Сегодня 19 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → пароли
Быстрый переход

Apple Vision Pro придётся доставить в сервис, если вы забудете пароль от неё

На прошлой неделе Apple начала поставки гарнитуры дополненной реальности Vision Pro на территории США. Как утверждают представители Bloomberg, первым владельцам предстоит столкнуться с неприятной ситуацией, если они забудут пароль от устройства: снять блокировку Apple сможет лишь в фирменном сервисе, куда устройство нужно будет отправить для этой манипуляции.

 Источник изображения: Apple

Источник изображения: Apple

Как и прочие устройства Apple, гарнитура Vision Pro позволяет осуществлять несколько последовательных попыток ввода кода доступа, но если пользователь исчерпает доступный лимит даже после обязательной в таких случаях паузы, то он будет заблокирован. Способа снять блокировку в домашних условиях не существует, а потому гарнитуру Vision Pro придётся отправить в фирменный сервис Apple, заодно простившись со всеми хранящимися в памяти устройства данными, поскольку там её банально сбросят к заводским установкам. Появится ли более удобный для конечных пользователей способ сброса в будущем, не уточняется.

По данным Bloomberg, сотрудники службы технической поддержки Apple не были готовы к подобным неудобствам, и теперь вынуждены огорчать тех пользователей, которые попали в соответствующую ситуацию. Серийная версия гарнитуры даже лишена порта USB-C для подключения к компьютерам Apple, который можно было бы использовать для резервного копирования данных или манипуляций по снятию блокировки. Впрочем, разработчикам соответствующий адаптер предлагается за $300, но частным клиентам Apple он не продаётся. По информации Bloomberg, у пользователей гарнитуры также возникают проблемы с использованием функции Optic ID, позволяющей проходить аутентификацию путём сканирования радужной оболочки глаза.

Кибербезопасность в новых реалиях: будущее цифрового суверенитета России

Начавшийся в 2022 году геополитический кризис, последовавшие за ним беспрецедентные санкции в отношении Российской Федерации и массовый уход зарубежных вендоров резко повысили риски, связанные с применением иностранного софта в бизнесе и государственных организациях. Стала очевидной серьёзная зависимость отечественного IT-рынка от импортных поставок программного обеспечения, влекущих угрозу информационному и технологическому суверенитету страны.

 Главой государства был подписан указ, согласно которому с 1 января 2025 года вводится полный запрет на использование зарубежного софта на значимых объектах критической инфраструктуры. Инициативы правительства РФ в сфере импортозамещения ПО должны обеспечить информационный суверенитет страны, сократить зависимость государства и бизнеса от зарубежных поставок программного обеспечения и стимулировать спрос на национальные продукты (изображение предоставлено компанией «Пассворк»)

Изображение предоставлено компанией «Пассворк»

Ситуация осложнилась с кратным ростом кибератак на органы власти и коммерческие структуры. Если раньше злоумышленниками двигала, как правило, финансовая мотивация, то в 2023 году рекордно увеличилось число политически мотивированных кибератак, направленных на хищение ценных данных либо нанесение ущерба IT-инфраструктуре предприятий, связанных с критической информационной инфраструктурой (КИИ), госсектором и оборонной промышленностью. Изменение ландшафта киберугроз, возросшая активность хактивистов и прогосударственных групп заставили российские власти заняться экстренной проработкой соответствующих мер защиты и ускорением перевода критически важных IT-систем на отечественное ПО с гарантированной поддержкой в течение всего срока его эксплуатации.

В частности, главой государства был подписан указ о мерах по обеспечению технологической независимости и безопасности национальной КИИ. Согласно документу, с 1 января 2025 года вводится полный запрет на использование зарубежного софта на значимых объектах критической инфраструктуры, к ним относятся информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Предполагается, что данная мера позволит организациям повысить общий уровень защищённости критической инфраструктуры и обезопасит предприятия от санкционных и других рисков.

Поскольку импортозамещение является одной из приоритетных национальных задач, российские разработчики активно запускают проекты миграции с зарубежного софта, чтобы гарантировать стабильную работу отечественных заказчиков в условиях санкционных ограничений и соблюдения требований законодательства. Как хороший пример в сфере информационной безопасности эту инициативу планомерно и уверенно реализует аккредитованная Минцифры IT-компания Пассворк, предлагающая рынку одноимённый продукт для безопасного управления паролями в корпоративной среде, способный заменить такие иностранные менеджеры паролей, как — 1Password, Keepass, LastPass и Bitwarden.

