логин: 
<< предыдущая заметкаследующая заметка >>
08 августа 2013
Движок: восстановление забытого пароля

Вы меня долго об этом спрашивали, но все руки не доходили. Наконец я забыл свой пароль на lleo.homeip.net (а может, пароля там и не было, а я логинился через Фейсбук какой-нибудь?), и пришлось наконец сделать в движке восстановление пароля.

Итак: чтобы вызвать окно логина, надо нажать с клавиатуры 'U' и в раскрывшейся карточке кнопку «залогиниться». Либо — просто открыть страницу по прямой ссылке http://lleo.me/dnevnik/login. В самом нижнем разделе, где ввод логина и пароля, теперь есть ссылочка «я не помню свой пароль». По ней раскроется дополнительный раздел, где надо ввести email, указанный при регистрации (не важно, был он подтвержден или нет) или логин (если не помните email). Или и то и другое, если на один email вы назаводили когда-то кучу аккаунтов. Впрочем, если просто указать емайл, движок сам найдет все аккаунты и перечислит их на выбор. На email отправится письмо со ссылкой, зайдя по которой, вы сможете набрать новый пароль (и вас сразу переключит в ваш старый аккаунт). Единственное что — после моих вчерашних экспериментов с почтой там вывалилась куча мусора в sendmail и он задумался — сервер может работать нестабильно и письма дойдут не сразу.

Пользуясь случаем, хочу сказать следующее всем разработчикам:

1. Ненавижу, когда пароль на экране заменяется звездочками. Если я такой идиот, что мне приспичило набирать пароль в переполненном трамвае, я сам способен решить проблему, как отгородиться ладошкой от пассажиров, заглядывающих через плечо. А профессиональный шпион сумеет углядеть пароль просто по тем кнопкам, которых я касаюсь — их-то вы звездочками не закроете.

2. Ненавижу, когда пароль предлагают «повторить» от опечаток. А нехер было его забивать звездочками, тогда и опечаток не будет! Человек не дебил, чтобы делать опечатку в пароле. А если он опечатался — ничего страшного, проведет смену пароля через почту еще раз.

3. Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...» Смени себе мозг, сука, и придумай нормальный интерфейс! Пароль — личное дело пользователя, а не разработчика.

4. Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.

5. Ну и конечно надо убивать разработчиков, которые хранят у себя пароли пользователей. Только хэш! Вы не имеете никакого права хранить у себя чужое, подвергая своих пользователей риску, если ваш говноресурс кто-то взломает и узнает пароли, которые пользователь, возможно, использует еще где-то. Именно поэтому все эти годы я ничем не мог помочь людям, которые мне писали «Лео, подскажи, какой у меня был пароль?» или «Лео, пропиши мне пароль qwerty123, а то я свой забыл». У меня хранится только хэш.

Извините за резкость, просто на той неделе мне довелось беседовать на эти темы с одним профессиональным деятелем, который половину этих пунктов просто не понимает. Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки...

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок

Комментарии к этой заметке сейчас отключены, надеюсь на понимание.

Windows Firefox
4
0
ТТ (#2955281)
имхо лучше не выдавать на выбор акаунты, а молча послать на почту линки поменять все пароли - во первых секурней (зачем кому-то знать что у меня в принципе тут есть аккаунт и какой у него логин. параноя и всётакое), во вторых скорей всего много аккаунтов появилось от того что их/пароли к ним забывали.
Linux Firefox
 Москва
3
0
Leonid Kaganov
Вы абсолютно правы, я думал об этом, но забыл. Сейчас исправил.
Windows Safari Chrome
3
0
greenisha (#3304966)
Приветствую, а поменять-то пароль если он в хэше хранится проблем не составляет
Linux Firefox
 Москва
1
1
Leonid Kaganov
Составляет. Это я должен написать специальную утилиту, которая соберет все соли и повторит весь путь формирования хэша в движке, и полученный результат руками забить в MySQL-таблицу.
Linux Firefox
0
0
morruth (#1315455)
Погодите- погодите
У вас же соль _одна_, сами говорили, что вы собирать будете?
Windows Safari Chrome
4
0
KB (#2953163)
> Это я должен написать специальную утилиту, которая соберет все соли и повторит весь путь формирования хэша в движке

