зачем на архивы ставят пароли
Шпионские игры: как и зачем устанавливать пароль на папку или файл
Компьютер хранит множество данных о своих пользователях: кто они такие, где работают, есть ли у них семья, хобби. Не хотелось бы, чтобы кто угодно мог узнать все это о человеке незаконным путем – это становится все легче в связи с развитием различных хакерских технологий. А, возможно, нужно скрыть нужные фотографии от своих домочадцев. Чтобы не переживать о собственной цифровой безопасности, стоит научиться шифровать файлы и папки.
Зачем нужно ставить пароль на папку?
На компьютерах хранятся большие объемы информации, и это удобно – помещать все нужные файлы на одно устройство. Некоторые люди даже используют один компьютер на рабочем месте и дома – к примеру, если у них ноутбук. Есть одна проблема: данные могут попасть в руки недоброжелателей или тех, кому лучше не знать о некоторых вещах.
Нажить врагов на работе нетрудно, и не всегда понятно, в чем причина предвзятого отношения. Озлобившимся коллегам может прийти в голову идея шантажировать раздражающего человека в коллективе. Им нужно будет всего-то дождаться момента, когда путь к рабочему столу освободится.
Данные, сохраненные на домашнем компьютере, также нуждаются в защите. Как только детей подпускают к устройствам с множеством заманчивых кнопок, они наводят в них свои порядки. Если не заблокировать папки с важными документами, можно навсегда потерять файлы, а некоторые вещи детям видеть просто опасно.
Всех возможных неудобств, которые связаны с потерей личных данных, легко избежать, если установить на папки защиту в виде кода.
Как поставить пароль на папку?
Существует несколько вариантов, позволяющих сохранить в секрете личную информацию, доступную на компьютере, Можно всегда носить с собой жесткий диск или флэшку, но это неудобно, ведь их можно потерять. Недоброжелатели могут выкрасть переносное устройство и получить все, что нужно для шантажа. Защитный код – лучший способ скрыть информацию от посторонних глаз.
Encrypto: удобно и безопасно
Команда разработчиков Macpaw создала программу Encrypto, предназначенную для защиты файлов и папок. Специалисты использовали технологию AES-256 – один из наиболее безопасных алгоритмов шифрования, существующих на сегодняшний день.
Достоинств у Encrypto множество:
Есть у этого шифровальщика и весьма существенный недостаток – защищенные файлы откроются получателю только в том случае, если у него тоже установлен Encrypto.
Программа доступна только на английском языке. Но это не должно помешать пользоваться ей, так как порядок действий достаточно прост и интуитивно понятен.
Как пользоваться Encrypto
Несколько несложных действий спасут пользователя от кражи данных. Чтобы сделать документы доступными только избранному кругу людей, нужно:
Зачем нужно ставить пароль на папку или файлы
Сегодня очень много людей, имеющих дело с компьютерами, хранят большое количество различных файлов на жестком диске. В большинстве случаев это просто файлы связанные с работой, но некоторые также хранят на своих офисных компьютерах информацию личного характера – семейные видеофайлы или фотографии. Некоторые могут писать стихи или рассказы, и не хотят, чтобы другие люди их читали. Некоторые люди могут иметь на своих компьютерах не совсем приличные фото или видео, например компрометирующие снимки во время вечеринки с друзьями.
Какой бы ни было файл, все люди хотят чтобы личные вещи оставались личными. Но всем известно, что при желании к компьютеру очень легко получить доступ и посмотреть нужную информацию. Однако, существует много решений для того, чтобы защитить ваши личные файлы. Вы можете попробовать многие из них или использовать сразу несколько методов для защиты ваших файлов. Согласитесь, что будет не очень приятно, если люди узнают ваши секреты и начнут вас обсуждать. Поэтому, если ваши секретные файлы хранятся на компьютере, то вам необходимо поставить пароль для доступа к ним. Даже если вы считаете, что пароль можно легко взломать, то учтите, что это возможно только лишь при определенных условиях.
