***

« previous entry | next entry »
Thu 15.12.16 | 21:36
btw, nesaistīti ar Yahoo paziņojumu var iet uz haveibeenpwned.com un priecāties, kur vēl konti ir noplūduši.

Es savus e-pastus varu atrast starp
* adobe
* dropbox
* linkedin
* last.fm
* myspace (??)
* tumblr

Jebkurām ilūzijām par datu drošību šajā laikmetā jau sen vajadzētu būt pazaudētām zudušām. Ooo, mums tik vajag vēl e-vēlēšanas un e-veselību, yay.

Comments {13}

  • [info]divi_g Link

    Lūk, lūk. Šajā ziņā īpaši liela sajūsma ir par tiem, kas turpina visur lietot vienādas paroles.

    Reply | Thread

    • crescendo

      [info]crescendo Link

      Kādreiz ar tā šķita, bet šobrīd arī unikālas paroles lietošana un mainīšana ik pa 3..6 mēnešiem uz citu unikālu paroli jau labu laiku nav risinājums. Un neaizmirsti unikālas security question atbildes katrai no vietām.

      Un nesāc par password menedžeriem, tas nāk ar savām problēmām. Pirmkārt, arī tie negarantē, ka paroles neviens neiegūs. Otrkārt, tie nāk ar single point of failure tad, kad tu to sasodīto master paroli neglābjami pazaudē.

      Reply | Parent | Thread

      • [info]divi_g Link

        Aha, pizģec, viss ir slikti un paliek arvien sliktāk (c), mēs tūlīt mirsim briesmīgā nāvē, un nekas varēs mūs glābt.

        Lai vai kā, es ar paroļu menedžeri, unikālām tā ģenerētām parolēm katrā interneta resursā un turpat pierakstītām sviestainām atbildēm uz drošības jautājumiem jūtos daudz komfortablāk, nekā ar vienādām vai gandrīz vienādām, kaut kur uz lapiņas pierakstītām parolēm :>

        Reply | Parent | Thread

        • [info]hessin Link

          jap, man arī paroļu menedžeri iegājušies, ka es vairs neiespringstu uz parolēm. Taisu backupus, īpašu uzmanību pievēršu master un e-pastu parolēm.
          Vienīgi vēl kaut kur lidinās konti, kas izveidoti pirms paroļu menedžera laikiem un esmu par tiem aizmirsusi, jo nelietoju.
          Negaidu, ka citi arī tā darīs.

          Reply | Parent | Thread

      • [info]hessin Link

        Jā, paroļu menedžeri nav panaceja, bet tie labi noder, lai izvairītos no vienādām vai līdzīgām parolēm portālos. Single point of failure vairāk ir e-pasti, uz kuriem sūta paroļu reset funkcijas.
        Vēl var izlīdzēties izmantojot Google, FB u.c. loginus, kur ir pieejams .. kamēr tie netiek nopludināti. Un ieslēgt 2FA, bet ne to, kas izmanto SMS, jo tas arī vairs neskaitās droši.

        Jaunākajās NIST valdīnijās paroļu rotācija netiek prasīta, jo visi tāpat jauno paroli atvasina no iepriekšējās paredzamā veidā :)
        Un tad vēl ir vietnes, kur security jautājumi un atbildes(!) ir pre-definētas, kas vispār ir wow.

        Visādi citādi industrija funktierē/sapņo paroļu alternatīvas. Bet hey, arī fiziskā drošība nav atrisināta, uzlauzt slēdzenes etc., vajag padalīt riskus.

        Reply | Parent | Thread

        • crescendo

          [info]crescendo Link

          Ne jau visas vietnes 2fa piedāvā. Kur nu vēl ne-sms-2fa.

          Gana daudz vietas ļauj ielogoties ar FB bet _pēc tam_ pieprasa arī uztaisīt kontu ar paroli. Kuru tu, prtms, nekad nelietosi, ja vien nepakāsīsi savu fb, bet tomēr.

          Tāpēc pēc tā paša risku padalīšanas principa, mazsvarīgām vietnēm lietot līdzīgas paroles ir nosacīti acceptable. Prtms, tādas, kas tālāk netiek lietotas svarīgajās.

          Reply | Parent

        • crescendo

          [info]crescendo Link

          Tās jaunākās NIST vadlīnijas daļa drošībnieku ievieš tikpat naski, kā grūtnieču uzraudzītāji svaigās VM vadlīnijas.

          Līdz tam, turpinam tik ražot jaunas parolītes iepriekš paredzamos veidos.
          Pie predefinētajām atliek izvēlēties uz random on prajot, lai nekad nevajadzētu. A ko citu.

          Reply | Parent | Thread

          • [info]hessin Link

            atkal jāpiekrīt, tāpēc atgriežamies pie posta pēdējās rindkopas.
            It kā gribētos uzticēties tādām kompānijām kā dropbox un linkedin, ka viņi zina, ko dara. Nop..
            Un es tiešām negribu zināt, kas ar to e-veselību tur sadarīts.

            Reply | Parent | Thread

            • crescendo

              [info]crescendo Link

              Mans linkedin bija no tā noplūdes bača, kur dabūja hašotās paroles. Kuras brīdī, kad noplūda, nebija lietojamas, viss čotka (bet viņi drošības pēc, protams, lika paroli mainīt). Tagad tās paroles ir lietojamas, bet tagad tā ir x gadus veca parole.

              LinkedIn haka interesantā daļa bija tā, ka daudzi tur lietoja savu 'universālo darba vietas paroli'. Ko skumji nācās atklāt Teamvieweriem (pēc pāris dienu izmisīgas ugunsdzēšanas ka nē ar VIŅU security viss ir kārtībā). Dropboxam baidījos likt jēdzīgu paroli, jo lai nu kas, bet dropbox tika aktīvi lietots visādos nedrošos wifijos, līdz ar to pat ja nenoķers no dropbox puses, tad noķers no citas. Noplūdis gan tikai viens no maniem dropbox kontiem.

              Vēl viens kompromitētais man ir trillians. Kur ir mazliet 'oh wait, trilliana parole nebija tikai lokāla? TIL'.

              Reply | Parent | Thread

              • crescendo

                [info]crescendo Link

                ok, nav tik traki, trilliana brīčs ir ' relates only to your blog and/or forum account and has nothing to do with Trillian account data or the Trillian software'. Anyway, reminderis novaipot visu, kas trillianam var būt pieseivojies.

                Reply | Parent

      • [info]hessin Link

        + par interneta drošību iespringstu vairāk, nekā par fizisko, jo internets atvērts visai pasaulei, bet fiziskai vajag būt klāt.

        Reply | Parent