Десять самых распространенных ошибок в сфере компьютерной безопасности, которые ни в коем случае нельзя совершать
В этой статье я хочу рассказать о десяти ошибках, связанных с обеспечением безопасности, которые совершаются прямо-таки повсеместно. Это не просто «распространенные ошибки» — это исключительно глупые и элементарные ошибки, для предотвращения которых, казалось бы, вполне достаточно даже самого минимального набора знаний в области безопасности.
1. Отправка конфиденциальных данных в незашифрованных электронных письмах. Прекратите слать мне пароли, личные идентификационные номера и данные учетных записей в незашифрованных электронных письмах, очень вас прошу! Я прекрасно понимаю, что большинство рядовых пользователей слишком лениво, чтобы пользоваться шифрованием, но я-то не рядовой пользователь. Если уж вы готовы слать незашифрованные конфиденциальные данные им, уважьте и меня — обеспечьте надежную защиту при отправке секретной информации. (См. "Сделаем шифрование данных популярным!")
2. Использование «контрольных» вопросов, ответ на которые легко угадать. Номер страховки, девичья фамилия матери, имя домашнего питомца, дата рождения — все это не является надежным средством идентификации личности. Использование таких «контрольных» вопросов для восстановления пароля конечного пользователя делает сам пароль практически бесполезным, потому что любой, у кого есть время и желание, может в таком случае с легкостью подобрать ключик к чужой учетной записи.
3. Использование чересчур строгих ограничений на выбор пароля. Мне приходится возмутительно часто сталкиваться с системами управления финансами онлайн (типа интернет-банкинга), которые устанавливают такие строгие ограничения на выбор пароля, что защищенность интерфейса от этого только снижается. Пароли из шести цифр пользуются у нас просто устрашающей популярностью, и это еще не самый вопиющий пример. Подробнее об этом читайте в статье «О политике защиты информации и надоевшей проблеме пользовательских паролей».
4. Слепое доверие в вопросах безопасности производителям программного обеспечения. Поставщиков ПО, которым можно безоговорочно доверять, просто не существует. В конечном счете, единственное, что интересует производителей — это их собственная прибыль и доля на рынке. Иногда это действительно побуждает их укреплять безопасность своих программных продуктов и услуг, но порой — совсем наоборот. Поэтому определение «надежной безопасности» от поставщика ПО всегда следует ставить под сомнение. Не разрешайте производителям решать за вас, что для вас важнее. (См. "Бесплатные утилиты для безопасности вашего компьютера")
5. Непонимание того, насколько важен профессиональный опыт в сфере безопасности. Руководители корпораций (и технически подкованные ИТ-специалисты в том числе) часто не уделяют должного внимания проблеме профессионализма в области безопасности. Доходит до того, что в исследовательские группы по разработке стандартов безопасности входит немало талантливых программистов и ни одного специалиста по криптографии (как это было в случае с WEP) — притом что они пытаются создавать стандарты, опирающиеся непосредственно на шифровальные алгоритмы. (См. "Почему я так много говорю о безопасности")