 Корпоративный менеджер паролей Пассворк

Корпоративный менеджер паролей Пассворк

Пассворк выступает в качестве централизованного хранилища паролей, доступ к которым предоставляется сотрудникам в зависимости от занимаемых ими должностей и выполняемых обязанностей. Программный комплекс позволяет создавать стойкие к подбору пароли, хранить их в удобном структурированном виде, легко обмениваться ими и авторизироваться на веб-сайтах в один клик с помощью соответствующего браузерного расширения. Также с помощью продукта можно проводить аудит безопасности паролей, управлять правами доступа, отслеживать все действия пользователей и вносимые ими изменения. Предусмотрена возможность быстрого поиска всех паролей, к которым имели доступ ушедшие из компании сотрудники. Все данные в программе хранятся в зашифрованном виде.

Главными преимуществами менеджера паролей Пассворк являются — открытый для аудита исходный код, который позволяет убедиться, что в продукте нет скрытых закладок и недокументированных функций, и конечно возможность установки на сервер вашей компании с единоразовой оплатой системы. Подписка на обновления и техподдержку в течение первого года предоставляется бесплатно для всех клиентов.

Пассворк включён в единый реестр российского ПО, поддерживает ГОСТ шифрование и доступен для закупок по 44 и 223 ФЗ.

Более подробно с возможностями менеджера паролей Пассворк можно ознакомиться в нашем обзоре программного решения или на их официальном сайте.

Согласно нашей оценке и прогнозам аналитиков, рынок информационной безопасности в России сохранит положительную динамику и продолжит расти как минимум до 2027 года. Его драйверами остаются растущие цифровые угрозы, усиливающиеся кибератаки на российские организации, а также потребность в импортозамещении зарубежных систем ввиду ужесточения законодательства и увеличению внимания регуляторов к использованию отечественного ПО.

Все эти тенденции будут вести к повышению уровня безопасности в российских компаниях и организациях, как в госсекторе, так и бизнесе, а значит и благоприятно влиять на развитие программных решений от отечественных разработчиков, что в свою очередь является позитивными шагами в новое цифровое будущее Российской Федерации.

Разработан ИИ, который может перехватывать пароли с точностью 95 % по звуку нажатия клавиш

Британские исследователи обучили искусственный интеллект (ИИ) точно распознавать нажатия клавиш на компьютерной клавиатуре по звуку. Таким образом можно следить за тем, что печатает человек, и даже «подслушать» его пароли. В эксперименте для проверки ИИ в качестве микрофона выступал смартфон, размещённый рядом с ноутбуком, на клавиатуре которого осуществлялся ввод.

 Источник изображения: pexels

Источник изображения: Pexels

Для обучения нейросети исследователи сопоставили звук каждой клавиши на клавиатуре с соответствующей ей буквой. Далее экспериментаторы преобразовали аудиозаписи в изображения в виде волновых диаграмм и спектрограмм и использовали их для обучения искусственного интеллекта.

Затем набирался пароль на ноутбуке, и алгоритм просили вычислить, какое слово было введено, основываясь на последовательности звуков. ИИ в этом тесте распознал пароль с точностью 95 %. Чтобы сделать подобную атаку с подбором пароля более реалистичной, экспериментаторы проверили, можно ли использовать этот метод для подбора паролей во время видеозвонка через Zoom или Skype. ИИ в этом случае продемонстрировал чуть меньшую, но всё ещё очень высокую точность распознавания: 92 % для Skype и 93 % в случае видеозвонка Zoom.

Исследователи в данном тестировании использовали MacBook Pro с чипом М1 и 16-дюймовым экраном 2021 года. Компанию ему составил iPhone 13 mini, размещённый на расстоянии 17 сантиметров от ноутбука, а также приложения для видеоконференций Zoom и Skype.

В качестве средства защиты исследователи рекомендуют пользователям применять при наборе текста десятипальцевую технику печати. В этом случае точность распознавания звука от отдельных клавиш значительно снижается. Использование верхнего и нижнего регистра букв в паролях, а также специальных символов также может усложнить задачу восстановления паролей с помощью подобного ИИ.

Однако наилучшую защиту в подобном случае обеспечит всё же менеджер паролей, который автоматически подбирает сложные пароли одним щелчком мыши. Менеджеры паролей вводят пароли с помощью комбинации клавиш, либо автоматически в поля для входа в систему. Это означает, что данные не могут быть перехвачены ИИ, применяющим распознавание звуков с клавиатуры.

«Чёрная пятница»: удачный момент для покупки менеджера паролей для бизнеса «Пассворк» со скидкой 50 %

В честь «чёрной пятницы» российский разработчик «Пассворк» запустил акцию, предлагающую выгодные условия для приобретения флагманского продукта компании — менеджера паролей для бизнеса «Пассворк». В рамках распродажи, в период с 24 до 29 ноября включительно, коробочную версию программного решения можно купить с 50-процентной скидкой.

