Публикации
2023 г. – новый этап практического применения CXL, статья
VMware сдвигает акцент в проекте Capitola на CXL, статья
Dell Validated Design for Analytics — Data Lakehouse: интегрированное хранилище данных, статья
OCP Global Summit: решения для Computational Storage и компонуемых масштабируемых архитектур, статья
Samsung CXL MemoryySemantic SSD: 20M IOPs, статья
UCIe – открытый протокол для взаимосвязи чиплетов и построения дезагрегированных инфраструктур, статья
Omni-Path Express – открытый интерконнект для экзафлопных HPC/AI-систем, статья
GigaIO: CDI_решение на базе AMD для высшего образования, статья
Энергоэффективные ЦОД на примерах решений Supermicro, Lenovo, Iceotope, Meta, статья
От хранилищ данных и “озер данных” к open data lakehouse и фабрике данных, статья
EuroHPC JU развивает НРС-экосистему на базе RISC-V, статья
LightOS™ 2.2 – программно-определяемое составное блочное NVMe/TCP хранилище, статья
End-to-end 64G FC NAFA, статья
Computational Storage, статья
Технология KIOXIA Software-Enabled Flash™, статья
Pavilion: 200 млн IOPS на стойку, статья
CXL 2.0: инновации в операциях Load/Store вводаавывода, статья
Тестирование референсной архитектуры Weka AI на базе NVIDIA DGX A100, статья
Fujitsu ETERNUS CS8000 – единая масштабируемая платформа для резервного копирования и архивирования, статья
SmartNIC – новый уровень инфраструктурной обработки, статья
Ethernet SSD, JBOF, EBOF и дезагрегированные хранилища, статья
Compute, Memory и Storage, статья
Lenovo: CXL – будущее серверов с многоуровневой памятью , статья
Liqid: компонуемые дезагрегированные инфраструктуры для HPC и AI, статья
Intel® Agilex™ FPGA, статья
Weka для AI-трансформации, статья
Cloudera Data Platform – “лучшее из двух миров”, статья
Fujitsu ETERNUS DSP - разработано для будущего, статья
Технологии охлаждения для следующего поколения HPC-решений, статья
Что такое современный HBA?, статья
Fugaku– самый быстрый суперкомпьютер в мире, статья
НРС – эпоха революционных изменений, статья
Новое поколение СХД Fujitsu ETERNUS, статья
Зональное хранение данных, статья
За пределами суперкомпьютеров, статья
Применение Intel® Optane™ DC и Intel® FPGA PAC, статья
Адаптивные HPC/AI-архитектуры для экзаскейл-эры, статья
DAOS: СХД для HPC/BigData/AI приложений в эру экзаскейл_вычислений, статья
IPsec в пост-квантовую эру, статья
LiCO: оркестрация гибридныхНРС/AI/BigData_инфраструктур, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
Роскачество протестировало менеджеры паролей

30, ноябрь 2020  —  В 2020 году средний интернет-пользователь имеет, как минимум, несколько десятков, а то и сотни паролей – для социальных сетей, почты, банков, форумов, интернет-магазинов и т. д. При этом, если везде используется один и тот же несложный пароль, для злоумышленника не составит труда, один раз взломав жертву, « угнать » и все остальные его аккаунты, а вместе с ними получить доступ к персональным и платежным данным. « Ахиллесова пята » – слабые или скомпрометированные пароли. Помочь решить эту проблему могут приложения для создания и хранения паролей.

К Международному дню защиты информации Центр цифровой экспертизы Роскачества провел исследование наиболее популярных мобильных приложений-менеджеров паролей. Основная задача заключалась в том, чтобы выяснить, насколько удобны и функциональны эти продукты, а главное – убедиться в их безопасности.

Важность цифровой безопасности пока еще осознают далеко не все. Как сообщала летом 2020 года компания DeviceLock, самыми популярными паролями среди россиян остаются 123456789, qwerty, 12345, password, пароль, йцукен. Россияне предпочитают все те варианты « удобных » паролей, которые хакеры вводят первыми. К тому же такие слабые пароли интернет-пользователи используют одновременно для нескольких аккаунтов. Согласно опросу Avast, 55% российских пользователей применяют одинаковые пароли для нескольких разных учетных записей, хотя 94% опрошенных и осознают, что это опасно.

