Храним пароли в микроволновке. Mini PC, Vaultwarden и KeenDNS
В 2024 году количество утечек данных по всему миру побило все предыдущие рекорды: по оценкам аналитиков, более 9 миллиардов уникальных записей, включая логины и пароли, оказались в открытом доступе из‑за массовых взломов и небрежного отношения пользователей к собственной информационной...
[Перевод] Пароли больше не в моде? Что такое Passkeys?
Все мы бывали в подобной ситуации. Вы пытаетесь войти в свой банковский аккаунт, используя имя пользователя и пароль, но в ответ получаете стандартную ошибку «неверный пароль». Вы перепроверяете свой менеджер паролей, пробуете несколько вариантов, но после слишком большого количества неудачных...
Сюрприз в логах MaxPatrol VM — удаляем пароли перед отправкой в поддержку
При внедрении и сопровождении систем информационной безопасности, часто участвуют три стороны: вендор (разработчик), интегратор (технический подрядчик) и заказчик (организация-клиент). Вендор отвечает за разработку, обновления и вторую линию поддержки. Интегратор выполняет внедрение, настройку,...
Передача пароля по интернету: что безопаснее — хэширование или TLS?
В этой статье мы рассмотрим, какие методы передачи пароля через интернет наиболее безопасны. Хэширование паролей или протокол TLS — что выбрать для защиты данных? Разберемся, как работают эти технологии и какие риски скрываются за каждой из них. Читать полностью...
Я так устал вводить логин и пароль
Капчи украли у нас миллиарды часов и продолжают воровать дальше. Эту проблему надо решить, и есть технологии, которые могли бы заменить капчу, в том числе такие экзотические, как NFT с биометрией. Проверка на человечность — это пример относительно сложной в интеллектуальном плане задачи. Однако на...
Цифровая доступность и кибербезопасность: интеграция или конфликт?
Сложные пароли, двухфакторка, CAPTCHA. Всё это должно защищать, но что, если сами эти механизмы превращаются в огромную дыру в безопасности? Что делать, если ваш клиент — не «идеальный пользователь», а сотрудник компании с артритом, который не может набрать сложный пароль? Или клиент интернет-банка...
Большой обзор менеджеров паролей для бизнеса
Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно,...
PinkHash: Незабываемые розовые хеши
Розовый хеш — это как розовый слон, только хеш. Как превратить ваш обычный скучный хеш в голого эндокринолога, которого уже не забыть! А так же, как сделать свой собственный менеджер паролей, не доверяя пароли никаким внешним сервисам. К эндокринологам и многомерным антихристам...
Тёмная сторона LLM: Исследование уязвимостей ПО и сетевых атак. The Bad
Большие языковые модели получают большую популярность с каждым годом, они значительно упрощают нашу жизнь. Разумеется, они не остались без внимания хакеров. Проведя исследование и ориентируясь на статью, мы убедились в том, что LLM для проведения атак используются практически на каждом уровне...
Прошлое, настоящее и будущее взлома паролей
Пароли остаются важным средством обеспечения кибербезопасности, и едва ли им найдется адекватная замена в обозримом будущем. Да, иногда вместо паролей применяют токены, но у них другая, не до конца изученная модель угроз, а ведь зачастую нужно выбирать проверенные средства. Не теряет своей...
Карты, шлейфы, два чипа, или Аппаратный менеджер паролей для особых случаев
Менеджер паролей — штука удобная, а иногда и незаменимая, ведь количество комбинаций, которые приходится помнить среднестатистическому ИТ-специалисту, не позволяет ему рассчитывать только на собственную память. Подобные менеджеры давно научились генерировать не только пароли требуемой сложности, но...
Безопасный менеджер паролей или выстрели в колено пользователю
Всем привет! Сразу скажу: я не собираюсь претендовать на звание самого умного, просто хочу высказать ряд своих мыслей, которые являются ИМХО. Если вы с чем-то не согласны, прошу в комментарии, обсудим. Эта статья будет разделена на две части. В первой я рассмотрю некоторые популярные решения для...
[Перевод] Какие должны быть пароли в 2024 году?
Часто встречаются в интернете таблицы времени подбора паролей от компании Hive Systems, которые публикуются без дополнительных данных о методе их формирования. Соответственно сразу в комментариях появляются много "критиков", которые спешат поделиться своим мнением о бесполезности этих таблиц. Так...
Почему пароли безнадежно устарели и зачем ими до сих пор пользуются?
В феврале вышло исследование компании DLBI по самым популярным паролям в России. Аналитики собрали учётные записи (электронная почта — пароль), утёкшие в 2023 году, выделили из них уникальные. Всего получилось 44 млн записей. На основе этой базы исследователи составили топ самых популярных паролей....
Пароль как мелодия. Генерация стойких паролей в музыкальных аккордах
Несмотря на популярность парольных менеджеров, никто не отменяет необходимость в реальном запоминании длинных стойких паролей. В крайнем случае, мастер-пароль для самого парольного менеджера ведь надо запомнить. К сожалению, человеческая память не приспособлена для запоминания абсолютно случайных...
Как мы построили систему анализа утечек паролей с хранением в ScyllaDB
В статье я расскажу о том, как мы построили систему для получения, анализа и сохранения утечек паролей. Рассмотрим архитектуру нашей системы, опишем основные компоненты и расскажем о нашем опыте использования ScyllaDB для задач оперативной загрузки большого количества накопленных утечек. Читать...
Пароли в открытом доступе: ищем с помощью машинного обучения
Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда? Привет, меня...
CVSS 4.0: аналитический обзор новой версии популярного стандарта
Всем привет! В эфире команда Cyber Analytics Positive Technologies. В компании мы занимаемся разработкой методологии результативной кибербезопасности и подготовкой консалтинговых отчетов по проектам, связанным с проведением тестирований на проникновение и анализом защищенности. Мы сделали обзор...
Назад