То, за что я топлю около 10 лет. Сложный пароль в итоге обычно записан на бумажку. Или он один на всё. Или просто каждый раз процедура восстановления

В недавнем посте мы высказали мнение, что пароли ещё поживут.

Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.

Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.

Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).

В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.

В общем, единственное, чего добьются авторы политики парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.

Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.

Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.

Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.

Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.

Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.

А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.

Итак, чтобы парольная защита работала, как ей положено:

1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны придумать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте странные логины. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.

Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:

— NIST Special Publication 800-63B
— CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании

* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.

Просто оставлю это тут:
https://www.kommersant.ru/doc/4957042
https://www.cnews.ru/news/top/2021-08-25_minekonomiki_suverennost

🔥 ЦБ предупредил банки о возможности новых блокировок VPN-сервисов

☝️ Собственно, то что будут блокироваться VPN в перспективе — я уже смирился. К сообщениям о блокировках того-сего как-то привык. Но к чему я никак не могу привыкнуть, так это вот к этому «ЦБ разослал в банки», «Роскомнадзор разослал в ведомства», или вот это бессмертное Жарова образца 2017 года: «Системообразующие предприятия не пострадали». Т.е. 4 года тренд на создание интернет-опричнины.

https://www.rbc.ru/finances/26/08/2021/61279abf9a79472abc90c997

Российские журналисты призвали прекратить «кампанию по уничтожению СМИ»

«Новая газета», Forbes, «Псковская губерния», The Village и другие издания опубликовали обращение к высшему руководству страну.

https://www.fontanka.ru/2021/08/27/70102001/?utm_source=tg

Главный радиочастотный центр (ФГУП при Роскомнадзоре) объявил закупку на "Выполнение работ по созданию автоматизированной системы мониторинга нарушений прав субъектов персональных данных в сети «Интернет» " [1] (АС МПДн)

Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.

Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.

Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.

Ссылки:
[1] https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?regNumber=32110590564

#privacy #rkn #procurement

⚡️⚡️⚡️ СМИ сообщают, что Роскомнадзор заблокировал шесть VPN-сервисов — Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN и IPVanish VPN. Компании, которым сервисы необходимы для работы, смогут продолжить ими пользоваться.

👉 Однако, первоисточники крайне сомнительны - Российская Газета, которой слово "фактчекинг" довольно регулярно не знакомо, и Известия, которое вообще не уверен, что не газета платных объявлений. Сам Роскомнадзор пока стесняшка.
UPDATE: Судя по всему Роскомнадзор разослал в СМИ пресс-релиз. Чтобы это максимально разошлось. Т.е. скорее всего опять «не сегодня»

✌️ В любом случае, в прошлый раз блокировка VPN оказалась фикцией. 50/50 и сейчас тоже. Если вдруг вы столкнулись с блокировкой этих сервисов на территории РФ - пишите мне или в каменты

⚡️⚡️⚡️ А вот собственно и само сообщение Роскмонадзора про блокировку VPN:
https://rkn.gov.ru/news/rsoc/news73836.htm

😅 Мне очень понравилось «Роскомнадзором получены сообщения от 64 отраслевых организаций, 27 из которых используют упомянутые VPN-соединения для обеспечения 33 технологических процессов. Представлены более 100 ip-адресов с целью исключения их из политик ограничения доступа». Больше бессмысленных цифр богу бессмысленных цифр.

👆Роскомнадзор перестал утруждать себя публичным описанием оснований. Описанные в сообщении тезисы требуют перевода и содержать допущения и поводы для кривотолков. Строго говоря, там нет правового основания. Там есть какие-то лозунги, которые можно подогнать под какую-нибудь норму допуская то или иное.

👆 Нет, нормативная правовая база не подразумевает никаких белых списков. Да, несмотря на то, что многие удивлялись «а кто для производства пользуется этими VPN» таковые убедительно для Роскомнадзора нашлись. Вопрос о том, кто иль что есть отраслевые организации остаётся открытым. Я бы честно писал «организации опричь других». Грубовато, но отражает суть и готичненько.

#вещества 🎃
— Вы VPNов блокируете?
— Нет, в списках показываем.
— Красивое

#вещества 😇 Я не знаю как это у них получается, но каждую заявленную Роскомнадзором (не обязательно сделанную) крупную блокировку, или замедление что-нибудь случается. Как, как вы это делаете?

❌ Вконтакте лежит насмерть

👆 Я уверен, что эти события в данном случае не связаны. Но там специально о датах договариваются что ли? Типа нет повода не дать повода для шуток?

