для чего меняют пароль
Постоянная смена паролей не такая уж и хорошая затея
Многие из нас, работая в технологических компаниях различного масштаба не раз сталкивались с не самой комфортной политикой со стороны службы безопасности. И если ключ-карты, учет рабочего времени и мониторинг сетевой активности являются нормой, при условии, что компании есть что скрывать от конкурентов, то постоянная смена паролей — мероприятие весьма утомительное.
Данное явление дошло до всех в различный период. Автор столкнулся c этой модой среди безопасников в уже далековатом 2013 году. Как гром среди ясного неба всю организацию оглушила новость: «в течении двух недель вы должны поменять пароли, а в дальнейшем его смена будет проводиться в принудительном порядке каждые три месяца». И я скажу вам, что это еще не слишком короткий период. В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц. Приятнее всего было, кстати, уйти в отпуск или на больничный и вернуться из него к заблокированной учетке (VPN отказывались давать даже под угрозой пыток), но это уже лирика.
Для тех, кто пользовался pass-менеджерами типа KeePass, это было не так уж и страшно, но та часть сотрудников, что помнила свои пароли наизусть, была немного (на самом деле много) опечалена.
Постоянная смена паролей, вместо того, чтобы повысить уровень безопасности внутри организации приводит только к тому, что ее, безопасности, уровень понижается. И для этого есть целый ряд адекватных причин.
Большинство рядовых пользователей стремится свои пароли запоминать и pass-менеджерами пользуются далеко не все. Если вы рекомендуете своим родным или знакомым менять пароли раз в несколько месяцев, вы оказываете им медвежью услугу. Ведь постоянная смена пароля ведет:
Ярчайший пример «записывания», а в данном случае — распечатки паролей. В 2015 году на Хабре была статья о взломе французского телеканала, где в эфире в кадр попала обсуждаемая «памятка»
Окей. Если на персональном рабочем месте у нас есть возможность установить пасс-менеджер и не знать беды, то существуют ситуации, когда человек просто не может установить стороннее ПО на рабочий компьютер.
Вы никогда не задумывались, почему при проведении некоторых сложных операций в банке, кассир так долго, по вашему мнению, возится не пойми с чем?
В своей работе рядовой сотрудник (кассир) использует около десятка учетных записей в различном ПО или его сегментах. Кроме входа в учетную запись при проведении операции каждую нужно подтверждать собственным паролем плюс, достаточно часто — паролем старшего кассира или руководителя отделения (все мы слышали этот крик «КОНТРОЛЬ!»). От банка к банку все пароли могут меняться около раза в месяц, а некоторые и того чаще.
В теории, все выглядит прилично. Пароли везде, где это необходимо, не меньше восьми символов, везде разные. На практике все они повсеместно записываются на бумажках и хранятся в кармашках жилеток или под клавиатурой.
По итогу, вместо двухуровневой системы защиты мы получаем решето с уже упомянутыми «памятками» только потому, что бытует мнение о том, что «менять пароли просто так — это полезно».
Одним из наиболее распространенных путей запоминания пароля, если использование pass-менеджера невозможно, но пароль менять каждые N дней приходится, является его шаблонизация. Данный факт подтверждается исследованием в области безопасности сотрудниками Университета Северной Каролины еще за 2010 год.
В своей работе они сымитировали генерацию паролей пользователями исходя из принципа шаблонизации, а после, исходя из этого, провели «атаку» на счета с учетом перебора максимально вероятных паролей до того, как система безопасности среагирует на происходящее. По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей. На тот момент исследователям с учетом шаблонности паролей удалось получить доступ к 17% (. ) банковских счетов менее чем за 5 попыток. Еще 41% процент счетов был взломан за, примерно, 3 секунды.
С более подробными алгоритмическими выкладками можно ознакомиться в самой работе.
Это исследование еще раз подтверждает то, что однажды созданный сложный пароль там, где у человека нет возможности использовать специализированное ПО для хранения ключей, лучше, чем постоянная замена более простыми вариантами.
Ведь наш мозг лентяй по природе своей, поэтому стремится все упростить и шаблонизировать. А это, в свою очередь, приводит к тому, что при попадании наших даже неактуальных данных в руки более-менее ушлых злоумышленников, постоянная смена пароля, если он шаблонный (а так чаще всего и происходит), нам не поможет, а только исключит возможность использования по-настоящему сложного для взлома ключа.
