (которым он является и так многие годы), все еще сможет выполять указанную задачу существенно эффективнее, чем существующее ПО и пользователь;

b. Механизм обновления позволяет дать пользователям уровень защиты, который не доступен для любого другого решения управления паролями (декодировали хакеры формат хранения паролей - а тут уже через обновление пользователям пришла новая версия с новым форматом, которую можно даже заранее написать ;))

c. Если хорошо подумать над решением задачи, можно придумать и другие принципиальные способы решения проблемы. Например, не хранить пароли у пользователя вообще (по его выбору и желанию), а хранить только удаленно, давая запрашивать не более чем 2 пароля в минуту. Мы же движемся в сторону "облачных" решений, как-никак :)

 

- Упомянутый в статье "альтернативный" подход блокирования вредоносного ПО на ранних этапах. Тут замечу, что, как часто говорит ЛК, хорошая защита должна быть многоуровневой. Поэтому не вижу причин не дополнить уже имеющиеся механизмы - ничто не мешает совместить все имеющиеся технологии защиты (которые уже есть) с дополнительным уровнем защиты в виде существенно более безопасного (по сравнению со встроенными в Windows стандартными решениями, стандартными механизмами управления паролями в браузерах и стронних программах) управления паролями.

 

Не будем забывать, что безопасность паролей дает защиту пользователям существенно за границами его работы на конкретном компьютере. Так что если взвесить все плюсы и минусы, то получится, что такой компонент все-таки повысил бы уровень защиты пользователей.

Изменено пользователем SergeyUser
Ссылка на комментарий
Поделиться на другие сайты

Хочу попросить модераторов перенести тему в форум "Задай вопрос Е.К.", где я ее исходно и разместил. Я прежде всего хотел спросить мнение у Е.К. Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Если имеется в виду создание модуля сохранения введенного пароля для определенного сайта, то идея неудачная. Почему?

Потому что, скажем, после удаления продукта пароли тоже удалятся и начнутся претензии. Если пользователь сам введет свой пароль на фишинг-сайте или в какой-нибудь троянской программе и пароли отошлются, то опять посыплются претензии...

Доступ к личным данным пользователя отслеживается (Настройки Контроля приложений - Персональные данные - Интернет браузеры)

 

В Outpost Firewall вроде была интересная функция по предотвращению передачи указанных личных данных, вот нечто подобное реализовать в KIS было бы не плохо.

Ссылка на комментарий
Поделиться на другие сайты

В Outpost Firewall вроде была интересная функция по предотвращению передачи указанных личных данных, вот нечто подобное реализовать в KIS было бы не плохо.

Да она там так и есть, никуда не делось. Очень хорошее решение, с точки зрения безопасности пользователя.

Ссылка на комментарий
Поделиться на другие сайты

Если имеется в виду создание модуля сохранения введенного пароля для определенного сайта, то идея неудачная. Почему?

Потому что, скажем, после удаления продукта пароли тоже удалятся и начнутся претензии. Если пользователь сам введет свой пароль на фишинг-сайте или в какой-нибудь троянской программе и пароли отошлются, то опять посыплются претензии...

Доступ к личным данным пользователя отслеживается (Настройки Контроля приложений - Персональные данные - Интернет браузеры)

 

В Outpost Firewall вроде была интересная функция по предотвращению передачи указанных личных данных, вот нечто подобное реализовать в KIS было бы не плохо.

 

Предполагается создание резервной копии где-то там, далеко, на безопасных серверах, которые выживут даже после ядерной войны ;) И уж тем более переустановку продукта они переживут.

 

От фишинговых сайтов защита реализована в отдельном модуле.

 

Претензии конечно могут быть всегда, но они и есть сейчас, потому что любой антивирус может какую-то часть вирусов не поймать? Так и что с того? Это нормально, главное решить задачу лучше, чем это сейчас делает сам пользователь (а решает он ее на текущий момент очень и очень неэффективно). Объем воруемых паролей просто космический, а так утечек будет меньше на порядок.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 months later...

Что скажут эксперты на появление аналогичной функции в Norton Internet Security 2010 (http://www.symantec.com/norton/internet-security)? Все еще сомневаемся, что добавление этой функции - плохая идея? Я пользуюсь продуктами ЛК, и очень хотел бы, чтобы в данном случае ЛК просто скопировала эту функцию себе. Похоже, она была и в версии 2009, не заметил ранее.

 

Единственно, что я бы совместил backup на online-сервис для версии Total, а не в файлах все хранил, это позволило бы повысить надежность решения, а при правильной реализации - и безопасность.

 

Кто-то пользовался, может поделиться впечатлениями? По-моему, это очень серьезная штука. Из-за того, что KIS не поддерживает такую возможность, мне приходится использовать отдельную программу для хранения более 100 персональных паролей, которые я бы с большим спокойствием доверил именно KIS.

Ссылка на комментарий
Поделиться на другие сайты

Помнится кто-то доказывал из ЛК (наверное, специально :)), что невозможно сделать базу доверенных программ из-за размера, как в АВЗ, а в итоге в 8-ке это сделали :lol:

Ссылка на комментарий
Поделиться на другие сайты

Помнится кто-то доказывал из ЛК (наверное, специально :)), что невозможно сделать базу доверенных программ из-за размера, как в АВЗ, а в итоге в 8-ке это сделали :lol:

sergio342, а в восьмерке разве KIS только локальную базу использует, а не обращается к БД ЛК в интернете?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ska79
      От ska79
      Хочу удалить phone master со смартфона, если это сделаю исчезнет пункт управление автозапуском из настроек т.к. андроид 13 go. Более нигде в настройках пункт автозапуск не обнаружил.
      Какие приложения менеджеры автозапуска существуют? критерии не требовало для себя лишних разрешений, не "стучало" в сеть
    • Владимир_032
      От Владимир_032
      Добрый день.
       
      Стажеру надо дать права на добавление/удаление флешек из списка "Доверенные устройства" в "Контроль безопасности" - "Контроль устройств".
      Подскажите, какую роль я должен ему прописать?
      Сейчас есть роль "Оператор сервера администрирования", но вышеуказанный функционал он только видит, править не может.
      У пользователя на скриншоте выделенные команды не активны.

    • adminuniscan
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • rumslava
      От rumslava
      Добрый день,
      У нас используется лицензия Kaspersky Endpoint Security для бизнеса Стандартный
      После обновления KES до версии 12.6 на серверных ОС стали недоступны некоторые компоненты:
      - Контроль устройств;
      - Контроль приложений;
      - Веб контроль;
      - Защита от веб угроз;
      - Защита от почтовых угроз.
      Из-за этого значок Касперского в трее подсвечен теперь серым цветом, что немного раздражает. Как это исправить? Произошли какие-то изменения в лицензионной политике серверных ОС?  На клиентских ОС такой проблемы не наблюдается. 
×
×
  • Создать...