о паролях и URLах (компьютерное, англ.)

[avva]

Любопытная статья исследователя из Майкрософта Кормака Херли:

Cormac Herley: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice By Users.

Заставляет задуматься, скажем так. Херли рассуждает о том, почему пользователи в массе своей не следуют советам профессионалов в области security: например, советов о том, как выбирать и хранить пароли, как не попадать на phishing-сайты (внимательно проверять URLи важных сайтов) итд. Он приходит к интересному выводу: пользователям может быть экономически невыгодно следовать этим советам, а администраторы недооценивают их сложность.

Подробности в статье, но особо отмечу интересное обсуждение в пункте 4.1 того, что нужно понимать про URLи, чтобы убедиться, ты на правильном сайте или на phishing-копии. Для компьютерщиков это само собой разумеется и очевидно, но мы не задумываемся обычно над тем, насколько для "обычного пользователя" это на самом деле сложная система фактов и правил.

Comments

[buddha239.livejournal.com]

Гляну, спасибо. Но заранее:) могу сказать, что мне очень было бы запарно запоминать и вводить в разные ресурсы сложные пароли - при том, что никто пока не озаботился взломом меня.

[ramil.livejournal.com]

Я так понимаю, что Вы, Анатолий, говорите "Уэрэли" (URLи)?
Забавно. Я всегда слышал и говорил только URLы.

[vyhuhol.livejournal.com]

подозреваю, что даже «юэрэли», а не у-.

[avva.livejournal.com]

Я привык говорить по-английски юэрэлз, поэтому по-русски я тоже говорю юэрэли. Почему не юэрэлы? не знаю точно, подозреваю, что иногда говорю так, иногда этак.

[rednyrg721.livejournal.com]

когда утек файл с паролями к вконтакте (50 тыщ логинов) было интересно посмотреть самые частые, вот статистика:

123456 -> 165 (0.327%)
123456789 -> 97 (0.192%)
qwerty -> 94 (0.186%)
111111 -> 71 (0.141%)
123321 -> 45 (0.089%)
1234567890 -> 45 (0.089%)
666666 -> 44 (0.087%)
7777777 -> 43 (0.085%)
1234567 -> 41 (0.081%)
123123 -> 37 (0.073%)
000000 -> 34 (0.067%)
zxcvbnm -> 30 (0.059%)
qazwsxedc -> 28 (0.055%)
12345678 -> 28 (0.055%)
qwertyuiop -> 28 (0.055%)
любовь -> 27 (0.053%)
gfhjkm -> 25 (0.049%)
654321 -> 24 (0.047%)
1q2w3e4r -> 24 (0.047%)
555555 -> 24 (0.047%)
zxcvbn -> 20 (0.040%)
1q2w3e -> 20 (0.040%)
samsung -> 20 (0.040%)

Номер телефона («8» или «7» или «+7» и 10 цифр) использовался в качестве пароля 587 раз.

[avva.livejournal.com]

да, совершенно угадываемый и знакомый списо, хотя "любовь" добавляет интересный местный колорит :)

[vasar.livejournal.com]

топ 100 "самых частых" в сумме 2% дадут? :)

[silly_sad.livejournal.com]

ну и что! это же пароли к помойному ведру! вы думаете у какого-нибудь Шнайера был бы другой пароль на этом сайте?

У меня есть специальный тривиальный пароль для всяких быдлотусовок и коллекционеров мёртвых регистраций, который отличается от всех моих хоть чуть серьёзных паролей. (кстати он НА УДИВЛЕНИЕ не попал в этот список)

[msh.livejournal.com]

Спасибо, очень интересная статья. Но я вижу flaw в рассуждениях - действительно, с экономической точки зрения *в среднем* это не выгодно, но ведь вообще никакая страховка не выгодна *в среднем*. Есть еще одна метрика - вероятность катастрофичных потерь.

Offtopic: статья - интересный пример изменения значения слова moot в современном английском языке - moot court (учебный суд, в котором тренируются lawyers) -> moot point (вопрос, совершенно неважный практически, обсуждаемый с целью тренировки) -> this point is moot (этот вопрос неважен практически) -> the benefit is entirely moot (выгода на самом деле не существует)

[gaz-v-pol.livejournal.com]

> Вообще никакая страховка не выгодна *в среднем*

Что за странная идея? Страховые компании делят людей на очень небольшое число групп (и разные страховые делят по-разному). Практически для каждой ситуации можно найти страховую компанию, которая Ваши риски оценивает неправильно и помещает Вас в дешёвую группу. На этом строится огромный бизнес страховых брокеров, отслеживающих изменения условий у страховых компаний и подбирающих для Вас оптимальный вариант.