Личные файлы могут быть очень личными и никто не должен их видеть. Даже если это какие-то глупые стихи или видео, когда вы дурачитесь с друзьями – в любом случае вам следует поставить на эти файлы парольную защиту. Вы никогда не знаете, что кто-то захочет вас шантажировать или сделать что-то не очень хорошее против вас, и ваши личные файлы могут использоваться в этих целях. Пароли для таких файлов не должны быть слишком простыми, которые легко угадать. Вы должны придумать случайный пароль. Посмотрите вокруг себя или выгляните в окно и опишите то, что вы видите – и это может быть вашим паролем. Пароли можно взломать с помощью определенных программ и это обычно требует значительного времени, поэтому если вы всегда находитесь рядом с компьютером, то вам не о чем беспокоиться – никто не сможет получить ваш пароль. Кроме того, вы должны избегать определенных сайтов, которые могут установить клавиатурные шпионы (кейлоггеры) на ваш компьютер. Эти кейлоггеры будут сохранять все, что вы набираете на своей клавиатуре. Если вы сможете избежать подобных вещей, то ваши пароли будут очень надежной защитой.
Сложный пароль на архив RAR. Насколько надежен?
Доброго вечера всем. Прошу совета знающих людей. Насколько надежно хранение определенных документов в Рар- архиве с установленным на него сложным паролем. Например, такого плана bx8)oL%4&
Товарищ говорит, что любой пароль можно ломануть методом простого перебора (Брут форс). Вопрос только времени.
Как считаете, реально ли подобрать такого плана пароль и за какое время? И вообще, есть ли способы сломать архив рар, без знания пароля (кроме уже упомянутого брутфорса)?
Информационная безопасность
1.2K поста 22.7K подписчика
Правила сообщества
Обязательно к прочтению для авторов:
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.
Что-то мне кажется, что ты не сохранить, а взломать пытаешься.
Конечно вопрос времени: день, год, век.
Для сложного пароля, ваш что-то слишком простой
Ваш пароль может быть взломан за 9321 час
Товарищ говорит, что любой пароль можно ломануть методом простого перебора (Брут форс). Вопрос только времени.
Лучше заморочиться и использовать специальные программы, например, Truecrypt. Вот там можно все зубы обломать, при попытке подбора
Когда-то у винрара была бага: Когда ты открываешь файл из архива винрар, с любым паролем, его копия хранится в темпах. Оттуда ее можно дёрнуть.
Временной вопрос важности ещё. Если утеря этой информации будет важна и через три месяца, то пароль надо делать длиннее. А вообще рекомендуемая регулярная смена пароля не на пустом месте родилась.
8 символов в современных реалиях возможно, 10 уже точно нет.
Алфавит Джон рипера был 95 символов. Берём сто для упрощения. Длина пароля 9. Итого перебрать паролей на брут 10**18. Пусть твой комп перебирает 1млн/сек. Ты можешь привлечь 1000 друзей.
За 10**9 сек. Справилась точно.
Пароль на архивах спокойно видно через специальные программы. Хочешь что-то хранить надежно? Пользуйся шифрованием на основе цифровых ключей, а еще лучше с помощью апаратного шифрования
Сдача пароля
Вопрос о чистой букве закона- не о практике правоприменения или «реальных случаях».
Для простоты рассмотрим только РФ.
Есть ли правовые нормы которыми могут заставить меня выдать пароль?
Самое забавное, когда никто не меняет стандартный пароль к компьютеру
Лето в безопасности
Хороший пароль, надо брать!
Голландский журналист смог подключиться к совещанию министров обороны Евросоюза
Как он узнал пароль? Журналист Даниэль Верлаан просто подсмотрел его в твиттере министра обороны Нидерландов. А после ворвался в Zoom к военным, немного поговорил с ними и отключился.
Парольная политика
Небольшая история про то, с чем можно столкнутся при усилении безопасности информационной системы (ИС).
На работе я работаю программистом, работаю над информационной системой, которой пользуется несколько регионов по России.
В Москве год назад наняли безопасника, который начал приводить в порядок ИБ по филиалам и время от времени присылали приказы которые надо исполнять.
И вот пару месяцев назад прислали приказ о политике паролей в ИС, то есть напрямую связана со мной. В ней требовалось:
— Обязательно большие, маленькие символы и цифры.
— Пароль не должен повторятся в течение года.
— Время закрытия сессии по неактивности — 15 минут.
— Защита от подбора: При восьми ошибок подряд блокируется аккаунт на 10 минут, потом давая еще 1 попытку.
