?

Log in

No account? Create an account
Sep. 23rd, 2007 @ 01:30 am Warning (о псевдонимах порноактеров и кличках домашних животных)
About this Entry
Leviathan
Tags:
Всем, поучаствовавшим в веселых тредах, где предлагалось составлять псевдонимы из клички домашнего животного и названия улицы, на которой тогда жили  -- проверьте, не оставили ли вы где-нибудь в комментах ту кличку домашнего животного, которую давали контрольным вопросом к, скажем, восстановлению пароля на мейлру. Или к какой-нибудь онлайн-банковской системе.

basile, обративший мое внимание на это (спасибо, Базиль), вообще предполагает, что это -- случай т.н. социального инжиниринга как хакерской тактики. Я не уверен в том, что мем этот был запущен у нас намеренно, но воспользоваться таким подарком непременно кто-нибудь воспользуется.

Я сам, хоть и участвовал в этом, об опасности вовремя не подумал, поскольку инстинктивно отбросил все варианты, связанные с теми кошками и собаками, которых действительно мог где-то поставить в контрольные вопросы. Но я вообще предпочитаю по возможности это поле не заполнять. И девичью фамилию матери, и клички домашних животных -- все это можно легко вычислить для очень многих активно-сетевых людей.

Когда мы вчера это обсуждали, jane_lozinsky предложила при использовании таких контрольных вопросов делать сам вопрос запутывающим потенциального взломщика. Пример: у соседа по даче была очень противная собака по кличке Пантелеймон. Если мы напрямую пишем "собака соседа по даче" -- есть шанс, что о ней где-то уже написали и забыли. Зашифруем и соседа, скажем, он чем-то похож на Николсона -- пишем вопрос "кличка собаки Николсона". Шанс упомянуть где-то и второе тоже сохраняется, но вопрос уже становится достаточно сложен, и шанс, что хуцкеры отвяжутся, возрастает.

Но, конечно, идеальное поведение -- это на подобные вопросы выдавать что-нибудь вроде "кличка домашнего животного -- arxX5er72_Y" и просто считать это запасным паролем.

(В порядке ceterum censeo): и убедитесь в отсутствии лишних и ненадежных адресов в списке на http://www.livejournal.com/tools/emailmanage.bml. В случае наличия таковых -- об удалении см. большую памятку аввы.

Конечно, можно успокаиваться тем, что нам, недотысячникам, это все не грозит. Но в случае массового захвата журналов их можно будет использовать для распределенных коммент-атак, или, скажем, для накрутки рейтингов. Так что защититься стоит всем. Не говоря уж о том, что почтовый ящик, даже заброшенный -- и сам по себе объект довольно ценный.

UPD: Да, и всем счастливым обладателям (в т.ч. и заброшенных) ящиков на мейлру, стоит (кто еще не сделал) прочитать заметку Аммосова, после чего пойти на мейлру и снять галочки. Спасибо комментерам за напоминание.
[User Picture Icon]
From:vadim_i_z
Date:September 22nd, 2007 10:24 pm (UTC)
(Permanent Link)
И правда...
Хотя сама идея не придумана специально для этого случая: The way we got the names - I don't know if it's the traditional way - is the name of your first pet and the name of the road you grew up on, which for me is Biscuit Cripple
(Reply) (Thread)
[User Picture Icon]
From:spamsink
Date:September 23rd, 2007 12:30 am (UTC)
(Permanent Link)
Я как та собака - все понял, а сказать не смог; когда набредал на эти треды, тут же думал, что не буду я в этом участвовать, потому что у меня и кличка, и улица где-нибудь да задействованы. А озвучить то ли поленился, то ли не догадался (раз, мне это сразу стало понятно, то и рассказывать, поди, не надо).
(Reply) (Thread)
From:ex_tritopor
Date:September 23rd, 2007 02:38 am (UTC)
(Permanent Link)
По-моему, человек, который в качестве контрольного ответа пишет "Васька" или "Барсик" - просто обязан быть взломан. Тут даже перебора никакого не надо.
(Reply) (Thread)
[User Picture Icon]
From:basile
Date:September 23rd, 2007 11:00 am (UTC)
(Permanent Link)
Что ж мелочиться? "Человек, заводящий ящик на мейлру просто обязан быть взломан!" ;)
(Reply) (Parent) (Thread)
[User Picture Icon]
From:mtyukanov
Date:September 23rd, 2007 01:02 pm (UTC)
(Permanent Link)
Трабл в том, что человек мог быть уверен, что кличку вроде "Максимилиан-Рихард" или там "Фуфрынчик" никто не подберет, и использовать ее, реальную. И знать вроде некому. А тут раз -- и ляпнул.
(Reply) (Parent) (Thread)
[User Picture Icon]
From:mochalkina
Date:September 23rd, 2007 05:38 am (UTC)
(Permanent Link)
реальные имена и клички не надо называть в мейлру даже из более простых соображений. Чтобы журнал не могли взломать знакомые знакомых, соседи соседей и так далее. Люди разные.

Как говорил в связи со всеми текущими скандалами человек с мейлру, "одна безопасность должна быть для человека с улицы, другая -- для младшей сестры". Но на самом-то деле лучше, чтобы для всех была одинаковая.
(Reply) (Thread)
[User Picture Icon]
From:iv6
Date:September 23rd, 2007 05:49 am (UTC)
(Permanent Link)
А эту милую фичу видели?

http://vrn.best-city.ru/forum/thread81534/
(Reply) (Thread)
[User Picture Icon]
From:basile
Date:September 23rd, 2007 11:03 am (UTC)
(Permanent Link)
Оригинал с непопорченным форматированием, кстати, тут: http://ammosov.livejournal.com/245171.html
(Reply) (Parent) (Thread)
[User Picture Icon]
From:basile
Date:September 23rd, 2007 11:06 am (UTC)
(Permanent Link)
Carthago Mail.ru Delenda Est!!!
(Reply) (Parent) (Thread)
[User Picture Icon]
From:mtyukanov
Date:September 23rd, 2007 01:03 pm (UTC)
(Permanent Link)
Там не все так однозначно (хотя, может, это мейлрушники оперативно закрыли). Но галочки снять действительно стоит. В апдейт.
(Reply) (Parent) (Thread)
[User Picture Icon]
From:iv6
Date:September 24th, 2007 03:00 am (UTC)
(Permanent Link)
Понятно, что насчет "скрипта, который автоматически высылает пароль" - это преувеличение, но занимающийся этим работник техподдержки тоже может от доброты сердечной и отсутствия внутри внятной политики по этому вопросу лопухнуться.

И если бы я знал, что это ammosov, я бы отнесся с несколько большим недоверием :)
(Reply) (Parent) (Thread)
[User Picture Icon]
From:chva
Date:September 23rd, 2007 06:40 am (UTC)
(Permanent Link)
> Но, конечно, идеальное поведение -- это на подобные вопросы выдавать что-нибудь вроде "кличка домашнего животного -- arxX5er72_Y" и просто считать это запасным паролем.

Я примерно так и делаю. Только вместо случайной последовательности даю нелепый ответ, не согласующийся с вопросом.
(Reply) (Thread)
[User Picture Icon]
From:osa_mayor
Date:June 20th, 2008 06:46 pm (UTC)
(Permanent Link)
Я обычно "использую" любимую футбольную команду моего шефа + 3 начальные цифры его "старого" мобильник, теперь это номер его жены.
Поскольку это единственный в моем окружении человек, с которым мы иногда разговариваем о футболе..
(Reply) (Thread)