チャットの「誰にもパスワードを教えないでください」というメッセージは本当に必要ですか。

ほとんどのセキュリティ違反は ソーシャルエンジニアリングによるものであり、どのような状況でも絶対にパスワードを渡してはならないことを誰かに伝えるセキュリティを強化しようとします。次のようなステートメントをお勧めします。

誰かがあなたのパスワードを尋ねてきたら、あなたは彼らが犯罪者であると仮定し、すぐにそれを報告するべきです！

^{@Kazが提供するアイデア}

コンピュータに精通している人であれば、これは言うまでもないことだと思うかもしれませんが、何人が他の人にパスワードを渡したかにはショックを受けるでしょう。 ATMの老婦人にお金の引き出しを手伝ってくれるように頼んだこともあり、彼女が何をしているかに気付く前に、彼女は私に彼女のPINコードを教えてくれました。

そのことを知って驚いた 10代の若者は予想以上にパスワードを共有している。

したがって、多分一部の人口統計では、より安全な動作を強化する必要があります。

これは、企業の弁護士によって永続化され、訴訟社会である程度必要とされている慣行です。これはばかげてやや侮辱的ですが、幸いにも私たちは皆そうしているので、全員が平等に侮辱的に見えます。

現代の情報化時代の悪。

チャットプログラム、電子メールプログラム、およびほとんどの非SSL Webページは、情報を クリアテキスト 形式でやり取りします。これは、暗号化されておらず、テキストにアクセスできる人なら誰でも読み取れることを意味します。

コンピューターが接続されているネットワークは、ルーターまたはスイッチへの物理的な直接接続のように見えますが、ワイヤレスネットワークアダプターをワイヤレスルーターまたはモデムに接続しているためかもしれませんが、これらのデバイスへの通信は双方向ではありませんネットワークトラフィックの観点から。基本的に、ネットワーク上のすべてのものは他のものすべてに行きます。そして、ラジオ放送塔がすべての方向に信号を送信するように、ワイヤレスネットワークカードもそうです。違いは、目的の宛先を示す情報を使用して、相互にブロードキャストする2つの項目が通信することです。ネットワーク上のすべてのものは、すべてのトラフィックを受動的にログに記録し、検出されない可能性があります。

人々は無数の時間を費やして、特定の形式の情報を探している対話のログとチャットのトランスクリプトを含むサイトをスクレイピングおよびデータマイニングするアプリケーションを作成しています。一致が見つかると、その情報が保存されます。また、人々はコーヒーショップ、空港、個人の近所などの公共の場所に座って、電波やネットワークの外から情報を収集します。その後、ユーザー名とパスワードの組み合わせ、社会保障番号、クレジットカード番号、さらにはメールアドレスのような単純なものなどのパターンについて、収集した情報をデータマイニングします。

それは重要ですか？

この日と年齢のほとんどのサイトでは、パスワードの長さが8文字以上で、ランダムな文字が含まれていることが要求されます。これは、飛行機のシートクッションが浮くのと同じ理由です。引用するFight Club「安全の幻想」。 パスワードを非常に高速に解読できるマシンがあります。 そして社会保障番号は、国の人々の数と 社会保障番号 。クレジットカード番号は同様に推測/計算可能です。

これらの数値を推測するプログラムを作成するのに多くの作業は必要ありませんが、赤いフラグを送信せずに他の情報とペアになっている数値を使用できるようにするには、何度か試行する必要があります。誰かがあなたのパスワードハッシュを推測したとしても、彼らはあなたのユーザー名を見つける必要があることを意味します。また、彼らはあなたがあなたがお金を払うつもりであると知らなかったその新しい車を買う前にあなたの名前とある種の身分証明書とあなたの社会保障番号を提供する必要があります。

