Видео: Dame Tu cosita ñ (Октября 2024)
В прошлом месяце Джон Дворак, давний обозреватель PCMag и самопровозглашенный «чудак», написал диатрибу о процессе сброса пароля. Я был серьезно занят освещением конференции RSA в Сан-Франциско, поэтому не обращал на это особого внимания. Теперь, когда я посмотрел, я могу заявить, что позиция Джона полностью и совершенно неверна. Чтобы позаимствовать фразу из « Игры престолов », вы ничего не знаете, Джон Дворжак!
Дворжак сказал: «Что случилось с идеей отправить кому-то пароль, а не ссылку для сброса? Мне понравился старый пароль». Вместо этого он продолжал насмехаться над использованием ссылки сброса, говоря: «Ничто из этого не защищает меня или кого-либо еще от чего-либо. Это шарада. Как это защищает что-нибудь?» Ну, Джон, я скажу тебе.
У них этого нет
Главная причина, по которой безопасный сайт не отправит вам забытый пароль, очень проста: у него его нет. Они его нигде не хранят. И это хорошо. Если они не хранят ваш пароль, то пароль не может быть украден хакерами или размещен на Pastebin недовольным сотрудником. Действительно, веб-сайт, который на самом деле хранит ваш пароль, ставит под угрозу вашу конфиденциальность.
Итак, если они не хранят ваш пароль, как они могут знать, что вы ввели правильный? Ответ заключается в концепции, называемой хешированием. Хеширование очень похоже на шифрование, но это односторонний процесс. Один и тот же вход в алгоритм хеширования всегда дает один и тот же вывод, но нет способа взять этот вывод и заново открыть оригинал.
Допустим, вы зарегистрировали новую онлайн-учетную запись, используя свой любимый пароль, который называется «пароль». Сайт помещает то, что вы ввели с помощью алгоритма хеширования, и возвращает некоторую бессмыслицу, такую как 991CEFz & Nw36, которую он хранит. Когда вы входите в систему, сайт запускает пароль, который вы ввели по тому же алгоритму. Если результат совпадает, вы в.
Они не должны отправлять это
Даже если на защищенном сайте был сохранен ваш действительный пароль, они не должны отправлять его вам по электронной почте. Электронная почта по своей сути небезопасна. Ваши сообщения отскакивают от сервера к серверу на пути к вашей папке входящих сообщений. Если вы не использовали какое-либо шифрование электронной почты, ваш пароль просто не безопасен во время путешествий.
Дворжак утверждает, что ссылка для сброса пароля также уязвима. Он не прав. С одной стороны, ссылки сброса обычно недолговечны. Через некоторое время после запроса ссылки она становится недействительной. Как только вы воспользуетесь ссылкой, она снова станет недействительной. Кроме того, использование ссылки устанавливает безопасное SSL-соединение между вашим браузером и серверами сайта. Вы вводите новый пароль, сайт хеширует его и сохраняет результат, и вы снова в деле.
Но я не могу вспомнить!
Дворжак поднимает проблему своей учетной записи Dropbox, которую он использует только несколько раз в год. Естественно, когда он вынужден использовать его, он не может вспомнить пароль. На самом деле, пароль, который вы можете легко запомнить, очень вероятен. Что ему действительно нужно, так это начать использовать менеджер паролей и изменить все существующие пароли на новые, надежные, уникальные.
- Как сделать безумно безопасные пароли Как сделать безумно защищенные пароли
- Лучшие менеджеры паролей на 2019 год Лучшие менеджеры паролей на 2019 год
- Дилемма сброса пароля Дилемма сброса пароля
Да, есть определенный объем работы, связанный с переходом на надежные пароли, но это того стоит. Наша Джилл Даффи объясняет, как она делала это в течение пяти недель. И это не должно быть дорогим. Некоторые из доступных бесплатных менеджеров паролей отлично справляются со своей задачей.
«Но я все еще должен помнить этот надежный мастер-пароль», - почти слышу, как Джон говорит. На самом деле вы делаете. Но это всего лишь один пароль, и есть способы сделать его запоминающимся. Кроме того, вы будете использовать его каждый день, а не один раз в год. Итак, Джон, считай это твоим тревожным звонком; пришло время присоединиться к современному миру и получить менеджер паролей.
