BloggeRR, 79 - 13 января 2010 03:09

[COLOR=darkblue]

[SIZE=+2][B]Социальный хакинг в быту —

защищаемся от глупостей (окончание)
[/B][/SIZE]
[SIZE=+1]
[FONT=Geneva]
Страшилка первая: знакомый работает у провайдера в сюппорте. Ему бывает лень лазить в биллинг, поэтому он спрашивает пароль у клиента по телефону, чтобы проверить правильно ли тот его ввёл. А у провайдера активно используется услуга callback. Если вовремя перезвонить, то ни о чём не подозревающий человек сам продиктует вам свои пароли. По крайней мере знакомому в этом ни разу не отказывали.

Страшилка вторая: однажды я, отправляя письмо хостеру, доверился автокомплиту почтового клиента. В итоге письмо ушло не тому адресату. Так быстро пароли я ещё никогда не менял. Кстати, теперь мой хостер тоже образумился: уже не просит (и даже, наверное, не рекомендует) указывать пароль при обращении, когда письмо отправляется с авторизованной в аккаунте почты.


[B]Банальная криптостойкость: qwerty — это не пароль[/B]


Вообще, я не думаю, что аудитория Хабра столь безумна, чтобы паролями ставить даты рождения своих детей или вытворять что-то подобное. Но бывают более тонкие моменты. Пример — в страшилке.

Кроме того, по части паролей следует проконсультировать окружающих вас людей, если вас волнует их приватность (а ведь она может быть и вашей — например, некоторые семейные фотки бывают не предназначены для публичного просмотра).

Страшилка: пока проект разрабатывается охранять там особо нечего, верно? Поэтому обычно на время разработки паролем ставят как раз что-то в духе «abcd1234». Так вот я проверил: из 4 последних проектов запущенных в продакшн на одном мы дефолтный пароль админа — мы так и не сменили. Хорошо хоть, что дефолтный пароль у нас хоть и знают все, но придумывается он для каждого проекта отдельный.

не записывайте пароли на бумаге
Не записывайте пароли (по крайней мере, на тех бумажках, которые выкидываете или храните рядом с логинами)


Лучше везде, где можно, настройте авторизацию по ключу. А закрытый ключ храните на локальном сервере (и копию на флешке в сейфе). Для менее рабочих целей есть программы менджеры-паролей (в комментариях активнее всего советуют RoboForm или кросс-платформенный KeePas), мастер-пароль вы уж постарайтесь запомнить в голове и вообще нигде его не записывать. В простейшем случае сохраните пароли в текстовый файл и закриптуйте его паролем из головы.

Если сохраняете пароли в почтовом или FTP-клиенте, то побеспокойтесь о нормальной антивирусной защите, любой троян или бэкдур с удовольствием утащит файлик с вашими паролями.

Отдельный совет для тех, кто хранит пароль в браузере (от комментатора alfsoft): используйте мастер-пароль в тех браузерах, которые это поддерживают.

* В Opera: Инструменты — Настройки — Дополнительно — Безопасность — Установить пароль.
* В FF: Инструменты — Настройки — Защита — Использовать мастер-пароль.

Не используйте одинаковые пароли для разных систем и сервисов. В своём софте и сервисах не храните чужие пароли в открытом виде.

Страшилка первая: пожилые или просто далёкие от IT люди часто царапают свой PIN-код прямо на пластиковой карточке (это народный фольклор уже, но тем не менее).

Страшилка вторая: было дело, троян своровал пароль сохранённый в FTP-клиенте (кажется, это был не самый свежий Total Commander, но многие другие клиенты в этом плане не лучше) у админа с локального компьютера и навтыкал фреймов с заразой на живые сайты партнёров, куда ходили потенциальные клиенты (в итоге посетители или заражались, или получали вопли от антивируса). Кстати, сейчас сайты с троянами Яндекс особым образом помечает в выдаче — притом трояна вы можете убить сейчас, но пометка исчезнет только после очередной переиндексации, например, неделю спустя.

Могут украсть другие, можете потерять или отдать сами по ошибке


[B]Не храните ничего важного на нетбуке или телефоне.[/B]


На нетбуках ставьте пароли (нормальные) и шифруйте файловую систему.

На флешках храните всё (или хотя бы всё важное) в зашифрованном виде (например, в RAR-архиве с нормальным паролем).

Если у вас несколько одинаковых с виду флешек, то наклейте на них какие-то ярлычки, чтобы вдруг не отдать в налоговую флешку с бэкапом всей чёрной бухгалтерии вашей конторы вместо квартального отчёта (налоговая-то будет рада, а вот руководитель — вряд ли).

Юзер panaslonik рассказал пикантную историю из которой следует, что флешки из фотоаппаратов надо чистить особенно тщательно, если вы их собираетесь кому-то отдавать.

[/FONT]
[/SIZE]
habrahabr.ru
2010-01-12 18:00 | Новости - Технологии
http://internetua.com/socialnii-haking-v-bitu---zasxisxaemsya-ot-glupostei

[/COLOR]