Есть такой замечательный подкаст — Security Now!. Там не только рассказывают, как на этой неделе модно ломать Windows (из этого подкаста можно узнать, что сейчас в сети бушует эпидемия червя Conficker, который принципиально обходит украинские компьютеры, зато ещё один червь поражает Windows-банкоматы в Восточной Европе), но и вообще — о работе различных технологий, связанных с безопасностью, шифрованием и анонимностью.
Вместе с Лео Лапортом (который ведёт все подкасты на TWiT Network) ведущим Security Now! является Стив Гибсон. Как и положено ведущему такого подкаста, он является гиком, параноиком, консерватором, да ещё и программистом на ассемблере в придачу (при этом он всё-таки использует в основном Windows, и программирует под него же).
Так вот, похоже, что в Яндексе этот подкаст тоже слушают: сегодня они объявили о начале тестирования услуги «Усиленная авторизация» для Яндекс.Денег. На практике это — такая хитрая реализация многофакторной аутентификации. Что это такое?
Допустим, у вас есть логин и пароль от какого-нибудь сервиса (те же Яндекс.Деньги). И всё хорошо, пока вы не приходите в компьютерный клуб/в гости или сами не подцепляете какой-нибудь кейлогер. После этого можно смело считать, что логин и пароль есть не только у вас. Как в такой ситуации избежать несанкционированного доступа вод вашим логином?
Есть несколько основных способов. Способ первый часто используется банками: для вас формируется одноразовый пароль и высылается в виде смски. Недостаток очевиден: если вы не банк, то вам может быть слишком накладно заморачиваться рассылкой смсок.
Способ второй — использование всевозможных USB-ключей, сканеров отпечатков пальцев и прочих замечательных гаджетов. Тут недостатки ещё более очевидны.
Третий способ похож на второй: использование относительно дешёвых… как бы это сказать по-русски… security dongle’ов. Это такая маленькая карточка с экранчиком, на котором по нажатию кнопки отображаются 5-6 цифр. Цифры генерируются либо из последовательности, либо в зависимости от текущего времени. Естественно, сервер знает серийный номер вашего личного донгла, и может точно также сгенерировать эти же цифры. Самый известный продукт из этой серии выпускает VeriSign, и его можно использовать для защиты PayPal-аккаунтов. По всей видимости, те же верисайновские донглы покупает Blizzard, красит в синий цвет, и продаёт как Battle.net Authenticator, чтобы игроки могли защищать от взлома свои аккаунты в World of WarCraft и прочих Craft’ах (поскольку кейлоггеров, охотящихся за паролями от WoW сейчас уже почти столько же, сколько и кейлоггеров, охотящихся за номерами кредиток и паролями от PayPal). Опять же, решение хоть и относительно дешёвое, но заставлять своих пользователей тратить деньги на покупку и доставку донгла решится не каждый.
Общее для систем многофакторной аутентификации: должны быть две сущности, «что-то, что ты знаешь» (логин и пароль) и «что-то, что у тебя есть» (мобильный телефон с заданным номером или верисайновский аутентификатор, прикреплённый к твоему аккаунту). «Что-то, что ты знаешь» можно «увести» кейлоггером — но «что-то, что у тебя есть» можно украсть только физически. Конечно, при наличии утюга и паяльника можно попросить владельца поделиться и тем, и другим, но от всех остальных случаев многофакторная аутентификация защищает достаточно надёжно.
Так вот, Стив Гибсон, конечно же, рассказывал в своих подкастах о различных решениях для аутентификации, и не мог не придумать свою. В конце концов он её придумал — Perfect Paper Passwords. В Яндексе сегодня запустили что-то очень похожее, но в отличии системы Яндекса, у PPP уже есть целая куча опенсорсных реализаций на все случае жизни на самых разных языках программирования. Так что если хотите ввести похожую систему у себя в компании, например, то — берите и пользуйтесь.
Идея простая: вам выдаётся картинка со столбиками групп символов. Предполагается, что картинку вы либо распечатаете, либо будете таскать с собой на флешке (что тоже может быть не всегда удобно, но зато дёшево). После ввода вашего логина и пароля, программа/браузер вам скажет «введите символы из строки 4, столбца B)» — это и будет ваш одноразовый пароль.
Честно говоря, не ожидал, что такие крупные организации, как Яндекс, будут заморачиваться с подобной системой — но поскольку в наших краях фиг кого заставишь потратить 10-15 баксов на покупку донглов через интернет, то вариантов у них было немного.
