Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

Хан Соло встал на защиту персональных данных

21.01.2017 /
Прочитать позже

    Отправим материал на:

    Имя одного из главных героев «Звездных войн» вошло в список самых популярных паролей за прошлый год. Рейтинг составила калифорнийская компания SplashData. В топ-25 оказалось и само название фильма на английском языке — Star Wars. При этом из перечня худших комбинаций вылетели слова Superman и Batman. Подробности — у Альбины Хазеевой.

    Верхние строчки антирейтинга прочно удерживают набор цифр от 1 до 6 и, собственно, слово «пароль» — password. В списке остается знаменитое qwerty, названия популярных видов спорта — football и baseball, — а также слова dragon, master, monkey и сочетание letmein – «позволь мне войти». В числе новых участников — welcome, login и princess. Компания SplashData составляет топ-25 каждый год. В перечень попадают комбинации, которые чаще всего встречаются в базах украденных паролей. Если секретное слово пользователя совпадает с одним из перечисленных вариантов, можно считать, что защиты у него нет вовсе. Взломать можно и более сложные пароли, но на это уйдет гораздо больше времени, отметил гендиректор компании Digital Security Илья Медведовский.

    «Перебором паролей занимаются стандартные программы — этим программам уже более 20 лет. Чем пароль, с одной стороны, более стойкий, то есть чем больше там символов, спецсимволов и чем более стойкий там криптоалгоритм — сам алгоритм, с помощью которого все это дело происходит, — тем сложнее подобрать пароль, тем просто дольше это занимает времени», — пояснил Медведовский.

    Хорошим паролем можно назвать комбинацию как минимум из десяти символов. Желательно не использовать слова, даже если некоторые буквы в них заменены цифрами, и известные цитаты. По данным исследования инженерной школы EURECOM и лаборатории Symantec, наиболее надежные сочетания содержат не только числа и заглавные буквы, но и специальные символы — @, # или $. Правда, и запомнить такой пароль будет сложнее. Специалисты по информационной безопасности рекомендуют использовать менеджеры паролей. Клиентам таких сервисов нужно знать лишь одну комбинацию — так называемый «мастер-пароль», сообщил главный редактор журнала «Хакер» Илья Русанен.

    «Когда вы заводите новый сервис, допустим, регистрируетесь на «ВКонтакте», вы заходите в менеджер паролей, он генерирует вам значение по специальному рецепту. Соответственно, вы этот пароль вбиваете на «ВКонтакте», после этого он запоминает пароль для этого сайта и сохраняет его в хранилище. В следующий раз, когда вам нужно зайти на сайт, залогиниться, вы просто вводите мастер-пароль, и после этого программа определяет, что вы на сайте «ВКонтакте», ищет в своей базе сохраненные логин-пароль, вбивает — соответственно, вам его не нужно запоминать», — рассказал Русанен.

    Хранилища паролей обычно надежно защищены, однако были примеры успешного взлома и этих сервисов. Эксперты советуют отдавать предпочтение тем менеджерам, которые хранят данные в компьютере клиента, а не в «облаке». Однако часто взлом происходит не по вине пользователя: пароли оказываются в открытом доступе из-за недостатков конкретных сайтов и сервисов. Об этом заявил заместитель технического директора Positive Technologies Дмитрий Кузнецов.

    «Вы сами можете заметить: в большинстве случаев, когда вы пытаетесь восстановить пароль, вам сам пароль не восстанавливают — вам присылают ссылку, по которой вы можете создать новый пароль. Это нормальная ситуация, потому что пароль хранится в необратимом виде, и сама информационная система этот пароль не знает. Но очень часто вы сталкиваетесь с ситуацией, когда вы запрашиваете восстановление пароля, и вам присылают ваш собственный пароль. Это означает, что ваш пароль хранится в базе данных в открытом виде — в виде простого текста. Если в такой информационной системе, не дай бог, есть уязвимость, то эти пароли просто выдернут из базы данных информационной системы. Статистика как раз чаще всего составляется по таким взломанным инфосистемам», — отметил Кузнецов.

    Именно по этой причине актуальным остается правило «один аккаунт — один пароль». Тогда в случае хакерской атаки данные пользователя в других информационных системах останутся под защитой. Крупные IT-компании начинают предлагать технологии, которые позволяют вообще не пользоваться паролями. К примеру, клиенты почтового сервиса Yahoo в США могут зарегистрировать номер телефона, на который приходят сообщения с одноразовыми ключами к профилю. Похожую систему сейчас тестирует и Google.

     

    Оригинал: http://www.kommersant.ru/doc/2896517

    Больше интересных статей

    Мы используем куки. Никогда такого не было, объясните

    ОК