Пароли
правила пользования

Никогда не используйте один и тот же пароль.

Читать

демонстрация первого транзистора

США 1947 год

Читать


Пароли: руководство пользователя



Навеяно этой записью. Сначала захотелось написать что-нибудь ехидное, навроде "кролики стали догадываться, что их не только разводят, но и едят"... но потом вдруг понял, что здесь много технически неграмотного и далёкого от ИТ люда, и далеко не всем очевидно то, что очевидно любому вменяемому ИТшнику.

Поэтому несколько правил с объяснениями - почему так, как нужно делать и чем вы рискуете. Если скучно читать многобукав, пролистывайте объяснения, но - если вам дороги ваши жизнь и рассудок - держитесь подальше от болот, и всё-таки, следуйте правилам.

1. НИКОГДА не используйте один и тот же пароль на разных сайтах.

Причина очень проста: сайты (особенно, дешёвые) часто взламывают (нет, это не голливудщина, это жизнь - простое вездесущее раздолбайство с одной стороны и лёгкие деньги с другой). Базы данных этих сайтов с паролями уходят налево, и если кому-то кажется, что он не оставил при регистрации в интернет-доставке пиццы ничего важного, он ошибается.

Как это выглядит со стороны хакера?

На современных сайтах пароли в базах не хранятся в явном виде (а вот раздолбаи, писавшие сайт доставки пиццы, как раз могут хранить в базе как есть). Представим, что хакер добыл базу данных с паролями от серьёзного сайта (соцсети, службы знакомств, какой-то более-менее важной услуги типа электронного дневника выших детей). Он не может использовать пароли, потому что они в виде хэша. Так называемые специальные хэш-функции специально сделаны так, что можно превратить пароль в набор цифр, но в принципе нельзя (математически нельзя, потому что информация потеряна) обратно превратить набор этот цифр в пароль. Когда сайт проверяет ваш пароль, он превращает его в хэш и сравнивает уже хэши. Таким образом, можно проверить, правильный ли пароль, не запоминая его. Красиво, да? И, казалось бы, надежно? ваш пароль от дневника сына в безопасности?

Лишь до тех пор, пока у меня не появляется список паролей. Современные компьютеры очень быстры. Я могу вычислять хэши от тысяч до миллионов паролей в секунду, были бы сами пароли. Поэтому все пароли с когда-либо взломанных сайтов, все пароли когда-либо использовавшиеся хакерами сливаются в одну большую базу. Не то чтобы она была доступна всем, но она доступна всем очень желающим за небольшие деньги или вовсе бесплатно. И если у меня есть хеши, первое, что я сделаю - прогоню эти хеши на соотвествие этим паролям. И что бы вы думали? Да, верно, есть очень большая вероятность, что кто-то когда-то (и возможно даже Вы лично) использовали где-то этот пароль, он утёк и теперь в моей базе.

Возможен и другой сценарий, более редкий, но вовсе не экзотический: моя цель - именно Вы, и я пытаюсь добраться до чего-то ценного у Вас. Кстати, далеко не факт, что ВЫ считаете это ценным - доступ к рабочему компьютеру, например, для Вас всего лишь доступ к бессмысленно скучным файлам и накладным, прошедшим через склад. Для меня это ещё и потенциальный доступ к бухгалтерии и компу директора, которые своей инфой дорожат. Не обязательно я буду её красть, я могу шантажировать с её помощью или просто зашифровать диск и попросить выкуп в биткойнах. Суммы там могут быть приличные - в более менее крупной конторе потеря бухгалтерии за месяц это ещё и неприятности с налоговой, которые могут вообще стОить всего бизнеса нафиг. Подумайте об этом.

Так вот в этом втором случае я возьму все доступные мне базы паролей, которые могут содержать такие полезные вещи, как IP пользователя, имя, фамилию, номер телефона, электронную почту, адрес, широту и долготу (ага, если Вы пользуетесь планшетом, смартфоном или нотебуком). Я прогоняю все эти базы на соотвествия всему, что я знаю о Вас, нахожу миллионы тёзок, тысячи однофамильцев, одно совпадение телефона, 120 совпадений по месту входа... и начинаю работать с этим, отсеивая инфу по дополнительным критериям, проверяя, выписывая. В итоге (не факт, но вполне возможно), я буду иметь список логинов, которые Вы когда-либо использовали.

Потом я запускаю скрипты, которые пробегают со всеми паролями по существующим сайтам, и... я найду и указанный 7 лет назад Вашим сыном Ваш точный адрес, и старый номер телефона, и то, что Вы женаты второй раз, и имя Вашей первой жены, и ещё много всего... Вам кажется, ради Вас никто так копать не будет: зачем мне знать имя Вашей первой жены? Да фигня вопрос - работают-то скрипты, а имя Вашей бывшей - запросто может быть паролем.

