ΜΗΝ ΣΥΝΗΘΕΙΣΕΤΕ ΜΙΑ ΚΑΚΗ ΣΥΝΗΘΕΙΑ
Μνήμη μαγνητικού πυρήνα. μπάλωμα Τρίτη και SketchUp γελοιότητες. Περισσότερο Μετριασμούς MOVEit. Όρος Γοξ πίσω στα νέα. Γκόζι κακόβουλο λογισμικό εγκληματίας φυλακίστηκε επιτέλους. Είναι οι κανόνες κωδικού πρόσβασης όπως τρέχοντας μέσα από τη βροχή?
Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.
Με τους Doug Aamoth και Paul Ducklin. Intro και outro μουσική από Edith Mudge.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify, Ράπτων και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΗ. Patch Tuesday, κάλυψη του εγκλήματος στον κυβερνοχώρο και διασκέδαση με κωδικούς πρόσβασης.
Όλα αυτά και πολλά άλλα στο podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.
Παύλο, πώς τα πας σήμερα;
ΠΑΠΙΑ. Νταγκ, δεν πρέπει να το πω αυτό… αλλά επειδή ξέρω τι συμβαίνει Αυτή η εβδομάδα στην ιστορία της τεχνολογίας, επειδή μου έδωσες μια προεπισκόπηση, είμαι πολύ ενθουσιασμένη!
ΖΥΜΗ. Εντάξει, ας πάμε αμέσως!
Αυτή την εβδομάδα, στις 15 Ιουνίου, πολύ πίσω στο 1949, ο Jay Forrester, ο οποίος ήταν καθηγητής στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης ή MIT, έγραψε…
ΠΑΠΙΑ. [MOCK DRAMA] Μην το λες αυτό σαν να είσαι από τη Βοστώνη και να είσαι αυτάρεσκος με αυτό, Νταγκ; [ΓΕΛΙΟ]
ΖΥΜΗ. Γεια, είναι μια όμορφη πανεπιστημιούπολη. Έχω πάει εκεί πολλές φορές.
ΠΑΠΙΑ. Είναι επίσης ένα είδος διάσημης σχολής μηχανικών, έτσι δεν είναι; [ΓΕΛΙΑ]
ΖΥΜΗ. Είναι σίγουρα!
Ο Jay Forrester έγραψε μια πρόταση για «πυρήνα μνήμη» στο σημειωματάριό του και αργότερα θα εγκαταστήσει τη μνήμη μαγνητικού πυρήνα στον υπολογιστή Whirlwind του MIT.
Αυτή η εφεύρεση έκανε τους υπολογιστές πιο αξιόπιστους και ταχύτερους.
Η βασική μνήμη παρέμεινε η δημοφιλής επιλογή για αποθήκευση υπολογιστή μέχρι την ανάπτυξη των ημιαγωγών στη δεκαετία του 1970.
ΠΑΠΙΑ. Είναι μια φανταστικά απλή ιδέα μόλις μάθετε πώς λειτουργεί.
Μικροσκοπικοί μικροί μαγνητικοί πυρήνες φερρίτη, σαν να βρίσκεστε στο κέντρο ενός μετασχηματιστή… σαν υπερ-μινιατούρες ροδέλες.
Μαγνητίστηκαν, είτε δεξιόστροφα είτε αριστερόστροφα, για να σημαίνουν μηδέν ή ένα.
Ήταν κυριολεκτικά μαγνητική αποθήκευση.
Και είχε το funky χαρακτηριστικό, Ντάγκλας, ότι επειδή ο φερρίτης ουσιαστικά σχηματίζει έναν μόνιμο μαγνήτη…
…μπορείτε να το επαναμαγνητίσετε, αλλά όταν απενεργοποιήσετε το ρεύμα, παραμένει μαγνητισμένο.
Άρα ήταν μη πτητικό!
Εάν είχατε διακοπή ρεύματος, θα μπορούσατε βασικά να επανεκκινήσετε τον υπολογιστή και να συνεχίσετε από εκεί που σταματήσατε.
Φοβερο!
ΖΥΜΗ. Εξαιρετικό, ναι… αυτό είναι πραγματικά υπέροχο.
ΠΑΠΙΑ. Προφανώς, το αρχικό σχέδιο του MIT ήταν να χρεώσει ένα δικαίωμα 0.02 US$ ανά bit για την ιδέα.
Μπορείτε να φανταστείτε πόσο ακριβό θα έκανε, για παράδειγμα, μια μνήμη iPhone 64 gigabyte;
Θα ήταν σε δισεκατομμύρια δολάρια! [ΓΕΛΙΑ]
ΖΥΜΗ. Φανταστικός.
Λοιπόν, κάποια ενδιαφέρουσα ιστορία, αλλά ας τη μεταφέρουμε στη σύγχρονη εποχή.
Όχι πολύ καιρό πριν… Microsoft Patch Τρίτη.
Όχι μέρες μηδέν, αλλά ακόμα πολλές διορθώσεις, Παύλος:
Το Patch Tuesday διορθώνει 4 κρίσιμα σφάλματα RCE και ένα σωρό τρύπες του Office
ΠΑΠΙΑ. Λοιπόν, δεν υπάρχουν μηδενικές ημέρες αυτόν τον μήνα, αν αγνοήσετε αυτήν την οπή εκτέλεσης απομακρυσμένου κώδικα Edge για την οποία μιλήσαμε την περασμένη εβδομάδα.
ΖΥΜΗ. Χμμμμμ.
ΠΑΠΙΑ. Τεχνικά, αυτό δεν είναι μέρος του Patch Tuesday…
…αλλά υπήρχαν 26 σφάλματα απομακρυσμένης εκτέλεσης κώδικα [RCE] συνολικά και 17 σφάλματα elevation-of-privilege [EoP].
Εκεί βρίσκονται ήδη οι απατεώνες, αλλά δεν μπορούν να κάνουν πολλά ακόμα, έτσι στη συνέχεια χρησιμοποιούν το σφάλμα EoP για να αποκτήσουν υπερδυνάμεις στο δίκτυό σας και να κάνουν πολύ πιο άθλια πράγματα.
Τέσσερα από αυτά τα σφάλματα απομακρυσμένης εκτέλεσης κώδικα ονομάστηκαν "Κρίσιμα" από τη Microsoft, που σημαίνει ότι αν είστε από εκείνους τους ανθρώπους που εξακολουθούν να τους αρέσει να κάνουν τις ενημερώσεις κώδικα με μια συγκεκριμένη σειρά, αυτά είναι αυτά με τα οποία σας προτείνουμε να ξεκινήσετε.
Τα καλά νέα για τις τέσσερις κρίσιμες ενημερώσεις κώδικα είναι ότι οι τρεις από αυτές σχετίζονται με το ίδιο στοιχείο των Windows.
Από όσο μπορώ να καταλάβω, ήταν ένα σωρό σχετικά σφάλματα, που προφανώς βρέθηκαν κατά τη διάρκεια κάποιου είδους αναθεώρησης κώδικα αυτού του στοιχείου.
Η οποία σχετίζεται με την Υπηρεσία Μηνυμάτων των Windows, εάν τύχει να τη χρησιμοποιήσετε στο δίκτυό σας.
ΖΥΜΗ. Και όλοι μας έχουν ευχαριστηθεί συλλογικά για την υπομονή μας με την καταστροφή του SketchUp, που δεν ήξερα ότι υπήρχε μέχρι τώρα.
ΠΑΠΙΑ. Όπως εσύ, Doug, δεν έχω χρησιμοποιήσει ποτέ αυτό το πρόγραμμα που ονομάζεται SketchUp, το οποίο πιστεύω ότι είναι ένα πρόγραμμα γραφικών 3D τρίτων κατασκευαστών.
