Эксперты лаборатории SophosLabs по анализу вирусов, шпионского ПО и спама предупреждают пользователей, что использование одного и того же пароля для доступа к различным веб-сайтам значительно увеличивает риск стать жертвой хакеров. Поводом к такому обращению послужил взлом базы данных онлайновой игры Second Life. Хакеры похитили информацию о 650 тыс. пользователей-участников игры, включая адреса, пароли и зашифрованные данные о кредитных картах.
В исследовании лаборатории отмечается, что в бизнес-секторе 41% пользователей используют одинаковый пароль на все ресурсы. 45% пользователей имеют несколько паролей и только 14% вводят для каждого сайта отдельное секретное слово. Кроме того, 75% пользователей признались, что они используют простые, легко угадываемые пароли.
После инцидента со взломом базы данных Second Life администраторы сервера обратились к игрокам с просьбой изменить пароль для доступа к игре. Тем не менее, как отмечает SophosLabs, опасность не будет устранена. Хакеры могут по старому паролю получить доступ к учетным записям на других сайтах, если пользователь всюду вводил одинаковый пароль для доступа.
Пол Даклин, технический директор SophosLabs в азиатско-тихоокеанском регионе, опубликовал некоторые рекомендации по разумному выбору и использованию паролей. В первую очередь он призывает четко разграничить учетные записи случайных сайтов, где требуется регистрация, корпоративные пароли и личные пароли.
Чтобы избежать обилия сложных и уникальных паролей (а значит и необходимости их записывать), Пол Даклин рекомендует пользоваться простым алгоритмом при создании паролей для случайных сайтов. К примеру, можно использовать пароль в виде названия сайта, скажем: news4example7com3 для сайта news.example.com (используется доменное имя, а обозначение количества символов каждого компонента стоит вместо точки). Корпоративные и личные пароли, напротив, должны быть уникальными. Специалист также отмечает, что если компьютер заражен вредоносными программами, вполне вероятно, что какие-то из этих программ отслеживают и введенные с клавиатуры пароли.
Источник информации: ВебПланета

«Секретные» вопросы, на которые пользователи отвечают, когда хотят восстановить пароль от почты, не защищают от злоумышленников – их очень легко подобрать, говорится в результатах исследования кембриджского ученого Джозефа Бонно (Joseph Bonneau). Эксперимент исследователей показал, что путем подбора ответов на вспомогательные вопросы можно взломать каждый 80-ый аккаунт.
Исследователи из Кембриджа (Бонно и двое его коллег) проанализировали 270 миллионов экаунтов в Facebook. Выяснилось, что если кто-то хочет взломать почтовый аккаунт другого человека путем подбора ответов на вопрос, ему вполне может хватить нескольких часов для поиска соответствующей информации. И это при условии, что, как правило, почтовая система безопасности предоставляет три попытки ответить на вопрос – а затем временно блокирует аккаунт.
Информация, которую пользователи сообщают в качестве ответов на вспомогательные вопросы во время регистрации аккаунтов, может быть публичной и широко известной – включая девичью фамилию матери или её второе имя (такие данные при «счастливом» для злоумышленника раскладе можно легко найти в Google). Кроме того, пользователи часто не задумываются о том, что подобрать ответ на их вопрос можно просто наугад.
Например, многим кажется хорошим и очень личным вопросом «фамилия первой учительницы», и злоумышленник действительно может не знать ответа (если только почту не собралась взламывать сама учительница или старый школьный товарищ). Вот только если фамилия первой учительницы – миссис Смит, то её можно подобрать, даже не зная правильного ответа, так как в мире живет далеко не одна преподавательница младших классов, которую так зовут.
По словам Бонно, исследователи даже не предполагали, что результаты будут такими грустными. Если учесть, что систему вопросов используют даже банки и другие серьезные учреждения, а к почтовым адресам, как правило, привязаны самые разные сервисы, можно представить себе масштабы бедствия. Стоит отметить, что зачастую вспомогательные вопросы даже не нужны – многие пользователи охотно дарят доступ к своим почтовым ящикам и аккаунтам в социальных сетях, используя пароли вроде «123456».
Ситуацию можно улучшить, считают исследователи, если отказаться от примитивной и, по большому счету, никого не защищающей системы вспомогательных вопросов, используя другие средства. Либо усложнить процесс, заставив пользователя отвечать сразу на несколько вопросов.
Напомним, Джозеф Бонно специализируется на вопросах конфиденциальности и защиты в социальных сетях. Год в ходе эксперимента ему удалось выяснить, что социальные сервисы продолжают хранить изображения, удаленные пользователями.
Источник информации: ВебПланета

