Mike Tyukanov (mtyukanov) wrote,
Mike Tyukanov
mtyukanov

Categories:

Warning (о псевдонимах порноактеров и кличках домашних животных)

Всем, поучаствовавшим в веселых тредах, где предлагалось составлять псевдонимы из клички домашнего животного и названия улицы, на которой тогда жили  -- проверьте, не оставили ли вы где-нибудь в комментах ту кличку домашнего животного, которую давали контрольным вопросом к, скажем, восстановлению пароля на мейлру. Или к какой-нибудь онлайн-банковской системе.

basile, обративший мое внимание на это (спасибо, Базиль), вообще предполагает, что это -- случай т.н. социального инжиниринга как хакерской тактики. Я не уверен в том, что мем этот был запущен у нас намеренно, но воспользоваться таким подарком непременно кто-нибудь воспользуется.

Я сам, хоть и участвовал в этом, об опасности вовремя не подумал, поскольку инстинктивно отбросил все варианты, связанные с теми кошками и собаками, которых действительно мог где-то поставить в контрольные вопросы. Но я вообще предпочитаю по возможности это поле не заполнять. И девичью фамилию матери, и клички домашних животных -- все это можно легко вычислить для очень многих активно-сетевых людей.

Когда мы вчера это обсуждали, jane_lozinsky предложила при использовании таких контрольных вопросов делать сам вопрос запутывающим потенциального взломщика. Пример: у соседа по даче была очень противная собака по кличке Пантелеймон. Если мы напрямую пишем "собака соседа по даче" -- есть шанс, что о ней где-то уже написали и забыли. Зашифруем и соседа, скажем, он чем-то похож на Николсона -- пишем вопрос "кличка собаки Николсона". Шанс упомянуть где-то и второе тоже сохраняется, но вопрос уже становится достаточно сложен, и шанс, что хуцкеры отвяжутся, возрастает.

Но, конечно, идеальное поведение -- это на подобные вопросы выдавать что-нибудь вроде "кличка домашнего животного -- arxX5er72_Y" и просто считать это запасным паролем.

(В порядке ceterum censeo): и убедитесь в отсутствии лишних и ненадежных адресов в списке на http://www.livejournal.com/tools/emailmanage.bml. В случае наличия таковых -- об удалении см. большую памятку аввы.

Конечно, можно успокаиваться тем, что нам, недотысячникам, это все не грозит. Но в случае массового захвата журналов их можно будет использовать для распределенных коммент-атак, или, скажем, для накрутки рейтингов. Так что защититься стоит всем. Не говоря уж о том, что почтовый ящик, даже заброшенный -- и сам по себе объект довольно ценный.

UPD: Да, и всем счастливым обладателям (в т.ч. и заброшенных) ящиков на мейлру, стоит (кто еще не сделал) прочитать заметку Аммосова, после чего пойти на мейлру и снять галочки. Спасибо комментерам за напоминание.
Tags: net
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 13 comments