Ποιος ήξερε ότι θα ήταν πραγματικά υπέροχο να μπορούσατε να ρίχνετε εικόνες SketchUp 3D στα έγγραφά σας Word, Excel, PowerPoint;
Όπως μπορείτε να φανταστείτε, με μια ολοκαίνουργια μορφή αρχείου για ανάλυση, ερμηνεία, επεξεργασία, απόδοση εντός του Office…
…Η Microsoft παρουσίασε ένα σφάλμα που διορθώθηκε ως CVE-2023-33146.
Αλλά η κρυμμένη ιστορία-πίσω από την ιστορία, αν θέλετε, είναι ότι την 01η Ιουνίου 2023, η Microsoft ανακοίνωσε ότι:
Η δυνατότητα εισαγωγής γραφικών SketchUp έχει απενεργοποιηθεί προσωρινά σε Word, Excel, PowerPoint και Outlook για Windows και Mac.
Εκτιμούμε την υπομονή σας καθώς εργαζόμαστε για να διασφαλίσουμε την ασφάλεια και τη λειτουργικότητα αυτής της λειτουργίας.
Χαίρομαι που η Microsoft εκτιμά την υπομονή μου, αλλά ίσως εύχομαι η ίδια η Microsoft να ήταν λίγο πιο υπομονετική προτού εισαγάγει αυτή τη δυνατότητα στο Office εξαρχής.
Μακάρι να το είχαν βάλει εκεί *αφού* ήταν ασφαλές, αντί να το βάλουν για να δουν αν ήταν ασφαλές και να ανακαλύψουν, όπως λες (έκπληξη! έκπληξη!), ότι δεν ήταν.
ΖΥΜΗ. Εξαιρετική.
Ας μείνουμε στο θέμα της υπομονής.
Είπα ότι «θα το προσέχουμε», και ήλπιζα ότι δεν θα χρειαζόταν να το προσέχουμε.
Αλλά πρέπει να διαφοροποιηθούμε λίγο, όπως κάνατε στον τίτλο.
Περισσότερα μετριασμούς MOVEit: δημοσιεύονται νέες ενημερώσεις κώδικα για περαιτέρω προστασία, Παύλος.
Περισσότερα μετριασμούς MOVEit: δημοσιεύονται νέες ενημερώσεις κώδικα για περαιτέρω προστασία
ΠΑΠΙΑ. Είναι πάλι αυτό το παλιό καλό πρόβλημα MOVEit: το Σφάλμα ένεσης SQL.
Αυτό σημαίνει ότι εάν χρησιμοποιείτε το πρόγραμμα MOVEit Transfer και δεν το έχετε επιδιορθώσει, τότε οι απατεώνες που έχουν πρόσβαση στο web-based front end μπορούν να ξεγελάσουν τον διακομιστή σας να κάνει κακά πράγματα…
…μέχρι και την ενσωμάτωση ενός κελύφους ιστού που θα τους αφήσει να περιπλανηθούν αργότερα και να κάνουν ό,τι θέλουν.
Όπως γνωρίζετε, εκδόθηκε ένα CVE και η Progress Software, οι κατασκευαστές του MOVEit, δημοσίευσαν ένα patch για να αντιμετωπίσουν το γνωστό exploit στη φύση.
Τώρα έχουν ένα άλλο έμπλαστρο για να αντιμετωπίσουν παρόμοια σφάλματα που, εξ όσων γνωρίζουν, οι απατεώνες δεν έχουν βρει ακόμη (αλλά αν έψαχναν αρκετά, θα μπορούσαν).
Και, όσο περίεργο κι αν ακούγεται αυτό, όταν διαπιστώνετε ότι ένα συγκεκριμένο μέρος του λογισμικού σας έχει ένα συγκεκριμένο είδος σφάλματος, δεν θα πρέπει να εκπλαγείτε αν, όταν σκάψετε βαθύτερα…
…βρίσκετε ότι ο προγραμματιστής (ή η ομάδα προγραμματισμού που εργάστηκε σε αυτό τη στιγμή που παρουσιάστηκε το σφάλμα για το οποίο ήδη γνωρίζετε) διέπραξε παρόμοια σφάλματα την ίδια στιγμή.
