Смерть пароля

 
Редактор Forbes Кэшмир Хилл (Kashmir Hill) отреагировала на смелый поступок Мимса, назвав его идиотизмом и объяснив, что так доказать скорую смерть пароля уж никак не получится, а скорее наоборот. TJournal опубликовал перевод статьи Хилл.
 
death-of-password-1.jpg
 
Обозреватель «Уолл Стрит Джорнал» Кристофер Мимс написал колонку о двухступенчатой идентификации и о том, как она хороша. Идея, что при входе на сайт вам отправляют код на телефон, чтобы не полагаться исключительно на пароль, который могут угадать или украсть, настолько понравилась Мимсу, что он посчитал это началом конца паролей как таковых. 
 
Чтобы продемонстрировать, сколь прекрасна двухступенчатая авторизация, он решил предоставить свой пароль от аккаунта в Twitter любому желающему. «В любом случае, даже зная его, вы не сможете взломать мой аккаунт в Твиттер», — написал он. «В сущности, я публикую свой пароль, чтобы подчеркнуть: паролям приходит конец, если мы этого захотим».
 
Забавно: чтобы прочесть статью полностью, нужно ввести пароль на сайте журнала (доступ к колонкам на WSJ платный — TJournal). Но Мимс сообщает пароль в первом абзаце, который все могут прочесть, причём, если честно, это единственная свежая идея в статье. Далее он объясняет суть идентификации посредством устройства тем, кто не уделял должного внимания вопросам технической безопасности, и всё ещё не настроил соответственно свои аккаунты в Google, Facebook, Twitter, Yahoo, Bank of America, Paypal или любом другом онлайн-сервисе.
 
Как журналистский ход для получения кликов читателей — это была отличная идея, но в том, что касается практичного подхода к обеспечению безопасности — более чем глупая.
 
Так что же произошло после того, как он выложил в сеть свой пароль? То, что и должно было произойти. Огромное количество людей попытались войти в его аккаунт в Твиттере. И каждый раз, когда кто-либо делал такую попытку, Мимс получал текстовое сообщение с кодом верификации. В своём Твиттере он написал, что получает по два таких сообщения в минуту. 
 
В итоге он настроил получение кода посредством специального приложения Твиттер для iPhone, но опция отправки кода на телефон всё равно была доступна, и кликая по соответствующей ссылке, любой мог получить полный номер мобильного телефона Мимса, начинающийся с префикса Мэрилэнд – 301. 
 
Я попыталась ему позвонить, но в ответ услышала сообщение о том, что его измученный телефон «вне зоны доступа». Сам Мимс сообщает, что ему пришлось изменить номер, привязанный к его аккаунту. 
 
Пароль сам по себе, конечно, недостаточная мера для обеспечения безопасности, но до тех пор, пока наши смартфоны не научились брать наш генетический материал, прежде чем позволить нам залогиниться, пароли будут по-прежнему играть важную роль при входе на сайт. Полностью положиться на идентификацию посредством смартфона — значит превратить кражу смартфона в огромную неприятность. «Классное соревнование: укради у Мимса телефон и получишь его аккаунт в Твиттер в придачу!» — написал технический обозреватель New York Magazin Кевин Рус (Kevin Roose).
 
Уверена, что Мимс напишет ещё одну колонку о том, «чему его научил» этот идиотский поступок. То, что случилось, было более чем предсказуемо. Причём нечто подобное уже происходило: несколько лет назад британский журналист опубликовал в сети информацию о своём банковском счёте, чтобы проверить, будут ли найдены эти данные среди возможных 25 миллионов банковских счетов. Его счёт взломал некий Робин Гуд. 
 
Директор Lifelock, сервиса, который обещал обеспечивать безопасность личной информации в сети, демонстрировал свой номер социального страхования в рекламе сервиса, так как был уверен в том, что его компания способна его защитить. Но, как и с Мимсом, произошло неизбежное. Его личность была «украдена» по крайней мере 13 раз. 
 
Идея сказать «попробуйте меня взломать» плоха по определению. Потому что хакеры практически всегда сумеют найти способ сделать это.
 
Только в одном Мимс оказался прав: его аккаунт в Твиттере (пока) не взломали. Тем не менее, его телефон в некотором смысле взломали — ведь ему нанесли определённый цифровой удар. И раскрыв свой пароль, он сообщил свой номер телефона всем, кто захочет использовать его в дальнейшем; номера сотовых телефонов весьма полезны в деле социальной инженерии, да и просто если захочется устроить кому бы то ни было ужасный день. 
 
Лучший способ обеспечения безопасности — быть осторожным и прагматичным в том, как и когда раскрываешь свои данные, и попытаться возвести максимум препятствий вокруг аккаунтов и информации, которые тебе важны, чтобы сделать их менее легкодоступными для хакеров. Мимсу не помешало бы исследовать этот вопрос более детально.
 
Поступки вроде этого приносят и хорошие плоды – например, заставляют компании защищать недалёких пользователей от них самих. Как многие заметили, Твиттер не должен полностью показывать номер телефона пользователя в процессе двухступенчатой авторизации.
 
Этот материал является переводом оригинальной статьи Кэшмир Хилл «It Is Idiotic To Hand Out Your Twitter Password To Prove Passwords Are Dead» в Forbes.

Еще интересное

Большинство приложений уязвимы к бреши Heartbleed из-за того, что они используют нативную библиотеку OpenSSL, а не библиотеку мобильной платформы.

На прошлой неделе сообщалось о выявлении критически опасного бага в популярной открытой системе интернет-форумов и управления контентом vBulletin
Очередного вора iдевайса удалось задержать полиции в США. На этот раз оставленный в отеле iPad приглянулся горничной отеля Metairie в Лос-Анджелесе.
Дешевые системы охранной сигнализации, дверные замки и беспроводные выключатели — все эти приборы можно взломать с помощью простенькой игрушки за 20 долларов от компании Dangerous Prototypes.
Предположительно, ответственность за инцидент несут китайские хакеры, атаковавшие издание в 2011 году.
Группа русских туристов, отдыхавших в Эквадоре, подверглась нападению местных бандитов.