Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Октября 2024)
Быть в безопасности - это не вещь, а постоянный процесс. Вы не в безопасности, потому что используете определенный инструмент, вы в безопасности, потому что применяете мышление безопасности каждый день.
Возьми пароли. Вы постоянно слышите напоминания - не используйте повторно пароли между сайтами, приложениями и службами. Не выбирайте слабые пароли. Используйте менеджер паролей, чтобы вы могли выбирать сверхсложные пароли и не беспокоиться о попытке их запомнить. Включите двухфакторную аутентификацию везде, где это возможно. Это все хорошие советы, чтобы запомнить и следовать. Ранее на этой неделе мой коллега Нил Рубенкинг сделал еще один шаг к рекомендации менеджера паролей и сказал, что вход на сторонние веб-сайты с использованием учетных данных Google, Facebook, Twitter или других социальных сетей представляет собой угрозу безопасности. Я не покупаю этот аргумент.
Вы видели, о чем я говорю. Хотя для большинства служб требуется создать учетную запись с нуля, существуют сайты, на которых вы можете войти, используя свои учетные данные в социальных сетях. Например, Expedia позволяет вам войти через Facebook. Или Inoreader (мой читатель RSS), который позволяет вам войти в систему с Google. Это позволяет вам пропустить процесс создания учетной записи и просто войти в систему с учетной записью, которая у вас уже есть. Удобно, правда? Очень. Это проблема безопасности, как сказал Нейл в своей статье? Нет.
Всякий раз, когда я вижу сайт, который позволяет мне войти в систему с другой учетной записью, я выбираю эту опцию. Я не использую свою учетную запись Facebook для входа в систему (извините, Expedia), но если есть возможность использовать мою учетную запись Google, я делаю. У меня есть надежный и сложный пароль, и я также включил двухфакторную аутентификацию. Так что моя учетная запись Google настолько безопасна, насколько я могу, и я верю, что Google предпримет необходимые шаги для обеспечения безопасности моей информации. Ничего против Facebook, но я думаю, что предпринял более эффективные шаги для защиты своей учетной записи Google, чем Facebook.
Я тебе доверяю? нет
Когда я захожу на сайт и мне нужно создать учетную запись, моя первая мысль: «Я тебе доверяю?» Доверяю ли я сайту, чтобы сохранить мои данные в безопасности? И я имею в виду не только пароли и номера кредитных карт. Надеюсь ли я, что сайт принял необходимые меры для защиты своего номера телефона, почтового адреса и даты рождения в своей базе данных? Честно? Для большинства компаний нет. Безопасность приложений сложна - большинство разработчиков все еще только изучают методы безопасного кодирования, а также эффективно защищают базу данных. Эта работа еще не завершена, и многие компании все еще не могут обеспечить безопасность. Поскольку я не могу задавать вопросы компаниям: «Доверяю ли я вам, чтобы вы сохранили мой пароль в безопасности и чтобы его не украли хакеры?» Я иду легким путем и предполагаю, что не могу.
Помните нарушение Gawker несколько лет назад? Все эти адреса электронной почты и пароли раскрыты, потому что разработчики Gawker не предприняли шагов для их надлежащей защиты. Я не говорю, что Гоукер был неправ - это медиа-компания, и никто не предполагал, что кто-то пойдет за системой комментирования сайта. Но это случилось. Как потребитель, я не собираюсь пытаться проверять, какие компании достаточно ориентированы на безопасность, чтобы доверять своим приложениям, а какие нет. Я собираюсь сосредоточиться на том, кто делает работу правильно.
Важная вещь при входе в систему с использованием моих учетных данных Google: на сайте не хранится мой пароль или другая информация. Когда я нажимаю кнопку Google+, я перенаправляюсь на страницу Google и аутентифицируюсь на серверах Google. Затем Google сообщает сайту, что да, я тот, кем я говорю, и отправляет меня обратно на сайт. Это означает, что моя информация остается в Google, и сайт просто получает токен, который гласит: «Она успешно вошла, пропустите ее».
Рассмотрим все нарушения сайта, которые мы наблюдали за последние два года. Есть сайты, на которые я подписываюсь, просто чтобы посмотреть, на что это похоже, а затем покинуть их через несколько дней, потому что это не то, что мне было нужно. Если я создал учетную запись на сайте, моя информация будет в базе данных этого сайта. Даже после того, как я покину этот сайт, моя учетная запись продолжает жить. (Вот почему мне не нравятся сайты, которые не позволяют удалять учетные записи, но это другая история для другого дня.) Это много потенциальных мест для моих данных, которые могут быть украдены. Если я использую свою учетную запись Google для входа в систему, то на сайте не будет никакой информации обо мне, чтобы меня украли. Это обнадеживает. Если я покидаю этот сайт, Google позволяет мне отозвать разрешения учетной записи, чтобы никто другой не мог войти в систему как я.
Давайте поговорим об отзыве. Весь смысл того, чтобы Google, Facebook и Twitter обрабатывали вход в систему, означает, что вы также можете использовать их для блокировки доступа. Например, я использую Google для входа в Inoreader. Скажем, я больше не хочу использовать Inoreader. Я просто захожу в настройки своей учетной записи Google и нажимаю кнопку «Отменить доступ». Вот и все. По этой же причине я использую Twitter для входа на некоторые сайты. Твиттер позволяет очень легко отключать приложения, как только я закончу.
Моя цель состоит в том, чтобы в мире было как можно меньше баз данных, содержащих записи с моей личной информацией.
Еще одна вещь, которая мне нравится при входе в Google: пароли для учетных записей. Я генерирую случайный пароль, который теперь Google знает как пароль для этого сайта. Этот пароль работает только для этого сайта и не дает доступа ни к чему другому. Вместо того, чтобы генерировать пароли с помощью менеджера паролей и создавать новую учетную запись, я продолжаю процесс с Google. Я использую пароль, отличный от пароля электронной почты, и я пропускаю весь процесс создания учетной записи, придерживаясь механизмов Google. Это очень удобно, например, если я вхожу в мобильное приложение. Теперь Google знает, как подтвердить мою личность, и, как и при обычном входе, я просто отменяю пароль, и это приложение больше не может войти.
Придерживайтесь того, кому вы доверяете
Нил задал очень хороший вопрос: спросите себя, должен ли этот сайт знать что-либо о вас. Нужно ли сайту знать ваше имя, адрес электронной почты, физический адрес и номер телефона или другую информацию в профиле? Если это не так, не сдавай. Держите это с тем, кому вы доверяете.
Если ваш пароль Facebook «Password1» и кто-то с гнусными намерениями это выяснит, то да, этот человек может пойти дальше и войти на любой другой сайт, который вы связали со своей учетной записью. Но чем это отличается от того, что вы выбрали «Password1» для этого сайта? Если вы используете легкий для запоминания пароль для своей электронной почты или сайта социальной сети, то, скорее всего, вы не используете цепочку трудно запоминаемых символов для своей учетной записи часто летающих миль, верно? Так что этот слабый пароль кричит "Взломай меня!" не факт, что вы вошли в систему с другой учетной записью. И если кто-то узнал ваш пароль Google, я не думаю, что вас больше всего беспокоит, сможет ли этот человек теперь войти в ваши связанные аккаунты. Не тогда, когда так просто попросить электронные письма для сброса пароля.
У безопасности нет волшебной пули. Данный инструмент можно использовать как для хорошего, так и для плохого. Это все в том, как вы подходите к этому. Я предпочитаю держаться подальше от баз данных. Что твое?