Я многo написaл o том, какaя мерзоcть Windows, и чeм xopoш Линyкс. Paди вселeнской спрaведливoсти насталo врeмя напиcать о тoм, кaкое гoвно Линyкc. Не потoмy, что я вдpуг пoлюбил Windows — этo oбклeeннoе долларaми помoйноe вeдрo c чеpвями и виpyсами вообщe нижe вcякой кpитики. Но ceгoдня рaзгoвор нe oб этoм. Сeгодня я рacскaжy, кaкoе гoвнo Линyкс. (Леонид Каганов: За что я ненавижу Линукс)
Казалось бы, апгрейднув систему с гигагерцевого Athlon на двухъядерный Athlon 64 x2 5200+, я должен был ощутить резкое увеличение производительности всего и вся. На деле отличия заметны далеко не всегда. Да, теперь у меня быстрее бегают игры — но чтобы запускать нормальные игры, мне ещё стоит прикупить памяти и нормальную видеокарту (на которых после покупки материнки и 20″ монитора денег не осталось). Да, теперь я могу быстро кодировать видео… вот только если раньше я качал DVD и перекодировал в x264, то теперь я скачиваю фильмы в HD, которые и так в x264. И да, я смог вернуться на Gentoo — но KDE по-прежнему требует несколько часов на перекомпиляцию. И тут начинается странное…
Казалось бы, если год назад я вполне нормально бродил по интернету во время компиляции пакетов, выставив низкий приоритет компилятору (при том, что компиляция шла с MAKEOPTS=»-j2″, т.е. в два потока), то теперь я вообще должен не замечать никаких неудобств. Ага, щаз. Даже с теми же MAKEOPTS=»-j2″ и низким приоритетом — тормоза дикие. Mplayer постоянно запинается при проигрывании музыки, чего раньше практически не случалось! Выставление Mplayer’у максимального приоритета частично помогает, но не избавляет от проблем полностью. Пришлось прописать MAKEOPTS=»-j1″, так что во время компиляции используется только одно ядро. Думаете, это избавило меня от всех проблем? Как бы не так, при банальном просмотре страничек в вебе заметные тормоза всё равно проявляются, хотя оконной среде и браузеру выделено целое ядро!
Здесь на лицо явно проблемы с планировщиком ядра. Когда я ещё пользовался Gentoo (на openSUSE я пересел около года назад), я использовал ядра с патчами Кона Коливаса, которые включали нестандартный планировщик, дающий хорошие результаты на десктопах при высокой нагрузке процессора. Потом было объявлено, что стандартный планировщик Linux’а будет заменён на новый, который будет работать примерно также, как планировщик Коливаса. Коливас свой набор патчей после этого выпускать перестал, и высказал при этом всё, что он думает о разработке ядра. Видимо, был прав?
Я уж не говорю о линуксовой версии флешевого плагина, который при малейшем намёке на высокую загрузку процессора, отказывается работать категорически — до следующей перезагрузки. Кажется, на старом железе это было не так заметно. И выглядело не так по-издевательски.
Что ещё меня поражает — так это поведение системы при копировании больших объёмов данных. Не зависимо от файловой системы, операции с файлами всегда отъедают целое ядро. Казалось бы, умные люди чего-то там придумывали про прямой доступ к памяти, полное журналирование я не использую, обновление времени доступа тоже… и всё равно, каждый раз, когда я запускаю копирование нескольких десятков гигабайт, одно ядро уходит в глубокую задумчивость, будь то копирование с раздела на раздел или по USB — а как хорошо система работает с одним свободным ядром, написано выше. Каждый раз, когда ко мне приходит брательник, и просит чего-то скинуть на переносный жёсткий диск, он удивляется, какой у меня тормозной линух.
В общем, с одной стороны мне стало ясно, что гигагерца по-прежнему должно хватать на большинство десктопных задач. А с другой — даже на мощном железе Linux может работать так же плохо.
Интересные и поучительные вещи происходят в сфере общения через интернет.
За последний примерно год у меня не появилось ни одного нового ICQ-контакта. Если мне нужно общаться с каким-нибудь гиком, то у него наверняка есть джаббер. Если мне нужно общаться с каким-нибудь негиком, то у него Skype. При чём голосом через Skype я общался ровно два раза — один раз это был Skype-out, и один раз со своим братом, когда он тестировал свой мобильник-телевизор-вебкамеру.
Посольку статистически негиков больше, то битву джаббера с ICQ+AIM/MSN+Yahoo явно выиграл Skype.
Тоже самое происходит сейчас с микроблоггингом. Русские гики пытаются мигрировать в Juick, опенсорсные гики пытаются раскрутить Laconi.ca/Identi.ca, все прочие гики тащутся от FriendFeed, в то время как массы открывают для себя Twitter, который ещё вчера популяризировали сначала всё те же гики, а затем Обама с Кучером и Опрой. Нет, я не буду вслед за гиками уходить из твиттера, ибо я уже привёл как минимум трёх негиков в твиттер.
Но самое страшное — это, пардон, Одноклассники. Я знаю как минимум двух человек, которым проще и удобней общаться через Одноклассников, чем через e-mail. Один из них — мой родственник, поэтому я постараюсь обойтись без мата. Это, граждане, пушистый песец. 30 лет e-mail был всем хорош, а теперь он оказывается хуже каких-то говноклассников. Занавес.
Поэтому пусть у Google Wave всё получится. Пусть он будет таким хорошим, как о нём говорят (раз, два). Пусть под него появятся хорошие и удобные клиенты. Пусть для нормальных людей он не окажется слишком гиковским. Пусть для суровых гиков он не будет слишком гламурным. Пусть он заменит форумы, потому что форумы сосут, а рассылками пользуются только гики. Пусть он будет удобнее e-mail и говноклассников.
Пусть всем будет хорошо, и никто не уйдёт обиженным.