Μπράβο σε αυτήν την περίπτωση, θα έλεγα, στην Progress Software που προσπάθησε να το αντιμετωπίσει προληπτικά.
Το Progress Software μόλις είπε, «Όλοι οι πελάτες του Move It πρέπει να εφαρμόσουν τη νέα ενημέρωση κώδικα που κυκλοφόρησε στις 09 Ιουνίου 2023.
ΖΥΜΗ. Εντάξει, υποθέτω ότι θα το προσέξουμε!
Παύλο, βοήθησέ με εδώ.
Είμαι στο έτος 2023, διαβάζω στο α Τίτλος γυμνής ασφάλειας κάτι για το «Mt. Gox."
Τι μου συμβαινει?
ΠΑΠΙΑ. Όρος Γκοξ!
«Magic The Gathering Online Exchange», Doug, όπως ήταν…
ΖΥΜΗ. [ΓΕΛΙΑ] Φυσικά!
ΠΑΠΙΑ. …όπου μπορείτε να ανταλλάξετε κάρτες Magic The Gathering.
Αυτός ο τομέας πουλήθηκε και όσοι έχουν μακριές αναμνήσεις θα ξέρουν ότι μετατράπηκε στο πιο δημοφιλές και μακράν το μεγαλύτερο ανταλλακτήριο Bitcoin στον πλανήτη.
Διευθύνθηκε από έναν Γάλλο ομογενή, τον Mark Karpelès, εκτός Ιαπωνίας.
Όλα πήγαιναν κολυμπώντας, προφανώς, μέχρι που έσκασε σε μια ρουφηξιά σκόνης κρυπτονομισμάτων το 2014, όταν συνειδητοποίησαν ότι, χαλαρά μιλώντας, όλα τα Bitcoins τους είχαν εξαφανιστεί.
ΖΥΜΗ. [ΓΕΛΙΑ] Δεν πρέπει να γελάσω!
ΠΑΠΙΑ. 647,000 από αυτά, ή κάτι τέτοιο.
Και ακόμη και τότε, άξιζαν ήδη περίπου 800 δολάρια το ποπ, οπότε αυτό ήταν μισό δισεκατομμύριο δολάρια ΗΠΑ "τζούρα".
Παραδόξως, εκείνη την εποχή, πολλά δάχτυλα έδειχναν την ίδια την ομάδα του Mt. Gox, λέγοντας: «Ω, αυτή πρέπει να είναι μια εσωτερική δουλειά».
Και στην πραγματικότητα, την Πρωτοχρονιά, νομίζω ότι ήταν, το 2015, μια ιαπωνική εφημερίδα με την ονομασία Yomiuri Shimbun δημοσίευσε στην πραγματικότητα ένα άρθρο λέγοντας: «Το έχουμε εξετάσει και το 1% των απωλειών μπορεί να εξηγηθεί από τη δικαιολογία που έχω καταλήξει σε? Για τα υπόλοιπα, θα πούμε ότι ήταν μια εσωτερική δουλειά».
Τώρα, αυτό το άρθρο που δημοσίευσαν, το οποίο προκάλεσε πολύ δράμα επειδή είναι μια αρκετά δραματική κατηγορία, τώρα δίνει ένα σφάλμα 404 [Η σελίδα HTTP δεν βρέθηκε] όταν το επισκεφτείτε σήμερα.
ΖΥΜΗ. Πολύ ενδιαφέρον!
ΠΑΠΙΑ. Οπότε δεν νομίζω ότι αντέχουν άλλο.
Και, πράγματι, το Υπουργείο Δικαιοσύνης [DOJ] στις Ηνωμένες Πολιτείες τελικά, επιτέλους, όλα αυτά τα χρόνια αργότερα, κατηγόρησε δύο Ρώσους υπηκόους ότι βασικά έκλεψαν όλα τα Bitcoin.