«Пассворк» упрощает совместную работу с корпоративными паролями. Все данные надёжно хранятся на сервере организации в зашифрованном виде, не передаются ни в какое облако, а сотрудники быстро находят нужные пароли. Администратор управляет правами пользователей, отслеживает все действия с паролями и проводит аудит безопасности. Продукт позволяет создавать стойкие к подбору пароли, хранить их в удобном структурированном виде, легко обмениваться ими и авторизироваться на веб-сайтах в один клик с помощью браузерного расширения. «Пассворк» зарегистрирован в реестре отечественного ПО и может использоваться государственными и корпоративными заказчиками для реализации проектов по импортозамещению программных решений.

В рамках акции доступны для приобретения со скидкой 50 % коробочные версии «Пассворк» в следующих редакциях:

  • «Команда» (до 10 пользователей): 24 000 ₽ → 12 000 ₽
  • «Старт» (до 25 пользователей): 39 000 ₽ → 19 500 ₽
  • «Бизнес» (до 50 пользователей): 72 000 ₽ → 36 000 ₽
  • «Премиум» (до 100 пользователей): 132 000 ₽ → 66 000 ₽

Успейте купить «Пассворк» со скидкой 50 % до 29 ноября!

«123456» стал самым популярным паролем в мире в 2023 году

В 2023 году компания NordPass, известная своими решениями для управления паролями, опубликовала свежий рейтинг самых распространённых паролей, и результаты неутешительны. Простейший пароль «123456» возглавил список, тем самым подчёркивая общее пренебрежение пользователей вопросами кибербезопасности. Пароль «password», лидировавший в прошлом году, опустился на 7-е место. Этот рейтинг подчёркивает продолжающуюся тенденцию использования слабых и предсказуемых паролей, что ставит под угрозу цифровую безопасность пользователей.

 Источник изображения: AbsolutVision / Pixabay

Источник изображения: AbsolutVision / Pixabay

Анализ рейтинга 200 наиболее распространённых паролей показывает, что большинство из них крайне уязвимы. В топ-10 входят такие простые комбинации, как «123», «1234», «12345», «12345678», «123456789» и «1234567890», а также «Aa123456» и, конечно же, «password». Особенно обескураживает, что эти пароли могут быть взломаны злоумышленниками менее чем за секунду с помощью простых методов брутфорса — подхода к взлому паролей путём перебора всех возможных комбинаций.

Впрочем, есть и исключения, такие как «theworldinyourhand», занимающий 173-е место в рейтинге. Этот пароль практически не поддаётся взлому обычными методами и потребовал бы столетий для его подбора вручную. В то время как пароль «admin», занявший 2-е место, является стандартным на многих устройствах и легко взламывается.

Добавление «123» к «admin» или использование символа «@» между словом и числами значительно увеличивает время взлома. Например, «admin123» и «admin@123» требуют значительно больше времени для подбора. Интересным является факт популярности пароля «Eliska81», занимающего 40-е место в рейтинге, используемого более чем 75 755 людьми. Это подчёркивает, как случайные и неожиданные комбинации могут стать популярными.

Кроме того, стоит отметить, что пароль «admintelecom» находится на 54-м месте. Этот пароль требует около 23 дней для взлома методом брутфорса, что делает его одним из самых безопасных в списке.

Специалисты прогнозируют, что в следующем году список наиболее распространённых паролей останется практически неизменным. От выбора пароля зависит безопасность личных данных и надёжность защиты от несанкционированного доступа. В современном цифровом мире ответственность за сохранность своих данных лежит на каждом пользователе.

Долой пароли: Google предложила использовать Passkey по умолчанию для авторизации

Компания Google продолжает продвигать в массы технологию Passkey (Ключи доступа), которая позволяет отказаться от использования традиционных паролей, заменив их одним из доступных вариантов аутентификации. Начиная с сегодняшнего дня, пользователям аккаунтов Google предлагается создать ключ доступа и использовать его по умолчанию для авторизации.

 Источник изображения: Google

Источник изображения: Google

Технологию Passkey принято считать более безопасной и удобной альтернативой традиционным паролям. Она позволяет отказаться от использования паролей и SMS-верификации, заменяя их PIN-кодом или биометрической аутентификацией, например, по отпечатку пальца или скану лица. При этом биометрические данные пользователя не передаются Google или кому-либо ещё, за счёт чего обеспечивается высокий уровень конфиденциальности.

Ключи доступа продвигает не только Google, но и другие компании, такие как Microsoft и Apple. Хотя общеотраслевая цель состоит в том, чтобы сделать технологию новым стандартом для авторизации в веб-пространстве, пока говорить об этом рано. В сообщении Google отмечается, что традиционные пароли по-прежнему остаются актуальны, и пользователи, которые не хотят использовать Passkey по каким-то причинам, смогут в дальнейшем авторизовываться в своих аккаунтах с помощью обычных паролей.