#война
Вчера жертвой РКН по борьбе с интернетом пал... WoWS — World of WarShips.

Пруф на много проклятий.

И да — вчера было много жалоб на отвал WireGuard. Лечится очень просто — заменой порта на какой-нибудь общеприменимый. Ну, например... 80!

(да, хваленый ТСПУ за много миллиардов режет по порту)

Свяжитесь со своим поставщиком VPN и поменяйте настройки.

#dnsживи 👉 Когда-то давно, когда ещё не было войны за Телеграм, все ещё казалось смешным и «они не смогут», в сеть утекла бумага Роскомнадзора с блоками IP Амазон: https://t.me/zatelecom/4071 Все посмеялись над этим фейком. Стоял весенний месяц март 2018 года

☝️ Но одна крупная и очень известная российская интернет-компания (история довольно публична, но не буду теребить имена) решила, что риски слишком высоки, и за пару недель аврала поставила между своими бэкендами в облаке Амазона и сервисами в России «прослойки», которые позволяли работать, в случае блокировки IP Амазона. 16 апреля 2018 года они ощутили... Что-то они ощутили.

❌ Эта бумага может быть блефом, фейком, фишингом, как и та в далеком 2018-ом. Мы до сих пор не знаем, была ли она. Но дата отключения Google DNS в России — 09 сентября 2021

World of Warships (это как танчики, только кораблики, и тоже Wargaming) сделал официальное заявление об устойчивости Рунета, обеспечиваемой новым законом о суверенном Рунете-19:
https://worldofwarships.ru/ru/news/general-news/providers_tech_issue/

Я бы даже выразился квазиюридическим языком — крайне расширительное толковании норм при разработке всего пакета нормативов — от самого 90-ФЗ от 01.05.2019 до «подзаконки» и ненормативных актов. Плюс принятие их всех с нарушениями. Репрессивная норма «все что наша левая пятка и любовница посчитает неприятным — угроза, а борьба с угрозами автоматом наделяет нас черезвычайными полномочиями (tm)» не отражает ни суть, ни дух даже самого драконовского и похожего на паэлью закона о суверенном Рунете. Законно? Да. Имеет правовую основу? Нет, если, конечно, мы не подразумеваем под этим правоблудие. Суверенный Рунет начал предсказуемо становиться сувенирным:

https://www.kommersant.ru/doc/4977444

#вещества

Земля иллюминатами,
Земля иллюминатами,
Земля иллюминатами полна.
И день и ночь не спят они,
и мерзости творят они,
и правит ими лично сатана.

От них идёт нечестная реклама, от них идут похабные слова.
От них идёт трава из Амстердама - ядрёная, ядрёная трава!

Соблазн и разложение
Общественного мнения
Вот средства необъявленной войны.
И как в часы затмения
Их жертвы без сомнения
Во сне одни чужие видят сны

И снится им нечестная реклама, и снятся им похабные слова,
И снится им трава из Амстердама, ядрёная, ядрёная трава!

Закат цивилизации
В тисках глобализации
Несёт их злоковарный заговóр.
Но на защите нации
От вредной информации
Стоит, как бастион, Роскомнадзор.

Запрещена нечестная реклама, запрещены похабные слова.
Запрещена трава из Амстердама - ядрёная, ядрёная трава!

Оригинал (пользователь Joseph Hindin)
https://www.facebook.com/jhindin/posts/10206695944412746

Спите теперь с этим

#вещества Роскомнадзор утвердил требования к маркировке контента в интернете иностранных организаций, которые нарушают законодательство РФ. Соответствующий приказ ведомства опубликован в среду на официальном интернет-портале правовой информации, пишет ТАСС

"Информация <...> должна содержать сообщение: "Иностранное лицо, владеющее информационным ресурсом, является нарушителем законодательства Российской Федерации" с использованием размера букв в сообщении не менее размера букв, содержащихся в ссылке на информационный ресурс иностранного лица", - указано в документе.
http://publication.pravo.gov.ru/Document/View/0001202109080048?index=2&rangeSize=1

ВНИМАНИЕ!!! Это не ИА «Панорама»! Повторяю — не ИА «Панорама»

Миша не совсем прав. Он забыл, что скоропостижно принятый закон «о халявном Интернете» вообще лишает маленьких операторов ТСПУ, но узаконивает ТСПУ на транзите. Т.е. «не пользоваться этим списком операторов» в конечном итоге ничего не даст. Другой вопрос, что сейчас считать весь транзит «покрытым» пока рано. Но это реальная перспектива