Сотрудник Microsoft Research Кормак Хёрли (Cormac Herley) полагает, что эксперты по компьютерной безопасности слишком многого требуют от пользователей, практически ничего не предлагая им взамен. Правил, которых нужно придерживаться пользователям, слишком много, но даже строгое следование всем советам экспертов не даёт никаких гарантий — лишь снижает вероятность пострадать от действий злоумышленников.
Например, по мнению Хёрли, совет по периодической смене паролей на деле почти не имеет никакого смысла, потому что если ваш пароль попадёт в руки злоумышленнику, он вряд ли будет ждать, пока вы его смените.
Не так много толку и от создания «сильного» пароля (длинного, не из словаря, с цифрами и спецсимволами). Причина: многие веб-сервисы всё равно блокируют доступ после нескольких попыток подобрать пароль к аккаунту.
Также для рядового пользователя слишком сложны правила, позволяющие распознать фишинговые письма и сайты — и то не всегда юзеры могут наверняка сказать, что посетили стопроцентно настоящий сайт. Что до понимания SSL-сертификатов и предупреждений, которые выдаются о них браузерами, то это, опять-таки, слишком сложно, в то время как фишеры всё равно практически не занимаются подделкой сертификатов.
Словом, от пользователей для обеспечения приемлемой (с точки зрения экспертов) безопасности требуется слишком много — и будет требоваться ещё больше с появлением новых типов угроз. Между тем, время — деньги, считает исследователь, а «большинство советов имеют смысл только, если мы полагаем, что пользовательское время ничего не стоит».
Таким образом, если пользователь будет придерживаться всех без исключения советов по безопасности, это отнимет у него массу времени и сил и при этом не гарантирует, что он не станет жертвой злоумышленников.
Поэтому Хёрли считает, что не нужно требовать от юзеров всего комплекса защитных мер, а следует подходить к этой задаче с учётом того, сколько времени (и денег) эти меры отнимают и какой эффект дают.
Источник информации: ВебПланета

Ученые из Калифорнийского университета в Беркли, США, представили программу для распознавания звуков, которые сопровождают набор текста на клавиатуре.
За основу разработчики взяли идею о том, что все клавиши клавиатуры при нажатии «звучат» по-разному. Издаваемый звук зависит от расположения клавиши на клавиатуре, типа клавиатуры, силы нажатия и положения рук печатающего. База звуков, получающихся при нажатии на разные клавиши разными людьми, хранится в памяти программы.
Программа записывает клацанье клавиш клавиатуры и сопоставляет запись с базой звуков. Главные особенности нового ПО — это способность к самообучению и знание лексических закономерностей языка.
Для знакомства с «клавиатурным почерком» человека программе достаточно пяти минут. В течение этого времени пользователь должен набирать на клавиатуре связный текст, соответствующий нормам литературного языка. После такого упражнения программа будет успешно распознавать любую последовательность символов — в том числе и пароль.
Если отдельный символ распознать не удалось, программа отыщет слово в своем словаре и вставит пропущенную букву.
The Economist предсказывает, что программа будет пользоваться успехом у компьютерных злоумышленников, так как для кражи пароля не требуется специального оборудования. Нужен только компьютер и недорогой микрофон.
Источник информации: SecurityLab.ru