Οπότε ακούγεται ότι ο Mark Karpelès έχει λάβει τουλάχιστον μια μερική αθώωση, με την ευγένεια του Υπουργείου Δικαιοσύνης των ΗΠΑ, επειδή σίγουρα έχουν βάλει αυτούς τους δύο Ρώσους στο πλαίσιο αυτού του εγκλήματος όλα αυτά τα χρόνια πριν.
ΖΥΜΗ. Είναι μια συναρπαστική ανάγνωση.
Δείτε το λοιπόν στο Naked Security.
Το μόνο που έχετε να κάνετε είναι να αναζητήσετε, το μαντέψατε, «Mt. Gox”.
Ας μείνουμε στο θέμα του εγκλήματος στον κυβερνοχώρο, καθώς ένας από τους κύριους παραβάτες πίσω από το τραπεζικό κακόβουλο λογισμικό Gozi προσγειώθηκε στη φυλακή μετά από δέκα χρόνια, ο Παύλος:
ΠΑΠΙΑ. Ναι… ήταν λίγο σαν να περίμενα το λεωφορείο.
Δύο εκπληκτικές ιστορίες «ουάου, αυτό συνέβη πριν από δέκα χρόνια, αλλά θα τον πάρουμε στο τέλος» έφτασαν αμέσως. [ΓΕΛΙΟ]
Και αυτό, σκέφτηκα, ήταν σημαντικό να το ξαναγράψω, απλώς για να πω, «Αυτό είναι το Υπουργείο Δικαιοσύνης. δεν τον ξέχασαν».
Πράγματι. Συνελήφθη στην Κολομβία.
Πιστεύω ότι επισκέφτηκε και βρισκόταν στο αεροδρόμιο της Μπογκοτά, και υποθέτω ότι οι συνοριακοί αξιωματούχοι σκέφτηκαν, "Ω, αυτό το όνομα είναι σε λίστα παρακολούθησης"!
Και έτσι προφανώς οι Κολομβιανοί αξιωματούχοι σκέφτηκαν: «Ας επικοινωνήσουμε με τη Διπλωματική Υπηρεσία των ΗΠΑ».
Είπαν, "Γεια, κρατάμε εδώ έναν μαθητή με το όνομα του (δεν θα αναφέρω το όνομά του - είναι στο άρθρο). . Σας ενδιαφέρει ακόμα, τυχαία;»
Και, τι έκπληξη, Νταγκ, οι ΗΠΑ ενδιαφέρθηκαν πραγματικά πολύ.
Έτσι, εκδόθηκε, ήρθε αντιμέτωπος με το δικαστήριο, ομολόγησε την ενοχή του και τώρα καταδικάστηκε.
Θα πάρει μόνο τρία χρόνια φυλάκιση, η οποία μπορεί να φαίνεται ελαφριά ποινή, και πρέπει να επιστρέψει περισσότερα από 3,000,000 δολάρια.
Δεν ξέρω τι θα συμβεί αν δεν το κάνει, αλλά υποθέτω ότι είναι απλώς μια υπενθύμιση ότι τρέχοντας και κρύβοντας από την εγκληματικότητα που σχετίζεται με κακόβουλο λογισμικό…
…καλά, αν υπάρχουν κατηγορίες εναντίον σας και οι ΗΠΑ σας αναζητούν, δεν λένε απλώς «Α, δέκα χρόνια είναι, μπορεί κάλλιστα να το αφήσουμε».
Και η εγκληματικότητα αυτού του τύπου έτρεχε αυτό που στην ορολογία είναι γνωστό ως «αλεξίσφαιροι οικοδεσπότες», Νταγκ.
Εκεί βασικά είστε κάπως ISP, αλλά σε αντίθεση με έναν κανονικό ISP, καταφέρνετε να γίνετε κινούμενος στόχος για την επιβολή του νόμου, σε λίστες αποκλεισμού και για ειδοποιήσεις κατάργησης από κανονικούς ISP.
Έτσι, παρέχετε υπηρεσίες, αλλά τις κρατάτε, αν θέλετε, να μετακινούνται και να κινούνται στο διαδίκτυο, έτσι ώστε οι απατεώνες να σας πληρώνουν ένα τέλος και να γνωρίζουν ότι οι τομείς που φιλοξενείτε για αυτούς θα συνεχίσουν εργάζεστε, ακόμα κι αν σας αναζητούν οι αρχές επιβολής του νόμου.