За последний год Google реализовала поддержку Passkey в нескольких своих продуктах. На данный момент пользователи могут использовать технологию для авторизации в аккаунтах Workspace и Cloud, а также в браузере Chrome. Кроме того, постепенно поддержка ключей доступа распространяется на крупные веб-платформы и приложения.

Грядущее обновление Windows 11 поможет пользователям отказаться от паролей

Ранее на этой неделе Microsoft объявила, что очередное функциональное обновление для операционной системы Windows 11 станет общедоступным 26 сентября. Оно содержит в себе множество нововведений, одним из которых является поддержка ключей Passkeys, которые позволят отказаться от использования обычных паролей, заменяя их биометрическими данными, получаемыми из ПК пользователя или смартфона.

 Источник изображений: Microsoft

Источник изображений: Microsoft

Благодаря поддержке ключей Passkeys пользователи могут авторизовываться на сайтах, используя не символьный пароль, а отпечаток пальца, скан лица или PIN-код устройства. Нововведение позволит пользователям создавать, управлять и хранить ключи Passkeys, а также использовать их для авторизации на совместимых ресурсах.

Тестирование этой функции в рамках программы предварительной оценки Windows Insider началось в июне этого года, и уже через несколько дней она станет общедоступной. Ключи Passkeys в Windows создаются с помощью инструмента Windows Hello. Доступ к ним можно получить как из десктопной версии Windows 11, так и на мобильном устройстве, которое используется для проверки личности пользователя.

«В течение последних лет мы стремимся работать с нашими отраслевыми партнёрами и альянсом FIDO над продвижением к будущему без паролей. Passkeys — это будущее кроссплатформенного и кроссэкосистемного доступа к веб-сайтам и приложениям», — сказано в сообщении, опубликованном в блоге разработчиков.

В качестве примеров использования Passkeys разработчики приводят сайты GitHub и Docusign, поскольку ключи могут использоваться только на сайтах, в приложениях и сервисах, в которых поддерживается механизм аутентификации WebAuth. Ожидается, что в конечном счёте ключи Passkeys полностью заменят пароли и станут новым общепринятым стандартом, но для их широкого распространения потребуется какое-то время.

Текст со смартфона можно тайно перехватить по сигналу Wi-Fi без всякого взлома, выяснили учёные

Учёные из Хунаньского и Фуданьского университетов (Китай), а также Наньянского технологического университета (Сингапур) разработали способ считывать нажатия на дисплей смартфона, подключённого к сети Wi-Fi, при помощи анализа беспроводного сигнала. Виной всему недостаточная защищенность функции BFI (Beamforming Feedback Information).

 Источник изображения: arxiv.org

Источник изображения: arxiv.org

BFI — это механизм обратной связи, появившийся в 2013 году, когда был опубликован стандарт Wi-Fi 802.11ac. Он предполагает отправку клиентскими устройствами данных о своём местоположении, что помогает точкам доступа более точно направлять на них сигнал. Проблема в том, что эти данные передаются без шифрования и могут перехватываться без взлома сетевого или клиентского оборудования. Учёные условно назвали разработанный ими тип атаки WiKi-Eve — он актуален для любого стандартного сетевого интерфейса, который допускает мониторинг сигналов.

На начальном этапе атаки условный злоумышленник перехватывает в беспроводном эфире MAC-адрес устройства своей жертвы. После этого начинается запись данных BFI от устройства жертвы — учёные исходили из того, что нажимаемые клавиши на виртуальной клавиатуре смартфона или планшета изменяют параметры сигнала Wi-Fi. Собранную информацию учёные попытались интерпретировать как пароль, предположив, что он отправляется по беспроводной сети на раннем этапе сеанса связи.

Далее в дело вступает система искусственного интеллекта, обученная на данных BFI, которые транслируются в формате открытого текста. Авторы исследования установили, что атака WiKi-Eve позволяет интерпретировать нажатия отдельных клавиш на дисплее с точностью до 88,9 %, а также перехватывать пароли приложений с точностью до 65,8 %.

Клиенты LogicMonitor попали под кибератаку, потому что у всех были почти одинаковые пароли

Клиенты компании по обеспечению сетевой безопасности LogicMonitor столкнулись с хакерскими атаками из-за использования стандартных паролей. Отмечается, что компания до недавнего времени предоставляла своим клиентам слабые пароли по умолчанию, что стало причиной инцидента.

