Сменяйте паролите на пощите и доставчика
Божидар Божанов е компютърен експерт, създател и началник на LogSentinel. Работил е като консултант към Министерския съвет по въпросите на електронното държавно управление. Коментарът е от профила му във " Facebook ".
Това също е доста съществено. - половин милион пощи и техните пароли. Ако това е по този начин, TAD Group са нагазили надълбоко.
Електронната поща е ключът към съвсем всичко. Ако имаш нечия поща, можеш не просто да му четеш писмата, а и да получиш достъп до всичките му профили, на всички места. " Забравена ключова дума " разчита на имейла.
Няколко съвета:
- в случай че имате поща в български снабдител, сменете си паролата
- не ползвайте персонална поща, друга от Gmail или Protonmail. Съжалявам, не съм почитател на Гугъл, само че там най-малко сигурността не е под въпрос. Proton също е много добра алтернатива
- използвяйте двуфакторна автентикация на всички места, където може. Самата поща, обществени мрежи, платежни оператори, мобилни оператори. Така даже някой да ви разбере паролата, сте предпазени
- към програмистите: в случай че ползвате нещо друго от bcrypt, scrypt, PBKDF2 (или в краен случай SHA256 със сол, прибавен доста пъти), сменете специалността. Годината е 2019, да не знаеш по какъв начин се пазят пароли е еднакво на това, да не знаеш какво е for-цикъл.
- към хакнатия снабдител: към този момент трябваше да сте уведомили потребителите и да сте ги предиздвикали да си сменят паролите.
Това, че ГДБОП и прокуратурата разполага с паролите, също е плашещо . Най-малкото за това си сменете не просто паролата, а доставчика.
И не на последно място, едно конкретизиране - това, че подлагам на критика прокуратурата не значи, че пазя нарушителите. Те са такива единствено след присъда, несъмнено, само че не бих защитавал някого, който хаква мейли и си трае, евентуално за да ги употребява за свои цели.
Дори и да няма 500 хиляди хакнати имейла и всичко да е пиар, горните препоръки остават в действие.
Държавата към момента няма канал, по който да си гвоори с всички жители електронно. И няма метод да ги разпознава онлайн. Ако всички жители имаха електронна еднаквост (дали в персонална карта или другаде), в този момент инспекцията щеше да е тривиална - идентифицираш се и проверяваш.
Не единствено това - нямаше да се постанова да се оставят телефони, да се пращат sms-и и кво ли още не. Преди над 3 година предложихме така наречен държавен имейл, който да е relay email, тъй че страната да знае, че като прати мейл на @egov.bg, той ще доближи до получателя (ако съответният си го е настроил, за което се желае отново eID).
Няма потребност да подсещам, че планът за eID се бави към този момент трета година в Министерство на вътрешните работи и никак не му се види освен края, ами и началото. Поуката е, че като не се вземат верните политически решения в точния момент, след това неоптималните механически решения са неизбежни.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (83)
Това също е доста съществено. - половин милион пощи и техните пароли. Ако това е по този начин, TAD Group са нагазили надълбоко.
Електронната поща е ключът към съвсем всичко. Ако имаш нечия поща, можеш не просто да му четеш писмата, а и да получиш достъп до всичките му профили, на всички места. " Забравена ключова дума " разчита на имейла.
Няколко съвета:
- в случай че имате поща в български снабдител, сменете си паролата
- не ползвайте персонална поща, друга от Gmail или Protonmail. Съжалявам, не съм почитател на Гугъл, само че там най-малко сигурността не е под въпрос. Proton също е много добра алтернатива
- използвяйте двуфакторна автентикация на всички места, където може. Самата поща, обществени мрежи, платежни оператори, мобилни оператори. Така даже някой да ви разбере паролата, сте предпазени
- към програмистите: в случай че ползвате нещо друго от bcrypt, scrypt, PBKDF2 (или в краен случай SHA256 със сол, прибавен доста пъти), сменете специалността. Годината е 2019, да не знаеш по какъв начин се пазят пароли е еднакво на това, да не знаеш какво е for-цикъл.
- към хакнатия снабдител: към този момент трябваше да сте уведомили потребителите и да сте ги предиздвикали да си сменят паролите.
Това, че ГДБОП и прокуратурата разполага с паролите, също е плашещо . Най-малкото за това си сменете не просто паролата, а доставчика.
И не на последно място, едно конкретизиране - това, че подлагам на критика прокуратурата не значи, че пазя нарушителите. Те са такива единствено след присъда, несъмнено, само че не бих защитавал някого, който хаква мейли и си трае, евентуално за да ги употребява за свои цели.
Дори и да няма 500 хиляди хакнати имейла и всичко да е пиар, горните препоръки остават в действие.
Държавата към момента няма канал, по който да си гвоори с всички жители електронно. И няма метод да ги разпознава онлайн. Ако всички жители имаха електронна еднаквост (дали в персонална карта или другаде), в този момент инспекцията щеше да е тривиална - идентифицираш се и проверяваш.
Не единствено това - нямаше да се постанова да се оставят телефони, да се пращат sms-и и кво ли още не. Преди над 3 година предложихме така наречен държавен имейл, който да е relay email, тъй че страната да знае, че като прати мейл на @egov.bg, той ще доближи до получателя (ако съответният си го е настроил, за което се желае отново eID).
Няма потребност да подсещам, че планът за eID се бави към този момент трета година в Министерство на вътрешните работи и никак не му се види освен края, ами и началото. Поуката е, че като не се вземат верните политически решения в точния момент, след това неоптималните механически решения са неизбежни.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (83)
Източник: dnevnik.bg
КОМЕНТАРИ