Get Mystery Box with random crypto!

Навіщо менеджери паролів? (#3) Password Spraying Для цього, х | Wild Wild Web

Навіщо менеджери паролів? (#3)

Password Spraying
Для цього, хакери придумали дуже просту концепцію - "розпилювати" пароль. Замість того, щоб підбирати пароль до вашого конкретного акаунту, вони беруть вже знайдений пароль і підбирають користувачів під цей пароль.

І, очевидно, що оскільки пароль у вас однаковий на різних сервісах, ви попадаєте в категорію людей, які вразливі до password spraying. Щоб захиститись від цих векторів атак, почали впроваджувати підхід "один сервіс — один пароль".

При такому сценарії, навіть якщо зловмисник отримував доступ до одного із ваших акаунтів на одному сервісі, він не міг отримати доступ до інших. Тобто, ви мінімізуєте площу атаки для нього.

Але, як тепер запам'ятовувати всі ці паролі під різні сервіси? Отут і з'являються менеджери паролів в цьому часовому відрізку.

Підбирати пароль — дорого, але реально
Індустрія зберігання паролів дійшла до моменту, коли атакувати паролі вже стало просто неефективно, але все ще реально. Беруться конкретні цілі, конкретні люди, їх паролі ставляться на перебір, атаки по словниках й таке інше.

Тому з'явилась потреба захистити себе і від цього. Потрібно було підтвердити свою особистість ще чимось, окрім пароля. Так з'являється другий фактор аутентифікації - time-based one-time password (TOTP).

Двофакторна аутентифікація
Проблема з паролем полягає в тому, що рано чи пізно, його врешті решт атакують. У хакера є безліч часу на це (поки він ще живий, принаймні). Тому потрібна така форма пароля, яка була б захищена від цього.

І тут, виходить TOTP! Це форма пароля, яка дійсна тільки обмежений час. По замовчуванню це 30 секунд. Після 30 секунд, пароль стає недійсним та генерується новий. Але як тоді сервіс може перевірити що ви, це ви.

Коли ви налаштовуєте TOTP вперше, вам потрібно обмінятись ключами між сервісом та вашим сховищем, де цей ключ буде зберігатись. Сервіс каже "дивись, домовмось, що ми будемо кожні 30 секунд генерувати новий пароль, а ключ та алгоритм, який будемо використовувати, ось".

Ваш менеджер паролів зберігає цей ключ, налаштування часу та алгоритм. Після цього, дві сторони знають, як буде генеруватись пароль, що вони й роблять. Але при цьому, ніхто більше не обмінюється ключами, що унеможливлює хакеру генерувати їх на свої стороні.

Таким чином, ви додатково захищаєте свій пароль ще й паролем, який дійсний лише 30 секунд та постійно змінюється. Єдине що залишається хакеру для успішної атаки — атака на ваше сховище, де цей ключ зберігається. Або ж переадресувати вас на фішинг, де ви обміняєтесь ключами не з сервісом, а з хакером.

Продаю вам менеджер паролів
Дуже багато я всього розписав, хочу сказати, що менеджер паролів потрібен — використовуйте їх. На кожен сервіс, кожен логін, потрібен новий пароль. В ідеалі, паролі зі спеціальними символами, числами, великими та малими літерами й довжиною понад 20 символів.

Продаю вам двофакторну аутентифікацію
Якщо сервіс пропонує вам налаштувати 2FA - робіть це. Використовуйте time-based one-time password.

Епілог
Визнаю, я ну дуже багато сьогодні розписав. От мене прорвало прям щось на цю тему, але я й не думав її оформляти якось в вигляді чек-поінтів. От як йшли в мене думки, так і писав. Подумав, що вам може буде цікаво. Пишіть в коментарях, може має сенс розкрити цю тему якось більш структуровано?

P.S. Ну і якщо у вас є друзі чи знайомі, які досі мають один пароль qwerty на всі акаунти, можете ділитись цим текстом, можливо йому це допоможе ще раз подумати про те, що так робити не варто
Наступне повідомлення
telegram-store.com © 2016-2024
Non official site about Telegram
Всі права захищені. Копіювання та використання матеріалів повністю заборонено, часткове цитування можливе лише з гіперпосиланням на сайт telegram-store.com.