о паролях и URLах (компьютерное, англ.)

[avva]

Любопытная статья исследователя из Майкрософта Кормака Херли:

Cormac Herley: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice By Users.

Заставляет задуматься, скажем так. Херли рассуждает о том, почему пользователи в массе своей не следуют советам профессионалов в области security: например, советов о том, как выбирать и хранить пароли, как не попадать на phishing-сайты (внимательно проверять URLи важных сайтов) итд. Он приходит к интересному выводу: пользователям может быть экономически невыгодно следовать этим советам, а администраторы недооценивают их сложность.

Подробности в статье, но особо отмечу интересное обсуждение в пункте 4.1 того, что нужно понимать про URLи, чтобы убедиться, ты на правильном сайте или на phishing-копии. Для компьютерщиков это само собой разумеется и очевидно, но мы не задумываемся обычно над тем, насколько для "обычного пользователя" это на самом деле сложная система фактов и правил.

Comments

[buddha239.livejournal.com]

Гляну, спасибо. Но заранее:) могу сказать, что мне очень было бы запарно запоминать и вводить в разные ресурсы сложные пароли - при том, что никто пока не озаботился взломом меня.

[ramil.livejournal.com]

Я так понимаю, что Вы, Анатолий, говорите "Уэрэли" (URLи)?
Забавно. Я всегда слышал и говорил только URLы.

[vyhuhol.livejournal.com]

подозреваю, что даже «юэрэли», а не у-.

[avva.livejournal.com]

Я привык говорить по-английски юэрэлз, поэтому по-русски я тоже говорю юэрэли. Почему не юэрэлы? не знаю точно, подозреваю, что иногда говорю так, иногда этак.

[rednyrg721.livejournal.com]

когда утек файл с паролями к вконтакте (50 тыщ логинов) было интересно посмотреть самые частые, вот статистика:

123456 -> 165 (0.327%)
123456789 -> 97 (0.192%)
qwerty -> 94 (0.186%)
111111 -> 71 (0.141%)
123321 -> 45 (0.089%)
1234567890 -> 45 (0.089%)
666666 -> 44 (0.087%)
7777777 -> 43 (0.085%)
1234567 -> 41 (0.081%)
123123 -> 37 (0.073%)
000000 -> 34 (0.067%)
zxcvbnm -> 30 (0.059%)
qazwsxedc -> 28 (0.055%)
12345678 -> 28 (0.055%)
qwertyuiop -> 28 (0.055%)
любовь -> 27 (0.053%)
gfhjkm -> 25 (0.049%)
654321 -> 24 (0.047%)
1q2w3e4r -> 24 (0.047%)
555555 -> 24 (0.047%)
zxcvbn -> 20 (0.040%)
1q2w3e -> 20 (0.040%)
samsung -> 20 (0.040%)

Номер телефона («8» или «7» или «+7» и 10 цифр) использовался в качестве пароля 587 раз.

[avva.livejournal.com]

да, совершенно угадываемый и знакомый списо, хотя "любовь" добавляет интересный местный колорит :)

[mudak.livejournal.com]

вообще-то они урлы

[rednyrg721.livejournal.com]

из слов тут ещё gfhjkm — это "пароль" в английской раскладке )

[vasar.livejournal.com]

топ 100 "самых частых" в сумме 2% дадут? :)

[rednyrg721.livejournal.com]

топ 6 дают 1% ;-)

[vasar.livejournal.com]

Т.е. грубым перебором больше 3-5% взломать не получится :)

[msh.livejournal.com]

Спасибо, очень интересная статья. Но я вижу flaw в рассуждениях - действительно, с экономической точки зрения *в среднем* это не выгодно, но ведь вообще никакая страховка не выгодна *в среднем*. Есть еще одна метрика - вероятность катастрофичных потерь.