И эти люди запрещают нам ковыряться в носу.
Linux Safari
1
0
m (ngs-govno)
> Ненавижу, когда пароль на экране заменяется звездочками
Тяжело вам без современных интерфейсов то :)
Linux Firefox
 Москва
1
0
Leonid Kaganov
Это каких же? Плагин к браузеру MyPasswordsStore.exe? ;)
Windows Firefox
1
0
Артем Павлов
Вот, например, милый вариант из Вин8. Пароль скрыт, но его можно посмотреть нажав на глазик. Причем, пароль виден только пока копка с глазиком нажата.





В вебе, правда, делается с некоторым изъебом, потому что не все браузеры дают просто так сменить тип у инпута с парольного на текстовый.

Ну, а так-то я по всем пунктам согласен.
Linux Firefox
 Москва
1
0
Leonid Kaganov
А что мешает сменить сам input? Или показывать пароль во всплывающем окна по наведению мышки на глазик?
Windows Opera
 Обнинск
4
0
Самое простое решение - средствами CSS сделать большую часть фона (кроме узкой, в 1 пиксел полоски посередине) поля input такого же цвета, как и вводимый в нём текст.
Выделение мышью - и пароль виден!
А по кнопочке рядом можно в поле select-all делать.
Windows Firefox
0
0
Артем Павлов
Да ничего не мешает, просто задача не решается самым очевидным способом для всех браузеров.
Вон ниже написали. В вин8 по умолчанию работает везде, не только в браузере. в IE с 10-й версии
Linux Firefox
 Москва
0
0
Leonid Kaganov
Что именно работает? ;)))
Windows Firefox
0
0
grassy
угу. на арморгеймсах давеча требовали менять пароли в обязательном порядке. самое обидное, что если даже его сменить, почти неделю выбрасывало все на тот же экран с требованием поменять пароль по соображениям безопасности. стращная, блин, штука - украдут пароль от сайта с бесплатными играми, где только онлайн-сейвы хранятся.
Windows Opera
0
0
beast
Бесплатность - штука относительная... если посчитать, сколько трудодней вложено в выбивание рекордов и ачивок, потерять пароль выходит не дёшево.
Windows Opera
 Киев
1
0
manigor (#2276160)
"Самому потерять (забыть)" и "украдут" - это разные вещи. В одном случае более вероятно одно, а в другом - другое :-)
Windows Firefox
 Израиль
23
1
braintunic
По поводу этих пунктов с выражениями ненависти к разработчикам, пара замечаний.

"1. Ненавижу, когда пароль на экране заменяется звездочками. ... я сам способен решить проблему, как отгородиться ладошкой"

Когда сидишь в Open Space Office, на открытом пространстве, и у тебя за спиной десятки людей, а перед тобой 27-дюймовый монитор, то при всем желании пароль ладошкой не прикроешь))
Поэтому желательно, чтобы в интерфейсе была опция: "показывать или не показывать пароль".

"4. Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания"

Это правильное замечание, если я - клиент, и ввожу логин к провайдеру услуг, и в случае взлома пароля страдаю только я сам.
НО, если я - наемный работник, ввожу логин как работник в корпоративной сети, здесь я уже не имею права ни на какие претензии, здесь политику безопасности назначает корпоративный IT.
Linux Firefox
 Москва
5
27
Leonid Kaganov
1. Выключите монитор (там кнопочка на корпусе), наберите пароль, нажмите Enter, включите монитор. Не помню, отправляется ли у меня сейчас по Enter, но вроде должно. Если надо - сделаю именно это. Впрочем, на "открытом офисном пространстве" не так уж трудно посмотреть, какие пароли вы каждый день набираете с клавиатуры (некоторые кретины-админы требуют набирать пароль ежедневно, этот маразм потянет на пункт 6, пожалуй ;)

2. Не понял проблемы. Если вы наемный работник в корпоративной сети, то кто это будет пытаться подобрать ваш "простой пароль"? Другие наемные работники вашей корпоративной сети? Но тогда отдел IT, вместо того, чтобы говниться по поводу сложного пароля, должен бдительно отслеживать попытки подбора и сообщать о шпионе в отдел безопасности.
Windows Firefox
 Израиль
29
1
braintunic
1. Точно, выключать монитор, когда набираешь пароль, как это я сам не догадался))
Еще лучше вариант - принести на работу черное покрывало и накидывать его на монитор!

2. Другие наемные работники здесь ни при чем - они и так уже имеют свой пароль для входа.
Если я работник в компании типа Intel или скажем Cisco, то мой пароль для входа в корпоративную сеть представляет собой лакомый кусочек для компаний-конкурентов, для хакеров, для биржевых трейдеров, для журналистов, ну и блогеров не забудем))
Потому то - обязательный сложный пароль плюс обязательная смена пароля каждые пару месяцев.
Linux Firefox
 Москва
9
15
Leonid Kaganov
Попросите вашу корпоративную сеть Intel и Cisco выдать вам специальный usb-ключ как остальным сотрудникам, а то они вас, похоже, за стажера держат :)
Windows Opera
 Москва
11
2
Кирилл
Наличие ключа не отменяет необходимости в наличии пароля. Неужели вы не слышали про двухфакторную аутентификацию?
Windows Safari Chrome
 Москва
4
5
propir
Скажите, какая разница хакерам насколько сложный у вас пароль? Уж от метода перебора, думаю, сисадмины intel в состоянии защититься.

Митник в свое время говорил о том, что самый большой фактор риска не пароли, а люди. Какой бы сложный пароль не был, хоть из стопитьсот букВоцифр
Linux Ubuntu Firefox
 Владимир
7
1
Adamos
Разницу можно проиллюстрировать на примере.
Взломан форум, хакеры получили список логинов с хэшами паролей. Принцип использованного хэша известен.
Составляются радужные таблицы (хэши популярных паролей, полученные по такому принципу), сверяются с базой.
Все, кто использовал один из этих популярных паролей, "попали". Те, кто использовал нетривиальные - не пострадают.

Хотя навязчиво "сложный" пароль - не дело. Я так жене аську восстанавливал после смерти винта. Долго пытался сообразить, что там был за пароль, в отчаянии запросил смену пароля. Вводя новый, получил сообщение типа "не годится - цифр нет". Сразу вспомнил прошлую аналогичную борьбу с той же аськой и ввел тот пароль, на который думал, с дополнительной цифирью - менять не пришлось.

В описанной выше ситуации взлома легко учитывается такой вариант и его обычный результат - человек тупо добавляет одну из 10 цифр к тому, что он считает нормальным для себя паролем. Профанация...
Windows Firefox
1
0
Маркони (#1890282)
Не, у нас в компании смена пароля каждые полгода, прикольно выглядит менять старый пароль на старый :)))
Linux Firefox
 Москва
2
3
Фыва Jr Олдж (#1114686)
Если бы это зависело от меня, то я бы недопустил подобной безответственности :-)

Да, у меня паранойя, у меня все пароли подобного вида:

[[email protected] ~]$ mkpasswd -s 0 -l 8
6JI6zkut
[[email protected] ~]$ mkpasswd -s 0 -l 8
qo6QD8qq
[[email protected] ~]$ mkpasswd -s 0 -l 8
n46NdhXm
[[email protected] ~]$

И я их запоминаю естественно, и никогда никуда не записываю.
Windows Firefox
 Мытищи
1
0
DGN (#3140229)
я как-то получал сообщение "старый пароль совпадает с новым" и "этот пароль вы уже использовали"...
Windows Firefox
17
2
LastFire
>>Еще лучше вариант - принести на работу черное покрывало и накидывать его на монитор!