Большая часть была реализована еще старым древним приказом, где минимальная длина паролей была всего 8 символов. И я начал реализовывать эту новую политику в своей программе. Сроки были небольшие, поскольку был уже конец месяца и надо отчитываться перед Москвой о проделанной работе.
За одним я реализовал хеширование пароля, удаляя хранение пароля в открытом виде (из совместимости с другими системами), сделал единую процедуру авторизации в SQL.
И вот, реализовав все требования, выпустил обновление как для своего региона, так и других.
Всё было рабочее, кроме одного нюанса: в программе не успел сделать сброс счетчика ошибок ввода пароля на пользователя. Его можно было обнулить только в базе.
После обновления, если программа видела простой пароль после авторизации просила его сменить в соответствии с новой парольной политикой.
Наверно после этого обновления все пользователи и администраторы были согласны купить мне билет прямо в Ад и на отдельный котел с усиленным подогревом. Особенно администраторы ведь для них длина пароля от 16 символов. Да и я сам в первое время забывал свой пароль и пару раз менял его, поскольку все мои старые пароли попали в историю как тестовые и повторно использовать их уже нельзя. Кроме того, пароль ведь больше не хранился больше в открытом виде и пользователю нельзя было подсказать какой у него был пароль, если он его никуда не записал, только сброс на новый.
В первый день в большинстве регионов, пользователи, которые обновились не могли обслуживать клиентов, потому что придумывали пароль, а потом не могли зайти, потому что не запомнили его.
Почти целую неделю я был на звонках с админами регионов или звонили пользователи моего региона и им приходилось либо сбрасывать счетчик паролей в базе или менять его на новый.
Пришлось экстренно делать возможность сброса счетчика паролей с правами администратора через программу, а не в базе напрямую.
Сейчас в принципе всё спокойно. Ждем Новый Год, когда пароли юзеров и админов как раз истекут или забудут после праздников и будут вспоминать меня или московского безопасника добрым словом с его требованиями к паролям.
Как иметь уникальные пароли, но не запоминать и не сохранять
Недавно после очередного взлома знакомой аккунта в соцсети разговорились на тему паролей: кто как хранит и какие вообще пароли использует. Оказалось, что многие имеют пару-тройку кодовых слов (в худшем случае одно), которое используют на всех сайтах. Разумеется, мошенники это знают и, получив каким-то образом ваш пароль от какого-нибудь варезника, где вам потребовалось однажды зарегистрироваться, могут получить доступ к почте и далее по цепочке.
Некоторые позволяют браузеру генерировать и хранить сложный пароль в привязке к аккаунту. Это получше, но есть минусы: во-первых, иногда может потребоваться зайти куда-то не со своего компьютера и чтобы это сделать, придется авторизоваться в браузере. Это неудобно. Во-вторых, пароли, которые хранит браузер, несложно умыкнуть, если получить доступ к компьютеру, в браузере которого вы авторизованы. В-третьих, не всем нравится доверять свои аутентификационные данные разработчику браузера.
Есть вариант использовать специальные программы, которые защищают пароли, но это сложно, долго и, как мне кажется, оправданно в случаях с повышенными требованиями к безопасности.
Как я легко управляю паролями
А теперь просто составляем и a, b, c и d в каком-то порядке кодовое слово. Например, badc: получается пароль i910Ko-lokol.
Разумеется, система у вас должна быть своя, где, например, использовать сумму d и a или расположить их в разном порядке. Если практикуете использование разных логинов на одном сайте, включите последний символ логина в систему, например.
Выглядит на первый взгляд тяжеловато, но на самом деле это просто, быстро запоминается и при этом сильно повышает безопасность в сети.
Возможно кто-то что-то такое уже писал, но я не нашел.
Европол предоставил более ста бесплатных утилит для расшифровки файлов
Европол запустил сайт, позволяющий не только определить, какое ПО использовали вымогатели, но и предоставляющий свыше сотни декрипторов.
По данным центра Европола по борьбе с киберпреступностью (EC3), в настоящее время вымогательское ПО является одной из главных киберугроз в мире. Операторы программ–вымогателей постоянно находят новые векторы для своих атак и сейчас ведут себя намного агрессивнее, чем раньше. Например, злоумышленники не просто шифруют файлы своих жертв, но также похищают и публикуют их конфиденциальную информацию. В связи с этим Европол запустил новый проект под названием No More Ransom, призванный помочь жертвам вымогательского ПО восстановить свои данные без уплаты выкупа.