ここで、「誰とも情報を共有しないでください」という発言が有効になります。ほとんどの企業が情報漏えいで訴えられることを少し心配しているのと同じように、チャットログ、電子メールログ、Webログ、またはルーターログが侵害されているため、システムでIDを盗むことに関連する否定的なPRを非常に恐れています。 。これは、フォーチュン500企業の給与計算に 多数の弁護士 がいることからも明らかです。また、利用規約も適用されます。

責任ある会社はそれについて何をすべきですか？

1. クレジットカード番号の一部 をデータベースに保存するか、毎回CC＃を提供してもらいます。
2. しばらくしてからサーバーまたはルーターからライブログを削除します（必要に応じてバックアップした後）。
3. バックアップとログを暗号化する
4. 誰かが個人情報を共有しているように見える公開リストから、個人データのように見えるものをすぐに取り除きます。

どのようにしてユーザーに警告するのでしょうか？

警告をサイトの契約条件に埋め込む以外に、情報の使用方法を具体的に示す必要があります。ここにいくつかの例があります。

1. 警告：このWebサイトのすべては公開されており、検索エンジンで検索できます。
2. 誰かにあなたの個人IDを提供すると、彼らはあなたのIDを盗むことができます。
3. このウェブサイトはそのユーザーの犯罪歴をスクリーニングしません。対面で会うときは注意してください。
4. インターネットの性質上、オンラインゲームプレイは18歳未満の子供には適さない場合があります。

これは間違いなく「申し訳ありませんが、より安全」な戦術ですですが、これらのメッセージは、技術に詳しくないユーザーのためのものであると感じています。

私は、このような脆弱性に気づいていない古いクライアントを何人か使ってきました。

結局のところ、それはサイトのオーディエンスにも依存します。 GitHubやStack Exchangeにそのようなメッセージが表示されることはないと思います。

ただし、銀行の場合は別の話になるかもしれません。

私が長年にわたって求められずに与えてきたパスワードの数は驚くべきものです。しかし、ほとんどすべての場合で、パスワードを与えるのではなく、ユーザーが自分でログインすることを望んでいることを明確にします。実際にパスワードを要求したのを思い出すことができるのは、3つ目のシステムを操作するためにTeamViewerをシステムに接続したくなかったときだけでした。

さらに悪いことに、人々のパスワード違反は波及効果をもたらす可能性があります。おそらく、ある会社のすべての従業員の電子メールパスワードを知っています。パスワードは、情報に基づいていない攻撃に対して十分に強力ですが、そのうちの2つを知っていることから、残りは推測できます。

チャット、ソーシャルフォーラム、またはその他のサイトに注目すると、それは実際には明らかです。

1. サイトは無料でアカウントを開くことができます（ほとんどの場合）。したがって、誰でも別のメールホスティングサービスで作成された偽の詳細/偽のアカウントでアカウントを開くことができます（権限のないユーザーを回避するために電子メールの確認のみが行われるため）。この場合、ITに不慣れな一部の新しいユーザー、ほとんどが退職者（または寄付という名のもとで善意の馬鹿げた人がいる可能性があります）は、数回の会話の後に機密情報を投稿します。（アラート!!!）

2. チャットは基本的にIRCプロトコルで行われ、ほとんどの場合安全ではありません。チャットの詳細は簡単に追跡、追跡、保存できます。そのため、向こうの人がグーガイだと知っていても.

3. これは、中規模ユーザーの使用が影響を受けたというニュースの名前（名誉毀損）を回避するために企業が取った一般的な予防策です。

他に理由があるかどうかはわかりません... :)

そのステートメントはその場所に保管されます主に初めてのユーザー向けパスワードの要件をまだ理解していない人。そのもう1つの理由は、ウェブサイトの明らかなセキュリティ障害以外の理由でパスワードがハッキングされた場合にサイトの所有者が責任を回避できるになるためです。すでにご存知かもしれませんが、経験豊富なユーザーは誰とでも自分のパスワードを共有することはありません。インターネットのいたずらが増加しているので、あなたは本当に誰でも、友人でさえ、本当に信用することはできません。