Tag Archives: Технологии

Дълбоките технологии и сигурността на Запада

Post Syndicated from Александър Нуцов original https://www.toest.bg/dulbokite-tehnologii-i-sigurnostta-na-zapada/

Дълбоките технологии и сигурността на Запада

Войната в Украйна радикално промени представите за сигурността в международните отношения. Руската агресия разкри множество слабости на Запада и едновременно с това даде тласък на усилията на Европейския съюз и НАТО да покрият дефицитите си в сферата на отбраната. Едно от ключовите направления за страните от Алианса е по-тясното сътрудничество с частния сектор в борбата за технологично превъзходство с техните геополитически опоненти.

В този материал ще поговорим за значението на бизнеса и стартъпите в областта на сигурността и отбраната, за компаниите с двоен предмет на дейност и ролята на дълбоките технологии в глобалната технологична надпревара. И за това как тези модерни и сложни иновации, почиващи на научни принципи и открития, имат потенциала да трансформират из основи логиката и функционирането на цели индустрии. (Значенията на „двойна употреба“ и „дълбоки технологии“ ще разясним по-подробно малко по-долу.)

Нови стъпки

През 2022 г. НАТО основа първия по рода си многостранен фонд за рисков капитал в сферата на отбраната – NATO Innovation Fund (NIF). В него участват 23 страни членки като ограничени партньори, сред които и България. Фондът ще оперира с бюджет от 1 млрд. евро, с опция да се повиши след евентуалното присъединяване на Швеция към Алианса. Скандинавската държава изрази готовност да се включи в начинанието, но засега пътят ѝ към пълноправно членство в НАТО е блокиран от Унгария, която е поставена под все по-голям натиск да преосмисли позицията си. 

Фондът за иновации на НАТО ще инвестира в стартъпи от участващите страни и индиректно в други фондове за рисков капитал с фокус върху дълбоките технологии (deep tech). Инвестициите ще бъдат насочени към компании с двоен предмет на дейност и целят да осигурят технологичното предимство на Алианса в три стратегически направления:

  • намиране на най-съвременните технологични решения за решаване на предизвикателствата пред Алианса в областта на отбраната и сигурността;
  • укрепване и разгръщане на екосистемите за дълбоки технологии и иновации на територията на НАТО; 
  • подкрепа за пазарния успех на стартиращите предприятия от портфолиото на фонда.

Впечатление прави, че всички партньорски държави в NIF са европейски, което отразява моментното изоставане на ЕС в технологичната надпревара спрямо гигантите САЩ и Китай и нуждата от покриване на дефицитите в страните от Стария континент. 

На 30 януари тази година министърката на иновациите и растежа Милена Стойчева заедно с Бенджамин Балмфорт, който е част от инвестиционния екип на фонда, представиха NIF пред българска публика. Стойчева изтъкна, че присъединяването на България ще бъде ратифицирано от парламента през февруари, а на дневен ред стои и въпросът за включването на страната в натовския иновационен акселератор в отбраната – DIANA.

Двойна употреба и дълбоки технологии 

Двойната употреба засяга компаниите, които произвеждат стоки, услуги или технологии с приложение и в гражданския, и във военния сектор. Терминът отразява двойната природа на технологиите, които могат да служат както за комерсиални, така и за отбранителни цели. 

Компаниите с двоен предмет на дейност най-често оперират в областта на телекомуникациите, авиационното дело, информационните технологии, здравеопазването, енергетиката, транспорта, киберсигурността и др. Същевременно продуктите, услугите и експертността им могат да намерят приложение в националната сигурност и отбрана, разузнаването, разработването на военна техника и т.н.

Двойната употреба засяга различни етически казуси. Те са породени от крехкия баланс между бързото развитие на технологиите за комерсиални нужди и потенциалните рискове при използването им за военни цели. Неслучайно технологиите с двойно предназначение подлежат на сурови регулации в международното право. Добър пример тук е режимът на ЕС за контрол на износа, брокерската дейност, техническата помощ, транзита и трансфера на изделия с двойна употреба. Регулирайки изброените области, режимът цели да гарантира сигурната и целесъобразна употреба на технологиите с двойно приложение в унисон с международното право и да предотврати попадането им в ръцете на актьори, които застрашават мира и сигурността в международните отношения. Тук говорим и за такива изделия, които могат да бъдат използвани за разработване на химически и биологични оръжия или на оръжия за масово поразяване.

От своя страна дълбоките технологии представляват иновации в напреднал стадий на развитие, които стъпват на солидна научна основа и включват значими научни открития, които трансформират цели индустрии и оказват трайно въздействие върху икономиката и обществения живот. Характеризират се с висока технологическа сложност, обусловена от изследвания в различни области – физика, биология, химия, математика и информационни технологии. Често „разрушават“ съществуващи индустрии и създадат нови пазарни ниши (вж. disruptive technologies), като предоставят новаторски решения, процеси или продукти, които значително превъзхождат съществуващите в момента алтернативи. По този начин чертаят траекторията на индустриално развитие и технологичния напредък в обществата. 

Такива например са технологиите за изкуствен интелект, квантовите компютри, нанотехнологиите, сложната роботика, космическите технологии и др.

Затвореният цикъл на НАТО

Създадените през 2022 г. DIANA и NIF са двата най-нови инструмента на Алианса за привличане на предприемачи и иноватори от частния сектор за укрепване на сигурността и отбраната. Те се допълват и надграждат. DIANA предоставя ресурси и тестова база за иновативните стартъпи, свързва ги с учените и крайните потребители и осигурява финансиране на начална или идейна фаза от техния растеж.

NIF от своя страна ще осигури инвестиции за компании в по-напреднал етап на развитие, които вече предлагат готов продукт или услуга на пазара. Заложена е възможността част от компаниите, преминали през иновационния акселератор DIANA, да получат последващо финансиране от иновационния фонд NIF за своята експанзия на натовските пазари. Замисълът е да се създаде затворен цикъл за израстването на deep tech стартъпите от идейна фаза, през начално финансиране, създаване на (прототип на) продукт/услуга, тестване и валидиране, излизане на пазара и получаване на по-голямо финансиране за укрепване и растеж. 

Защо сега? 

През 2023 г. беше одобрена първата част от 44 deep tech стартъпа за участие в акселераторската програма на DIANA (сред тях и една българска). Скоро се очаква и подборът на първите компании, които ще получат финансиране от NIF. Моментът не е случаен. Две са ключовите причини за ускореното взаимодействие между държавите, международните организации и бизнеса.

Първата е усложнената геополитическа обстановка след руската инвазия в Украйна, гарнирана с напрежението между Китай и западните съюзници в Югоизточна Азия, непредвидимата политика на Северна Корея, а отскоро и ескалацията на израелско-палестинския конфликт и нестабилността в Близкия изток. Втората причина е свързана с водения от частния сектор и иновативните предприемачи бум на дълбоките технологии, създаващ съвсем нова динамика в глобалната технологична надпревара, в която Западът се нуждае от предимство. 

Какви са предизвикателствата пред Алианса?

Съюзниците в НАТО имат нужда от частния сектор, за да си осигурят технологичен превес в отбраната. Все още обаче компаниите, разработващи изделия с двойна употреба, срещат сериозни трудности пред развитието си. Главната причина е, че основният им клиент често е държавата. Това отблъсква голяма част от потенциалните инвеститори, включително фондовете за рисков капитал (Venture Capital Funds, VCs), които търсят реални резултати и бърза възвръщаемост на инвестицията си. Проблемът тук е двупосочен. 

Първо, взаимодействието на компаниите с държавата е в пъти по-бавно от това с клиентите и потребителите на свободния пазар. Множеството регулации на произвежданите продукти за целите на отбраната, времето за лицензиране и одобряване на сделките, както и моделът с обществени поръчки забавят изключително нормалния ритъм на покупко-продажба и генериране на печалба от компаниите. Време, което частните инвеститори и фондовете нямат. 

И второ, най-съществената част от развитието на deep tech стартъпите е научноизследователската и развойната дейност. Поради сложността на създаваната технология обаче тези дейности отнемат чувствително по-дълго време и сериозен ресурс без гаранция за успех и положителен резултат. Това също разколебава много инвеститори. 

Със създаването на иновационния си фонд NIF НАТО опитва да се справи с тези два проблема. Първо, като осигури нужното финансиране на deep tech стартъпите с двоен предмет на дейност. И второ, като разпредели инвестициите в дългосрочна перспектива (до 15 години според идеята на фонда). 

Голямото предизвикателство обаче остава. За да се изгради процъфтяваща екосистема от нови стартъпи с бизнес в отбранителните технологии и за да се мотивират съществуващите компании в гражданския сектор да развиват технологии с двойна употреба, е необходимо включването на частните инвеститори и фондове за рисков капитал в процесите на финансиране, покриване на нуждите за научна и развойна дейност и набиране на талантливи кадри. Ребус, чието решаване минава през намаляване на бюрокрацията и разкриване на възможности за по-бърза възвръщаемост на инвестициите при запазване на високите етически стандарти. 

Шанс за България?

