Авторизация в Интернетах

в 5:59, , рубрики: ит-инфраструктура, Сетевые технологии, Социальные сети и сообщества, учетные записи, уязвимости, метки: ,

Заметка демонстрирует хромую ногу интернета. Я в ней рассматриваю несколько моментов, которыми многие люди неосознанно пренебрегают, в чём не отдают себе отчёт. Вследствие ряда таких допущений страдают и те, кто их совершает, и остальные – а с опытом я замечаю, что в этой глупости участвуют все.

Я попробую на примерах показать несколько примитивных вещей, которые не все замечают, и поэтому постоянно строят мосты через рвы, старательно вырытые для охраны личных ценностей.

Какая должна быть авторизация?

Алиса, Боб и ещё более 9 тысяч человек зарегистрировались в каком-либо Интернет-проекте с паролем 123, а те из них, кто поумнее – с паролем 1234 или даже 123456. Каждый из них всегда знает о себе, что лично он никого не интересует и только поэтому полностью защищён от взлома, либо считает, что потеря учётки ничем ему не грозит.

Для злоумышленника все эти люди — рабы, которые поддерживают его учётки: распознают капчи, ведут активность, нарабатывают репутацию, не дают удалить за то, что никто давно не логинился, причём всё это делают с разных ip-адресов, т.е. это идеальный сервис, который заменяет тысячи проксей, автоматику, да ещё и бесплатный. Теперь вам придётся жить и мучиться с пониманием о том, что каждая регистрация с простым паролем – это подарок врагу.

Следствие номер 1.
Хотя бы спам, например, или заработок на торговле угнанными учётками. Создавая пароль 123, вы спонсируете преступника.

Следствие номер 2.
Если это происходит в онлайн-игре, и в ней даже небольшой список учёток – это уже непобедимая армия, то кучка побольше, сопоставимая с размерностью всего объема активных учёток, – это уже угроза самому этому Интернет-проекту. Поэтому за простые пароли владелец игры (администратор) обязан стирать. Считайте, что это уголовка.

Следствие номер 3.
Мошенство. Т.к. глупые людишки привыкли доверять друг другу, то они с радостью помогут разбогатеть любому мошеннику, назвавшему себя именем их друга. Пройти авторизацию с открытым логином и паролем 123 может даже человек, чуть менее взрослый, чем школьник. Придумал простой пароль — помог кинуть доверчивого друга на деньги. Но в этом трюке необходима ещё одна незаметная человеческая слабость, о которой, я полагаю, хотя бы один раз в жизни подумало менее 0%±1% людей. Так о чём же ещё надо заботиться в этом хищном мире?

Каждый пользователь какой-либо системы интернет-коммуникации только и делает, что общается с кем-то. Среда запрограммирована так, что беспечность окутала людей и подарила им сказку. Реальный мир пал. Итак, что же сделали не так все эти нытики, жалующиеся на то, что их обманули в лохотроне, — в таком заманчивом лохотроне с разноцветными фотками и лайками, в который они сами сбежались сломя голову и вовлекли всех своих друзей? Ответ: авторизация ушла из под контроля. Современный человек доверил авторизацию частной интернет-компании, которая на деле защищает только себя, и даже десяткам таких интернет-компаний. Кроме того, что алгоритм авторизации сам по себе всегда скрыт, так о нём ещё и никто из людей не хочет думать, подсознательно считая, что у «одноклассников»-то точно всё в порядке, вместо того, чтобы брать это важное дело под свою ответственность! Если ваш лучший друг во вконтакте, в скайпе или где угодно попросит вас скинуть незначительную сумму на яндекс-кошелёк, то вы бегом побежите требовать его лично авторизоваться перед вами или вы не подумаете о том, что интернет – это проходной двор?

Напоследок, как вам сценарий 2 в 1 (см. опрос ниже): Алиса, она же Крейг, по аське просит Боба выслать ей в долг денег на ящик печенек, он это незамедлительно делает, а на следующий день Алиса удаляет аккаунт и жалуется Бобу, что аккаунт угнан и деньги она не брала. Так вот, Боб, наверное, тоже виноват, как считаете?

Какая должна быть авторизация на самом деле?
Наверно, p2p? Чтобы не происходило перекладывания ответственности за авторизацию на неизвестно чей алгоритм, который ты не видишь, не контролируешь, на который можно только надеяться, если для этого достаточно понимания, и который, как видим, вообще, держится на честном слове. Если же не p2p, то мы попадаем на корпоратократический центр авторизации.

Да и всё-таки, что теперь делать со всеми этими интернет-проектами со слабой авторизацией, в которых общается куча народу, да ещё и зачем-то доверяют друг-другу?

Автор: worldaround

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js