ΖΥΜΗ. Εντάξει, και πάλι υπέροχα νέα.
Paul, καθώς ολοκληρώνουμε τις ιστορίες μας για την ημέρα, έχεις καταπιαστεί με ένα πολύ δύσκολο, πολύχρωμο, αλλά σημαντική ερώτηση σχετικά με τους κωδικούς πρόσβασης.
Δηλαδή, πρέπει να τα αλλάζουμε συνεχώς εκ περιτροπής, ίσως μια φορά το μήνα;
Ή να κλειδώσετε τα πραγματικά πολύπλοκα για να ξεκινήσετε και μετά να αφήσετε αρκετά καλά μόνοι;
Σκέψεις για προγραμματισμένες αλλαγές κωδικού πρόσβασης (μην τις αποκαλείτε εναλλαγές!)
ΠΑΠΙΑ. Αν και ακούγεται σαν μια παλιά ιστορία, και όντως είναι μια ιστορία που την έχουμε επισκεφτεί πολλές φορές στο παρελθόν, ο λόγος που την έγραψα είναι ότι ένας αναγνώστης επικοινώνησε μαζί μου για να ρωτήσει για αυτό ακριβώς το θέμα.
Είπε, «Δεν θέλω να πάω στο ρόπαλο για 2FA. Δεν θέλω να ασχοληθώ με τους διαχειριστές κωδικών πρόσβασης. Αυτά είναι ξεχωριστά ζητήματα. Απλώς θέλω να μάθω πώς να διευθετήσω, αν θέλετε, τον πόλεμο του χλοοτάπητα μεταξύ δύο φατριών μέσα στην εταιρεία μου, όπου κάποιοι λένε ότι πρέπει να κάνουμε σωστά τους κωδικούς πρόσβασης, και άλλοι απλώς λένε, «Αυτό το σκάφος έπλευσε, είναι πολύ δύσκολο, απλώς θα αναγκάσουμε τους ανθρώπους να τους αλλάξουν και αυτό θα είναι αρκετά καλό».
Έτσι σκέφτηκα ότι άξιζε πραγματικά να γράψω γι 'αυτό.
Κρίνοντας από τον αριθμό των σχολίων στο Naked Security και στα μέσα κοινωνικής δικτύωσης, πολλές ομάδες IT εξακολουθούν να παλεύουν με αυτό.
Αν απλώς αναγκάζετε τους ανθρώπους να αλλάζουν τους κωδικούς πρόσβασής τους κάθε 30 ημέρες ή 60 ημέρες, έχει πραγματικά σημασία αν επιλέξουν κάποιον που μπορεί να σπάσει εξαιρετικά εάν τους κλέψουν τον κατακερματισμό;
Αρκεί να μην διαλέξουν password or secret ή ένα από τα ονόματα των κορυφαίων δέκα γατών στον κόσμο, ίσως είναι εντάξει αν τους αναγκάσουμε να τον αλλάξουν με έναν άλλο, όχι πολύ καλό κωδικό πρόσβασης, προτού μπορέσουν οι απατεώνες να τον σπάσουν;
Ίσως αυτό είναι αρκετά καλό;
Αλλά έχω τρεις λόγους για τους οποίους δεν μπορείτε να διορθώσετε μια κακή συνήθεια ακολουθώντας απλώς μια άλλη κακή συνήθεια.
ΖΥΜΗ. Ο πρώτος έξω από την πύλη: Η τακτική αλλαγή κωδικών πρόσβασης δεν αποτελεί εναλλακτική λύση στην επιλογή και χρήση ισχυρών, Paul.
ΠΑΠΙΑ. Όχι!
Μπορεί να επιλέξετε να κάνετε και τα δύο (και θα σας δώσω δύο λόγους σε ένα λεπτό για τους οποίους πιστεύω ότι το να αναγκάζετε τους ανθρώπους να τα αλλάζουν τακτικά έχει ένα άλλο σύνολο προβλημάτων).
