Сообщений в теме: 10

[Case]

Отличное видео, показывающее пошагово, как «хакеры» применяют методы социальной инженерии для взлома аккаунтов. В данном случае взломан аккаунт админа группы security.vkontakte.ru. Всего несколько минут, несколько грамотных вопросов и человек сам отдает свой аккаунт, а заодно и все свои емейлы (а значит и все остальные аккаунты на других сайтах)…

Не пожалейте 4-х минут, чтобы ознакомиться с этим видео:

Стандартный совет, как с этим бороться — уберите «секретный» вопрос на всех своих емейлах. Секретный вопрос — это самая дурацкая анти секьюрная фича. Именно так был взломан и ящик кандидата в вице-президенты США Сары Пэйлин пару лет назад. (more…)

http://feedads.g.dou...W1Ac/0/di</img>
http://feedads.g.dou...W1Ac/1/di</img>

http://feeds.feedburner.com/~r/it4business/~4/hXY-5eDlRVw

[Rebz]

В данном случае, это была первоапрельская шутка, поэтому видео подставное.

[Clauster]

Да, это фейк, на Хабре обсуждалось

[Bars Master]

Но, смысл от этого все равно не меняется, все-таки контрольные вопросы это своеобразная дыра в секьюрити.

[Clauster]

Но, смысл от этого все равно не меняется, все-таки контрольные вопросы это своеобразная дыра в секьюрити.

Дыра не контрольные вопросы, а человеческий фактор, об этом ещё Митник говорил.

[Bars Master]

Согласен, но если смотреть относительно среднестатистического пользователя, который регистрируется и ему сознательно предлагают как метод восстановления - контрольные вопросы, не учитывая столь распрастраненный человеческий фактор - это антисекьюрно :)
Еще недостаток само представление этого метода(не везде конечно): "Восстановление пароля", т.е. не предупреждают о том, что данная функция может быть использована злоумышленниками. Человек, устанавливая вопрос, не принимает во внимание возможность взлома.

[Clauster]

Согласен, но если смотреть относительно среднестатистического пользователя, который регистрируется и ему сознательно предлагают как метод восстановления - контрольные вопросы, не учитывая столь распрастраненный человеческий фактор - это антисекьюрно :)
Еще недостаток само представление этого метода(не везде конечно): "Восстановление пароля", т.е. не предупреждают о том, что данная функция может быть использована злоумышленниками. Человек, устанавливая вопрос, не принимает во внимание возможность взлома.

У вас на банковской карточке какое кодовое слово - девичья фамилия матери? :)

[Bars Master]

Непомню кстати :)
Но банковская карточка - это немного не та аналогия, т.к. акромя кодового слова, которое кстати можно предоставлять только лично сотруднику банка, необходимы еще паспорт, который будет идентичен копии паспорта, находящейся в базе банка.
Интернет и телефонный банк, защищены: пароль+смс валидация+привязка к симкарте(не к номеру), в особо больших транзакциях требуется подтвердить свою личность по параметрам, который спросит оператор банка, позвонив хозяину карты. Принудительная смена пароля по истечению периода жизни оного.
Более того, блокировка счета от транзакций происходит в течении 2-3 минут после звонка в банковскую службу и ответов на несложные вопросы, т.е. самое плохое что мне смогут сделать, если узнают личные данные человека - заблокировать счет, но вот сами транзакции защищены надежно.
Вообщем, банковские карты - не та аналогия.

[Clauster]

Непомню кстати :)
Но банковская карточка - это немного не та аналогия, т.к. акромя кодового слова, которое кстати можно предоставлять только лично сотруднику банка, необходимы еще паспорт, который будет идентичен копии паспорта, находящейся в базе банка.
Интернет и телефонный банк, защищены: пароль+смс валидация+привязка к симкарте(не к номеру), в особо больших транзакциях требуется подтвердить свою личность по параметрам, который спросит оператор банка, позвонив хозяину карты. Принудительная смена пароля по истечению периода жизни оного.
Более того, блокировка счета от транзакций происходит в течении 2-3 минут после звонка в банковскую службу и ответов на несложные вопросы, т.е. самое плохое что мне смогут сделать, если узнают личные данные человека - заблокировать счет, но вот сами транзакции защищены надежно.
Вообщем, банковские карты - не та аналогия.

Я не интересовался достаточно глубоко, но, зная кодовое слово, номер карты, ФИО, дату рождения и позвонив в центр поддержки держателей карт моего банка, можно обеспечить хозяину карты очень много геморроя. Можно и в интернете что-нибудь оплатить и счет заморозить. Транзакции конечно можно будет оспорить и вернуть деньги, но для этого придется убить много времени и нервов, а денежки сразу никто назад не вернет. Смысл не обязательно должен быть в том, чтобы что-то украсть.

[Bars Master]

Ну тут мы, как мне кажется, приходим к выводу что все зависит от конкретного банка, думаю это вполне приминимо и к ситуацией, которая обсуждалась вначале.
Все зависит от конкретного "реализатора".
Можно было-бы сильно обезопасить пользователя, указывая ему на возможность взлома на основе кодового слова, т.е. пользователь сознательно будет знать, что слово, которое он использует, не должно быть доступным для других и должно быть простым для конкретно него.


PS: Кстати сильная секьюрность моего банка имеет побочный эфект в слабой юзабельности счета, т.к. для того что-бы положить денег на телефон необходимо затратить некоторое время, проходя все процедуры подтверждения хозяина счета.

[Clauster]

Можно было-бы сильно обезопасить пользователя, указывая ему на возможность взлома на основе кодового слова, т.е. пользователь сознательно будет знать, что слово, которое он использует, не должно быть доступным для других и должно быть простым для конкретно него.

Простого пользователя это не спасет.