В рамках проекта был запущен сайт, позволяющий не только определить, какую программу–вымогатель использовали злоумышленники, но и предоставляющий свыше сотни бесплатных утилит–декрипторов, полученных Европолом от более чем 150 партнеров из правоохранительных органов, научных организаций и ИБ–компаний по всему миру. Арсенал утилит постоянно пополняется по мере появления новых семейств вымогателей и декрипторов для них.
Для того чтобы получить декриптор, жертва вымогательского ПО сначала должна заполнить специальную форму на сайте, которая позволит определить, какой программой пользовались киберпреступники. Если декриптор для данного ПО доступен на сайте, пользователю сразу же будет предоставлена ссылка для его загрузки.
«Общая рекомендация – не платить выкуп. Отправляя деньги киберпреступникам, вы подтверждаете, что троянцы–вымогатели делают свое дело, и нет гарантии, что в ответ вы получите необходимый вам ключ для расшифровки данных», – советует Европол.
ИБ на пальцах. Предсказуемость паролей. Паттерны
Здравствуйте. Этот пост является логическим продолжением вчерашнего, в котором были рассуждения о 5 причинах предсказуемости паролей. Сегодня покажу несколько исследований на эту тему. К каким-то есть ссылки на первоисточник, к каким-то (за давностью лет), увы, нет.
Итак, жизнь, в том числе и корпоративная, заставляет людей использовать паттерны. Как нельзя впихнуть невпихуемое, так и мало кто может помнить в уме множество уникальных криптостойких комбинаций. Если «политика партии» заставляет вас раз в месяц придумывать новый пароль к учётке, который должен содержать цифры, буквы, завязку, развитие, кульминацию и неожиданный финал. Очень скоро вы на этот цирк с конями забьёте и скатитесь в паттерны. Вариаций таких шаблонов можно придумать множество.
Начнём с банального и очевидного для многих читателей. Но не упомянуть не могу. Пароль не должен содержать кусок логина или повторять его полностью. Если вы родились в 95 году, взяли себе логин megapihor, а в качестве пароля используете megapihor95, остаётся лишь процитировать кота Матроскина.
Благо, сейчас многие сайты проверяют это ещё на этапе регистрации учётки.
К банальным паттернам можно отнести и красоту. Красивенько часто не безопасненько. А «украшательства» в виде «666», «777» и прочего, растыканные в начале или конце пароля, делают его более предсказуемым. Потому что когда красивенько, тогда у людей появляется тяга таскать красивый пароль от сайта к сайту.
Часто паттерны берут своё начало из «лайфхаков» по созданию и запоминанию паролей.
Однако гораздо больший интерес представляет исследование «Визуализация шаблонов клавиатурных паролей», проведённое учёными из военно-морской академии США (Dino Schweitzer, Jeff Boleng, Colin Hughes, Louis Murphy). Раньше оно лежало здесь. В нём предсказуемость людей показана с другой стороны.
Идея проста: из-за ужесточения правил для создания паролей, придумывать осмысленные комбинации становится всё сложнее. Поэтому люди нашли выход в виде транспонирования логики на ступень выше (рисовать кракозябры не по запотевшему стеклу, а по клавиатуре). Поясню на примере: пароль 1qaz!QAZ2wsx@WSX на первый взгляд выглядит довольно бессмысленно и криптостойко. Есть оба регистра, цифры и спецсимволы. Но если взглянуть на клавиатуру…
…становится понятно, что это простое движение зигзагом сверху-вниз, причём каждая строчка повторялась дважды – без шифта и с зажатым шифтом.
Проведя исследование, учёные пришли к выводу, что среди на первый взгляд бессмысленных комбинаций можно выделить много неслучайных шаблонов.
А созданный на их основе словарь позволяет обычным перебором подобрать множество комбинаций.
С графическими ключами на телефонах история аналогичная. Там работает смесь из красивенько + рисовать кракозябры. Люди стремятся рисовать красивенькие кракозябры. Доходчиво и с картинками эта тема описана тут. Я же приведу несколько любопытных фрагментов из статьи.
Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP).
В целом, основные собранные данные таковы:
— 44% ALP начинаются из верхнего левого узла
— 77% начинаются в одном из четырех углов экрана
— 5 – среднее число задействованных в графическом пароле узлов, то есть взломщику придется перебрать менее 8 000 комбинаций
— Во многих случаях графический пароль состоит за 4 узлов, а это уже менее 1,624 комбинаций
— Чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор
Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее.
Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.
Думаете раньше было лучше? Ничего подобного. С пин-кодами и физическими клавиатурами на телефонах была та же история. SMS и T9 (не путать с T1000) делали своё дело. Честно, за давностью лет не помню, откуда выдрал следующую иллюстрацию.
Картинка иллюстрирует популярность четырёхзначных символьных паролей на телефонах. Здесь вы можете наблюдать смесь различных шаблонов: ввод самой простой последовательности (1234), долбёжка по одной-двум клавишам (0000, 1111, 2222, 1212 и т.д.) красивенько, движение вверх или вниз (2580, 0852) рисуем кракозябры, год рождения (1998). Кажется, что только комбинация «5683» не вписывается в этот карнавал предсказуемости. Но это на первый взгляд. Присмотритесь к кнопочным мобильным телефонам, если они есть под рукой. В Т9 (редактор быстрого ввода) этой комбинацией набирается слово «LOVE». Вот и весь секрет.
ИБ на пальцах. 5 причин предсказуемости ваших паролей
Здравствуйте. TL;DR: Используйте парольные фразы и какой-нибудь второй фактор аутентификации. А для тех, кто не из ЛЛ предлагаю продолжить чтение. В посте расскажу о 5 причинах (нет, меня не кусал Николаев), которые приводят к предсказуемым паролям. Дело не в том, что нельзя придумать хороший пароль. Проблема кроется в людях.
Во-вторых, из-за роста количества различных площадок, происходит расслоение аудитории по интересам. Думаю, многие из присутствующих, кто не родился со смартфоном в руках, помнят время, когда одни «принципиальные друзья» использовали только ICQ, других можно было найти только в Skype, а третьих нужно было вылавливать в IRC на канале #Аниме, где они патчили KDE под freebsd2. В итоге человек оказывался перед выбором: либо регистрировать несколько аккаунтов, либо использовать один аккаунт для авторизации везде.
Это породило третью проблему: связанные профили. Идея, безусловно, здравая. Человек, осилив написать пост (или сфотографировав котика), жаждет поделиться этой информацией с максимальным количеством людей при минимальных усилиях. В идеале, нажав одну кнопку один раз. Однако из-за расслоения аудитории на каждой площадке надо всё постить заново. Непорядок. Это понимали и «сильные мира сего», разрабатывая функционал связывания профилей. Написал что-то в Facebook и тут же twitter автоматически отзеркалил пост и известил всех подписчиков. Красота, да и только. Но именно эта красота снижает защищённость пар «логин-пароль». Ведь многих хватает на то, чтобы придумать уникальный логин, а вот на уникальный пароль способны единицы.
Четвёртая проблема скрылась в детях, а точнее в юном возрасте пользователей. Те же социальные сети неустанно борются за право снижения возрастного порога для получения права пользования ресурсом. К примеру, руководитель Facebook считает разумным возраст 12 лет. Но что в 12 лет ребёнок может знать об информационной безопасности и криптостойких паролях? Другой вопрос, сможет ли он вообще придумать что-либо кроме комбинации «ИмяГодРождения».
Наконец, пятая проблема пришла вместе с доступностью мобильного интернета. Люди начали активно использовать смартфоны и планшеты для доступа к различным ресурсам. Узким местом стали виртуальные клавиатуры, а точнее невозможность видеть одновременно русскую и английскую раскладки. Уверен, вам доводилось пользоваться простым «лайфхаком», повышающим уровень «бредовости» вашего пароля: задать в качестве пароля русское слово или фразу, предварительно изменив раскладку?
Но даже если вы придумали хороший «годный» пароль, не спешите радоваться. Возможно, вы всё равно действовали по шаблону и вас легко предсказать. Речь идёт про паттерны. Для всех типов паролей они были выявлены. Предсказуемы наиболее вероятные пин-коды, графические ключи и даже парольные фразы. Про паттерны будет следующий пост.
А пока аксиома дня сегодняшнего: в аутентификации 2 даже не очень сильных фактора всегда лучше, чем один даже очень сильный. Это значит, что «словарный» пароль + код по SMS гораздо надёжнее, чем самый ультрапупермегазубодробительный пароль.