Зачем надо часто менять пароли? Разве один замысловатый пароль не может служить долго??
Есть такие спамеры каторые специальными программами взламывают аккуанты и под Вашим аккуантам рассылают свою рекламу, ссылки на вирусы друзьям аккуантам. Такие праграмы взламывают пароли за 12 часов. поэтому в банках в компьютерных системах меняют пароли каждые шесть часов.
Один из основных советов по безопасности — периодически менять свои пароли на разных сайтах — не является правильным с точки зрения пользователя.
Кормак Херли (Cormac Herley), один из ведущих исследователей Microsoft Research, опубликовал работу, в которой приводятся расчёты по соотношению трудозатрат и выгод от смены паролей. Оказалось, что эта процедура, в конечном счёте, не выгодна для пользователя, как и некоторые другие процедуры по безопасности, пишет NY Times.
По словам ведущего исследователя Microsoft, обычных людей заставляют предпринимать слишком много шагов для защиты собственного компьютера. Он говорит, что когда меры безопасности не соблюдаются, то специалисты по безопасности привыкли говорить о неграмотности пользователей, но они обычно не учитывают стоимость их времени. По их мнению, время пользователя бесплатно. На самом же деле людям просто невыгодно соблюдать большинство из этих сложных процедур.
Исследование Херли было опубликовано на слушаниях по компьютерной безопасности в Оксфордском университете ещё прошлой осенью (PDF), но широкое обсуждение среди специалистов этой теории началось примерно месяц назад, после статьи в TechRepublic.
Смена пароля: 10 шагов к хорошей реализации
В этой статье поделимся опытом компании True Engineering: как мы реализовали механизм смены пароля для личного кабинета интернет-портала. В процессе мы использовали и обобщили 10 best practices. Надеемся, что они пригодятся всем, кто решает ту же задачу или хочет проверить свой функционал.
У нашего клиента есть интернет-портал и пользователи, данные которых заведены в домене. Доступ в личный кабинет предоставляется по паролю.
Ранее, чтобы обновить пароль, пользователь оставлял заявку на портале, она летела к администратору, который вручную генерировал пароль и привязывал его к заявке. В результате пользователю приходило email-уведомление: «Ваш пароль изменён на такой».
Мы хотели изменить три момента:
Итак, стало понятно, что механику смены пароля пора изменить.
Кейсы такого типа требуют баланса между информативностью и умеренностью. Пользователя не стоит перегружать деталями и абзацами текста. В то же время написать два Input и поставить одну кнопку тоже неправильно. Поэтому мы привлекли к работе дизайнера и копирайтера. А по результату работы составили 10 подсказок на основе своего опыта, как сделать механику смены пароля оптимальной и на фронтенде, и на бэкенде.
1. Оформите письмо и страницу со сменой пароля по UI kit
Сделайте письмо и страницу со сменой пароля по UI kit, то есть красиво, в общем стиле сайта и хорошо локализованной. Это нужно, чтобы легче ориентироваться. Даже если человек отвлекся от процесса, то вернувшись через 10 минут, он поймёт, на каком ресурсе находится и зачем он тут.
2. Напишите понятные тексты
Поработайте над текстами, чтобы из них стало предельно понятно, что сейчас происходит и что требуется от пользователя. Желательно, чтобы тексты соответствовали редакционной политике заказчика (стиль общения) и были составлены с учётом best practices. Так получаются красивые и содержательные письма.
3. Укажите, кто и когда сбросил пароль
Для безопасности процесса добавьте в письмо информацию о том, когда запрошена ссылка для смены пароля и с какого устройства, с какой операционной системы и IP-адреса. Если пользователь не запрашивал ссылку или видит устройство, которое ему не принадлежит — это повод задуматься, а бить тревогу.
Эту информацию мы сделали посветлее, чтобы она была видна, но не мозолила глаза. А основная ссылка на смену пароля нарисована большой яркой кнопкой — пользователь её сразу видит.
4. Сделайте ссылку на смену пароля временной
Временная ссылка на смену пароля — это общемировая практика. После того, как пользователь подал заявку на смену пароля, ему нужно поменять этот пароль в определенное время: например, в течение 5 минут или 24 часов. Получается, что есть четко ограниченное временное окно, в которое кто угодно может поменять пароль пользователю. Поэтому в целях безопасности это время ограничено.
