Previous Entry Share Next Entry
2016-01

Про централизацию

Почему не стоит полагаться на централизованную защиту?

1. Когда все ключи выдаются в одной точке, она становится ну очень привлекательной целью.
2. Когда ее в итоге взломают - приехали, бежать некуда.

Не складывайте все яйца в одну корзину. Компаний, которые были бы неуязвимы к взлому - нет.

Это к тому, что, оказывается, NSA/GCHQ с 2010 года тащат у Gemalto ключи к всем SIM-картам, которые они выпускают (2 миллиарда карточек в год, 85 стран, то-се...)

EN: https://firstlook.org/theintercept/2015/02/19/great-sim-heist/
RU: http://habrahabr.ru/post/251099/

This entry was originally posted at http://wizzard.dreamwidth.org/422870.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
belezbar February 20th, 2015
Вот тут бы и вспомнить протоколы, которые сами не знают, что у них на дисках хранится. i2p вроде таков...

amarao_san February 21st, 2015
i2p не хранит ничего, только передаёт.

belezbar February 21st, 2015
Значит, перепутал с чем-то другим.

justy_tylor February 20th, 2015
Здесь даже более глобальные проблемы:
1. Не только защита, но и любая централизация это "единая точка падения системы".
2. Технологии протухают. Вот эта древность типа "нечто странное с жабой" слишком долго использовалась в качестве идентификатора пользователя. Последствия накопились.

walsk February 20th, 2015
Недавно душевно похоливарили на тему "менеджер паролей против бумажки для современного сисадмина".
Т.к. паролей реально очень много, reuse не ок, пароли должны быть сложными, все -- фиг запомнишь и т.д.
Как разумнее решать этот вопрос, как вам кажется?

(Т.к. этот вопрос еще не обсуждали, испрашиваю разрешения обращаться на "ты" по интернетной традиции.)

wizzard0 February 20th, 2015
Менеджер.

Для важных паролей - менеджер на планшете/телефоне без инета (и в usb его тоже лучше не тыкать).

Можно на "ты".

ex0_planet February 21st, 2015
а как это бэкапить, например?

wizzard0 February 21st, 2015
На SD-карточку в известном месте, например.

ex0_planet February 21st, 2015
прямо в plaintext? или шифровать, скажем, паролем? а он может совпадать с паролем от логина и/или мастер-паролем от менеджера или лучше не надо? и что делать при забытии пароля?

wizzard0 February 21st, 2015
гм, я ж не телепат. всё зависит от того, какие сценарии лечим, какие пароли храним, и т.д.

ex0_planet February 21st, 2015
ну правильно, поэтому универсальный ответ "храните все в менеджере" оставляет больше вопросов чем убирает и добавляет минимум один большой геморрой — потерю (в обоих смыслах) файла с паролями.

на самом деле, с полдесятка паролей от ресурсами с identity и деньгами не так уж сложно запомнить, с маловажными одноразовыми говноресурсами бы сделать что-нибудь.

wizzard0 February 22nd, 2015
> маловажными одноразовыми говноресурсами бы сделать что-нибудь.
ну вот их-то и в менеджер! а его бекапить в дропбокс ничтоже сумняшеся, раз уж говноресурсы

ex0_planet February 22nd, 2015
я так мыслю, что паролем от них должно быть просто sha1('secret'+'www.ресурс.com'). secret естественно общий для всех говноресурсов и вводится пользователем. надо будет как-нибудь это автоматизировать.

zhengxi February 22nd, 2015
Однажды логинишься и сервер отвечает: что-то вы не меняли пароль уже 3 месяца, давайте-как придумайте новый.
Мне только необходимость работать с такими сайтами помешала сделать так же.
И как сейчас делать - хз.

salas February 23rd, 2015
Иметь второй секрет битом и менять туда-сюда?

wizzard0 February 20th, 2015
А, еще можно хранить, например, кусок пароля в менеджере, кусок на бумажке, кусок в уме.

walsk February 21st, 2015
О, за эту идею спасибо. Применю.

wizzard0 February 21st, 2015
Когда чем-то секьюрным пользоваться неудобно - это тоже плохо. Это стоит учитывать.

buriy February 20th, 2015
А что с этими ключами можно сделать? На хабре кто-то утверждает, что ничего серьёзного
Для взлома и подслушивания какого-нибудь нужно ещё доставить взломщик же?

wizzard0 February 21st, 2015
Ну, берешь фейковую соту и слушаешь кого хочешь в радиусе 100 метров, например.

buriy February 21st, 2015
А без ключа нельзя что-ли? Говорят, A5 и так за 5 минут ломается.
http://habrahabr.ru/post/251099/#comment_8293327

Я ещё давно читал про оборудование для перехвата сотовых сигналов для нужд полиции. Значит, могли и до этой утечки.
Может, поэтому сильно и не хранили ключи -- если ценность в них маленькая.
Но оправдываться теперь всё равно нужно, конечно...

Edited at 2015-02-21 05:54 pm (UTC)

wizzard0 February 22nd, 2015
Без ключа надо хариться с каждым конкретным звонком.

А тут кого хочешь, когда хочешь, и суперкомпьютер с ящиком батарей возить не надо.

alamar February 20th, 2015
> ложите

wizzard0 February 21st, 2015
HERE I FIXED IT

_winnie February 21st, 2015
Правительству Украины надо подсуетиться и признать первый вариант нормативным, это будет эпичней чем "в/на"!

Кстати, "ложить" достаточно популярно, чтобы попадать в качестве варианта подказок - http://dobrokot.ru/pics/i2015-02-21__23-27-14_104kb.png

Как и "одевать" http://dobrokot.ru/pics/i2015-02-21__23-29-32_59kb.png

109 February 21st, 2015

Я использую шнаеровский password safe. Зря?


wizzard0 February 21st, 2015
Эммм, при чем тут это?

109 February 21st, 2015
because people asking how to store passwords?

Недавно душевно похоливарили на тему "менеджер паролей против бумажки для современного сисадмина". Т.к. паролей реально очень много, reuse не ок, пароли должны быть сложными, все -- фиг запомнишь и т.д. Как разумнее решать этот вопрос, как вам кажется?

Edited at 2015-02-21 03:39 pm (UTC)

wizzard0 February 22nd, 2015
а, ну так можно перевесить в тот тред...

шнайеровский пассворд сейф норм.

arkanoid February 22nd, 2015
вот и я то же самое говорил.

но нет, мантра "все лидеры индустрии хранят у нас свои ключи и им нормально" действует лучше.

  • 1
?

Log in

No account? Create an account