Offtopic: статья - интересный пример изменения значения слова moot в современном английском языке - moot court (учебный суд, в котором тренируются lawyers) -> moot point (вопрос, совершенно неважный практически, обсуждаемый с целью тренировки) -> this point is moot (этот вопрос неважен практически) -> the benefit is entirely moot (выгода на самом деле не существует)

Крик души

[alexeybobkov]

Я вообще не понимаю, что делать с паролями. В каждой интернетовской подворотне требуют завести логин и пассворд. Я бы и завёл универсальных паролей штуки 4-5 (по степени секретности), так ведь нет, за меня ещё решают, сколько в них должно быть символов, сколько цифр, может или не может быть знаков препинания...
"Моя голова не помойка, оставьте меня в покое!" (C)

[gaz-v-pol.livejournal.com]

Пока гром не грянет, мужик не перекрестится. Услугу настройки backup можно продать только тому, кто уже потерял данные. 123456 на что-то секьюрное меняет только пользователь, который из-за слабого пароля лично потерял деньги (или другую ценность, например репутацию). Пока таких мало. Для того, чтобы это вошло в привычку нужно, чтобы родители с детства приучали. Как руки мыть или на дороге в футбол не играть. Во взрослом возрасте на чужих ошибках люди практически не учатся.

[gaz-v-pol.livejournal.com]

Связку ключей можно положить в сундук, и носить с собой только ключ от сундука. Есть масса программ, позволяющих генерировать и хранить сложные пароли (с учётом требований к длине и наличию/отсутствую спецсимволов). Хранить можно в файле на флешке, а можно и в интернете. Помнить достаточно лишь один мастер-пароль от программы. Желательно его выбрать посложнее, конечно :-).

[alon_68]

Имхо, правильное поведение для непопадания на пхишинг-сайты - это никогда не вводить пароль в окошко, не вызванное по вашей личной инициативе. И тогда не надо учить 25 правил проверки урлов.

[gaz-v-pol.livejournal.com]

Около 80%. На сервере крупного учебного учреждения в России. Правда, там пользователи в среднем постарше, чем вконтакте. А значит, и пароли попроще.

[alon_68]

Интересно еще, что Самсунг получился самым популярным брендом.

[msh.livejournal.com]

Типичный phishing сайт появляется в броузере после того, как юзер самостоятельно нажимает линк в своем email, по личной инициативе

[alexeybobkov]

Наверное, вы правы. Я знаю, конечно, о существовании таких программ, но почему-то никогда ими не пользовался. До последнего времени моей памяти хватало. Но сейчас, похоже, другого выхода нет :)

[gaz-v-pol.livejournal.com]

> Вообще никакая страховка не выгодна *в среднем*

Что за странная идея? Страховые компании делят людей на очень небольшое число групп (и разные страховые делят по-разному). Практически для каждой ситуации можно найти страховую компанию, которая Ваши риски оценивает неправильно и помещает Вас в дешёвую группу. На этом строится огромный бизнес страховых брокеров, отслеживающих изменения условий у страховых компаний и подбирающих для Вас оптимальный вариант.

[msh.livejournal.com]

и как от этого меняется среднее?

[vasar.livejournal.com]

Зачем им вообще пароли? Их и так должны все там узнавать. (шутка)
А вообще для многих людей пароли - серьезное препятствие, их помнить надо, записывать куда-то, придумывать, опять же его еще ввести надо без ошибок.

[avva.livejournal.com]

Мне вот еще какая погрешнось в рассуждениях увиделась. Скажем, интересно замечание о том, что certificate error warnings на практике не помогают против фишеров, потому что фишеры не пользуются SSL. Но если бы этих warnings не было, то естественно фишеры бы пользовались SSL. Если воры не пытаются вообще взламывать дома, защищенные системой XYZ, и типичный сигнал тревоги от этой системы - false alarm, из этого нельзя заключить, что она не приносит пользы.

[alon_68]

Э нет, это не называется "самостоятельно" - а кто ему мэйл подсунул?
Только ручками или со своего списка закладок.