"Почти половина женщин отдаст пароль за шоколадку"

Lenta.ru, (ссылка внешняя)

43% of women surrender passwords for chocolate, (ссылка внешняя)



Интересно сравнить результаты опроса в этой теме с приведенными результатами.


Неоднократно слышал о паролях, написанных на стикере и приклееных к монитору, чтобы не потерять.

Social Engineering - едва ли не важнейший метод "взлома" компьютерных систем. Слабость системы равна слабости ее слабейшего звена. Эксперты сходятся во мнении, что, как правило, слабейшим звеном является человек.

ЛеХко рассказала бы свои данные и пароль. Только вот при проверке не надо забывать ссобой вилку (лапшу с ушей сковыривать).

а можно мне коробку шоколадок? я эти личные данные и пароли от чего хочешь (вплоть до кодов запуска баллестических ракет) могу тысячами генерировать!

Глупость какая. Можно подумать, данные кто-то проверял...

+1
Женщины просто более хитрые или больше любят шоколад

Во-первых, неясно, какой пароль? К мылу, к папке или к любимому порносайту?
Во-вторых, где гарантия, что 10% мужиков были честны, а 42% дамья либо сообщили неправильный пароль либо честно сообщили правильный, но в тот же день его сменили.
Впрочем, опрос для гламурных журналов сойдёт.

А может, вопрос был о совсем другом пароле?) Вроде "Девушка, а как именно с вами лучше всего познакомиться?"
И имя, и телефончик заодно запишем.

Запросившие за пароль бутылку - бомжихи, им терять нечего.

какой пароль? Ну даже если настоящий - кому он нужен, если неизвестно, от чего он? Не говоря уже о том, что, действительно, сходу можно целую кучу паролей придумать.
Чушь, вопщем, а не опрос.

Ха-ха... Отдать за шоколадку пароль к программе игры на фондовой бирже?

Да, мне вот тоже интересно, что за пароль. Я их кучу сказать могу. сколько шоколадок - столько паролей. Адрес незнакомцу фиг бы сказала, а телефоны мои и так пол города знает.

То, что конкретные детали исследования не указаны в заметке, не означает, что само исследование было столь же поверхностным, как заметка о нем.

Следует учитывать, что публикация на Lenta.ru - это перепечатка с перепечатки.

Вот исходный пресс-релиз организации, которая это исследование проводила:

http://www.infosec.co.uk/page.cfm/Action=Press/PressID=1071

Там приводится несколько больше цифр и деталей.

Возможно, пароли проверялись, но об этом не было написано в пресс-релизе, по понятным причинам.

Возможно, Вам они понятны, а мне вот нет. Объясните, пожалуйста!

Ну неужели организаторы опроса не потрудились указать, какой именно пароль их интересует. Я думаю, в каждом конкретном случае было известно, от чего он. В исходном пресс-релизе речь о паролях, используемых при работе в офисе для доступа к корпоративным данным. Безусловно, и там пароли бывают разные.

Подобные исследования - на грани соблюдения закона. Пресс-релиз, в котором было бы написано, что пароли были проверены, мог бы служить основанием для обвинения в незаконном проникновении в компьютерную систему, с последующими судебными делами, исками и прочими неприятностями. То, что это было лишь исследованием социологов, и ничего не было украдено или испорчено, сути дела, скорее всего не поменяло бы.

О бутылке в исходном исследовании речи не шло. Бутылка была добавлена в опрос этой темы, чтобы "уравнять шансы" женщин и мужчин.

Следует учитывать, что все подобные social engineering проекты несколько более тонко организуются, нежели просто "отдам шоколадку за пароль от банковского счета". При такой постановке вопроса вряд ли кто-то вообще стал бы с ними разговаривать.

Например. Объявляется что-то вроде социологического опроса-исследования. Организаторы исследования представляются как-нибудь респектабельно. Среди принявших участие в исследовании проводится розыгрыш. А как же. Спонсоры. Победителю - поездка в Париж. Для участия в исследовании нужно заполнить анкету (а как иначе мы с вами свяжемся?). В анкете много вопросов - более невинных и менее невинных. Среди них - касающиеся совсем конфиденциальной информации. Даже если вы не поедете в Париж - за те пять минут времени, что Вы согласились нам уделить - мы Вам подарим шоколадку!

Важно и то, как выглядит тот, кто проводит этот опрос, и учет местного менталитета.

Если бы все были такие умные, как ответившие в этой ветке, я был бы только рад. Но кто тогда регулярно становится жертвой мошенников?

Во-во, опять эти " британские социологи" , прикрываясь "гранью фола" типа деньги выделенные на исследования освоили. Я прям в красках представляю как они пароли проверяли.