 Источник изображения: geralt / Pixabay

Источник изображения: geralt / Pixabay

Компания LogicMonitor, специализирующаяся на сетевой безопасности, подтвердила факт нарушения безопасности, затронувшего некоторых её клиентов. По словам представителя компании Джессики Чёрч (Jessica Church), она активно работает над устранением последствий инцидента и находится в тесном контакте с пострадавшими клиентами.

Основной причиной инцидента стало то, что LogicMonitor до недавнего времени предоставляла своим клиентам стандартные и слабые пароли, такие как «Welcome@» с последующим коротким номером. Источник, знакомый с ситуацией, сообщил, что при регистрации аккаунта в LogicMonitor компания устанавливала стандартный пароль для всех пользовательских аккаунтов организации. До этого времени менять пароли не требовалось, и они не были временными. Теперь же пароль действителен 30 дней и должен быть изменён при первом входе.

По информации одного из клиентов LogicMonitor, компания активно связывается со своими клиентами, предупреждая о возможном нарушении безопасности учётных данных. Хотя представитель LogicMonitor не раскрывает дополнительных подробностей о происшествии, известно, что одна из компаний потеряла более 400 систем из-за хакерской атаки с требованием выкупа, эксплуатирующей слабый стандартный пароль.

Сервис LogicMonitor позволяет клиентам контролировать свою сетевую инфраструктуру, включая облачные ресурсы. На официальном сайте компании указано, что она контролирует 800 млрд метрик в день на 3 млн активных устройств и имеет более 100 000 пользователей ПО в 30 странах.

Инцидент с паролями подчёркивает важность строгого контроля и обновления мер безопасности, особенно для компаний, работающих в ИТ-сфере. Это также напоминает о необходимости регулярного обновления и усиления паролей для предотвращения подобных инцидентов в будущем.

Вышло большое обновление менеджера паролей для бизнеса «Пассворк». Что нового?

Менеджер паролей для бизнеса «Пассворк» не нуждается в представлении (см. наш обзор программы). Продукт ведёт свою историю с 2014 года и за время развития сумел занять прочное место на рынке ПО и завоевать доверие многих компаний, в числе которых — «Ланит», «Транснефть», X5 Retail Group, группа ПИК, «Первый канал», «Промсвязьбанк», ВТБ и многие другие известные организации. Решение востребовано в корпоративной среде, а потому активно совершенствуется разработчиками. Ярким свидетельством этому является релиз «Пассворк 6.0» — крупного обновления менеджера паролей.

 «Пассворк» повышает безопасность при работе с корпоративными паролями

«Пассворк» повышает безопасность при работе с корпоративными паролями

Для начала — немного о функциональных возможностях «Пассворк». О них мы достаточно подробно рассказывали ранее, поэтому остановимся на ключевых особенностях программного комплекса, способного удовлетворять потребности компаний любого масштаба, в том числе территориально распределённых.

«Пассворк» использует защищённые хранилища, хранит пароли от любых систем (веб, серверы, приложения), а также небольшие файлы (ключи, сертификаты) в удобном структурированном виде, поддерживает совместную работу, позволяет настраивать права пользователей, а также отслеживать все действия сотрудников и вносимые ими изменения. Продукт устанавливается на сервер организации и хранит данные в зашифрованном виде, при этом для защиты информации может быть применён алгоритм AES-256 или соответствующий требованиям регуляторов стандарт шифрования ГОСТ. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. «Пассворк» зарегистрирован в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций.

 Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях

Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях

В новой версии «Пассворк 6.0» основной акцент разработчиками был сделан на улучшении пользовательского опыта и расширении возможностей совместной работы с паролями. В частности, в программе появились ярлыки для паролей, предоставляющие пользователям ещё большую гибкость в совместной работе. Больше не нужно создавать дубликаты паролей в разных сейфах — вместо этого можно создать несколько ярлыков в нужных директориях. Если исходный пароль изменится, изменятся и все ярлыки этого пароля. В зависимости от прав доступа пользователи могут просматривать или редактировать пароль через ярлык.

 Ярлыки — новый способ поделиться паролем

Ярлыки — новый способ поделиться паролем

Ещё одна новая функция — отправка паролей без предоставления частичного доступа в сейф. В предыдущих версиях «Пассворк» пользователь всегда получал частичный доступ в сейф, даже если с ним поделились только одним паролем. Теперь, когда пользователи получают доступ к паролю через «Входящие» или ярлык, им предоставляется доступ непосредственно к отправленному паролю без выдачи частичного доступа в сейф. Администраторы всегда видят, у каких сотрудников есть доступ к сейфу, а у каких только к определённым паролям.

 Отправка паролей без частичного доступа в сейф усиливает защиту конфиденциальных данных

Отправка паролей без частичного доступа в сейф усиливает защиту конфиденциальных данных

С выпуском «Пассворк 6.0» разработчики переработали интерфейс настроек LDAP и добавили новые возможности. Теперь для добавления новых учётных записей используется отдельное окно, а пользователи сами при первом входе в систему устанавливают мастер-пароль. В дополнение к этому реализовано обновление данных о пользователях из LDAP в фоновом режиме и добавлены специальные теги для удалённых групп и групп, связанных с ролями. Всё это существенно упростило работу администратора.

 В новой версии менеджера паролей переосмыслена логика управления пользователями

В новой версии менеджера паролей переосмыслена логика управления пользователями

Релиз «Пассворк 6.0» принёс немало других изменений в продукте. В их числе:

  • возможность настраивать права на создание ссылок, ярлыков и отправку паролей для определённых уровней доступа;
  • возможность индивидуальной настройки времени автовыхода из системы при неактивности;
  • возможность индивидуального выбора языка интерфейса;
  • клавиши «Сохранить» и «Отменить изменения» в системных настройках для исключения случайных действий;
  • поддержка дополнительных полей при импорте и экспорте паролей;
  • улучшенное перетаскивание паролей и папок с панелью выбора действий: переместить, копировать или создать ярлык;
  • уведомление администраторов о новых неподтверждённых пользователях.
 Улучшенное перетаскивание — одно из множества полезных изменений в интерфейсе программы

Улучшенное перетаскивание — одно из множества полезных изменений в интерфейсе программы

С полным списком реализованных в продукте изменений можно ознакомиться на сайте passwork.ru/v6-release.

Чтобы обновиться до версии 6.0, необходимо сначала обновить менеджер паролей до версии 5.4, осуществить миграцию данных и затем подтвердить это в клиентском портале «Пассворк». Подробная инструкция по обновлению размещена по адресу passwork.ru/migration-v6-help. Дополнительные сведения о программном решении, а также документацию, можно найти на сайте passwork.ru.

65 % паролей россиян можно взломать за минуту, показало исследование

Согласно исследованию компании RTM Group, специализирующейся на обеспечении информационной безопасности, большинство россиян оказались совершенно беззащитны перед взломщиками паролей. Как сообщает «Газета.Ru» со ссылкой на результаты исследовательской работы, 65 % паролей жителей России взламываются машинным перебором за минуту.

 Источник изображения: Max Bender/unsplash.com

Источник изображения: Max Bender/unsplash.com

Было проанализировано 50 млн пар логин-пароль, попавших в Сеть или проданных в даркнете с января 2022 года по май 2023 года. Оценивались пароли, используемые представителями малого бизнеса, средних и крупных компаний, а также обычных пользователей.

Наиболее беспечными признаны физические лица, обычно применяющие простые пароли для защиты своих аккаунтов. Приблизительно в половине случаев слабые пароли используют представители малого бизнеса. Вторая половина из них использует пароли из 8 символов с включением строчных и заглавных букв, взлом которых для современных систем автоматического подбора тоже не составляет особого труда — на это у систем, готовых проверять до 300 млрд комбинаций в секунду, уходят считаные минуты.

Эксперты отметили, что в крупных организациях уделяют информационной безопасности значительно больше внимания. Надёжнее всего пароли у представителей крупного бизнеса, которые не ленятся составлять сложные комбинации паролей. Не в последнюю очередь этому способствует наличие жёстких корпоративных политик безопасности.

В RTM Group отметили, что если буквально несколько лет назад сильным можно было считать пароль из восьми знаков из цифр и букв разного регистра, то сейчас надёжной можно назвать комбинацию из 16 знаков, включающую спецсимволы. Утверждается, что на взлом такого пароля видеокартам актуального поколения понадобится порядка 50 млрд лет.

Впрочем, глобальная статистика ещё хуже. В мая появились данные, что 83 % самых популярных паролей можно взломать за 1 секунду.

Представлен бесплатный менеджер паролей Proton Pass для смартфонов и ПК со сквозным шифрованием данных

Компания Proton AG, разработчик VPN-сервиса Proton VPN и защищённой почты ProtonMail, расширила ассортимент своей продукции, представив на рынке менеджеров паролей собственное решение, обеспечивающее сквозное шифрование и дополнительные механизмы обеспечения безопасности данных.

 Источник изображения: Proton AG

Источник изображения: Proton AG

Продукт прошёл стадию бета-тестирования и теперь доступен пользователям. Как заявляют в Proton AG, менеджер паролей — «один из самых востребованных сервисов», ожидавшихся клиентами компании. Тем не менее, ему предстоит столкнуться с сильными конкурентами на рынке менеджеров паролей. Для того чтобы получить преимущество, Proton Pass прошёл аудит безопасности германской компании Cure53.

Сообщается, что компания хранит все данные, касающиеся менеджера паролей, на собственных серверах в Швейцарии, при этом информация не только зашифрована, но и защищена «одними из самых сильных законов о конфиденциальности данных». Как и ProtonMail, менеджер паролей обеспечивает сквозное шифрование, особенно информации из полей авторизации, включая имена пользователя, пароли и веб-адреса. Это означает, что просматривать информацию не могут даже сотрудники Proton AG.

Ещё одной полезной функцией является возможность скрыть данные электронной почты. При регистрации нового аккаунта на каком-либо сайте Proton Pass способен передавать случайно сгенерированный подменный адрес электронной почты для дополнительной защиты конфиденциальности. Это предотвращает идентификацию пользователя третьей стороной. Также предусмотрена блокировка трекеров и прочих маркетинговых веб-инструментов.

Proton Pass доступен для использования на неограниченном числе устройств, однако функцию сокрытия электронной почты можно использовать только 10 раз. Для её безлимитного применения необходима подписка Proton Pass Plus стоимостью $4 в месяц. В числе прочих особенностей программы фигурируют двухфакторная аутентификация, возможность упорядочить информацию в разных хранилищах и функция автозаполнения информации о банковских картах.

На данный момент Proton Pass доступен в качестве расширения для браузеров на настольных компьютерах и в виде мобильного приложения для Android и iOS.

В менеджере паролей KeePass обнаружена уязвимость, позволяющая извлечь мастер-пароль

В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в менеджере пароли, даже если база данных заблокирована.

 Источник изображения: hothardware.com

Источник изображения: hothardware.com

Упомянутая уязвимость отслеживается под идентификатором CVE-2023-3278. Её обнаружил исследователь в сфере информационной безопасности, известный под ником vdohney. Он опубликовал на GitHub краткое описание проблемы и PoC-эксплойт, предполагающий использование уязвимости KeePass. Проблема затрагивает KeePass 2.53 и более ранние версии приложения.

Дело в том, что в KeePass для ввода пароля используется поле SecureTextBoxEx, которое сохраняет вводимые пользователем символы в память в открытом виде. Это означает, что злоумышленнику достаточно завладеть дампом памяти, причём это может быть дамп процесса, файла подкачки pagefile.sys, файла гибернации hiberfil.sys, различных аварийных дампов или дампа памяти всей системы. Также не имеет значения, заблокировано или нет рабочее пространство и запущен ли KeePass.

Эксплойт тестировался в Windows, но, вероятно, его скорректированная версия будет работать и в macOS, так как уязвимость связана с тем, как приложение обрабатывает данные при вводе пароля, а не с самой операционной системой. Ожидается, что уязвимость будет исправлена в KeePass 2.54, запуск которого должен состояться в ближайшие несколько недель.

83 % самых популярных паролей можно взломать за 1 секунду

В преддверии Всемирного дня паролей, который отмечается 4 мая, опубликован отчёт со списком наиболее часто используемых паролей в США и 29 других странах. Независимые исследователи обработали более 3 Тбайт данных и определили 200 самых популярных комбинаций. Многие пароли остаются в списке годами, хотя «123456» утратил лидерство в этом своеобразном хит-параде, уступив слову «guest». Сообщается, что 83 % паролей из списка можно взломать менее чем за секунду.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Компания NordPass, которая привлекла исследователей для изучения парольных данных, отмечает, что «несмотря на растущую осведомлённость о кибербезопасности, от старых привычек трудно избавиться. Люди по-прежнему используют слабые пароли для защиты своих учётных записей». Например, простые комбинации букв, цифр и символов, такие как «a1b2c3», «abc123» или «qwerty», очень популярны в США.

При создании паролей люди склонны черпать вдохновение из культурного опыта, тенденций образа жизни или недавних событий, будь то спорт или мода. Например, названия американских профессиональных спортивных команд (Detroit Red Wings, Boston Red Sox) или их вариации очень часто используются в качестве защиты для аккаунта пользователя. Хит-парад из 20 самых распространённых паролей в США выглядит следующим образом:

  1. guest
  2. 123456
  3. password
  4. 12345
  5. a1b2c3
  6. 123456789
  7. Password1
  8. 1234
  9. abc123
  10. 12345678
  11. qwerty
  12. baseball
  13. football
  14. unknown
  15. soccer
  16. jordan23
  17. iloveyou
  18. monkey
  19. shadow
  20. g_czechout
 Источник изображения: Pixabay

Источник изображения: Pixabay

В начале апреля мы рассказывали о том, какую серьёзную угрозу для довольно сильных паролей представляют новые инструменты взлома на основе ИИ. Даже пользователям с привычкой серьёзно относится к качеству и сложности пароля не помешает провести аудит и напомнить менее технически подкованным друзьям и членам семьи прописные истины и базовые правила компьютерной безопасности:

  • Использовать двухэтапную аутентификацию 2FA/MFA (по возможности не на основе SMS);
  • Проверять диспетчер паролей на наличие предупреждений о скомпрометированных или повторно используемых паролях;
  • Не использовать один и тот же пароль для разных учётных записей;
  • Применять сложные автоматически сгенерированные пароли;
  • Регулярно обновлять пароли, особенно для конфиденциальных учётных записей;
  • Воздержаться от использования общедоступного Wi-Fi, особенно для финансовых операций;
  • Для ещё большей безопасности использовать физические ключи безопасности.