5. Не используйте сторонних библиотек на странице смены пароля
В нашем случае прежняя страница смены пароля имела общий master page со всем проектом, и уже на ней загружалась куча различных сторонних библиотек. Не повторяйте наших ошибок, сразу сделайте её безопасной. Новая страница, на которую ведёт ссылка и вбивается пароль, не использует никаких сторонних библиотек.
6. Исключите техподдержку из процесса (без крайней необходимости)
Пусть пользователь сам меняет пароль — это несложная операция и легко автоматизируемая. Она состоит из трёх этапов: запросил пароль, получил ссылку на замену, обновил пароль. Лишь в крайних случаях к процессу подключается отдел поддержки — и только в случае, если пользователь сам не смог поменять пароль.
Проблемными заявками занимаются специалисты, которые вникают в технические причины ошибок и способны самостоятельно их исправить.
7. Сделайте техподдержке красивый UI — им будет приятно
Упростите работу сотрудникам техподдержки, показывая заявки на смену пароля не в Sharepoint, а в красивом UI специальной системы заявок.
8. Пишите историю ошибок
Сотрудник техподдержки будет работать быстрее, если сразу увидит в заявке, что именно происходило, когда пользователь не смог сменить пароль, то есть всю историю ошибок, которые получал пользователь. Гораздо проще разбираться в причинах с учетом этой информации.
Например, пользователь не понимает, что такое спецсимволы, или не видит сообщения о том, что пароль должен содержать буквы верхнего регистра. У них масса способов найти эту заявку: по логину, по времени, когда он оставлял эту заявку и т.д.
9. Дайте техподдержке возможность сменить пароль
Дайте службе техподдержки возможность поменять пароль самостоятельно и сообщить его пользователю. Желательно, чтобы эта смена пароля тоже была сделана в безопасном режиме — страница поднимается в отдельном окне браузера и сделана без сторонних библиотек. После того, как пользователь подтвердит, что всё готово, она самостоятельно закроется.
10. Отслеживайте запросы и динамику
Мы настроили мониторинг при помощи Serilog. В ELK сбрасываем событие, а потом через Grafana отслеживаем четыре разновидности ситуации, когда пользователь запросил смену пароля:
a. Зеленая линия — пользователь был найден в домене,
b. Красная линия — логин пользователя не был найден в домене. Для нас второе действие — это маркер. Если этот график ползет вверх, то превышает одну попытку в сутки, это может означать, что какой-то недобросовестный товарищ пытается собрать базу.
На это мы можем оперативно отреагировать, отключив айпишник. Далее эту деятельность можно автоматизировать — например, автоматически отключать айпишник после десяти запросов. Но это не всегда работает, поскольку некоторые компании сидят в интернете с одного IP-адреса, поэтому пока просто мониторим этот график. Его постоянно просматривает служба поддержки. И если он вдруг пойдёт вверх, в моменте решим, что нам делать.
c. Зелёная линия — пользователь успешно запросил смену пароля и открыл нужную ссылку, соответственно, мы предполагаем, что всё хорошо.
d. Красная линия — пользователь не смог открыть страницу со сменой пароля. Ссылка была с несуществующим ID, устаревшая и т.д. Довольно странно предполагать, что какой-то хакер пытается перебрать уникальные идентификаторы, чтобы поймать тех, кто пытается сменить пароль. Но в принципе мы можем мониторить эти события — и если увидим, что этот график пошёл вверх, то можем разобрать события и посмотреть, что происходит. Например, может оказаться, что ID битый, от него отрезался кусок и ссылка в email вставляется некорректно.
В итоге у нас есть четыре графика и сплошное полотно событий, где можем понимать, что произошло. Все инструкции по настройке Grafana есть здесь.
Так мы добились своих целей: автоматизировали смену пароля, освободив рабочее время администратора для более важных задач, и сделали процесс максимально безопасным.
Как сменить пароль в СберБанк Онлайн на мобильном телефоне в приложении при входе
Приветствую вас, уважаемый посетитель блога PenserMen.ru. Продолжаем тему посвящённую Сберу. На этот раз разберёмся, как сменить пароль в СберБанк Онлайн на мобильном телефоне в приложении при входе.