Ну... как то раз мошенники стали моими жертвами. Я прослушала лекцию про товар на пороге своей хаты, попросила показать вещи, цапнула пакет и захлопнула двери перед их носом. Их крик поднял мне настроение на неделю

Пенсионеры и домохозяйки.

Аха. Я ровно то же подумала. Проверяли-то как - на месте?

На самом деле, проверка такой информации от всех 500 с лишним респондентов может оказаться сложным делом, технически. Допустим, вам сообщили имя пользователя и пароль для доступа в корпоративную сеть (данные своего аккаунта). Как правило, эта сеть отделена от внешней сети выделенным firewall-ом, через который надо как-то еще проникнуть внутрь. Или, эта сеть может оказаться внутренней и вообще быть недоступной снаружи, кроме как через потенциальные дыры в безопасности.

Или допустим, вам сообщили ключ, которым зашифрована конфиденциальная информация. Но сама эта зашифрованная информация расположена на сервере, который сам по себе защищен не хуже итд.

Поэтому прямая проверка правильности паролей возможна только в том случае, если опрос проводился среди сотрудников одной и той же фирмы, а в исследовании помогали сотрудники ее отдела безопасности. В этом случае результаты вряд ли были бы опубликованы.


На самом деле, я на 99% уверен, что никто эти пароли прямым способом не проверял.


Единственным способом проверки в этом исследовании была бы оценка опытным психологом, который и проводил опрос, правдивости заполнения формы. Насколько это было бы достоверно - не мне судить.

Да чистой воды рекламная компания конторы, которая этот опрос делала, либо просто привлечение внимания к выставке. Я сильно сомневаюсь, что человек, будь то мужчина или женщина, способен отдать пароль от Пэйпала например.

Блин, мне не раз говорили, что у меня специфическое чувство юмора.
Мне кажется, что либо опросник составлять надо было с учетом разных возрастных категорий, либо опрашивать только молодняк - 20-40 лет (люди, активно пользующие PC для разных потребностей). Хотя бы потому, что нередко используют рутовые пароли, и сдавать их было бы совсем странно. Ещё: мой пароль состоит из, скажем, 15-20 знаков, в т.ч. и цифры, левому человеку вряд ли будет понятен. Я могу его протараторить, ога))

От PayPal - точно не отдаст. Это же его личный счет.

А пароль для доступа к базе данных на работе, в которой "только циферки дурацкие никому не нужные" и который "Лена123", и который к тому же пол-офиса знает и он два года не менялся - отдаст за милую душу.

Так о том то и речь, что исследование ни о чем, без определения, что такое информационная безопасность и о какого уровня паролей речь идет. Поспрашивали людей, раздали шоколадки, посмеялись, пропиарились, разошлись.

Если Вам это говорили, значит все-таки нашлись те, кто понял, что это у вас такой юмор.


Насколько я понимаю, опрос у них проводился в письменном виде, и если бы Вы согласились раскрыть свой рутовый пароль, то Вам бы пришлось его написать.


Думаю, никто из тех, кто знает, зачем нужен пароль, и тем более если знает, зачем его делать из 15-20 знаков, не станет его раскрывать.


А вы допускаете, что существуют офисные люди, для которых пароль - это всего лишь еще одна строчка, которую надо вводить в компьютер, непонятно зачем, среди десятка таких же непонятных строчек? Для неё - это цифры и буквы в компьютере, а компьютер - это хрень на столе, не имеющая никакого отношения к жизни. В компьютере - всё непонятно, и что теперь, про каждую дурацкую строчку админу вопросы задавать?

Её научили запускать программу. Здесь нажимаешь вот это, а сюда вводишь имя, а сюда вот это. Она это запомнила и каждое утро делает. А задавать вопросы себе и другим, "зачем нужен пароль" - она не будет, потому что у нее много других, для нее более важных, вопросов, на которые ей приходится искать ответы. Если бы ее интересовал ответ на этот вопрос, у нее было бы другое образование и она бы здесь не сидела.

Допускаю. Но и информация их по стоимости 3-х рублей не стоит. Или контора лажовая, что никто не объяснит и башкой по столу не стукнет.

Да большинство, я думаю, знает компутер на уровне тех программ, которые постоянно использует. Не вижу в этом ничего страшного. Природа железяки - вещь загадочная, кому как не Вам это знать ;)

пароль за шоколадку - это шутка такая?
даже липовый не сказала бы за подобное вознаграждение)

Таких в мире на самом деле подавляющее большинство.