Макар и малка, технологичната и deep tech екосистема в България е отворена, има добър потенциал за развитие и разполага с разнообразно портфолио от компании – например компании, които създават дронове за транспорт на стоки на далечни разстояния, космически технологии или дигитални системи за данни на големи корпорации и държавни институции. Други разработват решения в сферата на киберсигурността и изкуствения интелект, а трети – софтуер за термовизуална здравна диагностика. Доколко подобни компании ще имат стимул да развиват иновации за нуждите на сигурността и отбраната, зависи от дългосрочното взаимодействие между ключови организации като НАТО, държавите членки, инвеститорите и предприемачите от частния сектор.

България и киберсигурността: Готови ли сме за предизвикателствата на XXI век? 

Post Syndicated from Йоанна Елми original https://toest.bg/delyan-delchev-interview-cybersecurity/

Няколко дни след началото на руската инвазия в Украйна министърът на електронното управление Божидар Божанов обяви, че съвместно с ГДБОП са предприети действия за „филтриране или преустановяване на трафика от над 45 000 интернет адреса, от които са извършвани опити за зловредна намеса в електронни системи“. Същевременно от януари насам са осъществени редица кибератаки срещу Украйна, като мишени са от държавни институции до банки. Много от тези атаки са приписвани на Русия. Вземайки предвид активната информационна война в България и геополитическите интереси на Русия в региона, Йоанна Елми разговаря с Делян Делчев – телекомуникационен инженер и експерт по информационни технологии с познания и опит в сферата на киберсигурността. 


Г-н Делчев, често говорим за „хибридна война“, за която имаше предупреждения и във връзка с инвазията в Украйна. Струва ми се обаче, че има разминаване в схващането на термина. Какво да разбират читателите под този етикет? 

По принцип терминът означава динамично и/или едновременно комбиниране на конвенционални и неконвенционални военни действия, дипломация и кибервойна, в т.ч. и информационна (или както си я наричахме ние – пропаганда). Но подобно на други термини, с времето оригиналният смисъл се загубва и днес по-скоро имаме предвид основно електронната пропаганда, понякога подпомагана от хакерство, търсещо сензация.

Може ли да кажем грубо, че хибридната война включва два елемента: комуникационен, например пропаганда, и технически – кибератаки срещу ключова инфраструктура? 

Да. Но обръщам внимание, че това, с което асоциираме термина в последно време, е предимно пропагандата по интернет, а всички други съпътстващи действия по-скоро целят нейното подпомагане.

Съществуват ли кибератаки, които са особено популярни? Какви са практиките? 

Светът на хакерството е интересен и много по-различен от това, което виждате по телевизията. Доминиращото количество хора, занимаващи се с тези дейности, не са войници, професионалисти или пък гении. Това са най-обикновени хора, например тийнейджъри, събрани в малки приятелски банди, които пробват неща, за които са прочели тук и там, в повечето случаи – без да ги разбират в дълбочина. Те се радват на тръпката от потенциален успех, дори той да е малък, на емоцията да правиш нещо забранено, да получиш същия адреналин като при екстремните спортове.

Има всякакви хора – някои са мотивирани и от възможностите за малки или големи печалби или просто за събиране на информация, която те си мислят, че може да е тайна – да разкрият нещо ново, някоя голяма конспирация. И тези хора са напълно случайно разпръснати по света и са удивително много. Само в Китай има милиони тийнейджъри (т.нар. script kiddies), които отварят за първи път някоя книжка или по-скоро онлайн хакерски документ и веднага искат да си пробват късмета, да видят какво ще стане. Паралелно има и неструктуриран черен пазар: малките банди си взаимодействат и си помагат с услуги, скриптове, достъп, поръчки, плащат си с пари, (крадени) стоки, услуги, програмен код, ресурси и криптовалута. Където има хора и търсене, има и пари, и награди.

Държавните „киберармии“ всъщност се възползват от тези хакери и големия им брой. Те им спускат поръчки чрез подставени лица, посредници или приятели и съответно ги награждават, ако някъде постигнат успех. Същото правят и обикновени престъпници, частни фирми, детективи и какви ли не други. Ако използваме аналогия от спагети уестърните: обявена е парична награда за главата на някого и всички ловци на глави се втурват да се пробват. Няма никакви гаранции за успех, а заниманието е времеемко, защото реалността не е като по телевизията – идва хакер, оплаква се от нещо, после трака пет секунди на клавиатурата и казва: „Вътре съм.“ В реалния живот дори малки пробиви може да отнемат години и се правят на малки стъпки. Затова и когато бъдат разкрити, пораженията са вече големи, защото пробивът може да не е бил от вчера, а да е отворена порта с години.

Тъй като повечето хакери не разбират занаята в дълбочина, често някои държави или фирми, които са специализирани в областта на сигурността и разполагат с интелигентни и способни ресурси, предоставят готови инструменти, непознати хакове или вътрешна информация на хакерските банди. Понякога дори начеват процеса и подготвят обстановката, а после оставят хакерите да довършат нещата. Хакерите са, един вид, мулета и дори някой да ги уличи, директната връзка с поръчителя е много трудна.

А има ли специфичен почерк според държавата, извършваща кибератака?

Индивидуалните банди се специализират в различни направления – във флууд (от англ. flood, „наводняване“– претоварване на интернет връзки, което води например до блокиране на достъпа до уебсайтове); сриване на ресурси, затрудняване на работоспособността на инфраструктури; хакване, вземане на контрол; създаване и събиране на бот мрежи (които после се ползват за прикриване на хакове и флууд)*; кражби на идентификация, пароли, лична информация, данни за кредитни карти и за криптовалути; рансъмуер (зловреден софтуер, който криптира информацията на заразения компютър и изнудва потребителя да му плати откуп, за да получи ключ за дешифриране) и т.н.

Трудно е от пръв поглед да се каже кой какъв е и дали поведението му е самопородено от хаоса, или има частен интерес, или някой му дърпа конците и го е мотивирал, без значение дали това е станало знайно, или незнайно за извършителя. Но светът е малък и има модели на поведение, които са специфичен стил на различните групи и мотиватори. Има и много улики. В действителност в интернет нищо не е наистина анонимно. Така чрез различни техники може да се идентифицира кой кой е и дали е под влиянието на поръчители от една или друга държава. Киберсигурността се развива и на обикновените хакери им е все по-трудно да откриват нови слаби звена. Това го могат основно хора, които имат познания, специфичен достъп до информация (например сорскод на WindowsMicrosoft го предоставя под различни програми на няколко държави, сред които са и Русия, и Китай), разузнаване, възможности за събиране и мотивиране на съмишленици или помагачи, работещи в различни компании.

В скандала Solarwinds например пакетът от хакове съдържаше инструмент с компонент, написан от хакерите, но подписан така, сякаш идва от Microsoft. Този компонент води до лесното и невидимо инсталиране на код, който позволява отдалечено управление на Windows. Това не може да бъде направено от обикновени хакери, тези ключове и процесът по подписването с тях трябва да са тайна. От Microsoft и досега изследват как хакерите са направили пробива. Съвсем вероятно е да е станало по описания по-горе начин – през програмите, по които Microsoft работи директно с някои правителства, и е сериозен сигнал за правителствено участие. Хакерските банди нямат тези възможности, а дори да ги имаха, всичко това щеше да се появи публично и светът щеше да е залят с подобни подписани компоненти. Сега обаче същите инструменти и ключ ненадейно се появиха в няколко хакерски кампании за изземване на украински ИТ системи, което очевидно уличава руски правителствени интереси.

Китайските държавни хакери, както и американските, и руските, имат своя колекция от хакерски инструменти, които разработват тайно, не са публични, но понякога биват предоставени на близки банди (някои често съдействат на всички служби, държави или частни компании едновременно). Така и по инструментите може да се познае кой стои зад атаката. Или по наградите. Или по „мулетата“. Или по начина на плащане. Или дори по пропагандните изрази, които използват (и които издават с кого си комуникират). Макар хаотичните банди да стоят на преден план, отзад понякога се виждат сенките на по-сериозни професионалисти и организатори на кампании. Все още обаче над 99% от кибератаките са изцяло хаотични и не са свързани с държавни „киберармии“.

Как се наказват кибератаките? Съществува ли в света ефективно разработена рамка, която да ги третира като престъпления?

Има опити, но не мисля, че са ефективни. Проблемът е, че обикновено се наказват тийнейджъри, които са на практика невинни или пък малолетни и неопитни както в живота, така и в това, което правят, и всъщност заради това ги хващат. В огромната си част по-опитните хакери или пък техните поръчители, ако има такива, си остават недосегаеми. Не мисля, че е възможно при тази „екосистема“ въобще да има начин да изхвърлим мръсната вода, без да изхвърлим и бебето. Обществените реакции ще са тежки. Затова ако нещо се прави по темата, е епизодично и според мен никой не се опитва сериозно да се занимава с наказания, поне в свободния свят.

Друг проблем е, че видимите хакери са често разпръснати между много държави и просто няма как да хванеш един и после чрез него да намериш и хванеш друг, а чрез него – трети, без подкрепата на тези държави. А това е трудно и понякога невъзможно. Ето защо и никой не иска да прави нещо наистина сериозно и масово, когато не става въпрос за финансови престъпления. От известно време съответните полицейски служби се опитват – под предлог за борба с детската порнография – да разработят по-координирана комуникация между различни държави и често правят масови транснационални кампании. Създадената инфраструктура автоматично впоследствие може да се използва за всякакви киберпрестъпления – от най-големите до примерно нарушаване на авторски права (изтеглили сте някакъв филм от интернет). Но засега тази координация е в процес на подготовка и се фокусира върху детската порнография като общо безспорно припознат проблем от службите.

