о паролях и URLах (компьютерное, англ.)
Dec. 12th, 2009 08:31 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
avvaЛюбопытная статья исследователя из Майкрософта Кормака Херли:
Cormac Herley: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice By Users.
Заставляет задуматься, скажем так. Херли рассуждает о том, почему пользователи в массе своей не следуют советам профессионалов в области security: например, советов о том, как выбирать и хранить пароли, как не попадать на phishing-сайты (внимательно проверять URLи важных сайтов) итд. Он приходит к интересному выводу: пользователям может быть экономически невыгодно следовать этим советам, а администраторы недооценивают их сложность.
Подробности в статье, но особо отмечу интересное обсуждение в пункте 4.1 того, что нужно понимать про URLи, чтобы убедиться, ты на правильном сайте или на phishing-копии. Для компьютерщиков это само собой разумеется и очевидно, но мы не задумываемся обычно над тем, насколько для "обычного пользователя" это на самом деле сложная система фактов и правил.
Cormac Herley: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice By Users.
Заставляет задуматься, скажем так. Херли рассуждает о том, почему пользователи в массе своей не следуют советам профессионалов в области security: например, советов о том, как выбирать и хранить пароли, как не попадать на phishing-сайты (внимательно проверять URLи важных сайтов) итд. Он приходит к интересному выводу: пользователям может быть экономически невыгодно следовать этим советам, а администраторы недооценивают их сложность.
Подробности в статье, но особо отмечу интересное обсуждение в пункте 4.1 того, что нужно понимать про URLи, чтобы убедиться, ты на правильном сайте или на phishing-копии. Для компьютерщиков это само собой разумеется и очевидно, но мы не задумываемся обычно над тем, насколько для "обычного пользователя" это на самом деле сложная система фактов и правил.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2009-12-12 08:38 pm (UTC)no subject
Date: 2009-12-12 08:44 pm (UTC)Было бы интересно услышать Ваше предложение -- какое решение Вы считаете оптимальным, если пользователю нужно иметь, например, 17 логинов и паролей, из которых 6 критически важные.
no subject
Date: 2009-12-12 08:51 pm (UTC)Это если 6 паролей критически важны для самого юзера. Если они важны для его начальства, то тут бесполезно что-то делать.
no subject
Date: 2009-12-12 09:24 pm (UTC)no subject
Date: 2009-12-14 05:42 am (UTC)no subject
Date: 2009-12-14 09:52 pm (UTC)Запомнить надо не 17 паролей, а один/два пароля и алгоритм генерации пароля.
Например, завести пароль Dad0es (Do androids dream of electric sheep) и как вариант для тех, кто требует special character Dad0e$, и добавлять к его началу и к концу по одной букве. Буквы - первые две из названия домейна второго уровня. Для ЖЖ получим lDad0esi, для гугла - gDad0eso. Получаем более-менее уникальные сложные пароли, которые не надо запоминать. Буквы можно и в середину вставлять.