Недавно была взломана транспортная система Сан-Франциско - файлы зашифрованы, давайте 100 биткойнов ($73k) 💰В результате люди весь день ездили бесплатно, пока ИТ-специалисты развертывали бэкап.
Через несколько дней хакера взломали 🔓 У него был почтовый ящик на @yandex.com. Другой хакер угадал ответ на секретный вопрос, а адрес оказался связан с резервным ящиком на том же сервисе и... с тем же секретным вопросом/ответом! В итоге стали известны подробности других взломов, заработки и т.п. https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/
Мораль 📌 По возможности:
1. Избегайте хранения важной конфиденциальной и финансовой информации на сервисах, где пароль можно сбросить ответом на секретный вопрос. Да, это не всегда реально, поэтому...
2. Ваше кодовое слово не должно отвечать на секретный вопрос. Это может быть что угодно - ответ на какой-то другой вопрос, набор случайных символов из менеджера паролей и т.д. Главное - исключить угадывание злоумышленником, но и тут надо думать ⬇️
Google, например, отказалась от секретных вопросов. Также компания опубликовала исследование, высвечивающее их проблемы. http://research.google.com/pubs/pub43783.html Любопытно, что 37% (!) опрошенных указывали фальшивые ответы на вопросы, чтобы затруднить угадывание. Однако в общей массе они делали это предсказуемо, что лишь ослабляло защиту!
Через несколько дней хакера взломали 🔓 У него был почтовый ящик на @yandex.com. Другой хакер угадал ответ на секретный вопрос, а адрес оказался связан с резервным ящиком на том же сервисе и... с тем же секретным вопросом/ответом! В итоге стали известны подробности других взломов, заработки и т.п. https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/
Мораль 📌 По возможности:
1. Избегайте хранения важной конфиденциальной и финансовой информации на сервисах, где пароль можно сбросить ответом на секретный вопрос. Да, это не всегда реально, поэтому...
2. Ваше кодовое слово не должно отвечать на секретный вопрос. Это может быть что угодно - ответ на какой-то другой вопрос, набор случайных символов из менеджера паролей и т.д. Главное - исключить угадывание злоумышленником, но и тут надо думать ⬇️
Google, например, отказалась от секретных вопросов. Также компания опубликовала исследование, высвечивающее их проблемы. http://research.google.com/pubs/pub43783.html Любопытно, что 37% (!) опрошенных указывали фальшивые ответы на вопросы, чтобы затруднить угадывание. Однако в общей массе они делали это предсказуемо, что лишь ослабляло защиту!