За мен това, че има куп младежи, които искат да се научат „на хакерство“, не е проблем. Така се натрупва познание. Ако някой хакер е намерил как да влезе в пощата или сървъра ви, не е чак такава беда в повечето случаи, защото загубите са най-често малки. Може да се възползвате от това, за да се учите да се пазите по-добре. Защото ако хакери, които не са държавно спонсорирани, могат да пробият системите ви, то държавно спонсорираните вероятно отдавна се разхождат там необезпокоявано.

Образът на руския хакер е почти фикционален, като на филм. В действителност има ли Русия особена роля в сферата на кибератаките? 

Има, но не и по този романтичен начин, по който повечето хора си го представят. „Руските хакери“ всъщност са всякакви хакери, с всякаква националност. Има немалко българи сред тях например. Има и американци, китайци, западноевропейци, какви ли не. И тези хора нямат задължително идеология, нито правят това от любов към Путин; мнозина дори не знаят, че са спонсорирани от Москва чрез посредници. Просто техните банди, приятелски кръгове и контакти ги поставят в позиция да получават, понякога през десетки посредници, възможности за поръчки, които са спуснати от руски поръчители или са в техен интерес.

За разлика от САЩ, които като цяло избягват да използват бандите (с малки изключения) и имат голям собствен и невидим ресурс, напълно отделен от хакерската общност, Русия е много по-прагматична и грубо казано, излиза на свободния пазар. Така тя разчита и на по-нискоквалифицирани хакери, които съответно повече се излагат и биват хващани, защото използват по-видими и груби подходи. Спокойно можем да определим руската практика като „слон в стъкларски магазин“. Но това работи за тях, защото те се радват на пропагандния ефект и на името, което си създават. Тази практика е и по-евтина и по-лесна, тъй като не се налага обучение на хора, нито създаване и развиване на специални държавни структури със специфично познание.

Но тук-там се виждат и по-прецизни руски изпълнения с директно въвличане на по-интелигентни участници от масовите хакери. Solarwinds, както и двете последни кампании в Украйна са добри примери и много служби осъзнаха, че Русия също започва да натрупва и такъв потенциал.

Показаха ли нагледно случаи като теча в НАП, че България е неподготвена в сферата на киберсигурността? Обществеността не се трогна много от изтичането на данни – защо? И как трябва да се обясни на хората, че проблемът ги засяга лично? 

Първо, повечето от хакванията, за които съм чул, че се случват в България, и по-специално това в НАП, са породени от небрежност и вероятно от незаинтересованост, често граничеща с глупост. Но основният проблем на България е, че работим след събитията – чакаме нещо да се случи, за да действаме. После работим на парче, докато следващото събитие не дойде да ни накара да действаме отново. Киберсигурността постоянно се променя. С единични действия не може да се постигне нищо. Трябва постоянно да следиш и да реагираш на това, което става или за което чуваш като възможни рискове в други държави. Дори хипотетично в момента да имаш най-добрата защита на света, след няколко месеца вече няма да е така. Държавата трябва да има процедури (а не само стратегии) и тези процедури активно да се изпълняват, а на киберсигурността трябва да се гледа много сериозно.

Усещането ми е, че киберхигиената в държавните ни институции не е на ниво и едва ли не още сричаме азбуката. Смешно е да слушаме изказвания как в НАП са си мислили, че имали сигурност, защото са минали обучение и са направили опит да се сертифицират по ISO27000. Както видяхме, това не е помогнало. Смешно е също някои други институции да си мислят, че като криптират нещо, то автоматично става защитено.

Разглеждайки внимателно как е разработвано хакването на някои от финансовите и държавните институции в Украйна, ще видим, че ако сме били ние на мушка, нито една от простите ни представи как да бъдем или да се чувстваме защитени, не би ни предпазила. Има големи разлики в изграждането на хигиена в киберсигурността на индивидуално или корпоративно ниво и на ниво държава, държавни институции и организации от сферата на сигурността. Ние засега се опитваме да покрием поне корпоративните стандарти – и дори в това нямаме големи успехи.

Гражданите няма как да следят какви пробиви се появяват в киберсигурността, нито пък ще се занимават постоянно с поддържането на киберхигиена, ако тя е трудна и неразбираема. Всяко нещо, което ти създава дискомфорт, скоро бива игнорирано, все едно никога не го е имало. Класически пример за това са изискванията за много сложни пароли – на пръв поглед трябва да се минимизира рискът някой хакер да ги познае, но пък така потребителят е принуден или да използва една и съща парола навсякъде, или да си ги записва и евентуално да ги оставя на публични места. Така вместо да се подобри сигурността с това правило, всъщност тя спада, както показва статистиката.

Киберсигурността трябва да се възприема сериозно отгоре надолу в държавата, а не обратното, от гражданите към властта. Решенията и процесите трябва да са прости и органични, в най-добрия случай невидими за крайните потребители, да не им пречат, и така всичко ще бъде разумно ефективно, дори да не е перфектно. Хората трябва да знаят, че никога нищо в киберсигурността не е перфектно, но може да е достатъчно добро, за да минимизира рисковете и експозицията. За пример: ако в НАП спазваха поне основните принципи на GPDR за съхраняване на личните данни, уязвимостта нямаше да е толкова голяма. Дали дори сега в НАП ги спазват? Или си мислят, че ако не публикуват бекъпите си в интернет достъпни сървъри, те ще са защитени? Предвид наблюдаваното напоследък, това е много измамно усещане.

А по въпроса как киберсигурността ни засяга лично: представете си, че всички електронни блага, които имате днес – банкови карти, пари, интернет, смартфони, лична информация, усещане за личен живот, – може да се загубят и/или да ги получи някой друг, а вие бъдете пренесен, метафорично казано, обратно в 70-те като ниво на комуникация. Ако тази мисъл ви създава дискомфорт, значи трябва да се отнасяте сериозно към киберхигиената си.

Мрежи от ботове се създават, като чрез вирус или по друг начин се заразят множество компютри, на които след това се инсталира софтуер (бот). Когато е нужно да се извърши атака, контролиращият мрежата активира тези ботове отдалечено и те започват координирано да атакуват конкретни сървъри. Така изглежда, че атаката идва от множество компютри по целия свят и е трудна за овладяване, а истинският извършител остава скрит зад своята армия от ботове. – Б.р.
Заглавна снимка: Michael Geiger / Unsplash

Източник

Тиктакащата бомба на криптофашизма

Post Syndicated from Хамилтън Нолън original https://toest.bg/the-ticking-bomb-of-crypto-fascism/

Препубликуваме тази статия на американския журналист Хамилтън Нолън с изричното позволение на списание In These Times (© 2022). Оригиналният текст на английски е достъпен на inthe​se​times​.com. Преводът на български е на Йовко Ламбрев, а акцентите и препратките са добавени от редакцията на „Тоест“.


Неизбежният срив на пазара на криптовалутите ще тласне американската политика в още по-страшна посока.

Да се правят прогнози за предстоящи социални и политически катастрофи е хазартно начинание, защото повечето от вълнуващите неща в историята не са били предвидими. Но може да се опитаме да чертаем исторически паралели въз основа на общи икономически или културни тенденции. В САЩ през 2022 г. имаме ожесточена и разрастваща се културна война в комбинация с огромен ценови балон на активите, който от две години се подхранва с пари от държавни стимули – и всичко това е на гърба на невероятно слаба реална икономика, разгромена от пандемията. Ако смятате, че ядосаните бели мъже са били страшни през годините на управлението на Тръмп,

само изчакайте, докато се спука криптобалонът.

Да поразсъждаваме върху това. В основата на всичко, което се случва сега в САЩ, стои някаква къснокапиталистическа нихилистична политика, движена изцяло от културни войни – едно почти примитивно бягство от рационалността, резултат от половин век нарастващо неравенство и разпадаща се вяра в неефективните публични институции. Американската мечта е мъртва: децата вече не се справят по-добре от родителите си. Край и на мечтата за домакинство, което се издържа с дохода на един човек. На нейно място имаме гиг икономика, съкрушителни студентски кредити, смърт на синдикатите и всеобща несигурност. Богатите са невъобразимо по-богати, а всички останали въртят на място колелото.

Републиканците отговориха с културни войни, вместо реално да се заемат с преразпределяне на богатствата. И това, по ирония на съдбата, им се получи, защото институциите, които могат да възпрепятстват засилването на тази войнствена политика, са същите, които в момента линеят. Технологичните промени и разрояването на основните медии засилиха разделението ни на враждуващи политически лагери – идентичностно противопоставящи се племена, които още повече радикализират електоралната политика и на свой ред биват радикализирани от нея в един безкраен порочен кръг.

Такава е земята под краката ни в САЩ днес. И в тази почва през пролетта на 2020 г. покълна пандемията. Икономиката за кратко спря и настана паника, а след това правителството изсипа много пари за стимули, с което успешно предотврати нова Голяма депресия. Дотук добре. Ефектът от това обаче е, че в САЩ просто има много повече пари, отколкото преди. Тези пари се вляха във всякакъв вид активи – акции, недвижими имоти, какво ли не. И подхранват странни балони – от онези, които се раздуват, когато хората отчаяно търсят спасение.