В июне 2020 года компания « Ростелеком-Солар » сообщила: около 80% российских организаций и компаний не соблюдают базовых правил парольной защиты, и практически в каждой тестируемой корпоративной сети специалистам удалось получить привилегии администратора. Чемпионами по простоте стали пары логин-пароль вида « admin / admin », « admin /12345» и им подобные.

Все это приобретает особенную остроту в сфере стремительного роста киберпреступности: только в прошлом году, еще до пандемии, « Лаборатория Касперского » констатировала рост на 72% количества пользователей, атакованных программами для кражи паролей.

« Приложение-менеджер паролей может решить эту проблему и снизить риск взлома – оно позволяет создавать сложные длинные пароли и безопасно хранить их. Пользователю остается запомнить только один пароль для доступа к данным, так называемый мастер-пароль. Главное – выбрать надежного « ключника », – поясняет Илья Лоевский, заместитель руководителя Роскачества.

Заслуживают ли менеджеры паролей того, чтобы скачивать их? Чтобы выяснить это, Роскачество протестировало 24 приложени я : 10 для iOS и 14 для Android. Кроме того, юристы Роскачества изучили политики конфиденциальности сервисов на соответствие Федеральному закону « О персональных данных » (№ 152- ФЗ от 27.07.2006) и выделили негативные и положительные аспекты, на которые пользователям стоит обратить внимание.

В исследование вошли приложения-менеджеры паролей из топ-1000 в рейтинге соответствующей категории в AppStore и топ-500 – в Google Play.

70% приложений на обеих платформах , показавших лучшие результаты по совокупности всех критериев, получили отметку выше 4 баллов. Все приложения получили оценку выше 3,5, что является хорошим показателем. Не рекомендуемых к использованию приложений нет.

Лучшими по совокупности всех критериев являются приложения Kaspersky, Keeper, RoboForm и 1Password.

Испытания проводились по 132 критериям. Во время исследования специалисты создавали пароли вручную и при помощи генераторов паролей, проверяли их анализ, автозаполнение и обновление, на каждом этапе процесса тестируя работу различных функций приложения. Также проводился дополнительный тест приложений на безопасность с использованием специализированного ПО. В результате были проверены все ключевые функции, оценены удобство, информационная безопасность, производительность и надежность приложений-менеджеров паролей.

Одна из самых важных потребительских характеристик любого мобильного приложения – это функциональные возможности. Обращает на себя внимание в среднем более высокая оценка приложений для iOS, чем для Android (например, занявший 1 место на iOS Kaspersky находится на 2-ой позиции на Android как раз из-за оценки по функциональности). Тестируя функциональность, специалисты проверяли то, как приложения работают с банковскими картами и документами, как они генерируют пароли, систематизируют их, имеют ли функцию автозаполнения, удаления данных, работают ли в офлайне.

Все исследованные приложения позволяют редактировать пароли и сохранять их при заполнении в браузере. А вот такая полезная функция как автоматический анализ надежности пароля реализована уже не у всех – у Bitwarden и 1Password в мобильной версии она отсутствует, а у Kaspersky реализована только на iOS. Такая же ситуация с анализом дублирующихся паролей. Генератор паролей реализован во всех приложениях. В работе с банковскими картами аутсайдером стал LastPass, тогда как это же приложение и менеджеры SafeInCloud, Kaspersky, oneSafe и Enpass лучше всего себя показали в работе с документами (для Android). На обеих платформах не умеют работать в офлайне LastPass и Bitwarden.

По результатам тестирования наиболее функциональные приложения – Kaspersky и RoboForm на iOS, а также Enpass и RoboForm на Android.

Эксперты протестировали и удобство пользования, проверив, в том числе, наличие адаптации для людей с ограниченными возможностями. Проверка выявила традиционную разницу в оценках не в пользу приложений на iOS. На русский язык переведены также не все приложения.