[avva.livejournal.com]

Мне вот еще какая погрешнось в рассуждениях увиделась. Скажем, интересно замечание о том, что certificate error warnings на практике не помогают против фишеров, потому что фишеры не пользуются SSL. Но если бы этих warnings не было, то естественно фишеры бы пользовались SSL. Если воры не пытаются вообще взламывать дома, защищенные системой XYZ, и типичный сигнал тревоги от этой системы - false alarm, из этого нельзя заключить, что она не приносит пользы.

Крик души

[alexeybobkov]

Я вообще не понимаю, что делать с паролями. В каждой интернетовской подворотне требуют завести логин и пассворд. Я бы и завёл универсальных паролей штуки 4-5 (по степени секретности), так ведь нет, за меня ещё решают, сколько в них должно быть символов, сколько цифр, может или не может быть знаков препинания...
"Моя голова не помойка, оставьте меня в покое!" (C)

[gaz-v-pol.livejournal.com]

Связку ключей можно положить в сундук, и носить с собой только ключ от сундука. Есть масса программ, позволяющих генерировать и хранить сложные пароли (с учётом требований к длине и наличию/отсутствую спецсимволов). Хранить можно в файле на флешке, а можно и в интернете. Помнить достаточно лишь один мастер-пароль от программы. Желательно его выбрать посложнее, конечно :-).

[gaz-v-pol.livejournal.com]

Пока гром не грянет, мужик не перекрестится. Услугу настройки backup можно продать только тому, кто уже потерял данные. 123456 на что-то секьюрное меняет только пользователь, который из-за слабого пароля лично потерял деньги (или другую ценность, например репутацию). Пока таких мало. Для того, чтобы это вошло в привычку нужно, чтобы родители с детства приучали. Как руки мыть или на дороге в футбол не играть. Во взрослом возрасте на чужих ошибках люди практически не учатся.

[alon_68]

Имхо, правильное поведение для непопадания на пхишинг-сайты - это никогда не вводить пароль в окошко, не вызванное по вашей личной инициативе. И тогда не надо учить 25 правил проверки урлов.

[msh.livejournal.com]

Типичный phishing сайт появляется в броузере после того, как юзер самостоятельно нажимает линк в своем email, по личной инициативе

URL

[olialia.livejournal.com]

Нельзя одновременно создавать сервисы, дизайн и интерактивные сценарии которых подразумевают, что пользователю не нужно ничего знать про URL. Но при этом рассчитывать, что он этим знанием будет обладать и использовать для собственной защиты.

[os80.livejournal.com]

Тоже мне откровение. "А мужики-то и не знают".
Но вообще-то некоторые пользователи даже понятия "пароль" и "логин" не различают. Спрашиваешь "какая ваша учётная запись?" - а в ответ пароль получаешь.

[onkel-hans.livejournal.com]

А что такое "учетная запись"?
(давно хотел спросить)

[amosk.livejournal.com]

Чтобы пользователь не уклонялся от безопасных процедур, их не надо вообще доверять пользователю.

Например лучшая защита от фишинга - отсутствие паролей.
Один из вариантов - аутентификация по сертификату выдаваемому юзеру при регистрации на сайте и хранящемуся в хранилище сертификатов браузера и предоставляемому браузером после ввода пароля.
Например в таком режиме умеет работать сайт Webmoney.
Тут конечно тоже есть недостатки. Например невозможность работы с чужого компа, где нет инсталлированного сертификата.

Второй пример - программы для автоматического ввода паролей.
Это фактически мягкая реализация выше приведенного механизма сертификатов. Тут в роли сертификата юзера - пароль юзера на сайте, а в роли сертификата сайта - URL этого сайта, к которому привязан пароль. Недостатки правда те же. Но возможностей больше. Например можно создать в плагин к браузеру перехватывающий ввод имени и пароля и предупреждающий юзера если на этом хосте он еще не вводил паролей (отображая при этом например домен сайта первых 2-3 уровней без отвлекающих артефактов синтаксиса URL)

[onkel-hans.livejournal.com]

Много бед происходитт оттого, что вебсайты разрабатывают такие умные специалисты, как Вы.

[webface.livejournal.com]

Основная причина на мой взгляд в том, что пользователи знают что взлом банкинга или утечка номера кредитки им практически ничем не грозит. Все равно деньги восстановят при заявлении в банк.

[digest.livejournal.com]

Интересная статья. Но как все теоретики любят обсуждать сферическую безопасность в вакууме, мама дорогая! Сначала подсчитывают теоретическую устойчивость пароля из 8 символов разных групп, теперь пытаются подсчитать сколько микроцентов стоит запомнить/ввести символ из этого пароля :).

Дело даже не в сложной системе правил для "обычного пользователя", а в том, что сама система правил строится на скомпрометированной основе. Скомпрометированной полностью: от простейшей невозможности вывода authentic сообщения от операционной системы или приложения, сквозь чрезмерное количичество security warnings (те самые волки! волки!) и до сетевых джунглей.

