Релиз за две минуты и краш-тест процессов: как мы разработали Мультидоступ в личном кабинете доменного регистратора

Привет, Хабр! На связи команда архитекторов, разработчиков и тестировщиков Рунити, которые внедряли функцию «Мультидоступ» в личный кабинет Руцентра. В этой статье рассказываем, как добавляли ролевые проверки, перестраивали контур авторизации и дорабатывали существующую инфраструктуру личного кабинета доменного регистратора. Проект получился объемным, график — насыщенным, но обо всем по порядку :) Надеемся, что эта статья пригодится командам, которые развивают большие продукты и внедряют в них новые контуры авторизации.

https://habr.com/ru/companies/runity/articles/973278/

#домены #личный_кабинет #доступ_к_данным #доступ #рунити #руцентр #пароли #безопасность #роли #авторизация

### В чём соль этого комикса xkcd (и почему он до сих пор 100% прав в 2025 году)
Комикс показывает две противоположные стратегии создания паролей и их реальную стойкость:
#### Слева — «человеческий» пароль типа Tr0ub4dor&3
- Человек думает: «Я заменил o на 0, a на 4, добавил &3 — это супер-сложно!»
- Энтропия: всего ~28 бит.
- Почему так мало? Потому что люди используют предсказуемые паттерны:
- берут обычное слово (troubadour),
- делают типичные замены (o→0, a→4, e→3),
- добавляют один-два спецсимвола в конец.
- Современные GPU в 2025 году перебирают миллиарды таких вариантов в секунду.
Такой пароль ломается за часы или даже минуты при офлайн-атаке (например, если у вас украли хэш из базы).
Результат: легко запомнить → легко взломать.
#### Справа — correct horse battery staple
- Четыре случайных обычных слова из словаря (в оригинале из списка ~2000 самых частых слов).
- Энтропия: ~44 бита (11 бит на слово × 4).
На самом деле, если брать из словаря 7776 слов (как в Diceware), то 5 слов = ~64 бита, 6 слов = ~77 бит — уже серьёзная защита.
- Даже 4 слова дают 2⁴⁴ = 17 триллионов комбинаций.
- При скорости 1000 попыток в секунду (типично для онлайн-атаки с блокировкой аккаунта) — 550 лет.
Результат: трудно взломать → легко запомнить (мы отлично запоминаем абсурдные фразы).
### Главная соль комикса
Люди тратят огромные усилия, чтобы придумать и запомнить что-то «сложное» (Tr0ub4dor&3), но на деле делают пароль слабее, чем если бы просто взяли четыре случайных обычных слова, которые легко превращаются в смешную картинку в голове (правильная лошадь батарейка скоба).
### Почему это до сих пор актуально в 2025 году
- Все крупные рекомендации (NIST 800-63B, Госуслуги РФ, банки, Microsoft, Apple) уже 5–10 лет говорят:
«Длина важнее сложности».
Запрещают требовать спецсимволы и замены букв, если пароль и так длинный.
- Passkeys и биометрия решают проблему для большинства сайтов, но там, где до сих пор требуют именно пароль (старые системы, шифрование дисков/архивов, некоторые госсервисы), правильная стратегия — именно длинные фразы из случайных слов (Diceware, Bitwarden-генератор passphrases и т.д.).
Короче: если вам нужен пароль, который вы будете вводить вручную и помнить головой, лучший выбор в 2025 году — это всё ещё «correct horse battery staple», только желательно 5–7 слов, а не 4.

https://t.me/verticalization/1306

#Пароли
#Безопасность
#XKCD
#CorrectHorseBatteryStaple
#Diceware
#ДлинаВажнееСложности
#Кибербезопасность2025

Когда безопасность ломается не из-за хакеров

Истории из реальных аудитов, где всё пошло "чуть-чуть не так" Мы бываем в десятках компаний в год - от заводов и банков до IT-стартапов. Кто-то зовёт нас «для галочки», кто-то «перед проверкой Роскомнадзора», кто-то просто «посмотреть, всё ли у нас нормально». И каждый раз мы приезжаем в уверенную, стабильную, «защищённую» компанию. Админы показывают аккуратные схемы сети, SIEM светится зелёным, политики паролей лежат в папке "ИБ_утверждено.pdf". Но чем глубже смотришь - сервера, забытые VPN, бэкапы, которые съедают прод, и принтеры, через которые можно войти в почту директора. И самое поразительное - почти никогда нет злого умысла. Только спешка, удобство и уверенность, что «оно же работает, зачем трогать». Мы собрали несколько историй, которые особенно запомнились. Все они реальные, из аудитов последних месяцев. Ошибки — неочевидные, но каждая могла обернуться катастрофой. 1. История про Wi-Fi, который слышал всё Обычный корпоративный Wi-Fi. Для сотрудников — одна сеть, для гостей — другая, через VLAN. На бумаге всё идеально. Но когда мы посмотрели arp -a , внезапно появился контроллер домена. Трассировка показала, что гостевая сеть идёт тем же маршрутом, что и внутренняя. А DNS-запросы обслуживает корпоративный DNS с SRV-записями Kerberos. Любой гость с ноутом в переговорке мог поднять responder , перехватить NTLM-хэши и начать брутить офлайн.

