Comments | dolboeb: ФСБ взломала Telegram: как отличить дурака от подлеца, когда рассказывают эту байку

dolboeb

ФСБ взломала Telegram: как отличить дурака от подлеца, когда рассказывают эту байку

May 22, 2017 18:41

Если кто-то начинает вам рассказывать, что Telegram давно взломан российскими спецслужбами, то тут одно из двух.
Либо этот человек сам представляет российские спецслужбы (какое-то из их PR-подразделений), либо он сам ранее введён ими в заблуждение, и рад поделиться своей ошибкой с теми, кто готовы слушать.

( Read more... )

безопасность, telegram, утка, взлом

Leave a comment

Back to all threads

dims12 May 22 2017, 17:18:26 UTC

Никакую систему "взломать" нельзя, если она работает нормально ( ... )

mixxtr May 22 2017, 18:20:41 UTC

Говорит о безопасности в системе, исходный код которой закрыт (а сервеный исходный код закрыт) вообще бессмысленно. Какие там дырки, а что и как хранится мы не знаем, а раз не знаем, то и не доверяем!

ext_2055778 May 22 2017, 18:26:04 UTC

Да, да. Все пароли всегда длинные. В интересном мире вы живете.

dragonworldhero May 22 2017, 18:50:00 UTC

А какие у вас есть основания полагать, что пароли к чувствительным данным недостаточно длинные?

ext_2055778 May 22 2017, 19:36:28 UTC

Может я не ясно выразился. Пользователи склонны раздолбайству. Именно это и породило двухфакторную авторизацию. Ну, невозможно в массовой системе заставить пользователей использовать длинные и качественные пароли.

dragonworldhero May 22 2017, 19:49:53 UTC

Двухфакторная аутентификация понадобилась после появления троянских кейлоггеров. Если пользователь поставил себе трояна, то злоумышленникам становится известен пароль. Но чтобы получить вторую часть, им нужно взломать второе устройство, что значительно понижает шансы на получение доступа. Чтобы еще понизить шансы, второй пароль одноразовый.

ext_2055778 May 22 2017, 20:06:04 UTC

Кейлоггеры говорите? Да ещё и троянские? А если я без вашего кейлоггера пароль узнал? Или еще хуже - у пользователя пароль - пароль123? А пользователей с такими паролями тьма-тьмущая. Да обычного пользователя дубиной по голове не заставишь длинный пароль вводить. А их сотни миллионов. Тут и без кейлоггеров надо что-то делать.

dragonworldhero May 22 2017, 20:12:58 UTC

То, что пароль можно вытянуть и без кейлоггера, согласен. С помощью социальной инженерии узнать пароль довольно сложно, а вот смску вполне. Если вы развели пользователя на то, чтобы он вам пароль продиктовал, то он вам и смску продиктует без проблем. Так что второй фактор тут не помогает.

Вы делаете какие-то выводы на основании утверждения, что «пользователей с паролями 123 тьма-тьмущая». Почему вы думаете, что оно соответствует действительности?

ext_2055778 May 22 2017, 20:29:49 UTC

А вы думаете, все эти миллионы пользователей входящие во всякие почты, фейсбуки, мессенджеры и банковские системы придумывают сложные и длинные пароли? Чтобы потом благополучно забыть их? Или записать на бумажке и хранить в кошельке? Дни рожденья, клички животных, имена родственников т.п. рулят.

Более того, чем более сложный пароль требует указать при регистрации система, тем больше вероятность, что он будет записан на какой-нибудь бумажке или в телефонной книжке смартфона.

dragonworldhero May 22 2017, 20:34:05 UTC

Я предполагаю, что большинство пользователей поступают примерно так же, как и я. Считать, что я один такой умный, а вокруг все глупые, наивно.

ext_2055778 May 22 2017, 20:58:03 UTC

Не понял вашей логики. Всякий разработчик системы просто обязан предполагать, что пользователи вечно заняты другими проблемами, ленивы и не читают инструкций и всё всё время забывают. Тем более, что так оно и есть на самом деле.

А уж что пароль к компьютеру в учреждении, особенно государственном, обязательно записан на какой-нибудь бумажечке и приклееной к монитору или лежащей в верхнем ящике стола (а вдруг отвественный за работу с компьютером на выйдет на службу!) - так это классика жанра. Но чаще просто его фамилия.

Именно по этому и придуманы системы восстановления паролей по почте и двухфакторная авторизация.

dragonworldhero May 22 2017, 21:11:17 UTC

Рабочие пароли - это совсем другая история. Там и двухфакторная аутентификация не применяется. На работе пользователи записывают пароли, потому что ( ... )

cool_shark May 23 2017, 08:53:24 UTC

А какое дело спецслужбам до этих сотен миллионов пользователей? У подавляющего большинства пользователей самая секретная информация в переписке - это про то, что Петя переспал с Машей, а Светка - шлюха. Поэтому и пароля "пароль123" для защиты такой "информации" вполне достаточно.

А если люди ведут действительно секретную переписку по темам политики или бизнеса, то я думаю, в большинстве они все же не так легкомысленно относятся к выбору паролей.

dims12 May 22 2017, 20:21:50 UTC

> Именно это и породило двухфакторную авторизацию.

Не это, а желание спецслужб иметь привязку аккаунтов к мобильным телефонам.

> невозможно в массовой системе заставить пользователей использовать длинные и качественные пароли.

Элементарно написать проверку на длину и сложность пароля (что и делается).

contradictor May 22 2017, 20:47:02 UTC

Безотносительно к теме треда - просто по поводу проверки на длину и сложность пароля - вспомнилась старая байка.

В нашу компанию пришел новый админ и сходу начал гнуть пальцы: всем перейти на сложные пароли, с разным регистром, цифрами и спецсимволами, длиной не меньше десяти, менять раз в месяц, автолок компа через пять минут простоя и прочие ужасы. Теперь к любому загляни под клавиатуру - там лежит бумажка с текущим паролем. Безопасность ниибацца повысилась.

Это я к тому, что лень и распиздяйство таким простым способом, как проверка на длину и сложность пароля - хрен победишь.

dims12 May 22 2017, 21:47:46 UTC

Бумажка с паролем дома под клавиатурой никак не поможет потенциальным хакерам взломать твою переписку.

Back to all threads