Мийм акциите (като тези на GameStop, които хвръкнаха и после се сринаха) и техните графики нагоре и надолу се превърнаха в ярка илюстрация на факта, че схемите „напомпай и зарежи“ не могат да изпълняват ролята на функционираща система за обществено осигуряване. Още по-значителен е възходът на криптовалутите (и в по-малка степен на NFT – ефимерните онлайн произведения на изкуството, чиято стойност вече се доближава до тази на целия традиционен пазар на изкуство в САЩ). Криптото вече струва трилиони долари. Цялата тази стойност се основава не на някаква фундаментална полезност, а по-скоро на идеята, че винаги ще има някой друг, който ще дойде и ще плати повече, отколкото вие сте похарчили за вашето крипто. Това ще свърши зле.

Наричат ги ​​„криптовалути“, но те очевидно не са валути.

Стойността им се колебае твърде много, за да бъдат полезно средство за размяна. Какво са те тогава? Едни колекционерски, чисто спекулативни обекти с нулева себестойност. Ако купите акция, вие се сдобивате с частичка от даден бизнес; ако купите къща, дори цената ѝ да падне, ще продължавате да имате къща. Ако купите биткойн, вие получавате едно заглавие на парче компютърен код, което не може да ви бъде полезно с нищо, освен ако някой друг не бъде някак убеден да ви даде пари за него. В разгара на манията, в която се намираме сега, цената на тези въображаеми активи има тенденцията да расте, защото колективната обществена нагласа е, че цените ще растат. Когато тази нагласа се промени – дали поради страх, или някакво събитие, което ще провокира притежателите на криптовалути да ги обменят за кеш, – цената им ще се сгромоляса. Тази базисна динамика е демонстрирана милиони пъти във финансовата история, често чрез активи с много по-голяма реална стойност от криптовалутите.

Те, както и мийм акциите, са лош заместител на американската мечта. Една функционираща нация би прекратила умишленото манипулиране на границите на избирателните райони, би реформирала начина, по който се финансират предизборните кампании, би сложила край на филибъстъра (тактика, използвана в Сената на САЩ за забавяне на гласуване по дадена тема или задушаване на дебата по нея – б.пр.), би премахнала недемократичния Сенат на САЩ, би обложила свръхбогатството, би изградила система за обществено здравеопазване и социално осигуряване, за да гарантира, че никой в ​​нашата много богата страна няма да пропадне през финансовите пукнатини на живота и да бъде погубен. Но това не е американският начин. Американският начин е да аплодираме малкото свръхбогати късметлии, да ги героизираме и да търсим как да станем като тях, въпреки че подобно нещо е математически невъзможно. Вместо социализъм ние дадохме на хората криптовалута. И те – поне по-голямата част от тях – я купуват не заради някаква възвишена вяра в технофутуризма, а защото мислят, че това е начин да забогатеят бързо на достъпна цена.

Криптото е просто модерен лотариен билет.

Но докато за лотарийните билети плащате някаква малка сума еднократно, криптото ще се изстреля до луната, а после с трясък ще катастрофира в канавката. Може би най-горчивата ирония е, че докато обикновените хора се тълпят на опашка за криптовалути, смятайки, че това е утопичната земя на възможности за малкия човек да припечели пари, в действителност цялото нещо в голяма степен се контролира от малък картел богати инвеститори. Точно както всичко останало.

Крахът на криптовалутата неизбежно ще настъпи – по същата причина, поради която всички схеми на Понци в крайна сметка рухват: няма безкрайно количество нови хора, готови да плащат постоянно растящите цени на нещата, които притежавате в момента. По-интересният въпрос е не дали множество дребни инвеститори ще загубят много пари от своите криптоинвестиции, а какво ще стане след това.

Ето какво ще се случи, когато стотици хиляди инвеститори се разорят от криптосрива:

Те ще се радикализират. Това няма да се почувства като обикновен ценови спад, тъй като за най-ревностните си привърженици криптото е много повече от обикновена инвестиция – то е изход от американския капан. То е наличие на възможност, шанс за икономическа мобилност, утвърждаване на идеята, че виe, редовият трудов човек без връзки, можете да отскочите от дъното към върха благодарение единствено на собствените си рационални решения. Когато този мит бъде разбит, ще последва разочарование от американската система. За съжаление, предвид реалността в момента, тези новообезверени, радикализирани, гневни и разорени хора ще са много по-склонни да се обърнат към фашизма, отколкото към социализма.

Криптото – това портфолио от безполезни в същността си онлайн жетони – вече се крепи почти единствено на мит. Стойността за потребителя е толкова мъглява, че когато тя се стопи, почти всяка произволно съчинена история ще може да послужи за достоверно обяснение. Беше Федералният резерв! Правителството! Левите, които мразят предприемачеството! Бяха тъмните и коварни сили на сенчестата дълбока държава! Всичко ще свърши работа. И ще насъска още повече онези предшественици на повярвалите в криптото като добър заместител на американската мечта – тълпата читатели на спортни сайтове, технологични либертарианци и хора, които купуваха сребърни кюлчета от Алекс Джоунс, преди да се преориентират към биткойн.

Криптоевангелистите са силно увлечени по някакво нюейдж либертарианство и антиправителствено десничарство, но когато видят как финансовите им мечти се изпаряват, вероятно ще прицелят отмъщението си към всичко, което така или иначе вече презират. В по-широк смисъл това ще доведе до голям брой нови ядосани, огорчени, разочаровани и обезнадеждени хора, които са твърде затънали в културните войни, за да се обърнат към солидарността вместо към омразата.

Така че, ако напоследък се забавлявате с крайностите на времето, в което живеем, помислете

как точният момент на срив на криптовалутите може да постави под съмнение базисното съществуване на американската демокрация.

Ако катастрофата се случи, да речем, шест месеца преди президентските избори през 2024 г., това може да е достатъчно, за да върне Доналд Тръмп или някого от неговите послушници обратно в Белия дом и да отрови още повече обществените дебати с ярост и отмъстителност. Забавна тема за спекулиране.

Спецификата на тези промени, разбира се, е непредвидима. Но съм достатъчно уверен да кажа, че когато след време погледнем назад, ще видим криптото като гаргантюански балон, който – както капитализмът винаги прави – е заличил спестяванията на много обикновени хора, които не могат да си позволят такива загуби, а е оставил богатите предимно незасегнати. И всичко това, защото успя да убеди обикновените хора да повярват, че този път е различно. Заблудата, че спасение от капитализма може да се намери в нов, по-умен капитализъм, е невероятно съблазнителна и винаги погрешна. Да се надяваме, че ще се измъкнем, преди да е станало твърде късно.

In These Times е независимо прогресивно издание, поддържано финансово от своите читатели. Създадено е през 1976 г. от журналиста и историк Джеймс Уайнстийн с цел да насърчава демокрацията и икономическата справедливост, да разпространява идеи за по-хуманен свят и да предоставя трибуна за дебат относно политиките, които формират бъдещето.
Заглавна снимка:  Harrison Kugler @ Unsplash

Източник

От местопрестъплението: Facebook

Post Syndicated from Йовко Ламбрев original https://toest.bg/csi-facebook/

Когато в началото на март 2020 г. се установихме по домовете си и (които можaхме) заработихме оттам, първите ни разговори с колеги и клиенти се въртяха около това дали науката е способна бързо да намери ваксина срещу COVID-19 и най-вече дали регулаторите ще бъдат достатъчно бързи с одобрението ѝ. За да можем да си върнем нормалния живот и ежедневие. Никога не бих допуснал, че голяма част от същите тези хора днес още няма да са ваксинирани, а с някои от тях ще спорим ожесточено по темата. Какво се случи през тази година и половина?

Със сигурност локалният контекст е важен. Генерализациите не са полезни, но е трудно да се обори наблюдението, че българите сме недоверчиви по природа. Изчакваме първо някой да похвали нещо, преди да си го купим, или съседите да пробват нов продукт или услуга, преди да се решим да тестваме сами. Вярно е също и че институциите ни не заслужават доверие, а управлението на кризата стартира повоенному – с генералски униформи, заплахи и овикване вместо с научни аргументи и човешки обяснения. Всичко това няма как да не е част от причините за най-ниското ниво на ваксинирани у нас. Но дали е само това?

Всъщност антивакс пропагандата онлайн е поредното проявление на проблем, който пуска все по-дълбоки корени сред обществата ни – по целия свят.

Същият проблем, който направи възможен Брекзит и докара на власт опасен палячо като Доналд Тръмп. Технологиите ни свързват повече от всякога, но донесоха едни от най-ужасните противопоставяния в най-новата история на човечеството.

Брекзит стана факт след минимално числено превъзходство на гласовете за напускане на ЕС, в референдум, който в значителна степен бе манипулиран чрез лъжи и дезинформация в социалните мрежи и най-вече във Facebook. Механизмите вече са до болка известни – набелязване на група колебаещи се гласоподаватели, които биват облъчвани с реклами и съдържание, обострящо техните лични страхове или чувствителност по определени теми. И тъй като няма контролен механизъм какво съдържание вижда всеки на стената си и то е индивидуално подбрано за него, няма как дори това да бъде впоследствие разследвано, оборено или съпоставено с друго.