Хакерство с целью добычи данных - вовсе не то, что показывают в голливудских фильмах. Это не возня с кодом (с кодом возятся другие люди, и там дай бог чтоб раз в месяц дыру на одном сайте найти, не говоря уж о серьёзных системах). БОльшая часть криминала использует уже готовые уязвимости, написанные другими инструменты, скачанные другими базы данных старых взломов и т.п. Это социальная работа - понять, кто Вы, что Вы, как Вы, какие пароли могли бы использовать и как докопаться до того, что нужно и что (пока) знаете только Вы. Ещё и ещё раз: даже если Вы кладовщик в Мухосранском филиале ГосГовнослива, это НЕ значит, что Вы не имеете ничего ценного для хакера. Вы можете даже не знать, что у Вас это есть (скажем, доступ через Вас во внутреннюю VPN Минговна). Хакер знает, и хакер это использует.

И Вы в этом хакерам сильно помогаете. Особенно, если используете тот же самый пароль на разных сайтах. Поэтому. Не. Используйте. Один. И тот же. Пароль. Ни-ког-да.

Очень часто эти взломы идут вообще по всем пользователям, наудачу. Пишется скрипт, использующий какую-то уязвимость, пишутся скрипты, подбирающие пароли (иногда очень сложные скрипты), и всё то, с чем хакер возился бы сам несколько часов делается сразу для десятков тысяч-миллионов пользователей. Не прошло - и ладно, даже несколько процентов с кем сканало - хороший улов. Не будьте в этих процентах.

Как быть? Заведите себе простое (для Вас лично) мнемоническое правило генерации паролей. Например, сложные, нетривиальные химические формулы по определённому принципу. При составлении паролей и правил помните, что Вы не один умный в мире и слово "циклотриметилентринитрамин" известно любому химику и тривиально, несмотря на длину. Меняйте их от сайта к сайту, пользуясь другим личным мнемоническим правилом, привязанным к сайту. Если это очень, запредельно влом, то хотя бы используйте для всех важных сайтов другие и обязательно разные пароли (это Вас не спасёт в случае работы по Вам лично... но убережёт от скриптов).

2. НЕ ИСПОЛЬЗУЙТЕ в качестве паролей целые слова.

Даже с цифрами.

Да-да, и русские слова, записанные латиницей - тоже. Нет, это не хитрый трюк, а всем известная тема, хитрость наравне с запрятыванием конфетки за спину шеститилеткой. Да, и замена латинской "l" на 1, а "ч" на 4 - тоже всем известны. Скрипты делают подобные подмены при подборе хэшей автоматически. Все варианты подмен, поэтому один раз писать так, а другой этак - тоже бестолку, не обманете. И при переборе паролей слова и цифры не стесняются комбинировать: то, что сложно человеку, машина прогоняет с дикой скоростью - тысячи, а то и миллионы вариантов в секунду.

Поэтому пароль "ko1basa-1" - очень плохой пароль. (Конкретно этот, на самом деле - ужасный пароль, я не знаю, почему русские испытывают тягу именно к этому слову, почему оно считается таким прикольным, юморным, особым и "зашифрованным", потаённым от других. ВСЕ варианты этого слова есть в базах).

Меняйте в словах буквы, следуя своему личному мнемоническому правилу. Ту же латинскую "l" можно заменить не только на "1" или русскую "л"... подумайте об этом.

3. НЕ ИСПОЛЬЗУЙТЕ для входа на важные сайты или работы скомпроментированные машины.

Какая машина скомпроментирована? Любая, на которой Вы или Ваш сын погоняли пиратские игрушки или поставил кульную прогу с кряком. Просмотр порно или фильмов с самораспаковывающимися архивами сюда входит (это вообще должно быть табу, но хоть на рабочей машине этого избегайте всеми силами: сопротивляйтесь желанию открывать все вложения).

Вы можете смело надеяться, что кряк только крякнул пиратскую программу, и чел, который это писал делал кряк из любви к искусству... У такого поведения есть девиз: "слабоумие и отвага!". Второй степени.

Все (почти) кряки и крякнутые программы крякаются за деньги (хорошие) и распространяются не просто так, а ради чего-то. Что именно хотел чел, крякнувший конкретно вот то самое - Вы не знаете, это лотерея. Может, прога просто вешает ботнет и тихо майнит биткойны, пока машина не занята, а может - отсылает все пароли с сайтов куда-то в Китай... Вы не знаете. И проверить не можете, и даже сын, "крутой системщик", пялящийся в вайршарк и перешивший рутер на тотальную фильтрацию всего - тоже не знает, малвара может полгода собирать пароли, а потом зайти (честно по хттп!) на какой-нить испанский сайт и слить туда всё, что надо. И даже если Вы хорошо понимаете администрирование в винде - всё равно за последние годы было найдено множество уязвимостей, и большинство из них сначала были использованы нехорошими людьми, а уж потом кое-как пофикшены.

