 fox
II/IDEC networks :: habra.16 :: / Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon
|
Login |
[#]
Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon
habrabot(difrex,1) — All
2016-06-03 20:00:03
![][1]Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я [рассказал][2] про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka _я помню все твои трещинки_). Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила ([новость][3]), скажем так, с позиций традиционализма и ортодоксальности. Конкретно, [пост][4] в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.
Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно _(мимо дрожащих истерзанных рук_; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с абакусом или без него, с паролями мы будем иметь дело еще долго. Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене — не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10-15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.
Как многолетний офисный труженик Ворда, не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов, и решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!). В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, эта фича не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно успешно) взломать такой же (или похожий) пароль где-то еще.
[Читать дальше →][5]
[1]: https://habrastorage.org/files/c85/f57/f2e/c85f57f2eac84503ab388f045672e955.jpg
[2]: https://habrahabr.ru/company/kaspersky/blog/301932/
[3]: https://threatpost.ru/microsoft-moves-against-bad-passwords/16437/
[4]: https://blogs.technet.microsoft.com/ad/2016/05/24/another-117m-leaked-usernames-and-passwords-new-best-practices-azuread-and-msa-can-help/
[5]: https://habrahabr.ru/post/302548/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-06-03 20:00:03
![][1]Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я [рассказал][2] про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka _я помню все твои трещинки_). Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила ([новость][3]), скажем так, с позиций традиционализма и ортодоксальности. Конкретно, [пост][4] в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.
Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно _(мимо дрожащих истерзанных рук_; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с абакусом или без него, с паролями мы будем иметь дело еще долго. Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене — не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10-15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.
Как многолетний офисный труженик Ворда, не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов, и решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!). В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, эта фича не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно успешно) взломать такой же (или похожий) пароль где-то еще.
[Читать дальше →][5]
[1]: https://habrastorage.org/files/c85/f57/f2e/c85f57f2eac84503ab388f045672e955.jpg
[2]: https://habrahabr.ru/company/kaspersky/blog/301932/
[3]: https://threatpost.ru/microsoft-moves-against-bad-passwords/16437/
[4]: https://blogs.technet.microsoft.com/ad/2016/05/24/another-117m-leaked-usernames-and-passwords-new-best-practices-azuread-and-msa-can-help/
[5]: https://habrahabr.ru/post/302548/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut