Сколько паролей нужно и где их хранить?
Не будучи спецом в области безопасности, прошу совета у гуру.
У меня имеется около двадцати клиентов, которым я регулярно рассылаю мылом однотипную информацию (таблички excel) с паролями. При этом есть шанс ошибиться и перепутать адресатов. Поэтому каждой табличке присваивается свой пароль. В случае путаницы не сможет прочесть неправильный получатель.
Сейчас ценность информации возросла и я хочу использовать TrueCrypt, а там пароли длинные – от 12 знаков.
Посоветуйте, где их хранить? Можно сделать отдельный контейнер для них. Но тогда "враг" вскрыв его получает доступ ко всей информации. Как поступают в таких случаях? Есть ли какие-то рекомендации по оптимальному числу паролей в системе?
Парольные менеджеры, которые работают в windows, которая не восстанавливается при каждом запуске из доверенного образа и к тому же подключена к интернету, явно не расчитаны на хранение по-настоящему ценных секретов.
Скорей бы доделали уже Trusted Computing, чтобы иметь полный контроль над выполняемым в системе кодом.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Давайте рассмотрим конкретную ситуацию – у меня есть кошелек WebMoney и, соответственно пароль к нему, коды и файл ключей. Денег там стараюсь держать как можно меньше. Но все равно будет неприятно, если уведут.
Предположим, пароль я помню и ввожу вручную. Если есть троян – он его возьмет, если нет – все нормально.
Теперь второй вариант – пароль у меня в менеджере. Главный пароль я то же ввожу вручную. Если есть троян – он его возьмет, еще ему придется захватить файл с паролями, что бы открыть у себя. C антикейлоггером – еще сложнее, а проверить антикейлоггер в действии можно хоть любым кейлоггером (напр. KGBspy), хоть antikeyloggertester'ом – aklt.
Ну и чем голова лучше парольного менеджера?
Единственная, казалось бы, разница не в пользу парольного менеджера – то что файл могут попытаться открыть не зная главного пароля – например сбрутить по словарю. Но ведь для этого файл увести надо, значит, нужен доступ к компьютеру, а раз есть доступ, значит и трояна кинуть можно. Вот мы и вернулись в самое начало...
Гораздо больше паролей крадутся фишингом, а не "случайными троянами". Хозяева "случайных троянов" не интересуются логами нажатий чёрт знает с каких машин. Из бизнес ориентирован на другое. А вот фишеры целенаправленно атакуют пользователей разных сервисов, и иногда с феноменальным успехом. (Недавний увод 130 тысяч аккаунтов вКонтакте. Им не помог бы любой антикейлоггер.)
Глупости какие-то.
комментариев: 11558 документов: 1036 редакций: 4118
Этим бы точно не помог. :-)) Вот моя статистическая выборка из утекшей базы, топ самых популярных паролей.
До сих пор мучаюсь вопросом: это ошибка в базе или самый популярный пароль — это отсутствие пароля? Вконтакт разрешает аккаунты без паролей?
Ну почему глупости? Сейчас вы худо-бедно, на всё-таки можете узнать (дизассемблировав или поинтересовавшись у сделавших это), что делает установленная на вашем компьютере программа. А Trusted Computing лишит вас такой возможности. В сочетании с интеловской технологией vPro с вами (и нами) будет именно то, что сказали выше.
Почему? Trusted Computing не имеет к этому отношения. Он нужен только для того чтобы гарантировать безопасное исполнение авторизованного кода. И если админ нечаянно авторизовал не тот код, последний не смог нанести ущерб стабильности остальных процессов.
Это администраторский тул, который простым пользователям не нужен.
тут
А кто будет спрашивать, нужен-не нужен? Поставят на все. Других не будут выпускать. И AMD что-нибудь подобное сделает "для сохранения конкурентноспособности". тут
[/offtop]