Αλλά η απλή παρατήρηση είναι ότι η τακτική αλλαγή ενός κακού κωδικού πρόσβασης δεν τον κάνει καλύτερο κωδικό πρόσβασης.
Εάν θέλετε καλύτερο κωδικό πρόσβασης, επιλέξτε έναν καλύτερο κωδικό πρόσβασης για να ξεκινήσετε!
ΖΥΜΗ. Και λες: Το να αναγκάζετε τους ανθρώπους να αλλάζουν τους κωδικούς πρόσβασής τους τακτικά μπορεί να τους παρασύρει σε κακές συνήθειες.
ΠΑΠΙΑ. Κρίνοντας από τα σχόλια, αυτό ακριβώς είναι το πρόβλημα που έχουν πολλές ομάδες πληροφορικής.
Εάν πείτε στους ανθρώπους: "Γεια, πρέπει να αλλάζετε τον κωδικό πρόσβασής σας κάθε 30 ημέρες και καλύτερα να επιλέξετε έναν καλό", το μόνο που θα κάνουν είναι…
…θα διαλέξουν ένα καλό.
Θα περάσουν μια εβδομάδα δεσμεύοντάς το στη μνήμη για το υπόλοιπο της ζωής τους.
Και μετά κάθε μήνα θα προσθέτουν -01, -02, και ούτω καθεξής.
Έτσι, εάν οι απατεώνες σπάσουν ή παραβιάσουν έναν από τους κωδικούς πρόσβασης και δουν ένα τέτοιο μοτίβο, μπορούν να καταλάβουν σχεδόν ποιος είναι ο κωδικός πρόσβασής σας σήμερα, εάν γνωρίζουν τον κωδικό πρόσβασής σας πριν από έξι μήνες.
Αυτό είναι που η επιβολή αλλαγής όταν δεν είναι απαραίτητη μπορεί να οδηγήσει τους ανθρώπους να ακολουθήσουν συντομεύσεις για την ασφάλεια στον κυβερνοχώρο που δεν θέλετε να κάνουν.
ΖΥΜΗ. Και αυτό είναι ένα ενδιαφέρον.
Έχουμε μιλήσει για αυτό στο παρελθόν, αλλά είναι κάτι που μερικοί άνθρωποι μπορεί να μην το είχαν σκεφτεί: Ο προγραμματισμός αλλαγών κωδικού πρόσβασης μπορεί να καθυστερήσει τις απαντήσεις έκτακτης ανάγκης.
Τι εννοείτε με αυτό;
ΠΑΠΙΑ. Το θέμα είναι ότι εάν έχετε ένα επίσημο, σταθερό χρονοδιάγραμμα για τις αλλαγές κωδικών πρόσβασης, ώστε όλοι να γνωρίζουν ότι όταν έρθει η τελευταία μέρα αυτού του μήνα, θα αναγκαστούν να αλλάξουν τον κωδικό πρόσβασής τους ούτως ή άλλως…
…και μετά σκέφτονται, «Ξέρεις τι; Είναι 12 του μήνα και πήγα σε έναν ιστότοπο για τον οποίο δεν είμαι σίγουρος ότι θα μπορούσε να ήταν ιστότοπος phishing. Λοιπόν, θα αλλάξω τον κωδικό πρόσβασής μου σε δύο εβδομάδες ούτως ή άλλως, οπότε δεν θα πάω να τον αλλάξω τώρα».
Έτσι, αλλάζοντας τους κωδικούς πρόσβασής σας *τακτικά*, μπορεί να καταλήξετε στη συνήθεια όπου μερικές φορές, όταν είναι πραγματικά, πολύ σημαντικό, δεν αλλάζετε τον κωδικό πρόσβασής σας *συχνά* αρκετά.
Εάν και όταν πιστεύετε ότι υπάρχει καλός λόγος να αλλάξετε τον κωδικό πρόσβασής σας, ΚΑΝΤΕ ΤΟ ΤΩΡΑ!