Технологията, експлоатирана до крайност, е в състояние да създаде в главата на един човек паралелна реалност, която няма допирни точки с тази в главите на останалите. Така британците започнаха да се страхуват от бежанци и имигранти дори където ги няма. Или че Турция ще стане част от ЕС, въпреки че дори не се полагат усилия за това.

Но не са само лъжите. Социалните мрежи и платформи се превърнаха в рупор на страх, омраза и разделение. Срещу заплащане. Без никакъв контрол върху произхода на средствата, източника на дезинформация или дори яснота кой е поръчителят, доколкото той може да се скрие зад друга компания или посредник.

По-лошото е, че невинаги виждаме лъжите, на които са подложени другите, защото често не сме таргетирани.

Виждаме малка част от мащаба, който е далеч по-голям от всичко, което можем да допуснем или да си представим. Същият модел и техники бяха приложени и при избирането на Тръмп за президент на САЩ. Иронично, не без помощта и на други създадени в името на демокрацията и свободното слово проекти – като WikiLeaks. Същото се случва и с пропагандата срещу ваксините. Уви, за част от разпространението ѝ този път дори не се заплаща, защото радикализацията на хората по темата спомага за автозахранването ѝ със съдържание. Днес, благодарение на технологичните гиганти, страх и омраза се леят из интернет напълно безнаказано. А в контекста на отричане на рисковете от COVID-19 и ползите от ваксините това вече пряко причинява смърт.

Живеем в глобален онлайн експеримент, в който сме се самопоставили в ролята на лабораторни мишки, докато съпреживяваме разпада на демокрациите си. След повече от век избирателно законодателство и изстрадани права в световен план всичко това се разрушава от технологиите. Без съпротива от наша страна.

Оказва се, че правителствата са неспособни да контролират адекватно транснационални корпорации.

Отделна е темата дали наистина имат желание да го направят. Бунтът трудно ще започне от потребителите, докато те бавно биват сварявани като жаби в яхнията на дезинформацията. Провалът ни е свързан с приемането на демокрацията за даденост и недостатъчното гражданско образование в посока хуманитаризъм. Нужно е спешно загърбване на индивидуализма, в който бяха възпитани поне три поредни поколения, и поне малко завръщане на мисълта за общото и за принадлежността ни (и в тази връзка ангажиментите ни) като част от него. Нужни са усилия и за завръщане на авторитета на науката. А това няма как да стане, ако непрекъснато противопоставяме на научните факти псевдонаучни концепции и даваме думата на опиянени от себелюбие и жадни за внимание псевдоавторитети, борещи се за лидерство върху някакво мнение.

Разпространението на псевдонаука и лъжи, безплатно или платено с пари с неясен произход, няма нищо общо с демокрацията или свободата на словото. Това е саботаж, подривна дейност. Оръжие в тиха война с драматични последствия. Защото най-страшното не е, че Тръмп спечели президентските избори през 2017 г. или че Великобритания напусна ЕС.

Главният въпрос пред нас е как да съхраним обществения си договор.

Ще можем ли някога отново да проведем честни и свободни избори изобщо? Ще можем ли да върнем доверието помежду си? Ще имаме ли отново свободни медии извън хватката на платформите? Ще оцелеем ли?

Време е за осъзнаване и съпротива. Не можем да си позволим да оставим социалните мрежи да бъдат основният източник на новини и информация на хората. Време е да изискваме поемане на адекватна отговорност, когато се окаже, че технологичните гиганти влияят на установените механизми на демокрацията и посредничат за разрухата на обществата ни. Защото докато си споделяме снимки на котенца, покълналите плевели ще превземат всичко, ако не бъдат изкоренени.

Заглавна снимка: Annie Spratt / Unsplash

Източник

Как се учим на медийна грамотност

Post Syndicated from Йоанна Елми original https://toest.bg/kak-se-uchim-na-mediyna-gramotnost/

„Училище на ХХI век“ е съвместна рубрика на „Тоест“ и „Заедно в час“, в която ще ви представим успешните практики в българското образование и ще търсим работещи решения за неговото подобряване. Един от най-големите проблеми на учениците е, че не умеят да различават факт от мнение, споделя Сава Ташев, учител в столичното 97-мо СУ „Братя Миладинови“. Той преподава медийна грамотност „през предмета…

Източник

Смяна на личен лекар онлайн. Абсурдистка трагикомедия в три действия

Post Syndicated from Светла Енчева original https://toest.bg/smyana-na-lichen-lekar-online/

Средата не може да е отчасти достъпна – тя или е достъпна, или не е. Тези думи съм запомнила от първата си среща с Капка Панайотова от Центъра за независим живот. И така си е, както е казал Мечо Пух. Какъв е смисълът например от трамваите с нисък под, ако за да стигнете спирката, трябва да изкачите няколко стъпала? По същия начин си представям и електронната комуникация – тя или е електронна…

Източник

Подсигурете паролите си

Post Syndicated from Yovko Lambrev original https://yovko.net/security-keys/

Подсигурете паролите си

Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.

Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.

Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.

Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.

Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:

  • може да е зададен предварително;
  • да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
  • да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
  • да се генерира от специално хардуерно устройство за такава цел.

Навярно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.

По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.

Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).

Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.

Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.

Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.

В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.

Особено опасно е, ако бъде превзет основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.

Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.

Приложения, които генерират еднократни кодове за достъп

Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.

Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.

Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.

И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях аз предпочитам Authy (без да твърдя, че и то няма трески за дялане). Но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е много удобно. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.

Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.

Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.

Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.

И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…

Специализирано устройство

Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.

Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея, защото ако някой открадне компютъра ви или го оставите на публично място, ще сте подарили и ключовете си за дигиталния ви свят. Аз харесвам тези модели, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂

Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)

И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.

Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.

И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂

Многофакторната автентикация всъщност е комбинацията от различни такива методи.

Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.

Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.

P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.

Подсигурете паролите си

Post Syndicated from Йовко Ламбрев original https://yovko.net/security-keys/

Подсигурете паролите си

Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.

Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.

Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.

Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.

Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:

  • може да е зададен предварително;
  • да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
  • да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
  • да се генерира от специално хардуерно устройство за такава цел.

Навярно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.

По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.

Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).

Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.

Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.

Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.

В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.

Особено опасно е, ако бъде превзет основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.

Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.

Приложения, които генерират еднократни кодове за достъп

Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.

Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.

Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.

И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях аз предпочитам Authy (без да твърдя, че и то няма трески за дялане). Но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е много удобно. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.

Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.

Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.

Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.

И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…

Специализирано устройство

Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.

Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея, защото ако някой открадне компютъра ви или го оставите на публично място, ще сте подарили и ключовете си за дигиталния ви свят. Аз харесвам тези модели, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂

Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)

И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.

Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.

И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂

Многофакторната автентикация всъщност е комбинацията от различни такива методи.

Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.

Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.

P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.

Подсигурете паролите си

Post Syndicated from Йовко Ламбрев original https://yovko.net/security-keys/

Подсигурете паролите си

Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.

Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.

Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.

Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.

Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:

  • може да е зададен предварително;
  • да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
  • да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
  • да се генерира от специално хардуерно устройство за такава цел.

Навярно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.

По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.

Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).

Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.

Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.

Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.

В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.

Особено опасно е, ако бъде превзет основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.

Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.

Приложения, които генерират еднократни кодове за достъп

Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.

Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.

Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.

И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях аз предпочитам Authy (без да твърдя, че и то няма трески за дялане). Но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е много удобно. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.

Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.

Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.

Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.

И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…

Специализирано устройство

Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.

Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея, защото ако някой открадне компютъра ви или го оставите на публично място, ще сте подарили и ключовете си за дигиталния ви свят. Аз харесвам тези модели, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂

Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)

И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.

Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.

И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂

Многофакторната автентикация всъщност е комбинацията от различни такива методи.

Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.

Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.

P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.

Подсигурете паролите си

Post Syndicated from Йовко Ламбрев original https://yovko.net/security-keys/

Подсигурете паролите си

Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.

Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.

Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.

Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.

Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:

  • може да е зададен предварително;
  • да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
  • да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
  • да се генерира от специално хардуерно устройство за такава цел.

Навярно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.

По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.

Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).

Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.

Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.

Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.

В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.

Особено опасно е, ако бъде превзет основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.

Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.

Приложения, които генерират еднократни кодове за достъп

Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.

Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.

Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.

И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях аз предпочитам Authy (без да твърдя, че и то няма трески за дялане). Но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е много удобно. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.

Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.

Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.

Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.

И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…

Специализирано устройство

Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.

Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея, защото ако някой открадне компютъра ви или го оставите на публично място, ще сте подарили и ключовете си за дигиталния ви свят. Аз харесвам тези модели, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂

Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)

И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.

Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.

И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂

Многофакторната автентикация всъщност е комбинацията от различни такива методи.

Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.

Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.

P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.

Подсигурете паролите си

Post Syndicated from Yovko Lambrev original https://yovko.net/security-keys/

Подсигурете паролите си

Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.

Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.

Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.

Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.

Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:

  • може да е зададен предварително;
  • да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
  • да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
  • да се генерира от специално хардуерно устройство за такава цел.

Вероятно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.

По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.

Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).

Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.

Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.

Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.

В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.

Особено опасно е, ако пробият основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.

Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.

Приложения, които генерират еднократни кодове за достъп

Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.

Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.

Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.

И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях за предпочитане е Authy. Заради много неща, но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е на първо място. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.

Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.

Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.

Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.

И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…

Специализирано устройство

Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.

Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея. Аз харесвам тези, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂

Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)

И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.

Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.

И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂

Многофакторната автентикация всъщност е комбинацията от различни такива методи.

Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.

Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.

И накрая – още нещо важно. Ако ползвате мениджър на пароли и сте се изкушили да генерирате TOTP с него вместо с друго приложение или хардуерно устройство, по-добре недейте. Зная, че е адски удобно. Особено за автоматично попълване в разните login екрани, но това е като да държите заедно двата ключа за отваряне на сейфа ви в банката. Не е разумно. Идеята на втория фактор е да е именно… втори, различен от първия.

P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.

Мениджъри на пароли

Post Syndicated from Yovko Lambrev original https://yovko.net/password-managers/

Мениджъри на пароли

Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление, и до днес има такива. А когато кракери пробият някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и кофти администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същият потребител, чийто имейл им е известен, не използва същата парола и потребителско име някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.

Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където някога съм я ползвал. Поне за толкова съм проследил и знам. Вероятно са повече.

За съжаление, много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.

Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.

Неотдавна Wired метафорично нарече тези инструменти зеленчуците на Интернет, защото е всеизвестно, че са полезни за здравето, но мнозина още залитат по нездравословното.

Password manager-ът е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. А достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано, password manager-ът е нещо като сейф за пароли.

В добавка различните мениджъри на пароли могат да предлагат цяла купчина допълнителни екстри. Например:

  • генератори на различни по дължина и сложност пароли;
  • анализатори и индикатори на трудността на отгатване на паролите;
  • лесно въвеждане на паролите чрез различни плъгини за браузъри;
  • двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел;
  • уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не я продават);
  • споделяне на някои пароли със семейството или колегите;
  • напомняне за пароли, които не сте сменяли отдавна; и др.

Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще загубите и всичките си пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици.

Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло? И това са съвсем резонни тревоги. Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е труднопостижимо по друг начин. В добавка, рискът да бъде компрометиран мениджърът ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.

Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.

В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.

Разбира се, това означава, че макар и криптирано, хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва, имате два подхода – единият е да държите само локално копие на своето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви, за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъдат криптирани. Има много смисъл да го направите за фирмата и служителите/колегите си.

Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.

Иначе многообразието от мениджъри на пароли е голямо. Важно е да изберете това приложение, което ви предлага максимално удобство и онези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива с базови безплатни версии, но се плаща за някои от екстрите.

Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.

Не забравяйте да инсталирате плъгини за браузърите, които ползвате и да настроите нужното и за мобилните си телефони за да си улесните живота.

И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като усетите колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Целта на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.

Заглавна снимка: Franck

Мениджъри на пароли

Post Syndicated from Йовко Ламбрев original https://yovko.net/password-managers/

Мениджъри на пароли

Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление, и до днес има такива. А когато кракери пробият някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и кофти администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същият потребител, чийто имейл им е известен, не използва същата парола и потребителско име някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.

Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където някога съм я ползвал. Поне за толкова съм проследил и знам. Вероятно са повече.

За съжаление, много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.

Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.

Неотдавна Wired метафорично нарече тези инструменти зеленчуците на Интернет, защото е всеизвестно, че са полезни за здравето, но мнозина още залитат по нездравословното.

Password manager-ът е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. А достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано, password manager-ът е нещо като сейф за пароли.

В добавка различните мениджъри на пароли могат да предлагат цяла купчина допълнителни екстри. Например:

  • генератори на различни по дължина и сложност пароли;
  • анализатори и индикатори на трудността на отгатване на паролите;
  • лесно въвеждане на паролите чрез различни плъгини за браузъри;
  • двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел;
  • уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не я продават);
  • споделяне на някои пароли със семейството или колегите;
  • напомняне за пароли, които не сте сменяли отдавна; и др.

Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще загубите и всичките си пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици.

Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло? И това са съвсем резонни тревоги. Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е труднопостижимо по друг начин. В добавка, рискът да бъде компрометиран мениджърът ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.

Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.

В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.

Разбира се, това означава, че макар и криптирано, хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва, имате два подхода – единият е да държите само локално копие на своето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви, за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъдат криптирани. Има много смисъл да го направите за фирмата и служителите/колегите си.

Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.

Иначе многообразието от мениджъри на пароли е голямо. Важно е да изберете това приложение, което ви предлага максимално удобство и онези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива с базови безплатни версии, но се плаща за някои от екстрите.

Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.

Не забравяйте да инсталирате плъгини за браузърите, които ползвате и да настроите нужното и за мобилните си телефони за да си улесните живота.

И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като усетите колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Целта на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.

Заглавна снимка: Franck

Мениджъри на пароли

Post Syndicated from Yovko Lambrev original https://yovko.net/password-managers/

Мениджъри на пароли

Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление и до днес има такива. А когато кракери пробият сигурността на някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и продажни администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същия потребител, чийто имейл им е известен не използва същата парола и потребителско име и някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.

Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където съм я ползвал някога. Аз съм проследил и знам за толкова. Вероятно са повече.

За съжаление много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.

Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.

Неотдавна Wired метафорично нарече тези инструменти зеленчуците на Интернет, защото е всеизвестно, че са полезни за здравето, но мнозина още залитат по нездравословното.

Password manager-а е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. Като достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано password manager е нещо като сейф за пароли.

В добавка различните такива могат да предлагат цяла купчина допълнителни екстри. Например:

  • генератори на различни по дължина и сложност пароли
  • анализатори и индикатори на трудността на отгатване на паролите
  • лесно въвеждане на паролите чрез различни плъгини за браузъри
  • двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел
  • уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не продават паролата ви)
  • споделяне на някои пароли със семейството или колегите
  • напомняния за пароли, които не сте сменяли отдавна и др.

Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще останете без достъп до всичките ви пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици. Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло. И това са съвсем резонни тревоги.

Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е трудно постижимо по друг начин. В добавка, рискът да бъде компрометиран мениджъра ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.

Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.

В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.

Разбира се, това означава, че макар и криптирано – хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва имате два подхода – единият е да държите само локално копие на вашето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която синхронизация в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъде криптирана. Има много смисъл да го направите за фирмата и служителите/колегите си.

Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.

Иначе многообразието от мениджъри на пароли е голямо. Важно да е изберете това приложение, което ви предлага максимално удобство и тези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива, които имат базови безплатни версии, но се плаща за някои от екстрите.

Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.

И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация, чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко адски удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като опитате колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Идеята на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.

Заглавна снимка: Franck

Мениджъри на пароли

Post Syndicated from Йовко Ламбрев original https://yovko.net/password-managers/

Мениджъри на пароли

Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление, и до днес има такива. А когато кракери пробият някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и кофти администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същият потребител, чийто имейл им е известен, не използва същата парола и потребителско име някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.

Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където някога съм я ползвал. Поне за толкова съм проследил и знам. Вероятно са повече.

За съжаление, много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.

Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.

Неотдавна Wired метафорично нарече тези инструменти зеленчуците на Интернет, защото е всеизвестно, че са полезни за здравето, но мнозина още залитат по нездравословното.

Password manager-ът е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. А достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано, password manager-ът е нещо като сейф за пароли.

В добавка различните мениджъри на пароли могат да предлагат цяла купчина допълнителни екстри. Например:

  • генератори на различни по дължина и сложност пароли;
  • анализатори и индикатори на трудността на отгатване на паролите;
  • лесно въвеждане на паролите чрез различни плъгини за браузъри;
  • двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел;
  • уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не я продават);
  • споделяне на някои пароли със семейството или колегите;
  • напомняне за пароли, които не сте сменяли отдавна; и др.

Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще загубите и всичките си пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици.

Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло? И това са съвсем резонни тревоги. Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е труднопостижимо по друг начин. В добавка, рискът да бъде компрометиран мениджърът ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.

Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.

В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.

Разбира се, това означава, че макар и криптирано, хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва, имате два подхода – единият е да държите само локално копие на своето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви, за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъдат криптирани. Има много смисъл да го направите за фирмата и служителите/колегите си.

Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.

Иначе многообразието от мениджъри на пароли е голямо. Важно е да изберете това приложение, което ви предлага максимално удобство и онези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива с базови безплатни версии, но се плаща за някои от екстрите.

Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.

Не забравяйте да инсталирате плъгини за браузърите, които ползвате и да настроите нужното и за мобилните си телефони за да си улесните живота.

И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като усетите колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Целта на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.

Заглавна снимка: Franck

Мениджъри на пароли

Post Syndicated from Йовко Ламбрев original https://yovko.net/password-managers/

Мениджъри на пароли

Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление, и до днес има такива. А когато кракери пробият някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и кофти администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същият потребител, чийто имейл им е известен, не използва същата парола и потребителско име някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.

Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където някога съм я ползвал. Поне за толкова съм проследил и знам. Вероятно са повече.

За съжаление, много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.

Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.

Неотдавна Wired метафорично нарече тези инструменти зеленчуците на Интернет, защото е всеизвестно, че са полезни за здравето, но мнозина още залитат по нездравословното.

Password manager-ът е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. А достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано, password manager-ът е нещо като сейф за пароли.

В добавка различните мениджъри на пароли могат да предлагат цяла купчина допълнителни екстри. Например:

  • генератори на различни по дължина и сложност пароли;
  • анализатори и индикатори на трудността на отгатване на паролите;
  • лесно въвеждане на паролите чрез различни плъгини за браузъри;
  • двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел;
  • уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не я продават);
  • споделяне на някои пароли със семейството или колегите;
  • напомняне за пароли, които не сте сменяли отдавна; и др.

Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще загубите и всичките си пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици.

Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло? И това са съвсем резонни тревоги. Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е труднопостижимо по друг начин. В добавка, рискът да бъде компрометиран мениджърът ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.

Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.

В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.

Разбира се, това означава, че макар и криптирано, хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва, имате два подхода – единият е да държите само локално копие на своето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви, за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъдат криптирани. Има много смисъл да го направите за фирмата и служителите/колегите си.

Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.

Иначе многообразието от мениджъри на пароли е голямо. Важно е да изберете това приложение, което ви предлага максимално удобство и онези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива с базови безплатни версии, но се плаща за някои от екстрите.

Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.

Не забравяйте да инсталирате плъгини за браузърите, които ползвате и да настроите нужното и за мобилните си телефони за да си улесните живота.

И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като усетите колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Целта на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.

Заглавна снимка: Franck

Време е да притопляме шамарите

Post Syndicated from Yovko Lambrev original https://yovko.net/vreme-za-shamari/

Време е да притопляме шамарите

2021. Годината започва с поне три нови издания (и два нови превода) на български език на „1984“ и „Фермата“ на Оруел. Засега. Знам, че се подготвят още две издания на „1984“ до края на годината. Странно, нали? Когато споделих с приятел, че това изглежда абсурдно на фона на смешно малкия книжен пазар у нас, той ми припомни, че миналата година се навършиха 70 години от смъртта на автора и правата върху заглавията вече са свободни. „Некрасиво осребяване“ беше коментарът му.

От друга страна 2021 може и да бъде годината, в която ще надвием над безконтролното разпространение на вируса причинител на COVID-19, но със сигурност трябва да маркира и някаква по-осезаема съпротива срещу големите технологични корпорации. В този ред на мисли, четенето на антиутопии помага.

Интернет се централизира и деформира прекомерно. Съдържанието, генерирано от хората (шибаните корпорации ни наричат потребители) е засмукано от няколко т.нар. платформи. Но те го събират не за да е по-лесно намираемо или полезно за останалите, а единствено заради техните си егоистични и алчни цели. От своя страна почти всички платформи, услуги и инструменти са подслонени в обятията на облаците на Amazon, Microsoft или Google. Много вероятно е дори да сте наели виртуален сървър или нещо друго от по-малък доставчик, но той пак да разчита на инфраструктурата на трите големи, като само я преопакова и евентуално добавя някакви свои услуги или поддръжка.

Така уж децентрализираният Интернет е в ръцете на неколцина алчни копелдаци, които е крайно време да започнат да ядат шамари. Заради тях се пропукват фундаментални опори на обществата и демокрациите ни. Платформите отказват да носят отговорност за съдържанието, което разпространяват и усилват, но в същия момент задушават и поставят в зависимост медиите, които все още се опитват да изпълняват обществения си дълг. Новите бизнес-модели до един облагодетелстват платформите, без никакъв ангажимент да компенсират създаващите съдържание. Опитите на социалните мрежи да обозначават дезинформацията, политическите манипулации и фалшивите новини са едва отскоро, но реализацията на това е нелепа и много личи, че е направена под натиск и без нужното осъзнаване на проблема и отговорността.

Искрено се надявам, че скоро ще видим решителни и категорични мерки спрямо техноолигополите, включително разделяне на гигантите на по-малки компании. Но не съм наивен. Не е много вероятно, нито ще е лесно. Политиците в последно време са маркетингов продукт без идеологически фундамент. Нагласят се спрямо посоката на попътния вятър и следват популистките вълни на масата, вместо мотивирано да водят хората в една или друга посока.

Затова е важно простосмъртните да се съпротивляваме всячески.

  • Да избягваме платформите и масовите доставчици – с особено внимание към тези в юрисдикциите на Петте очи. Да ползваме услугите на по-малки и по възможност местни или европейски хостинг-компании и микро-облаци.
  • Да пускаме и поддържаме алтернативни решения за съхраняване на файлове и данни.
  • Да криптираме комуникацията и трафика си (и да внимаваме бюрократите да не направят това незаконно).
  • Да не трупаме съдържание по разни чужди платформи, а да имаме собствени малки сайтове, блогове и сървъри.
  • Да ползваме инструменти, които са извън контрола на алгоритмите за куриране на информация – например RSS или Mastodon.
  • Да не ползваме технологии, които обсебват трафик или се превръщат в гравитационен център – като AMP.
  • Да децентрализираме всичко, каквото можем в Интернет.
  • Да бойкотираме копелдаците.

Обмислям да подхвана серия от публикации, които да подсказват добри (според мен) идеи и решения за опазване на личната неприкосновеност в Интернет, за по-добра сигурност на устройствата и компютрите ни, за подсигуряване на фирмените и личните ни данни чрез инструменти и услуги, които са алтернатива на общоизвестните и ще се старая доколкото е възможно да пиша разбираемо и общодостъпно, макар и за някои по-технически теми това да е доста трудно.

От тази година ще започна да предлагам и внедряване на някои от решенията, за които пиша. Като услуга. Предвид ограниченото ми лично време и физически капацитет, поне на първо време услугите ми ще са предназначени основно за малки и средни бизнеси или организации, с които сме си взаимно симпатични. Така или иначе нямам никакъв мерак да помагам на големите 🙂

Заглавна снимка: @ev

Време е да притопляме шамарите

Post Syndicated from Йовко Ламбрев original https://yovko.net/vreme-za-shamari/

Време е да притопляме шамарите

2021. Годината започва с поне три нови издания (и два нови превода) на български език на „1984“ и „Фермата“ на Оруел. Засега. Знам, че се подготвят още две издания на „1984“ до края на годината. Странно, нали? Когато споделих с приятел, че това изглежда абсурдно на фона на смешно малкия книжен пазар у нас, той ми припомни, че миналата година се навършиха 70 години от смъртта на автора и правата върху заглавията вече са свободни. „Некрасиво осребяване“ беше коментарът му.

От друга страна 2021 може и да бъде годината, в която ще надвием над безконтролното разпространение на вируса причинител на COVID-19, но със сигурност трябва да маркира и някаква по-осезаема съпротива срещу големите технологични корпорации. В този ред на мисли, четенето на антиутопии помага.

Интернет се централизира и деформира прекомерно. Съдържанието, генерирано от хората (шибаните корпорации ни наричат потребители) е засмукано от няколко т.нар. платформи. Но те го събират не за да е по-лесно намираемо или полезно за останалите, а единствено заради техните си егоистични и алчни цели. От своя страна почти всички платформи, услуги и инструменти са подслонени в обятията на облаците на Amazon, Microsoft или Google. Много вероятно е дори да сте наели виртуален сървър или нещо друго от по-малък доставчик, но той пак да разчита на инфраструктурата на трите големи, като само я преопакова и евентуално добавя някакви свои услуги или поддръжка.

Така уж децентрализираният Интернет е в ръцете на неколцина алчни копелдаци, които е крайно време да започнат да ядат шамари. Заради тях се пропукват фундаментални опори на обществата и демокрациите ни. Платформите отказват да носят отговорност за съдържанието, което разпространяват и усилват, но в същия момент задушават и поставят в зависимост медиите, които все още се опитват да изпълняват обществения си дълг. Новите бизнес-модели до един облагодетелстват платформите, без никакъв ангажимент да компенсират създаващите съдържание. Опитите на социалните мрежи да обозначават дезинформацията, политическите манипулации и фалшивите новини са едва отскоро, но реализацията на това е нелепа и много личи, че е направена под натиск и без нужното осъзнаване на проблема и отговорността.

Искрено се надявам, че скоро ще видим решителни и категорични мерки спрямо техноолигополите, включително разделяне на гигантите на по-малки компании. Но не съм наивен. Не е много вероятно, нито ще е лесно. Политиците в последно време са маркетингов продукт без идеологически фундамент. Нагласят се спрямо посоката на попътния вятър и следват популистките вълни на масата, вместо мотивирано да водят хората в една или друга посока.

Затова е важно простосмъртните да се съпротивляваме всячески.

  • Да избягваме платформите и масовите доставчици – с особено внимание към тези в юрисдикциите на Петте очи. Да ползваме услугите на по-малки и по възможност местни или европейски хостинг-компании и микро-облаци.
  • Да пускаме и поддържаме алтернативни решения за съхраняване на файлове и данни.
  • Да криптираме комуникацията и трафика си (и да внимаваме бюрократите да не направят това незаконно).
  • Да не трупаме съдържание по разни чужди платформи, а да имаме собствени малки сайтове, блогове и сървъри.
  • Да ползваме инструменти, които са извън контрола на алгоритмите за куриране на информация – например RSS или Mastodon.
  • Да не ползваме технологии, които обсебват трафик или се превръщат в гравитационен център – като AMP.
  • Да децентрализираме всичко, каквото можем в Интернет.
  • Да бойкотираме копелдаците.

Обмислям да подхвана серия от публикации, които да подсказват добри (според мен) идеи и решения за опазване на личната неприкосновеност в Интернет, за по-добра сигурност на устройствата и компютрите ни, за подсигуряване на фирмените и личните ни данни чрез инструменти и услуги, които са алтернатива на общоизвестните и ще се старая доколкото е възможно да пиша разбираемо и общодостъпно, макар и за някои по-технически теми това да е доста трудно.

