Несколько слов о безопасности хранения и передачи пары «логин-пароль»

Возникла необходимость написать инструкцию по пользованию административным интерфейсом сайта, человеку с ним не знакомому. По мере того как писал письмо, обнаружил, что есть довольно универсальные моменты связанные с безопасностью передачи и хранения паролей, которые применимы для подавляющего числа пользователей. Вот этот фрагмент своего письма и публикую, может быть вы найдёте в этом материале что то интересное и для себя (текст письма цитирую дословно. для публикации я его специально не готовил).

—-Начало цитаты—-

1.0 К вопросу о безопасности логинов и паролей.

1.1 Передача логинов и паролей.

Если  ты  высылаешь, или тебе высылают пару логин-пароль для доступа в
административный  интерфейс,  никогда  не  высылай,  а  при  получении
требуй,  что  бы  тебе  их  прислали  двумя  разными коммуникационными
средствами.  Например, логин по почте, а пароль по аське. Или например
логин  по SMS а пароль по почте или аське. Здесь главное в том, что бы
никогда  эта  пара  логин+пароль  не высылались одним коммуникационным
средством. Если так не делать, то взлом сайта это лишь вопрос времени.

2.1 Хранение паролей.

Правило первое. Никогда, и ни при каких обстоятельствах нельзя хранить
логины  и  пароли  в  браузере.  Да,  это  удобно,  но это не секьюрно
т.е.  совершенно  небезопасно  т.к.  инфекцию которая вытащит все твои
логины  и  пароли  из  браузера,  можно  подцепить  посещая совершенно
нормальные   и   достойные   сайты.  Возникает  вопрос,  а  откуда  на
«правильном сайте» возмётся вирус? Ну разумеется, сами владельцы сайта
его не размещают. Но злоумышленники делают по другому — взламывают FTP
сервер  владельца  сайта,  и  уже  получив доступ к сайту делают в нём
скрытый   фрейм,   из   под  которого  браузер  посетителя  заражается
инфекцией.
Пока    прочухают    владельцы    сайта  что  их  поломали,  пока  там
«Касперский»  выпустит  очередной антивирусный апдейт пройдёт какое то
время, а за это время сотни или даже тысячи пользователей распрощаются
со своими доступами, а потом мы имеем вот такие новости:
http://top.rbc.ru/society/01/09/2011/613325.shtml
Вообще  тема безопасности FTP-сервера это отдельная тема. Если сказать
вкраце,  то  лучший  способ  защититься от его взлома, это держать его
выключенным  пока  он  не  нужен.  Ну  а  если такое невозможно, то по
крайней мере оставлять к нему доступ только с тех IP-адресов с которых
им реально пользуются (нефиг задницей в сеть торчать).

Однако  мы  отклонились  от  темы  🙂 Итак, пароли и логины в браузере
хранить  нельзя. Но ведь терять удобство от авто-авторизации на сайтах
совсем не хочется. Верно? Для того что бы не хранить пароли в браузере
и  вместе  с  тем  не  терять  удобства  при заходе на сайты требующие
авторизации,  существуют  программы  хранители паролей. Таких программ
«менеджерей  паролей»  существует  великое множество. Мы пользуемся не
самой  популярной  (и  не самой удачной, платной к тому же) «Kaspersky
Password Manager» (http://www.kaspersky.ru/kaspersky-password-manager)
Не  хочу  отклонятся  от  темы,  но  замечу, что изначально это был не
продукт  «Касперского».  Холдинг  Касперского купил разработчика этого
продукта и назвал его своим именем. Так почему же мы им пользуемся? Да
потому,  что  они его поддерживают, лечат глюки интерфейса обновляют и
пр.  Кроме  того  оплата  за  него  только  один раз (нет абонентки за
лицензию  как  у антивируса) и есть 30 дней на «попробовать». Так-же в
этом  менеджере паролей присутствует автобэкап базы паролей (на флешку
например),  он  без  проблем  переносится  со  стационарной  машины на
ноутбук  (только  флешку  переставляешь  с базой паролей) и есть в нем
очень  полезная  опция  для  хранения  конфиденциальной  информации, а
именно «Личные заметки»: http://vfl.ru/fotos/226ae8ad99776.html
В  «Личных заметках» можно хранить разные важные тексты читать которые
никому кроме его владельца не следует 🙂 Ну и разумеется эта программа
работает  с хранением паролей как для сайтов (т.е. для браузера) так и
для   программ   установленных   на   компьютере   (у   меня  например
мастер-паролем  закрыт и The Bat и ICQ да и еще куча коммуникационного
софта).  Для  ноутбука  это  вообще  находка  т.к. в случае потери или
хищения  оного,  самое  страшное  не  потеря  «железки»  (хотя  обидно
конечно)  а  то, что данными может воспользоваться злоумышленник (ну а
то  что  после  такого  хищения  придётся  менять десятки а то и сотни
паролей, я вообще молчу).

Поэтому,  дойдя  до  этого  места  моего  письма, пройди пожалуйста по
адресу:       http://www.kaspersky.ru/productupdates?chapter=207367895
скачай и установи на свой компьютер эту программу. 30 дней у тебя есть
бесплатного  пользования.  За  это  время  ты ее изучишь, привыкнешь и
будешь  спокоен  за  пароли  хранящиеся  на  твоем компьютере. Этим ты
обезопасишь  не  только  свой труд, но и труд своих коллег и партнеров
ибо   на   моей   практике  был  не  один  случай  когда  ломали  наши
корпоративные проекты  через взлом офисной/домашней машины сотрудника.
Когда  время  использования  ознакомительной  версии будет подходить к
концу, я  вышлю  тебе ключ к дистрибутиву продукта (у нас существенная
скидка на покупку продуктов Касперского)

Правило  второе.  Мастер-пароль для «Kaspersky Password Manager» нельзя
никуда  записывать,  его надо хранить в голове. Сам пароль должен быть
сложным, состоять например из какой то простой и запоминаемой фразы на
русском   языке   но  вводимой  на  английской  раскладке  клавиатуры,
например: «Vytyhfdbnczjnls[fnmdRhsve» Фиг подберешь 🙂

Ну  и  напоследок  еще  один  плюс  использования  программы менеджера
паролей. Все пароли (и софтверные и он-лайновые) легко переносятся
на другую машину, будь то новый комп или ноутбук супруги.

—-Конец цитаты—-

 

Posted in Безопасность