Сменяйте паролите на пощите!
- Редактор: Петър Симеонов
- Коментари: 0
Това също е много сериозно. - половин милион пощи и техните пароли. Ако това е така, TAD Group са нагазили дълбоко.
Електронната поща е ключът към почти всичко. Ако имаш нечия поща, можеш не просто да му четеш писмата, а и да получиш достъп до всичките му профили, навсякъде. "Забравена парола" разчита на имейла.
Няколко съвета:
- ако имате поща в български доставчик, сменете си паролата
- не ползвайте лична поща, различна от Gmail или Protonmail. Съжалявам, не съм фен на Google, но там поне сигурността не е под въпрос. Proton също е доста добра опция
- използвяйте двуфакторна автентикация навсякъде, където може.
Самата поща, социални мрежи, платежни оператори, мобилни оператори. Така дори някой да ви разбере паролата, сте защитени
- към програмистите: ако ползвате нещо различно от bcrypt, scrypt, PBKDF2 (или в краен случай SHA256 със сол, приложен много пъти), сменете професията. Годината е 2019, да не знаеш как се пазят пароли е равносилно на това, да не знаеш какво е for-цикъл.
- към хакнатия доставчик: вече трябваше да сте уведомили потребителите и да сте ги накарали да си сменят паролите.
Това, че ГДБОП и прокуратурата разполага с паролите, също е плашещо. Най-малкото за това си сменете не просто паролата, а доставчика.
И не на последно място, едно уточнение - това, че критикувам прокуратурата не значи, че защитавам престъпниците. Те са такива само след присъда, разбира се, но не бих защитавал някого, който хаква мейли и си трае, вероятно с цел да ги ползва за свои цели.
Дори и да няма 500 хиляди хакнати имейла и всичко да е пиар, горните съвети остават в сила.
Държавата все още няма канал, по който да си гвоори с всички граждани електронно. И няма начин да ги идентифицира онлайн. Ако всички граждани имаха електронна идентичност (дали в лична карта или другаде), сега проверката щеше да е тривиална - идентифицираш се и проверяваш.
Не само това - нямаше да се налага да се оставят телефони, да се пращат sms-и и кво ли още не. Преди над 3 г. предложихме т.нар. държавен имейл, който да е relay email, така че държавата да знае, че като прати мейл на <егн>@egov.bg, той ще достигне до получателя (ако съответният си го е настроил, за което се иска пак eID).
Няма нужда да напомням, че проектът за eID се бави вече трета година в МВР и хич не му се види не само края, ами и началото. Поуката е, че като не се вземат правилните политически решения навреме, после неоптималните технически решения са неизбежни.
Коментар на Божидар Божанов, публикуван във "Фейсбук"
Божидар Божанов е компютърен специалист, основател и ръководител на LogSentinel. Работил е като съветник към Министерския съвет по въпросите на електронното правителство.
Единственият медицински хеликоптер у нас не може да стигне...
Пребитият служител в столичен мол е във ВМА с мозъчно...
Иван Христов: Бях на три уискита преди 9 часа сутринта
Иван Христов: Бях на три уискита преди 9 часа сутринта
НАПАРАПЕТВАНЕ