Bork!Bork!Bork! Сегодняшний «bork» полностью создан человеком и заставит содрогнуться специалистов по безопасности. Независимо от того, насколько защищена система, нельзя недооценивать способность пользователя отменить лучшие усилия администратора.
Этот пример — доска объявлений, замеченная зорким читателем The Register в местном медицинском центре. Наш читатель попросил остаться анонимным по очевидным причинам, но мы можем только пожелать, чтобы такая же анонимность была предоставлена и системам, работающим за кулисами.
Доска объявлений с конфиденциальной информацией (замазана)
Мы убрали текст, но достаточно сказать, что на доске объявлений указаны имена пользователей и пароли для доступа к системе. Это изменение по сравнению с запиской на стикере, прикрепленной к экрану, но оно не менее вероятно вызовет крик ужаса у специалиста по безопасности. В конце концов, не только учетная запись раскрыта, но и использовать ее может кто угодно, что делает журнал доступа несколько избыточным.
Доска объявлений висит в британском медицинском центре уже некоторое время. Наш читатель рассказал нам: «Несколько месяцев назад я объяснил женщине на стойке регистрации, что отображение этой информации — плохая идея. Очевидно, они мне не верят».
Национальная служба здравоохранения имеет рекомендации относительно паролей. Правила включают «не использовать одно слово… думайте случайным образом… думайте о множестве (техника трех случайных паролей)» и «не использовать или не содержать общий пароль».
Справедливости ради стоит отметить, что в правилах медицинского центра не указано: «ради всего святого, не пишите имя пользователя и пароль на доске объявлений, чтобы все видели».
К счастью, пароли уходят в прошлое. По данным Национального центра кибербезопасности Великобритании (NCSC), ключи доступа (passkeys) «решают основные проблемы безопасности, связанные с паролями».
NCSC заявляет, что они «генерируются безопасно и поэтому их нельзя угадать… их нельзя подделать с помощью фишинга» и «уникальны для каждого используемого вами веб-сайта, поэтому, если один веб-сайт будет скомпрометирован, это не поставит под угрозу ваши другие входы».
Также маловероятно, что их найдут написанными на доске объявлений.
Ключи доступа не являются идеальным решением проблем с паролями. Однако почти все будет улучшением по сравнению с этим публичным показом личных учетных данных. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Richard Speed