Почти четверть пользователей (23%) сохраняют пароли от сервисов в браузерах, сообщает The Register. Около 60% пользователей ленятся регулярно менять пароли.
Такие тревожные результаты продемонстрировал опрос компании Symantec, в котором приняли участие 400 человек. Специалисты отмечают, что пользователи, помимо всего прочего, крайне легкомысленно относятся к самому выбору паролей. Например, 12 пользователей признались, что использовали в качестве пароля слово «password».
Каждый десятый пользователь использует для пароля кличку своего домашнего животного — которую легко узнать, даже не зная человека, а просто почитав посты в блогах и социальных сетях.
8% опрошенных рассказали, что используют один и тот же пароль для всех сайтов. Четверть респондентов передавала свои пароли супругам, каждый десятый – друзьям или подружкам.
Пикантности результатам этого опроса добавляет тот факт, что респондентами были люди, читающие блог Symantec. А это значит, что они как минимум в теории интересуются вопросами безопасного использования Интернета.
Ранее уже сообщалось, что многие пользователи любят пароли типа «123456» — как в России, так и на Западе. Специалисты по безопасности в очередной раз напоминают, что в целях самозащиты лучше выбирать комбинации посложнее, как минимум – сочетания букв и цифр.
Источник информации: ВебПланета

Исследователи из университета г. Тюбингена, Германия, предложили хранить идентификаторы для доступа к сайтам в памяти мобильного телефона. Чтобы авторизоваться на ресурсе, нужно сфотографировать двумерный штрихкод на встроенную камеру, передает Science Daily.
В программе, установленной на мобильный телефон, будет хранится имя сервера, имя аккаунта пользователя и секретный код. В двумерном коде, который отображается в окне браузера на странице авторизации, зашифрованы имя сервера и идентификатор сессии.
Пользователь снимает штрихкод на камеру телефона. Установленная на телефон программа расшифровывает данные и обменивается информацией с сервером (для отсылки данных предполагается использовать мобильный Интернет). После подтверждения информации человек будет допущен на сайт как зарегистрированный пользователь.

По заверениям разработчиков, весь процесс займет несколько секунд. Штрихкоды позволят решить сразу несколько проблем. Во-первых, не надо будет запоминать логины и пароли для доступа к разным сайтам. Во-вторых, не потребуется печатать символы на клавиатуре — существуют шпионские программы, которые запоминают последовательности символов и отсылают их злоумышленникам. Наконец, пользователи смогут одинаково легко входить на сайты даже с разных компьютеров.
На случай утери телефона разработчики предлагают установить пароль на доступ к приложению с регистрационными данными.
Источник информации: Руформатор

Французское правительство предполагает заменить пользовательские пароли единым цифровым сертификатом, обеспечивающим доступ ко всем национальным веб-сервисам.
По замыслу авторов проекта, введение универсального идентификатора IdeNum должно покончить с утомительной необходимостью хранить в памяти целый набор замысловатых сочетаний символов, призванных обеспечивать безопасность во время виртуальных путешествий. Согласно статистике компании Trusteer, предоставляющей услуги в области интернет-безопасности, 73% пользователей по этой причине используют банковские пароли для входа и на другие сервисы.
Внедрение IdeNum позволит сократить процесс авторизации пользователя на любом частном или публичном ресурсе, участвующем в проекте, и автоматизировать процесс заполнения онлай-форм. Предполагается, что многоцелевой идентификатор будет храниться на отдельном устройстве, каковым может стать флэш-, смарт- или SIM-карта.
Пока готовность присоединиться к разработке выразили более 20 национальных институтов, в том числе Союз французских банкиров, Ассоциация страховых агентств и Почтовая служба Франции. Прототип механизма аутентификации планируется представить к середине текущего года, а ввод полнофункциональной системы запланирован на 2011 год. Срок действия цифрового сертификата предположительно будет ограничен 3-5 годами.
Безусловно, реализация столь сложного проекта потребует немалых усилий и финансовых затрат. Ведь система аутентификации должна не только удостоверять личность пользователя, но и обеспечивать целостность данных. Последнее качество приобретает все большую актуальность ввиду появления банковских троянцев, способных перехватывать транзакции и на лету подменять информацию без ведома участвующих сторон. Серьезным вызовом являются вопросы защиты цифрового сертификата от хищения: такой «ключ от королевства» станет предметом особых вожделений сетевых охотников за чужими сокровищами.
Источник информации: SecureList