ΖΥΜΗ. Το αγαπώ!
Εντάξει, ας ακούσουμε από έναν από τους αναγνώστες μας για το κομμάτι του κωδικού πρόσβασης.
Ο αναγνώστης του Naked Security Philip γράφει, εν μέρει:
Το να αλλάζετε συχνά τους κωδικούς σας για να μην παραβιάζεστε είναι σαν να νομίζετε ότι αν τρέχετε αρκετά γρήγορα, μπορείτε να αποφύγετε όλες τις σταγόνες της βροχής.
Εντάξει, θα αποφύγεις τις σταγόνες της βροχής που πέφτουν πίσω σου, αλλά θα υπάρχουν εξίσου πολλές εκεί που θα πας.
Και, αναγκασμένοι να αλλάζουν τακτικά τους κωδικούς πρόσβασής τους, ένας πολύ μεγάλος αριθμός ατόμων απλώς θα προσθέσει έναν αριθμό που μπορούν να αυξήσουν όπως απαιτείται.
Όπως είπες, Παύλο!
ΠΑΠΙΑ. Ο φίλος σου και ο δικός μου, είπε ο Chester [Wisniewski], πριν από μερικά χρόνια όταν μιλούσαμε μύθοι κωδικών πρόσβασης, «Το μόνο που χρειάζεται να κάνουν [ΓΕΛΙΑ], για να καταλάβουν ποιος είναι ο αριθμός στο τέλος, είναι να πάνε στη σελίδα σας στο LinkedIn. «Ξεκίνησε σε αυτήν την εταιρεία τον Αύγουστο του 2017»… μετρήστε τον αριθμό των μηνών από τότε».
Αυτός είναι ο αριθμός που χρειάζεστε στο τέλος.
ΖΥΜΗ. Ακριβώς! [ΓΕΛΙΟ]
ΠΑΠΙΑ. Και το πρόβλημα έρχεται ότι όταν προσπαθείς και προγραμματίζεις, ή αλγοριθμείς… είναι μια λέξη;
(Μάλλον δεν θα έπρεπε, αλλά θα το χρησιμοποιήσω ούτως ή άλλως.)
Όταν προσπαθείτε να πάρετε την ιδέα της τυχαιότητας, της εντροπίας και της μη προβλεψιμότητας, και τη μαζέψετε σε κάποιον εξαιρετικά αυστηρό αλγόριθμο, όπως ο αλγόριθμος που περιγράφει τον τρόπο με τον οποίο οι χαρακτήρες και οι αριθμοί τοποθετούνται στις ετικέτες των οχημάτων, για παράδειγμα…
…τότε καταλήγετε με *λιγότερη* τυχαιότητα, όχι *περισσότερη*, και πρέπει να το γνωρίζετε.
Έτσι, το να αναγκάζετε τους ανθρώπους να κάνουν οτιδήποτε που τους κάνει να πέσουν σε ένα μοτίβο είναι, όπως είπε τότε ο Τσέστερ, απλώς να τους αποκτήσετε τη συνήθεια μιας κακής συνήθειας.
Και μου αρέσει να το λέω.
ΖΥΜΗ. Εντάξει, σε ευχαριστώ πολύ που το έστειλες, Φίλιππε.
Και αν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.
Μπορείτε να στείλετε email [προστασία μέσω email], comment on any one of our articles, or hit us up on social: @nakedsecurity.
Αυτή είναι η εκπομπή μας για σήμερα.
Ευχαριστώ πολύ που με ακούσατε.
Για τον Paul Ducklin, είμαι ο Doug Aamoth, που σας υπενθυμίζω, μέχρι την επόμενη φορά, να…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς!
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- EVM Finance. Ενιαία διεπαφή για αποκεντρωμένη χρηματοδότηση. Πρόσβαση εδώ.
- Quantum Media Group. Ενισχυμένο IR/PR. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/06/15/s3-ep139-are-password-rules-like-running-through-rain/