дедовские методы каие-то
Linux Firefox
 Москва
15
1
Leonid Kaganov
Издалека видать cтаричка-разработчика, чье детство прошло в СССР у игрального автомата "Морской бой" ;)
Windows Firefox
14
1
vinny-the-poo
Полностью поддерживаю брейнтюника. Ещё хуже ситуация у меня: толпой приваливают подрядчики, пользователи и прочие должностные лица. Просят решить проблему (что-то найти в инете, раскрыть нераскрывающийся файл, прочитать почтовое послание и прокомментировать, что-то хитро отформатировать или прошить), тычут флешками, толпятся, дышат в затылок.

И так-то наваливание грудью на клаву, заслонение собой набираемых символов вызывает смешки и подколки (в последнее время всё меньше — сразу отвечаю матом), а тут ещё и моник выключать. Нет, спасибо, обойдёмся без лишней нервозности. Звёздочки — наше всё.
Linux Firefox
 Москва
4
15
Leonid Kaganov
Давайте я уточню: а с какой целью вы в присутствии пользователя затеяли процедуру смены пароля в моем дневнике? Они вам тычут флешками и торопятся решить проблему, а вы херней заняты? ;)
Mac Safari
 Израиль
11
0
braintunic
Это к кому обращен вопрос?
Разве не видно, что человек заходит сюда через ЖЖ, то есть вообще никогда не вводит и не использует никакого пароля на сайте LLeo?
Обсуждение давно уже идет об общих принципах интерфейса, а вовсе не о мелком частном случае ввода паролей на данном сайте.
Windows Firefox
 Челябинск
16
0
vinny-the-poo
В тексте были приведены претензии ко всем разработчикам. Исходя из контекста их следует рассматривать как концептуальные. Вот в этом ключе я их и обсуждаю.
Linux Ubuntu Firefox
 Иваново
0
0
Коржик
Золотое правило: "по одному".
Mac Safari
1
0
sergey (#2061179)
Все запросы по емейлу, а то потом "я не то просил"
и в очередь с приоритетами
Windows Firefox
0
0
vinny-the-poo
В силу специфики это не вариант.
Windows Firefox
0
0
dummy-bear anonym (#1243563)
Я когда монитор выключаю у меня глупая винда переносит все окна на оставшиеся мониторы. :-
Windows Firefox
 Москва
2
0
Abstraction
Если сервис рассчитан на людей, о безопасности паролей не имеющих представления, и если известно, что они его всё равно скажут запомнить браузеру с вероятностью 99.99%, то, как мне кажется, пункт 3) может иметь право на существование. Хотя больше 8-10 символов с минимумом спец- при таком подходе делать всё одно бессмысленно, по очевидным причинам.

За "посмотрели пароли по базе", конечно, надо бить ломом. А вот что делать, если "мы на тестовой выборке пользователей провели атаку по словарю и вскрыли 90% паролей" - это вопрос заметно более неприятный.

А закрытый звёздочками пароль - это какой-то рудимент, особенно "приятный" при наборе пароля на экранной клавиатуре с touch-интерфейсом. Под Firefox есть плагин, но помогает относительно.
Linux Firefox
 Москва
6
2
Leonid Kaganov
Если человек о безопасности не имеет представления, он и пароль от своей почты не сможет сохранить в тайне. А если человек не имеет представления о компьютере и о том, что пароль надо запомнить? Нельзя строить сервис в расчете на идиотов, это оскорбляет нормальных пользователей.

Что касается всего остального, есть ли в мире статистика, какой процент взломов приходится именно на подбор паролей, а какой - на вирусы, руткиты, кейсканеры и дешифровщики браузерных хранилищ? Возможно, люди зря требуют вешать на дверь амбара замок весом 5кг вместо 200гр, а воришки лезут внутрь, отодвигая фанерку на окошке?
Windows Firefox
 Москва
0
2
Михаил Воронков (mv1)
Вот более научное обоснование поднятой в посте проблемы http://infowatch.livejournal.com/13253.html
Windows Firefox
5
0
Abstraction
> Нельзя строить сервис в расчете на идиотов, это оскорбляет нормальных пользователей.
Встречный аргумент: многие сервисы нельзя строить без учёта того, что процент... ну, не идиотов, но людей недостаточно разбирающихся в ИБ - довольно велик. У пользователя всегда должна быть возможность сказать "я знаю, что я делаю", но презумпция абсолютной компетентности может ухудшить качество сервиса.