https://habr.com/ru/articles/964182/

#безопасность #пароли #кибербезопасность #безопасность_паролей #защита_данных #информационная_безопасность

Лувр, dadada, Трамп и стикер: человеческий фактор в ИБ

В октябре 2025 года Лувр пережил дерзкое ограбление. Размер ущерба составил €88 миллионов. На днях вскрылись шокирующие детали: треть залов без камер, охрана на устаревших датчиках и серверы на Windows Server 2003. Но ключевой уязвимостью оказался пароль от системы видеонаблюдения — LOUVRE, зафиксированный в официальном отчёте национального агентства штатных информационных систем. Выходит, для взлома такого известного музея, сокровищницы мировой культуры, хватило одного-единственного слова. Ни хитроумных алгоритмов, ни дорогостоящего шпионского оборудования не понадобилось. Этот случай — не курьёзное исключение. Увы, пренебрежение основами безопасности — это болезнь, которая поразила всех — от Дональда Трампа и Марка Цукерберга до Пэрис Хилтон и Лизы Кудроу.

https://habr.com/ru/companies/cloud4y/articles/964116/

#взлом #лувр #хакеры #пароли #уязвимости

Как защитить свой VDS сервер: 53 000 попыток взлома за 5 дней

Как защитить свой VDS сервер: 53 000 попыток взлома за 5 дней Представьте себе: вы арендовали скромный VDS, чтобы поэкспериментировать. Ничего грандиозного — пара тестовых сайтов, простенький веб-сервер на nginx, пара скриптов в cron для автоматизации рутины, SSH для удалённого доступа. Обычная песочница для разработчика, никому, казалось бы, не интересная. Сервер тихо живёт своей жизнью где-то в облаке, отдаёт странички, выполняет задачи, ждёт ваших команд. Вы даже не подозреваете, что за этой тишиной уже разворачивается настоящая цифровая охота. Однажды, ради чистого любопытства, я решил заглянуть в логи свежеиспечённого VDS, созданного всего пять дней назад...

https://habr.com/ru/articles/956226/

#VDS #rootдоступ #файервол #пароли #ipадрес

Защита своих данных и финансов

Защита от мошенничества: 2FA, финансовые лимиты, гостевой Wi-Fi и запреты на Госуслугах и другие лайфхаки. Систематизируем цифровую гигиену: от сокращения цифрового следа до плана действий при взломе. Личный опыт построения эшелонированной обороны против мошенников.

https://habr.com/ru/articles/954282/

#безопасность #мошенничество #личные_данные #простые_правила #лайфхаки #пароли #защита_информации #2faаутентификация

Менеджеры паролей для организаций: как выбрать безопасное решение?

Пароли до сих пор остаются одним из самых уязвимых звеньев корпоративной информационной безопасности. По статистике, значительная часть кибератак начинается с банальных ошибок пользователей: использования слабых комбинаций вроде «123456» или «qwerty», повторного применения пароля в разных сервисах или компрометации учётных данных из прошлых утечек. Как бы ни была выстроена ваша ИБ-инфраструктура — с межсетевыми экранами, DLP, SIEM и сегментацией сети — если сотрудник хранит пароль на стикере под клавиатурой, система оказывается уязвимой. Именно поэтому одним из ключевых элементов стратегии управления доступом становятся корпоративные менеджеры паролей (Enterprise Password Managers). Это не просто удобный инструмент для сотрудников, а полноценное решение класса PAM (Privileged Access Management) или его «облегчённый» аналог, встроенный в процессы управления идентификацией и доступом (IAM). Что такое менеджер паролей и как он работает? Менеджер паролей — это специализированное ПО для безопасного хранения и управления учётными данными пользователей. Его функционал выходит далеко за рамки «сохранить пароль». Решение позволяет:

https://habr.com/ru/articles/945368/

#безопасность #пароли #кибербезопасность #системное_администрирование #информационная_безопасность #защита_данных #безопасность_паролей

Как я поймал сетевика на передаче пароля в SSH и чем это закончилось

Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для нас уроком На первый взгляд — мелочь, но последствия могли быть куда серьёзнее. Как всё началось Обычный рабочий день. Я проверял список процессов на сервере (ps aux) и вдруг вижу: ```bash sshpass ‑p 'Qwerty123' ssh admin@10.0.5.21 Пароль. В открытом виде. В командной строке. Подошёл к коллеге...

https://habr.com/ru/articles/936272/

#ssh #безопасность #пароли #кибербезопасность #системное_администрирование #информационная_безопасность #защита_данных #безопасность_паролей #кибербезопаность

Как я поймал сетевика на передаче пароля в SSH и чем это закончилось

Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для нас уроком На первый взгляд — мелочь, но последствия могли быть куда серьёзнее. Как всё началось Обычный рабочий день. Я проверял список процессов на сервере (ps aux) и вдруг вижу: ```bash sshpass ‑p 'Qwerty123' ssh admin@10.0.5.21 Пароль. В открытом виде. В командной строке. Подошёл к коллеге...

https://habr.com/ru/articles/936272/

#ssh #безопасность #пароли #кибербезопасность #системное_администрирование #информационная_безопасность #защита_данных #безопасность_паролей #кибербезопаность