Перейти к содержанию

Маленькая общемировая статистика :о))


Рекомендуемые сообщения

Из более чем 400 (которым было предложено пройти регистрацию к онлайн web-ezin'у, якобы уходящему в андеграунд) людей (в основном ИТ-секьюрити люди), была сделана выборка по паролю :о))

Самый короткий пароль 5 букф(без цифр)! Также встречались ник+датарождения, женские имена, имена домашних животных.

20% использовали пасс-фразу(достаточно мощное средство), и чуть менее 10% использовали очень сильный пароль.

То есть, 70% (вдумайтесь!) использовало пасс, который брутом подбирается в секунды :о))

Около 50% оставляли реальное название компании(совпадающее с корпоративным ip_адресом).

Дата окончания проведения "акции" вчера :о))

А вы говорите СУИБ, ISO, корпоративные стандарты ... :о))

Ссылка на комментарий
Поделиться на другие сайты

Из более чем 400  (которым было предложено пройти регистрацию к онлайн web-ezin'у, якобы уходящему в андеграунд) людей (в основном ИТ-секьюрити люди), была сделана выборка по паролю :о))

Самый короткий пароль 5 букф(без цифр)! Также встречались ник+датарождения, женские имена, имена домашних животных.

20% использовали пасс-фразу(достаточно мощное средство), и чуть менее 10% использовали очень сильный пароль.

То есть, 70% (вдумайтесь!) использовало пасс, который брутом подбирается в секунды :о))

Около 50% оставляли реальное название компании(совпадающее с корпоративным ip_адресом).

Дата окончания проведения "акции" вчера :о))

А вы говорите СУИБ, ISO, корпоративные стандарты ... :о))

36001[/snapback]

 

style_emoticons/default/smile20.gif "Все что вы скажете, может быть использовано против вас..."

 

С другой стороны, если задача была просто зайти разок анонимно и свалить, я бы тоже не стал париться с паролем (потом поменял бы при необходимости). style_emoticons/default/smile14.gif

 

 

Ссылка на комментарий
Поделиться на другие сайты

В форме ввода пароля был текущий ip-адрес (ну типа привязываться бум, SSL, сертификаты и т.п. и НАЗВАНИЕ компании нужно было ввести! Реальное(!) имя и желаемый ник :о)) Так что, "Все правильно сделали !" :о))

Ссылка на комментарий
Поделиться на другие сайты

В форме ввода пароля был текущий ip-адрес (ну типа привязываться бум, SSL, сертификаты и т.п. и НАЗВАНИЕ компании нужно было ввести! Реальное(!) имя и желаемый ник :о)) Так что, "Все правильно сделали !" :о))

36008[/snapback]

Ну так надо было вводить название компании-конкурента ! style_emoticons/default/smile19.gif

 

А ником наверное многие выбирали "Security_НАЗВАНИЕ"? style_emoticons/default/smile3.gif

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Подобное обсуждение уже было... о статье написанной девочкой журналисткой, на тему паролей на почтовых ящиках.

 

По факту

Когда то я увидел за работой государственного инспектора который подписывал документы. К нему стояла огромная очередь человек в 50. Очередь пополнялась все новыми людьми. И когда я заглянул в подписанный им документ, то увидел его роспись - простая спираль с четырьмя "завитушками" . Это очень простая быстрая и удобная роспись и в тоже время это роспись, а не какой-нибудь плюсик. Но я уверен, что на случай подписания иного, более важного документа у него есть и иная подпись, куда включены фрагменты его личных данных, красивая и сложная.

Тоже и с паролями, когда у людей есть необходимость установить пароль на не представляющем (по его мнению) опасности объекте, он поставит самый простой и удобный пароль, скорее всего этот пароль стоит в большинстве его документов. И только когда объект будет пополнен важной информацией и пр., тогда будет установлен сложный пароль и возможно единственный. А вот у человека не знакомого с ПК, простого обывателя, скорее будет все наоборот. На ненужный объект возможно будет установлен сложнейший пароль и наоборот. Типа, документ мне важен - значит забыть пароль не имею права и устанавливается самый простой и распространенный пароль.

Ссылка на комментарий
Поделиться на другие сайты

Novosib Исследование было проведено на ресурсе посвященном безопасности в интернете, аудитория ярко выраженная, специалисты по инфосекьюрити, всяко-хакеры и "сочуствующие", по обьявлению ресурс "уходил" из "правового" поля, легального в андеграунд? Какие простые обыватели, какие "закорючки" ? Не путайте теплое с мягким, плиз. Мне собственно все равно конечно, но условия были подробно изложены в начале темы, так что я не очень понял, для чего Вы собственно изложили все это. Мне кажется, что данное исследование касается краем темы про перегретый рынок труда и проффесинализм сотрудников компаний, которые предлагают решения по защите информационного поля в интернете

Ссылка на комментарий
Поделиться на другие сайты

Не являюсь специалистом в обсуждаемой теме. Но имею следующие соображения, основанные на личном опыте:

- согласен с мнением, что пофигу какой пароль если я тут неидентифицирован и просто пришел пообщаться. Хуже когда все эти привычки реализуются там, где лучше перебдеть. Огромного труда стоит заставить сотрудников вначале выдумать а потом запомнить, а не записывать пароли длинной более 20 символов.

- наши сотрудники постоянно забывают вообще свои пароли и записывают их как попало. Особенно впечатляет вариант когда пароль и ключ от PGP Desktop хранят в програмулине для хранения паролей и под паролем Word,

- а уж защитить паролем .doc файл, содержащий "гриф" - это вообще перл. Всю прошлую неделю подбирали пароли и ключи к подобному творчеству.

 

Есть мнение - чем больше сотрудник трендит про безопасность, тем меньше он для этого делает. По крайней мере у нас тут в деревне так)

А по поводу взлома паролей и ключей - разговоров слышу очень много, а как дело до реальных задач доходит все затыкаются, потому, что делали это единицы.

Недавний пример: Ставили PGP Desktop 9.6 на сервер, для защиты бухгалтереских и информационных баз. Потенциальная угроза - выемка сервера. То есть задача - не допустить доступ к базам вне здания. Так вот местный "специалист" прогудел все уши, что все это ломается "нашими". Так много рассуждал, что даже разозлил. А потом зашел разговор про подбор ключа Word (не пароля, а самого ключа) - на это специалист удивился и попросил дать ему програмку для этого. Для справки - найти эту прогу в интернете - 3 минуты делов. Зато человек рассуждает о взломе ключей, генерируемых в PGP длинной 2048 style_emoticons/default/smile12.gif

Ссылка на комментарий
Поделиться на другие сайты

...

Так вот местный "специалист" прогудел все уши, что все это ломается "нашими". Так много рассуждал, что даже разозлил.

...

Может быть, он имел в виду ректотермальный криптоанализ ? style_emoticons/default/smile1.gif

 

http://rksmb.ru/images/lenta/404.jpg

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...