Определение самого безопасного и необычного способа хранения паролей
27 проголосовавших
У вас нет разрешения голосовать в этом опросе или просматривать его результаты. Пожалуйста, войдите или зарегистрируйтесь для возможности голосования в этом опросе.
-
Похожий контент
-
Автор KL FC Bot
Полагаю, на исходе первой четверти 21-го века все уже отлично понимают, что пароли пользователей к аккаунтам в онлайн-сервисах представляют собой невероятно ценную информацию и, следовательно, их защита играет ключевую роль в обеспечении конфиденциальности и безопасности данных. Несмотря на это, до сих пор не все организации хранят эти пароли должным образом.
В этом посте поговорим о том, как не стоит хранить пароли пользователей и какие методы применяют сервисы, которые всерьез относятся к безопасности.
Неправильный способ: хранение паролей в открытом виде
Самый простой способ — это запись паролей просто в базу данных в незашифрованном виде. Соответственно, при попытке пользователя аутентифицироваться остается только сравнить вводимую им цепочку символов с тем, что хранится у вас в базе.
В этом случае есть риск того, что злоумышленники смогут тем или иным способом украсть эту базу данных. Например, с помощью эксплуатации каких-либо уязвимостей в используемом для хранения данных ПО. Другой вариант — таблицу с паролями может украсть недобросовестный сотрудник с высоким уровнем доступа. Или для кражи паролей могут быть использованы утекшие или перехваченные учетные данные сотрудника. В общем, вариантов того, что может пойти не так, тут масса. Главная мысль: если хранить какие-то данные в открытом виде, то на них рано или поздно кто-то может наложить руки.
Посмотреть статью полностью
-
Автор KL FC Bot
Первый четверг мая — особенный день. Уже больше десяти лет в этот день отмечают Всемирный день пароля. Для нас в «Лаборатории Касперского» это особенный праздник — мы не устраиваем торжества и гулянки, но лишь в очередной раз напоминаем о важном. Поговорим о паролях: как их придумывать, где надежно хранить и почему «qwerty12345» — плохой пароль.
Говорить об этом точно нужно: многие люди по-прежнему используют слабые и повторяющиеся пароли (их слишком легко угадать), которые неоднократно попадали в руки хакеров. Почему так и что с этим делать — обсудим в сегодняшнем материале.
Как мы узнаем об утечках
Мы используем созданную нами глобальную сеть обмена сведениями об угрозах — Kaspersky Security Network (KSN), которая получает и обрабатывает данные о киберугрозах со всего мира. Основная масса данных поступает в деперсонализированном виде от наших клиентов на добровольной основе. Эти данные анализируются силами наших экспертов и с помощью машинного обучения, что позволяет реагировать на появление новых угроз практически в режиме реального времени, — среднее время между появлением новой угрозы и информированием о ней участников KSN составляет всего 40 секунд!
Благодаря Kaspersky Security Network мы знаем, что в 2023 году было проведено более 32 миллионов попыток атак на пользовательские пароли. В 2022 году их число было еще выше — аж 40 миллионов. То есть попытки взломать пароли пользователей во всем мире происходят чаще, чем раз в секунду! А проведенное нами в конце 2023 года исследование показало, что атаки на пароли затрагивают вовсе не только домашних пользователей. В малом бизнесе 76% опрошенных предпринимателей хотя бы раз сталкивались с киберинцидентами за последние два года, и почти четверть атак — 24% — произошли из-за использования слабых, повторяющихся или не обновленных паролей.
Посмотреть статью полностью
-
-
Автор KL FC Bot
21 февраля стало черным днем крипторынка из-за крупнейшего в истории взлома криптобиржи. Злоумышленники смогли вывести из второй по величине криптобиржи Bybit около $1,5 млрд. Ряд экспертов считает этот случай вообще крупнейшим ограблением всех времен. И хотя ни эта потеря, ни вывод еще пяти миллиардов долларов паникующими пользователями не являются фатальными для Bybit, этот инцидент ярко демонстрирует фундаментальные недостатки современной криптовалютной экосистемы и позволяет извлечь несколько ценных уроков для обычных владельцев крипты.
Как обокрали Bybit
Как и все крупные криптобиржи, Bybit использует многоуровневую защиту хранимой криптовалюты. Основные ее запасы хранятся на «холодных» кошельках, отключенных от онлайн-систем. При необходимости пополнить оборотные средства нужная сумма переводится с «холодного» кошелька на «горячий» вручную, и эту операцию подписывают несколько сотрудников одновременно. Для этого в Bybit используется решение со множественной подписью (multi-signature, multisig) от разработчика Safe{Wallet}, и каждый вовлеченный в транзакцию сотрудник ставит свою подпись при помощи личного аппаратного криптоключа Ledger.
Злоумышленники детально изучили эту систему и, по мнению независимых исследователей, скомпрометировали одного из разработчиков Safe{Wallet}. Код, который отображает страницы веб-приложения Safe{Wallet}, был, предположительно, заменен на вредоносный. Но логическая бомба в нем срабатывала, только если адрес отправителя совпадал с адресом Bybit — в остальных случаях Safe{Wallet} работал как обычно. Владельцы Safe{Wallet}, впрочем, провели собственное расследование и не соглашаются с заключением двух независимых ИБ-компаний, утверждая, что их инфраструктуру никто не взламывал.
View the full article
-
Автор Bookman
Что лучше: зубрить пароли или использовать менеджер паролей?
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника".
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти