{"id":672,"title":"\u041f\u043e\u0441\u043b\u0443\u0448\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0439 \u0430\u043b\u044c\u0431\u043e\u043c \u041c\u0430\u043a\u0441\u0430 \u0420\u0438\u0445\u0442\u0435\u0440\u0430","url":"\/redirect?component=advertising&id=672&url=https:\/\/tjournal.ru\/umg\/365110-maks-rihter-vypustil-novyy-albom&hash=9fb5fd04e6c436af0e24c8cd3aea0de423b6b88018f9143c7ab1e4e3b6e67f23"}
Офтоп
TJ

Смерть пароля Статьи редакции

Редактор Forbes объясняет, почему не надо публиковать свой пароль в сети, даже если уверен в безопасности

Автор: Настя Праздничная

Тема пароля и двухфакторной аутентификации, постепенно внедряемой всеми крупными сервисами в интернете, рождает споры о том, не стал ли пароль окончательно бессмысленным и бесполезным. Так считает колумнист Wall Street Journal Кристофер Мимс (Christopher Mims), решивший опубликовать свой пароль в открытом доступе. 

Редактор Forbes Кэшмир Хилл (Kashmir Hill) отреагировала на смелый поступок Мимса, назвав его идиотизмом и объяснив, что так доказать скорую смерть пароля уж никак не получится, а скорее наоборот. TJournal публикует перевод статьи Хилл.

Обозреватель «Уолл Стрит Джорнал» Кристофер Мимс написал колонку о двухступенчатой идентификации и о том, как она хороша. Идея, что при входе на сайт вам отправляют код на телефон, чтобы не полагаться исключительно на пароль, который могут угадать или украсть, настолько понравилась Мимсу, что он посчитал это началом конца паролей как таковых. 

Чтобы продемонстрировать, сколь прекрасна двухступенчатая авторизация, он решил предоставить свой пароль от аккаунта в Twitter любому желающему. «В любом случае, даже зная его, вы не сможете взломать мой аккаунт в Твиттер», — написал он. «В сущности, я публикую свой пароль, чтобы подчеркнуть: паролям приходит конец, если мы этого захотим».

Забавно: чтобы прочесть статью полностью, нужно ввести пароль на сайте журнала (доступ к колонкам на WSJ платный — TJournal). Но Мимс сообщает пароль в первом абзаце, который все могут прочесть, причём, если честно, это единственная свежая идея в статье. Далее он объясняет суть идентификации посредством устройства тем, кто не уделял должного внимания вопросам технической безопасности, и всё ещё не настроил соответственно свои аккаунты в Google, Facebook, Twitter, Yahoo, Bank of America, Paypal или любом другом онлайн-сервисе.

Как журналистский ход для получения кликов читателей — это была отличная идея, но в том, что касается практичного подхода к обеспечению безопасности — более чем глупая.

Так что же произошло после того, как он выложил в сеть свой пароль? То, что и должно было произойти. Огромное количество людей попытались войти в его аккаунт в Твиттере. И каждый раз, когда кто-либо делал такую попытку, Мимс получал текстовое сообщение с кодом верификации. В своём Твиттере он написал, что получает по два таких сообщения в минуту. 

В итоге он настроил получение кода посредством специального приложения Твиттер для iPhone, но опция отправки кода на телефон всё равно была доступна, и кликая по соответствующей ссылке, любой мог получить полный номер мобильного телефона Мимса, начинающийся с префикса Мэрилэнд – 301. 

Я попыталась ему позвонить, но в ответ услышала сообщение о том, что его измученный телефон «вне зоны доступа». Сам Мимс сообщает, что ему пришлось изменить номер, привязанный к его аккаунту. 

Пароль сам по себе, конечно, недостаточная мера для обеспечения безопасности, но до тех пор, пока наши смартфоны не научились брать наш генетический материал, прежде чем позволить нам залогиниться, пароли будут по-прежнему играть важную роль при входе на сайт. Полностью положиться на идентификацию посредством смартфона — значит превратить кражу смартфона в огромную неприятность. «Классное соревнование: укради у Мимса телефон и получишь его аккаунт в Твиттер в придачу!» — написал технический обозреватель New York Magazin Кевин Рус (Kevin Roose).

Уверена, что Мимс напишет ещё одну колонку о том, «чему его научил» этот идиотский поступок. То, что случилось, было более чем предсказуемо. Причём нечто подобное уже происходило: несколько лет назад британский журналист опубликовал в сети информацию о своём банковском счёте, чтобы проверить, будут ли найдены эти данные среди возможных 25 миллионов банковских счетов. Его счёт взломал некий Робин Гуд. 

Директор Lifelock, сервиса, который обещал обеспечивать безопасность личной информации в сети, демонстрировал свой номер социального страхования в рекламе сервиса, так как был уверен в том, что его компания способна его защитить. Но, как и с Мимсом, произошло неизбежное. Его личность была «украдена» по крайней мере 13 раз

Идея сказать «попробуйте меня взломать» плоха по определению. Потому что хакеры практически всегда сумеют найти способ сделать это.

Только в одном Мимс оказался прав: его аккаунт в Твиттере (пока) не взломали. Тем не менее, его телефон в некотором смысле взломали — ведь ему нанесли определённый цифровой удар. И раскрыв свой пароль, он сообщил свой номер телефона всем, кто захочет использовать его в дальнейшем; номера сотовых телефонов весьма полезны в деле социальной инженерии, да и просто если захочется устроить кому бы то ни было ужасный день. 

Лучший способ обеспечения безопасности — быть осторожным и прагматичным в том, как и когда раскрываешь свои данные, и попытаться возвести максимум препятствий вокруг аккаунтов и информации, которые тебе важны, чтобы сделать их менее легкодоступными для хакеров. Мимсу не помешало бы исследовать этот вопрос более детально.

Поступки вроде этого приносят и хорошие плоды – например, заставляют компании защищать недалёких пользователей от них самих. Как многие заметили, Твиттер не должен полностью показывать номер телефона пользователя в процессе двухступенчатой авторизации.

Этот материал является переводом оригинальной статьи Кэшмир Хилл «It Is Idiotic To Hand Out Your Twitter Password To Prove Passwords Are Dead» в Forbes.

{ "author_name": "TJ", "author_type": "self", "tags": ["\u0441\u0442\u0430\u0442\u044c\u044f","\u043f\u0435\u0440\u0435\u0432\u043e\u0434\u044b","\u043f\u0430\u0440\u043e\u043b\u0438","\u043a\u044d\u0448\u043c\u0438\u0440_\u0445\u0438\u043b\u043b","\u043a\u0440\u0438\u0441\u0442\u043e\u0444\u0435\u0440_\u043c\u0438\u043c\u0441","\u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0430\u044f_\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f","\u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0430\u044f_\u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044f","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 37, "likes": 21, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 51676, "is_wide": true, "is_ugc": true, "date": "Tue, 22 Jul 2014 16:54:59 +0400", "is_special": false }
0
37 комментариев
Популярные
По порядку
Написать комментарий...

Генеральный ключ

32

Тут бы уже умудрились как-нибудь и кредит на него оформить.

Ответить

Личный Артем

Глеб
15

ОБОЗРЕВАТЕЛЬ "THE WALL STREET JOURNAL" ЭМИГРИРУЕТ В РОССИЮ ИЗ-ЗА ИНФОРМАЦИОННОГО ПРЕСЛЕДОВАНИЯ! НА ЕГО ИМЯ УЖЕ ОФОРМЛЕНА ИПОТЕКА НА КВАРТИРУ В ЮЖНОМ БУТОВО!
ШОК ВИДЕО

Ответить

Комментарий удален

Строительный завод

28

не могу смотреть на не плотно прилегающие стенки бампера в телефону и на облезающий лак...

Ответить

Огромный Денис

Tanya
17

Да о чём тут вообще говорить, если даже не ios7

Ответить

Условный Женя

Tanya
14

это мы еще ее отвислых сисек не видели

Ответить

Строительный завод

PeaceDuke
1

а вы? :D

Ответить

Противный каякер

Tanya
13

Наслаждайся (за кривость сорри, на скорую руку делал)

Ответить

Массовый алмаз

Tanya
1

ад перфекциониста.

Ответить

Прекрасный чувак

11

Но есть и другая крайность - паранойя. Есть пара друзей, у которые всегда стирают сообщения на мобильных, входят чуть ли не каждый раз на просторы интернета через цепочку прокси, не публикуют реальных аватарок в соц. сетях. Кроме лишних действий и потраченых нервов, они при этом ничего не приобретают.

Это как в том анекдоте про неуловимого Джо, который неуловимый потому, что нафиг никому не нужен, ни ФСБ ни АНБ, ни злому хакеру Васе:)

А если уж реально кому-то нужен - то никакие меры безопасности тебя не спасут

Ответить

Условный Женя

Николай
6

подарите своим друзьям галоперидола и расскажите про
MAC-адрес и IMEI идентификацию. Про ID проца и BIOS материнки пока не говорите, а проследите за ремиссией поциентов

Ответить

Будущий мангал

PeaceDuke
3

Вы думаете что передаете мак и ид процессора, когда заходите на сайт?

Ответить

Условный Женя

Viktor
0

с чего вы взяли что я так думаю? И причем здесь "заход на сайт"?

Ответить

Просторный рубин

Николай
2

Это не паранойя, это здравый смысл. Как только вы осознаете, что не следовало бы публиковать свои фотографии в интернете и оставлять тот-вот комментарий в реального IP, вы уже ничего не сможете с этим поделать. Просто скажу то, что Роскомнадзор не очень хочет афишировать: они перехватывают ваши запросы в поисковые системы, смотрят, какой результат отдает поисковая система на него и улуяшают свой спутник в автоматическом режиме.

Ответить

Старательный файл

Николай
2

нафиг никому не нужен

Распространённое заблуждение - считать, что я никому не нужен, поэтому нет смысла особо защищаться. Времена меняются и сейчас всё рассчитано на массовость: массовость госмониторинга, массовость доставки рекламы, массовость в организации ботнетов и т.д. Понятно, что от целенаправленной атаки защититься гораздо труднее, но разумно повышать безопасность и анонимность думаю стоит.

Ответить

Английский рак

7

Кроме пароля существуем уйма способов получить доступ туда, куда этот пароль поставили.

Журналисты даже вдоль и поперек изучившие двухфакторную аутентификацию так и останутся журналистами. У них нет понимания как работает все остальное и что зачастую слабым местом в безопасности является сам человек.

Повальное распространение технологий играет злую шутку с теми, кто технологиями пользуется без понимания. Компьютерная грамотность сейчас на уровне картофельных бунтов.

Ответить

Пищевой коктейль

Дмитрий
4

Когда я сказал своему знакомому, который собирается идти работать в ФСО, в отдел информационной безопасности, что если он зайдет в Chrome через "инкогнито", то на уровне провайдера, все всё равно увидят посещенные сайты.

В ответ он делал огромные глаза, отмахивался руками и говорил, что я просто не смыслю в этом ничего.

P.S.: Что такое "анонимайзер" человек узнал совершенно случайно, про Tor и уж тем более i2p он совсем ничего не знает.

Ответить

Просторный рубин

mishka_kokosola…
1

Миня аж трисет.

Ответить

Выгодный корабль

4

Господи, это же ДВУХФАКТОРНАЯ аутентификация, на то она и ДВУХфакторная, чтобы сначала нужно ввести один секретный код, а потом другой.

Ответить

Ежегодный браслет

4

Пускай напишет статью "Если ввести пароль от WSJ в комментариях, то он изменится на звёздочки"

Ответить

Командный ключ

Михаил
0

hunter2

Ответить

Командный ключ

Алексей
0

Чот не похоже на звёздочки

Ответить

Ежегодный

Алексей
0

Так это и не сайт WSJ. TJ корректно обрабатываешь лишь свои пароли, возможно. Надо у админов уточнять.

Ответить

Королевский волк

3

Гейбу Ньюэлу, кстати, подобное сошло с рук, когда он представил двухфакторную аутентификацию в Steam.

Ответить

Принципиальный холод

Николай
0

Просто в том случае был email, а не телефон. Уверен, что его email тоже содержит немало сообщений от steam'a.

Ответить

Подробный утюг

Николай
0

Так и тут тоже все сошло с рук. Аккаунт так и не взломали.

Ответить

Чувствительный шар

3

Слабоумие и отвага.

Ответить

Эстетический шар

2

Двухфакторная аутентификация защищает, например, от брутфорса. В случае с выложенным паролем, задача брутфорса свелась к тому, что при вводе правильного пароля нужно перебрать коды верификации.

Молодец.

Ответить

Гражданский Денис

Kolyann
0

Там обычно 3 попытки.

Ответить

Широкий коктейль

2

Ну так можно и довыпендриватся. Сразу вспомнилась история со взломом всего и вся через тех поддержку амазана.

Ответить

Широкий коктейль

vaaalik
0

*амазона

Ответить

Просторный рубин

vaaalik
1

Рамзана

Ответить

Центральный ГОСТ

vaaalik
0

на пороге особняка Брина, стояли два бородатых парня с паяльниками и скотчем.
на их униформе было написано "техподдержка Презиндента Чечни"
- Наш босс забыл пароль от почты, и мы приехали его восстановить.

Ответить

Телевизионный паук например

1

У меня уже который месяц пытаются увести 2х буквенный ящик на mail.ru смски с одноразовыми паролями достали. Поддержка говорит что ничего поделать не может, просто их игнорируйте. Хорошо хоть только 2-3 смс в сутки приходят.

Ответить

Благополучный мангал

0

"Идея сказать «попробуйте меня взломать» плоха по определению. Потому что хакеры практически всегда сумеют найти способ сделать это."
А как же конкурс Дурова со взломом Telegram?

Ответить

Смешанный томагавк_два

Артем
1

конкурс Дурова со взломом Telegram

конкурс

Ответить

Благополучный мангал

Александр
0

Ну да. Кто взломал, того и деньги

Ответить

Пространственный калькулятор

0

"Британский журналист" - это же Джереми Кларксон!

Ответить
Обсуждаемое
Истории
В Норвегии нашли мужчину спустя девять лет после смерти. Ему платили пенсию и автоматически списывали деньги по счетам
А обнаружили его случайно.
Кино и сериалы
На «КиноПоиске» появятся кураторы — каждый будет отвечать за своё направление
В число первых кураторов войдут Александр Роднянский, Тимур Бекмамбетов и Сыендук.
Новости
CNN: США рассматривают планы отправить корабли в Чёрное море для «поддержки Украины» на фоне большого скопления войск РФ
Штаты обвинили Россию в наращивании войск рядом с Украиной.
Популярное за три дня
Интернет
Кракен — не то, чем кажется: тред о том, как легенды о морских чудовищах можно объяснить эрегированными пенисами китов
Китовые пенисы принимали за огромных морских змей.
Новости
Умер муж Елизаветы II принц Филипп
Ему было 99 лет.
Интернет
«Открытые медиа»: Rutube запретил загрузку фильма ФБК о «дворце Путина» из-за «нарушения авторских прав»
Ролик про дом, в котором жил Навальный в Германии, модерацию прошёл.

Комментарии

null