От тази година ще започна да предлагам и внедряване на някои от решенията, за които пиша. Като услуга. Предвид ограниченото ми лично време и физически капацитет, поне на първо време услугите ми ще са предназначени основно за малки и средни бизнеси или организации, с които сме си взаимно симпатични. Така или иначе нямам никакъв мерак да помагам на големите 🙂

Заглавна снимка: @ev

Време е да притопляме шамарите

Post Syndicated from Йовко Ламбрев original https://yovko.net/vreme-za-shamari/

Време е да притопляме шамарите

2021. Годината започва с поне три нови издания (и два нови превода) на български език на „1984“ и „Фермата“ на Оруел. Засега. Знам, че се подготвят още две издания на „1984“ до края на годината. Странно, нали? Когато споделих с приятел, че това изглежда абсурдно на фона на смешно малкия книжен пазар у нас, той ми припомни, че миналата година се навършиха 70 години от смъртта на автора и правата върху заглавията вече са свободни. „Некрасиво осребяване“ беше коментарът му.

От друга страна 2021 може и да бъде годината, в която ще надвием над безконтролното разпространение на вируса причинител на COVID-19, но със сигурност трябва да маркира и някаква по-осезаема съпротива срещу големите технологични корпорации. В този ред на мисли, четенето на антиутопии помага.

Интернет се централизира и деформира прекомерно. Съдържанието, генерирано от хората (шибаните корпорации ни наричат потребители) е засмукано от няколко т.нар. платформи. Но те го събират не за да е по-лесно намираемо или полезно за останалите, а единствено заради техните си егоистични и алчни цели. От своя страна почти всички платформи, услуги и инструменти са подслонени в обятията на облаците на Amazon, Microsoft или Google. Много вероятно е дори да сте наели виртуален сървър или нещо друго от по-малък доставчик, но той пак да разчита на инфраструктурата на трите големи, като само я преопакова и евентуално добавя някакви свои услуги или поддръжка.

Така уж децентрализираният Интернет е в ръцете на неколцина алчни копелдаци, които е крайно време да започнат да ядат шамари. Заради тях се пропукват фундаментални опори на обществата и демокрациите ни. Платформите отказват да носят отговорност за съдържанието, което разпространяват и усилват, но в същия момент задушават и поставят в зависимост медиите, които все още се опитват да изпълняват обществения си дълг. Новите бизнес-модели до един облагодетелстват платформите, без никакъв ангажимент да компенсират създаващите съдържание. Опитите на социалните мрежи да обозначават дезинформацията, политическите манипулации и фалшивите новини са едва отскоро, но реализацията на това е нелепа и много личи, че е направена под натиск и без нужното осъзнаване на проблема и отговорността.

Искрено се надявам, че скоро ще видим решителни и категорични мерки спрямо техноолигополите, включително разделяне на гигантите на по-малки компании. Но не съм наивен. Не е много вероятно, нито ще е лесно. Политиците в последно време са маркетингов продукт без идеологически фундамент. Нагласят се спрямо посоката на попътния вятър и следват популистките вълни на масата, вместо мотивирано да водят хората в една или друга посока.

Затова е важно простосмъртните да се съпротивляваме всячески.

  • Да избягваме платформите и масовите доставчици – с особено внимание към тези в юрисдикциите на Петте очи. Да ползваме услугите на по-малки и по възможност местни или европейски хостинг-компании и микро-облаци.
  • Да пускаме и поддържаме алтернативни решения за съхраняване на файлове и данни.
  • Да криптираме комуникацията и трафика си (и да внимаваме бюрократите да не направят това незаконно).
  • Да не трупаме съдържание по разни чужди платформи, а да имаме собствени малки сайтове, блогове и сървъри.
  • Да ползваме инструменти, които са извън контрола на алгоритмите за куриране на информация – например RSS или Mastodon.
  • Да не ползваме технологии, които обсебват трафик или се превръщат в гравитационен център – като AMP.
  • Да децентрализираме всичко, каквото можем в Интернет.
  • Да бойкотираме копелдаците.

Обмислям да подхвана серия от публикации, които да подсказват добри (според мен) идеи и решения за опазване на личната неприкосновеност в Интернет, за по-добра сигурност на устройствата и компютрите ни, за подсигуряване на фирмените и личните ни данни чрез инструменти и услуги, които са алтернатива на общоизвестните и ще се старая доколкото е възможно да пиша разбираемо и общодостъпно, макар и за някои по-технически теми това да е доста трудно.

От тази година ще започна да предлагам и внедряване на някои от решенията, за които пиша. Като услуга. Предвид ограниченото ми лично време и физически капацитет, поне на първо време услугите ми ще са предназначени основно за малки и средни бизнеси или организации, с които сме си взаимно симпатични. Така или иначе нямам никакъв мерак да помагам на големите 🙂

Заглавна снимка: @ev

Време е да притопляме шамарите

Post Syndicated from Йовко Ламбрев original https://yovko.net/vreme-za-shamari/

Време е да притопляме шамарите

2021. Годината започва с поне три нови издания (и два нови превода) на български език на „1984“ и „Фермата“ на Оруел. Засега. Знам, че се подготвят още две издания на „1984“ до края на годината. Странно, нали? Когато споделих с приятел, че това изглежда абсурдно на фона на смешно малкия книжен пазар у нас, той ми припомни, че миналата година се навършиха 70 години от смъртта на автора и правата върху заглавията вече са свободни. „Некрасиво осребяване“ беше коментарът му.

От друга страна 2021 може и да бъде годината, в която ще надвием над безконтролното разпространение на вируса причинител на COVID-19, но със сигурност трябва да маркира и някаква по-осезаема съпротива срещу големите технологични корпорации. В този ред на мисли, четенето на антиутопии помага.

Интернет се централизира и деформира прекомерно. Съдържанието, генерирано от хората (шибаните корпорации ни наричат потребители) е засмукано от няколко т.нар. платформи. Но те го събират не за да е по-лесно намираемо или полезно за останалите, а единствено заради техните си егоистични и алчни цели. От своя страна почти всички платформи, услуги и инструменти са подслонени в обятията на облаците на Amazon, Microsoft или Google. Много вероятно е дори да сте наели виртуален сървър или нещо друго от по-малък доставчик, но той пак да разчита на инфраструктурата на трите големи, като само я преопакова и евентуално добавя някакви свои услуги или поддръжка.

Така уж децентрализираният Интернет е в ръцете на неколцина алчни копелдаци, които е крайно време да започнат да ядат шамари. Заради тях се пропукват фундаментални опори на обществата и демокрациите ни. Платформите отказват да носят отговорност за съдържанието, което разпространяват и усилват, но в същия момент задушават и поставят в зависимост медиите, които все още се опитват да изпълняват обществения си дълг. Новите бизнес-модели до един облагодетелстват платформите, без никакъв ангажимент да компенсират създаващите съдържание. Опитите на социалните мрежи да обозначават дезинформацията, политическите манипулации и фалшивите новини са едва отскоро, но реализацията на това е нелепа и много личи, че е направена под натиск и без нужното осъзнаване на проблема и отговорността.

Искрено се надявам, че скоро ще видим решителни и категорични мерки спрямо техноолигополите, включително разделяне на гигантите на по-малки компании. Но не съм наивен. Не е много вероятно, нито ще е лесно. Политиците в последно време са маркетингов продукт без идеологически фундамент. Нагласят се спрямо посоката на попътния вятър и следват популистките вълни на масата, вместо мотивирано да водят хората в една или друга посока.

Затова е важно простосмъртните да се съпротивляваме всячески.

  • Да избягваме платформите и масовите доставчици – с особено внимание към тези в юрисдикциите на Петте очи. Да ползваме услугите на по-малки и по възможност местни или европейски хостинг-компании и микро-облаци.
  • Да пускаме и поддържаме алтернативни решения за съхраняване на файлове и данни.
  • Да криптираме комуникацията и трафика си (и да внимаваме бюрократите да не направят това незаконно).
  • Да не трупаме съдържание по разни чужди платформи, а да имаме собствени малки сайтове, блогове и сървъри.
  • Да ползваме инструменти, които са извън контрола на алгоритмите за куриране на информация – например RSS или Mastodon.
  • Да не ползваме технологии, които обсебват трафик или се превръщат в гравитационен център – като AMP.
  • Да децентрализираме всичко, каквото можем в Интернет.
  • Да бойкотираме копелдаците.

Обмислям да подхвана серия от публикации, които да подсказват добри (според мен) идеи и решения за опазване на личната неприкосновеност в Интернет, за по-добра сигурност на устройствата и компютрите ни, за подсигуряване на фирмените и личните ни данни чрез инструменти и услуги, които са алтернатива на общоизвестните и ще се старая доколкото е възможно да пиша разбираемо и общодостъпно, макар и за някои по-технически теми това да е доста трудно.

От тази година ще започна да предлагам и внедряване на някои от решенията, за които пиша. Като услуга. Предвид ограниченото ми лично време и физически капацитет, поне на първо време услугите ми ще са предназначени основно за малки и средни бизнеси или организации, с които сме си взаимно симпатични. Така или иначе нямам никакъв мерак да помагам на големите 🙂

Заглавна снимка: @ev