Исследования такие проводятся вполне серьёзно и достаточно регулярно, только не для нужд "социологии", а для нужд безопосности. В качестве аудита этой самой безопасности, для моделирования возможных "дыр" и т. п. Для того, чтобы не так сильно удивляться потом, когда вдруг на Горбушке начинают продавать свежие базы данных банковских клиентов или клиентов сотовых операторов.

Вы очень сильно заблуждаетесь.

Ну, вероятно, можно обозвать такую контору такими словами. Только таких контор очень много, особенно государственных.

Большинство не знает даже на уровне тех программ, которые постоянно используют. Знают только конкретные операции, как учёные мартышки. На уровне конкретных кнопочек/кликов.

Только по моим представлениям, "гендерная" разница не так уж и существенна. Мужчины лопухаются и продаются "за шоколадку" ничуть не меньше женщин. Просто у мужчин "шоколадки" свои, вот и вся гендерная составляющая.

Есть свободный (пускай и условно свободный) доступ к значимой инфе - усё, она обесценена.

Неа.

Предмет обсуждения не совпадает.

Не знаю, что там у Вас не совпадает, но Вы сильно неправы в Ваших рассуждениях о ценности информации.

Какую именно ценность Вы имеете в виду? Разверните.

Ту, которая обнуляется -- по-Вашему, -- если информация не сохраняется надлежащим образом.

Всё ясно.) Я, панимаиш, уже курс экономики вспоминаю, а он сбегает

Если Вы окажетесь, вследствие своей личной халатности, ночью в лесу один на один с сексуальным маньяком, то можно ли сказать, что Ваша жизнь и девичья невинность в этот момент ничего не стоят?

Так вот, с информацией тоже самое.

Шоколадка в данном случае, скорее всего, обобщенное понятие. Размер шоколадки и начинка будет зависеть от степени важности защищенной информации.

Что-то я не поняла, это предложение или просто некорректный пример?

Насколько я понимаю, информация может иметь стоимость предполагаемую при её обращении (назовём это "номинальная") и стоимость, сообразную выведению её из обращения в соответствующей сфере принудительным способом.
Если я не права, поясните подробнее, пожалуйста.

Ну что Вы, ну какой из меня маньяк.



Курсов экономики не проходил, поэтому могу рассуждать свободно:
1. Информация стоит столько, сколько за нее готовы заплатить на рынке (рыночная стоимость)
2. Информация стоит столько, сколько ее обладатель готов заплатить, чтобы она не вышла из-под его контроля (не попала в чей-либо или свободный доступ) (конфиденциальность, измеренная в деньгах)
3. Информация стоит столько, сколько ее обладатель готов заплатить, чтобы ее не потерять (ценность для обладателя, измеренная в деньгах)

Эти цифры могут и не совпадать, но что бы из этого кто не имел ввиду, они не зависят от того, как тщательно информация охраняется. Охранять ее нужно, исходя из этих цифр, но это утверждение обратной силы не имеет.

Бредовая тема. Виден лишь намёк: все бабы - проститутки, как ни крути.

Протестую.

ИМХО, Вы говорите о том же, о чём и я, только другими словами.
Пункты 2 и 3: обладатель не готов обеспечивать стоимость, указанную в них, ==> она стремится к нулю.
Вот эту цепочку aspopov считает неверной, я прошу указать на ошибку в суждениях.
Я прочитала последний абзац, но хочу видеть аргументы)

Какая жаль, что я не могу поучаствовать в таком живеньком обсуждении...

IMHO Ваша ошибка в суждениях состоит в том, что Вы исходите из достаточной разумности обладателя.

Я же утверждаю, что если у обладателя украли информацию, в результате чего он понес убыток в миллиард и продали ее за миллион, а всё потому что обладатель потратил на охрану три рубля, то это не означает, что информация стоит три рубля. После того, как ее украли, она стоит миллион, до этого стоила миллиард. А обладатель - неразумный.

[quote name='Перерожденец' post='5357908' date='18.04.2008, 0:02'
Я же утверждаю, что если у обладателя украли информацию, в результате чего он понес убыток в миллиард и продали ее за миллион, а всё потому что обладатель потратил на охрану три рубля, то это не означает, что информация стоит три рубля. После того, как ее украли, она стоит миллион, до этого стоила миллиард. А обладатель - неразумный.
[/quote]

Не логично.

Информация стоит миллиард в силу того, что не является общедоступной, существенна потому, что содержит закрытые корпоративные сведения. Как только она выходит из-под контроля компании, попадает в руки заинтересованных лиц, она не уникальна. Соответственно, ценность её несоразмерна с первоначальной.

Какой-то бредовый вечер сёдня. Истина проста - если кто-то теряет миллиард, то кто-то рано или поздно его приобретает и не важно за скока за миллион или за шоколад.