«Мы думаем о паролях, но главные утечки случаются не через них, а через то, что мы считаем безобидным. Понимание реальной иерархии своих данных меняет подход к безопасности, заставляя защищать не абстрактную «информацию», а конкретные жизненные процессы.» Заблуждение: пароль, это главное Обычная точка входа в разговор о персональной безопасности — пароли. Двухфакторная аутентификация, менеджеры паролей — … Читать далее
Пароли, это трещина в фундаменте вашей безопасности, а менеджеры паролей и политики Active Directory — лишь заплатки. Настоящая проблема глубже: мы пытаемся управлять тем, что по своей природе неуправляемо — человеческим фактором в условиях устаревшей парадигмы аутентификации. Парольная аутентификация остаётся основным механизмом контроля доступа в большинстве корпоративных систем. В России требования ФСТЭК и 152-ФЗ напрямую … Читать далее
«Беспарольная аутентификация, это не просто замена паролей на отпечаток пальца. Это перераспределение власти: контроль над доступом пользователя к сервису теперь делится между производителем его устройства, оператором облачной экосистемы и владельцем приложения. Битва за стандарты доверия, это битва за то, кто будет арбитром в этой новой реальности.» Почему пароли оказались в тупике Пароль как концепция «секретного … Читать далее
«Рабочая память, это не просто ограничение, это главная лазейка для обхода требований регулятора. Ты можешь выполнить все формальные требования ФСТЭК и при этом получить систему, которая не работает, потому что люди не в состоянии с ней взаимодействовать. Самое опасное в регуляторике — думать о технологии, забыв о людях» . Memory и password management: когнитивные ограничения … Читать далее
Парольная политика с ежеквартальным изменением, это пережиток прошлого, который не добавляет безопасности, но гарантированно ухудшает человеческие привычки и провоцирует создание слабых последовательностей. Реальная защита строится на иных принципах. https://seberd.ru/5595 Стратегия регулярной смены паролей десятилетиями была краеугольным камнем корпоративных политик безопасности. «Меняйте пароль каждые 90 дней!», это требование стало привычным и почти не подвергалось сомнению. Сегодня … Читать далее
«Мы боремся с хакерами и инсайдерами, а главная угроза оказывается где-то посередине — в наших собственных процессах, созданных для удобства. Безопасность требует не только защиты периметра, но и внимательного изучения внутреннего ландшафта, где «временные решения» становятся постоянными дырами.» Как это произошло Картина открылась не при проверке политик, а при сканировании корпоративного облачного хранилища. В папке … Читать далее
«Парольная политика, это не просто список требований для пользователей. Это зеркало, в котором отражается разрыв между формальными правилами и реальной практикой. Если ты пишешь политику, которую сам не можешь соблюдать, ты создаёшь систему, где нарушение правил становится нормой.» Почему мы пишем политики, которые сами не выполняем Требование создать пароль из 12 символов с заглавными буквами, … Читать далее
«Пароль от Wi-Fi часто воспринимается как формальность, но в реальности это один из самых слабых и обходимых элементов защиты. Его уязвимость кроется не в длине или сложности, а в человеческом факторе, который делает бесполезными многие формальные требования регуляторов. Достаточно одного звонка, чтобы обойти защиту, потому что система безопасности выстроена вокруг технологий, а не вокруг реальных … Читать далее
«Представь, как твои точные данные о сердце, сне и передвижениях продаются на чёрном рынке за пару долларов. Это не спекуляция, а сегодняшняя реальность. Причина не в хакерских прорывах, а в тривиальном рыночном прагматизме и глупой эксплуатации «индустрии здоровья».» Черный рынок перестал гнаться за паролями банков: теперь там твои физиология и распорядок Традиционный образ чёрного рынка … Читать далее
«Без квантового компьютера можно взломать RSA, а с ним — можно взломать быстрее. Но пароли взламывают не алгоритмом Шора, а кучей видеокарт. Основная угроза — не твои пароли, а сертификаты и подписи в государственных системах и банках. Устойчивые алгоритмы появятся не как ответ на взлом, а как бюрократический процесс, за которым стоит поспевать» . Крипография … Читать далее