Есть и ещё более важна причина - связанная с сбором данных и анализом бигдаты. Поскольку краем я этого в своей карьере коснулся, то имею вам сообщить: Вы и вы все давно под колпаком, под тысячами колпаков, и все эти колпаки общаются, копят данные, анализируют всё и всех. Опять не надо думать, что "я человек маленький, кому я нужен, меня не коснётся". Когда ЭТО коснётся Вас (или Ваших детей, скажем), будет поздно - всё уже в базах необратимо. Каждый чих, каждое действие пишется так, что топором потом не вырубишь. Сопоставить данные и понять, чем пользуется человек - несложно, есть фирмы, специализирующиеся на этом и их код на очень многих вполне почтенных сайтах, которые Вы считаете надёжными. Так что если кто-то захочет узнать, кто именно заходит на правительственный или новостной сайт с правами администратора или редактора новостей, ему нужно лишь тыкнуть в несложный поиск, а потом выбрать наиболее удобную мишень.

Вы просто зашли на сайт анекдотов с рабочей машины - что тут такого? А на сервере скрипт собирает куки и теперь знает, куда ещё Вы с этой машины заходили. Что тут такого? Да ничего, кроме того, что все эти базы через пару недель окажутся у кого-то, кто ищет админский доступ к системе, в которую Вы заходите по работе. И этот человек видит Ваш IP, знает, откуда Вы это делаете, небольшой поиск - и вот он уже знает, кто Вы, идёт дальше... и см. выше про работу хакера: нет, это не "взлом ста миллионов кодов", это долгое копание в Вашей жизни и следах, которые Вы оставили в сети.

Поэтому.

Есть машины для работы. Есть машины для развлечения. Разделение обязательно.

Очень трастовый домен, зарегистрирован более 17 лет назад. Поисковые системы положительно относятся к доменным именам с историей.

1947 год — демонстрация первого транзистора

23 декабря 1947 года опытно-конструкторское подразделение Bell Telephone Laboratories фирмы American Telephone and Telegraph провело презентацию полупроводникового биполярного усилительного прибора. Этот день стал считаться датой рождения транзистора.

Landiva

Транзистор — радиоэлектронный компонент из полупроводникового материала, обычно с тремя выводами, способный от небольшого входного сигнала управлять значительным током в выходной цепи. Используется для усиления, генерирования, коммутации и преобразования электрических сигналов. В настоящее время транзистор является основой схемотехники подавляющего большинства электронных устройств и интегральных микросхем.

Первый действующий биполярный транзистор создали американские физики Уильям Шокли, Джон Бардин и Уолтер Браттейн в лабораториях Bell Labs. Работы велись с 1945 года, и после двух лет неудач долгожданное открытие было сделано благодаря нелепой случайности.

16 декабря 1947 года Уолтер Браттейн, пытаясь преодолеть поверхностный эффект в германиевом кристалле и экспериментируя с двумя игольчатыми электродами, перепутал полярность приложенного напряжения и неожиданно получил устойчивое усиление сигнала.

Спустя неделю — 23 декабря 1947 года — состоялось официальное представление изобретения. Действующий макет биполярного транзистора был представлен руководству головной компании. Именно эта дата считается днём изобретения транзистора. ▼▼

В 1956 году ученые были награждены Нобелевской премией по физике «за исследования полупроводников и открытие транзисторного эффекта». Джон Бардин вскоре был удостоен Нобелевской премии во второй раз за создание теории сверхпроводимости.

Название для нового устройства придумал американский инженер и писатель-фантаст Джон Пирс. Первоначально название «транзистор» относилось к резисторам, управляемым напряжением. В самом деле, транзистор можно представить как некое сопротивление, регулируемое напряжением на одном электроде.

30 июня 1948 г. в штаб-квартире фирмы American Telephone and Telegraph в Нью-Йорке состоялась официальная презентация нового прибора, на транзисторах был собран радиоприемник.

И все же, мировой сенсации не состоялось, первоначально открытие не оценили по достоинству, ибо первые точечные транзисторы, в сравнении с электронными лампами, имели очень плохие и неустойчивые характеристики.

Однако позднее транзисторы заменили вакуумные лампы в большинстве электронных устройств, свершив революцию в создании интегральных схем и компьютеров. Подробнее: https://eadaily.com/ru/news/2018/12/23/etot-den-v-istorii-1947-god-demonstraciya-pervogo-tranzistora