Основы информационной безопасности
Способы хранения паролей:
- 1. Пароли хранятся как есть. При взломе такой базы все пароли станут известны.
- 2. Хранятся только хеши паролей. Найти пароли можно используя заранее подготовленные таблицы хешей.
Такие таблицы составляются из хешей простых или популярных паролей.
- 3. К каждому паролю добавляется несколько случайных символов (их называют «соль») и результат хешируется.
Полученный хеш вместе с «солью» сохраняются в открытом виде. Найти пароль с помощью таблиц таким методом
не получится.
Правила хранения личной информации:
- Сбор данных должен быть честным, законным и быть открытым в отношении того, как данные будут использоваться.
- Данные могут быть собраны только для определенной цели.
- Собранные данные должны быть необходимыми и не чрезмерными для своей цели.
- Данные должны быть точными и актуальными.
- Данные должны храниться только на время, когда это необходимо.
- Данные должны храниться в безопасности.
- Контроллеры/операторы и обработчики несут ответственность за соблюдение законодательства и должны иметь
возможность продемонстрировать соблюдение.
Social Engineering attacks
Social Engineering attacks - психологическое манипулирование людьми с целью совершения определенных действий или
разглашения конфиденциальной информации.
- Dumpster diving - поиск личной информации в мусоре.
- Shoulder surfing - подсматривание за работой находясь рядом.
- Impersonation - выдавать себя за другого человека.
- Baiting - приманивать, использую интересный для жертвы контент.
Способы атак
- Man-in-the-middle attack
- Brute-force attack(метод «грубой силы», перебор) - подбор правильного значения методом перебора.
Словарь
Идентификация - процедура распознания субъекта по его идентификатору. Проще говоря по имени, логину или
номеру. Есть ли такой в списке.
Аутентификация(Authentication) - проверка подлинности. Это процесс проверки учетных данных: идентификатора
пользователя(имени, адреса электронной почты, номера телефона) и пароля. Это то, кем вы являетесь.
Авторизация(Authorization) - происходит после того, как личность пользователя успешно аутентифицируется системой.
Процесс авторизации определяет, имеет ли прошедший проверку человек доступ к определенным ресурсам:
информации, файлам, базе данных.
Security through obscurity(Безопасность через неясность) - принцип, используемый для обеспечения безопасности
в различных сферах деятельности человека. Основная идея заключается в том, чтобы скрыть внутреннее устройство
системы или реализацию для обеспечения безопасности.
Session
Session - вид авторизации.
Особенности
- Храниться в cookies. Сервер кладет id сессии в cookies, который отправляет при успешной авторизации.
- При каждом запросе отправляет на сервер.
- Server-side(в основном).
- Не для публичного API.
- Также дополнительно можно добавлять информацию системы клиента(браузер, локацию и тд.) для доп проверки.
Token
Token - в отличии, от session более современный подход авторизации.
Особенности
- Для публичного API(SSO и др.) и Микросервисной архитектуры
- Обычно отправляются в заголовках запроса.
- В браузере храниться либо в DOM-хранилищах(sessionStorage/localStorage), либо в тех же Cookies.
- Короткое время жизни.