Ты думаешь многие компьютерщики знают правила URL, и только ламеры попадались на штучки вроде www.paypal.com@1.2.3.4?blahblah (1.2.3.4 - IP evil.com, в качестве blahblah идет всякий мусор, с одной стороны пытающийся выглядеть типа логином, а с другой скрыть, что 1.2.3.4 - это хост, а не привычная на многих сайтах белиберда с параметрами)?

Но это опять-таки частный пример. Через год запоминания всех правил URL и сдачи пользователем экзамена вирус добавит строчку www.paypal.com 1.2.3.4 в файл hosts, о котором до сих пор знал 1 человек из миллиона, и что теперь? URL еше можно выучить, DNS и сертификаты -- no way :).

Поэтому попытки построить безопасную стальную дверь к лачуге из бумаги будут заранее а) чрезвычайно сложны и б) обречены на провал.

На фоне всего этого требование моего банка раз в 2 месяца менять пароль из 8 символов с заглавными/строчными/цифрами и спецсимволами есть невероятный идиотизм и неоправданное усложнение и без того сложной системы. И даже livejournal.com ругается, что пароль, ишь, не безопасный. Вот нахрена livejournal.com-у безопасный пароль?!

[http://users.livejournal.com/_bigbrother_/]

Вы знаете, я реально сталкивался с проблемой stealing identity в ЖЖ. И я бы сказал, что случай тот был довольно болезненным. В деньгах его оценить трудно - но и потери денег, и потери времени были, и серьёзные.

[laformica.livejournal.com]

Как раз недавно решал для себя проблему запоминания множества сложных паролей для каждого сайта, где у меня логин. Решил. Теперь все свои пароли я генерю и храню в интеренете.

Любопытная деталь: оказывается все сайты имеют разное ограничение на максимальную длину пароля, а также на допустимые символы. Так что теперь у меня обратная ситуация - многие сайты не принимают мои сложные пароли, приходится упрощать и резать.

Рекорд минимума максимальной длины пароля - пока на одноклассниках.

[(Anonymous)]

Пароли - одно, а когда их надо каждые два месяца менять и не использовать ни один из старых, да еще и назойливые емейлы получать с напоминанием каждый день последние две недели - это - новый уровень abuse

[dizel.livejournal.com]

пользователям может быть экономически невыгодно следовать этим советам

Прикладная арифметика этого автора напоминают количественные оценки "экономистами" ущерба от забастовок или, скажем, ураганов. При большом количестве слабо поддающихся количественной оценке факторов можно обосновать любую точку зрения. Яркий пример - параграф 7.3.

администраторы недооценивают их сложность.

А этот вывод явно следует из неоднократно цитируемой работы #21

Где тут "research" - непонятно

Вообще тон статьи и некоторых источников умиляет - "может, эти пользователи и не дураки вовсе, хотя, конечно, запоминать пароли и отличать добро от зла good.com от bad.com не умеют".

[http://users.livejournal.com/malfet_/]

Статья и правда любопытная, но уж очень сырая. По крайней мере ключевой тезис о том, что совокупная стоимость прямых издержек($sum_{Users}{\delta Costs}$), оцененная автором в 2.6 миллиарда, больше совокупного нанесенного ущерба нуждается в более аккуратном обосновании. Хотя бы потому, что объем рынка услуг в области сетевой безопасности, по оценкам экономистов, растет на 15% в год и уже в 2005ом году составлял порядка 25 млрд. И в общем-то весь этот рынок живет за счет конечных пользователей.

А еще, думаю, подобный список литературы зарезал бы любой уважающий себя журнал: на некоторые элементы списка в статье нигде не ссылаются, сами по себе ссылки никак не упорядочены, не говоря уже о лишних пробелах после запятых в URLах.

[cartesius.livejournal.com]

Да, вот мне тоже непонятно, почему пользователи в своей массе не переходят на Линукс.

[cosmonazi.livejournal.com]

рискну провести аналогию - "что нужно понимать про продукты и товары, чтобы убедиться что ты покупаешь не просроченное, не эрзац, не подделку и ещё не переплачиваешь" - это целая наука, понятная любому, кто сталкивался с житейским хозяйствованием.

Одни умеют это лучше, другие - хуже. Кто-то заливает свои пробелы в товароведении деньгами (которые в итоге пытается более эффективно зарабатывать высвободившимися мозговыми ресурсами), кто-то учится всю жизнь, кто-то наплевав на всё берёт товар крайний слева на полке. В то же время, простейший интерфейс "подходи, доверься" доступен всем.

Интернет-сервисы - просто маленькое подможество доступных товаров&услуг. Не может быть идеального свода правил. Даже если кто-то напишет 9000-страничное эссе по защите от текстового фишинга, через считанные годы весь инет уже например заполонят виртуальные видеоприёмные, где простые юзеры будут интуитивно понятно общаться с клерком (даже если он 3D AI), и там будут в ходу уже совсем другие методы защиты.