Подойдём мы к этому вопросу со всем пристрастием и по существу. Определимся в каких случаях это непременно надо делать, затронем ложные способы смены пароля и раскроем саму последовательность необходимых действий в картинках.
Зачем вообще менять пароль в приложении Сбербанк Онлайн на смартфоне
Причин для этого не так уж много, даже можно сказать мало. И как не странно они довольно-таки просты и банальны, а в основе их лежит обычный человеческий фактор.
Ну если с причинами для смены пароля, можно сказать всё легко и просто, то вот со способами его замены всё не так однозначно. А всё потому, что в интернете на этот счёт не мало противоречивой или неточной информации.
О недостоверных способах замены пароля в СберБанк Онлайн в приложении на смартфоне
Подавляющее число сайтов перечисляют в основном пять способов замены пароля на мобильном телефоне. Перечислю их сразу с пометками, чтобы вы их ошибочно не приняли к безусловному руководству. Вот они:
Всё это обычно выдаётся одним списком. И тем самым эта информация немалую часть клиентов Сбера вводит в заблуждение. А ведь некоторые из них возможно даже не имеют компьютеров и не подозревают о существовании десктопной (компьютерной) версии СберБанк Онлайн. Поэтому вот вам предостережение:
Не надо путать пароль для входа в СберБанк Онлайн на мобильном телефоне в приложении и на компьютере в интернет банке! Это разные вещи!
Тем не менее, справедливости ради, нужно добавить, что с мобильного телефона в интернет банк (но не в мобильное приложение!) всё же войти возможно. Только делается это через браузер смартфона и с паролем (не пятизначным цифровым) интернет банка, а не приложения СберБанк Онлайн. Вот такие «пироги с котятами».
Входим и меняем пароль в СберБанк Онлайн на мобильном телефоне в приложении
Итак, допустим вы забыли пароль для входа в приложение. Что делать? Сменить! Да собственно ничего сверхсложного и поверьте, ничего страшного в этом нет и никакими особенными последствиями вам это проблема не грозит.
Сначала, как всегда, входите в приложение, потом находите фразу «Не можете войти?» и касаетесь её.
После нажатия на эту ссылку откроется окно с кнопкой «Создать новый пароль». Прочитайте что там написано под заголовком «Забыли 5-значный пароль для входа?» и жмите на кнопочку.
Далее всплывёт информационное окошечко по восстановлению пароля, где необходимо будет нажать на «Продолжить». После небольшой круговерти зелёного кружочка в центре экрана приложение закроется. И его надо будет открыть заново.
Только теперь вы уже сразу попадёте на страничку регистрации. То есть фактически, чтобы поменять пароль в приложении СберБанк Онлайн, нужно как бы заново пройти регистрацию. Здесь у вас будет два варианта:
Распознавание по лицу, как вариант рассматривать не будем, так как это уже другая тема. По крайней мере если вы этот метод входа смогли настроить на своём телефоне, то вряд ли бы вы читали эту статью.
Итак, если у вас карточка под рукой, то воспользуйтесь первым способом. Он подойдёт и для тех и для других. Значит тыкаем по кнопке «Войти по номеру карты».
В следующем окне вводите номер карты или просто сканируете её (можете вообще-то почитать подробнее о регистрации тут). Ввели или отсканировали, жмёте «Продолжить». Вам тут же придёт СМС и откроется следующая страничка, где нажмите «Разрешить», если не хотите код из СМС вводить сами.
Сразу же после этого вы попадёте туда куда так стремились. Вводите, как и, при первичной регистрации два раза подряд код из пяти цифр. На этом все ваши «злоключения» можно считать законченными и вопрос как сменить пароль в СберБанк Онлайн на мобильном телефоне в приложении при входе будет решён должным образом, то есть положительно.
P. S. Кстати, всю выше описанную процедуру можно провести и в том случае, если в самом начале вместо «Не можете войти?» нажать три точки справа наверху и выбрать в меню «Сменить пользователя».
Пароль Windows 10: поставить, изменить, убрать и сбросить
Пароль Windows 10 — это пароль учетной записи пользователя, который вводят при входе в Windows 10, является превентивной мерой защиты конфиденциальной информации или результатов работы пользователя. Существует множество ситуаций, при которых, на одном компьютере (ноутбуке) могут работать несколько человек. Windows 10 позволяет не только создавать дополнительные учётные записи, но и назначать им пароли.