Анонсирован менеджер паролей Proton Pass со сквозным шифрованием

Proton, наиболее известная своей службой защищённой электронной почты, объявила о выпуске собственного менеджера паролей. Как и другие сервисы компании, в том числе VPN и облачное хранилище, Proton Pass предлагает функцию сквозного шифрования.

 Источник изображения: proton.me

Источник изображения: proton.me

Сквозное шифрование означает, что доступ к базе паролей есть только у её владельца, и если в результате вирусной атаки или других действий киберпреступников базу сумеют похитить, прочитать данные без ключа шифрования не получится. Анонсируя бета-версию Proton Pass, глава компании Энди Йен (Andy Yen) подчеркнул важность полного шифрования данных, потому что профиль пользователя кибепреступники могут создать и на основе кажущихся безобидными данных — например, сохранённых URL-адресов.

Первыми доступ к менеджеру паролей получат пользователи тарифов Proton Visionary (те, кто помог запустить сервис посредством краудфандинга в 2014 году) и Lifetime (пожизненный доступ к услугам, разыгрывается каждый год) — им придут приглашения на ящики ProtonMail. Официальная общедоступная версия менеджера паролей выйдет в этом году.

Как и остальные службы компании, Proton Pass будет предлагаться в бесплатной и платной версиях — последняя получит дополнительные функции. Полнофункциональный вариант менеджера паролей будет также доступен подписчикам Proton Unlimited. Proton Pass будет предложен в виде браузерных расширений для Google Chrome и Mozilla Firefox и мобильных приложений под Android и iOS; обещаны поддержка автозаполнения и двухфакторной авторизации.


window-new
Soft
Hard
Тренды 🔥
На смену Family Sharing в Steam придут «Семейные группы» с общей библиотекой, контролем за детьми и привязкой к региону 33 мин.
Nvidia запустила Quantum Cloud — облачный симулятор квантового компьютера для исследований 53 мин.
Telegram выгодно для себя привлёк $330 млн через продажу облигаций 56 мин.
Более 500 российских программистов приняли участие в совместном хакатоне Хоум Банка и «Сколково» 2 ч.
Всё своё ношу с собой: Nvidia представила контейнеры NIM для быстрого развёртывания оптимизированных ИИ-моделей 9 ч.
Nvidia AI Enterprise 5.0 предложит ИИ-микросервисы, которые ускорят развёртывание ИИ 10 ч.
NVIDIA запустила облачную платформу Quantum Cloud для квантово-классического моделирования 10 ч.
NVIDIA и Siemens внедрят генеративный ИИ в промышленное проектирование и производство 10 ч.
SAP и NVIDIA ускорят внедрение генеративного ИИ в корпоративные приложения 11 ч.
Microsoft проведёт в мае презентацию, которая положит начало году ИИ-компьютеров 12 ч.
«Мерлион» выпустит SSD, блоки питания и другие комплектующие под собственным брендом 7 мин.
Смарт-часы Xiaomi Watch S3 и Redmi Watch 4 для любителей активного образа жизни и ТВ-приставка Mi Box S 2 Gen для развлечений 2 ч.
SK hynix запустила массовое производство стеков памяти HBM3E — первой её получит Nvidia 2 ч.
Смартфоны Redmi Note 13 и 13 Pro+ 5G, планшет Xiaomi Pad 6 расширят возможности для работы и развлечений 3 ч.
Зарубежные поставщики Intel и TSMC не спешат строить свои предприятия в Аризоне 4 ч.
Nvidia и Synopsys внедрили искусственный интеллект в сфере литографической подготовки производства чипов 4 ч.
NVIDIA представила облачную платформу для исследований в сфере 6G 11 ч.
Ускорители NVIDIA H100 лягут в основу японского суперкомпьютера ABCI-Q для квантовых вычислений 11 ч.
NVIDIA показала цифрового двойника нового дата-центра с ИИ-ускорителями Blackwell 11 ч.
NVIDIA B200, GB200 и GB200 NVL72 — новые ускорители на базе архитектуры Blackwell 11 ч.