Наиболее удобные приложения по итогам исследования SafeInCloud и Kaspersky на iOS, BitWarden, SafeInCloud и Kaspersky – на Android.

Подошли к самому ключевому для данной категории критерию – информационной безопасности. Для менеджеров паролей он имеет критическую и первостепенную важность, так как эти приложения работают напрямую с « ключами » к аккаунтам пользователей, от которых нередко зависит их благосостояние. Приложения такого типа обязаны обеспечивать безопасность на высшем уровне.

Эксперты оценивали возможность установить пароль на вход в приложение, запрос минимально необходимых разрешений и разъяснение их необходимости, возможность удалить аккаунт или учетную запись. Проверялась безопасность передачи данных приложения и пользовательских данных , хранение в зашифрованном виде (или в облаке) всех файлов, содержащих данные пользователя. Также оценивалось скрытие паролей по умолчанию, наличие надежных технологий шифрования и доступ самих разработчиков к пользовательской информации.

В ходе исследования эксперты Роскачества с помощью специализированного ПО (Wireshark) производили захват всего трафика, который пересылает приложение, а затем анализировали его на наличие незашифрованных пользовательских данных. Эксперты также проверяли безопасность передачи данных самого приложения (его контента), например, графических элементов интерфейса, которые в случае наличия уязвимости теоретически могут быть заражены вредоносным ПО. Анализировались и запрашиваемые разрешения (в том числе, собирает ли приложение IMEI, Serial Number и MAC Address устройства), а также соответствие так называемому “принципу нулевого знания” (zero-knowledge principle): все данные пользователя должны быть зашифрованы и разработчик не должен иметь к ним доступ. Все приложения его соблюдают. Также во всех программах используется AES-шифрование, что является высоким показателем безопасности.

Баллы, полученные приложениями по результатам оценки безопасности, почти идентично высокие (у большинства – от 4,48 и выше). Чуть хуже оценки у тех приложений, которые не запрещают делать скриншоты с пользовательской информацией и имеют не слишком высокие требования к мастер-паролю : это RememBear, Dashlane и три приложения на Android – Enpass, My Passwords и aWallet. В лидерах (с минимальным отрывом от остальных) Kaspersky, Keeper и oneSafe на Android.

Правовая оценка.

Юристы проанализировали политики конфиденциальности на соответствие российскому законодательству (152-ФЗ от 27.07.2006), а также проверили их по нескольким необязательным с точки зрения законодательства, но важным для пользователей критериям. Почти все исследованные приложения показали хорошие результаты, набрав 4 балла и выше.

Важный момент, которому уделялось внимание, – это передача данных третьим лицам . Здесь 0 баллов получил Bitwarden, так как у него есть указания на передачу данных третьим лицам помимо требований, установленных законодательством. Под передаваемыми данными, конечно, не подразумеваются пароли, речь идет об информации о пользователе. Больше половины приложений указывают, что все персональные данные хранятся на территории РФ .

« Даже в такой чувствительной категории, как менеджеры паролей, некоторые разработчики умудряются использовать пользовательские данные и передавать их третьим лицам (но речь, конечно, не идет о паролях). Также большая часть политик конфиденциальности не переведена на русский язык, что может вызвать определенные затруднения при попытке ознакомиться с ними. Из-за относительно простой механики приложений их разработчиками в том числе выступают малоизвестные компании, что может затруднить ведение правовой претензионной работы при возникновении эксцессов. Это следует учитывать при выборе приложения », – считает Никита Куликов, к. ю. н., генеральный директор АНО « ПравоРоботов ».

Негативные и позитивные аспекты политик конфиденциальности, на которые юристы рекомендуют обратить внимание, приведены в карточках каждого из приложений – на портале Роскачества .

Исследование проведено в соответствии с методикой испытаний , базирующейся на предварительном национальном стандарте на сравнительные испытания мобильных приложений ПНСТ 277-2018 .

www.roskachestvo.gov.ru/

Публикации по теме
Информационная безопасность (ИБ), борьба с мошенничеством
 
Новости Роскачество

© "Storage News" journal, Russia&CIS
(495) 233-4935;
www.storagenews.ru; info@storagenews.ru.