Поставить, изменить или убрать/сбросить пароль учётной записи в Windows 10 можно двумя способами: используя пользовательский интерфейс или командную строку с правами администратора.
Вначале, рассмотрим создание, изменение и удаление пароля пользователя стандартными средствами интерфейса Windows 10. Продвинутый вариант работы с паролями через командную строку описан в конце статьи.
Как работать с паролями в Windows 10
Для работы с паролями в Windows 10, необходимо воспользоваться настройками «Варианты входа» в разделе «Учётные записи», который находится в основном меню «Параметры Windows». Попасть туда можно двумя способами:
1. Пройдите по цепочке: «Пуск» — «Параметры» — «Учётные записи» — «Варианты входа» — «Пароль».
2. Воспользуйтесь поиском в Windows 10: в строке поиска введите «Варианты входа», после чего кликните по соответствующей надписи в результатах поиска и выберите «Пароль» в правой части окна.
Как поставить пароль на Windows 10
Чтобы установить пароль на Windows 10, кликните по надписи «Пароль» и нажмите «Добавить».
В открывшемся окне «Создание пароля», заполните три поля: «Новый пароль», «Подтверждение пароля» и «Подсказка для пароля». Пароль необходимо указать два раза, чтобы удостовериться в правильности ввода кода. Придумайте подсказку, она будет отображаться при неправильном вводе пароля.
Если вы сомневаетесь в правильности пароля, можно воспользоваться специальной кнопкой, которая находится в правой части поля ввода.
После того как вы нажмёте «Далее», в новом окне система предупредит вас о том, что при следующем входе в Windows 10, необходимо будет ввести пароль. Для сохранения пароля и завершения процесса его создания, нажмите «Готово». Всё, пароль учётной записи Windows 10 установлен.
Не забудьте обновить контрольные вопросы к локальной учётной записи Windows 10, которые могут понадобиться для сброса пароля, на тот случай, если вы его забудете.
Контрольные вопросы Windows 10
Процесс обновления вопросов не займёт много времени. Для этого, нажмите «Пароль» и «Обновить контрольные вопросы». Windows 10 запросит текущий пароль пользователя. Далее, выберите контрольные вопросы и ответы на них. Сохраните результат — нажмите «Завершить».
Как изменить пароль Windows 10
Изменить пароль учётной записи пользователя Windows 10 очень просто, для этого кликните по надписи «Пароль» и нажмите «Изменить».
Для начала Windows 10 попросит подтвердить текущий пароль, после чего, перенаправит вас в окно «Изменение пароля». Здесь, так же, как и при создании пароля, потребуется ввести новый пароль, подтвердить его, и придумать новую подсказку. Чтобы сохранить изменения, нажмите «Далее», а в следующем окне «Готово». Пароль учётной записи Windows 10 — изменён.
Убрать пароль при входе в Windows 10
Чтобы отключить пароль в Windows 10, достаточно проделать следующие шаги:
Всё, пароль учётной записи пользователя Windows 10 отключен.
Сброс пароля Windows 10
Выполнить сброс пароля можно на этапе входа в Windows 10. Если вы не помните или потеряли доступы от учётной записи Windows 10, нажмите «Сбросить пароль».
Система предложит ответить на ряд контрольных вопросов. Если вы ответите правильно, Windows 10 отобразит поля для ввода нового пароля и его подтверждения. Укажите новый пароль и нажмите стрелку вправо, произойдёт успешный вход в систему.
Командная строка Windows 10: как поставить, изменить или сбросить пароль
Чтобы создать, изменить или удалить пароль учётной записи Windows 10 достаточно воспользоваться командной строкой с правами администратора. Для этого кликните правой кнопкой мыши «Пуск» и выберите «Командная строка (администратор)».
В Windows 10 существует специальная команда для работы с учётной записью пользователя, которая позволяет устанавливать, изменять или сбрасывать пароль:
Список команд:
Данные команды можно использовать, не только из-под своей учётной записи, но и при восстановлении доступа к Windows 10, в случае, если вы забыли пароль.
Забыт пароль Windows 10
Сбросить пароль учётной записи пользователя в Windows 10 можно при помощи установочной флешки и командной строки.
Этапы сброса пароля Windows 10:
Всё, пароль учётной записи пользователя Windows 10 сброшен.