> Что касается всего остального, есть ли в мире статистика, какой процент взломов приходится именно на подбор паролей, а какой - на вирусы, руткиты, кейсканеры и дешифровщики браузерных хранилищ?
Сходу не нашёл. Есть факты - что словари достаточно активно распространяются, что функция атаки по словарю встроена в ряд хакерских инструментов, начиная с Metasploit, что по сей день достаточно велика доля повторяющихся паролей ( http://thepasswordproject.com/2012-02-01_how_effective_is_a_[...] ).
В общем, лично моё мнение, что пароль, уязвимый к атаке по словарю - это не есть хорошо. Лучше бы на всяких сервисах вместо дурацкого "индикатора надёжности" (который безбожно врёт на честных случайных символах) делали проверку по паре наиболее расхожих словарей и в случае совпадения предупреждали бы пользователя.
Windows Firefox
 Мытищи
2
0
DGN (#3140229)
кстати да, индикатор надежности пароля рулит! а если еще и небанальный, с чеком по словарям. и с автодобавлением в словари ;-)

классный может быть ресурс - проверьте свой пароль и подпишитесь на обновление словарей ;-)
Linux Firefox
7
1
Анони-маусс (#1416505)
Вот я худею, каждый говнофорум, в котором за каким-то хуем даже в режиме рид-онли нельзя без регистрации, считает, что он настолько Ахуенен, что может себе позволить от меня пароль не короче 40 знаком требовать и всё такое.
Робяты, запомните: ежели я на вашем Ресурсе ввёл пароль 123, то с вероятностью 99% это не потому, что я дебил, ничего не понимающий в безопасности, а потому, что ваш ресурс - говно, и аккаунт на нём мне так-то и в хуй не впился, и мне глубоко похуй, угонят ли аккаунт или через него взломают ваш говноресурс (потому что ахуенные спецы по IT-секьюрити сделали всех пользователей форума юзерами форумного сервака с правами рута, гыгыгы).
Windows Safari Chrome
 Волжский
0
0
Юрий Дятлов
+1. Причём именно на подобных ресурсах оно и процветает. Ну сделай, блин, напоминание "нам кажется, что пароль слишком простой", но именно как пожелание, а не обязанность. Нет, ещё и поэтапно: меньше 8 символов нельзя. А теперь нет цифр. а теперь - заглавных букв. а теперь - знаков препинания. А теперь - китайских иероглифов. А теперь - шумеро-аккадских логограмм...
В общем, согласен со всеми пунктами, указанными Леонидом. И сам некоторые из них на днях формулировал. Устно и с применением ненормативной лексики.
Windows Safari Chrome
12
2
Camel1000 (#2810258)
"Нельзя строить сервис в расчете на идиотов, это оскорбляет нормальных пользователей."

А вот здесь и заключается фундаментальная ошибка. Не только можно, но и необходимо строить интерфейс именно в расчете на "идиотов". Только тогда все будет хоть как-то работать.
Windows Firefox
 Москва
8
3
Михаил
"Создайте систему, которой сможет пользоваться даже дурак и только дурак будет ею пользоваться".
Linux Opera
6
6
Leonid Kaganov
Не сходить ли вам на собеседование в Microsoft? )
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
> они его всё равно скажут запомнить браузеру

А что в этом страшного? Я большую часть своих паролей доверяю хранить Файрфоксу. Естественно, задав мастер-пароль, чтобы просто так, с диска, их прочитать не получилось. Не вижу в этом сколько-нибудь реальной угрозы безопасности.
Windows Firefox
0
0
Abstraction
Речь о том, что пользователю не придётся этот автоматически сгенерированный пароль забивать себе в голову. Я не говорю, что хранение пароля в браузере само по себе является угрозой (во всяком случае, не читал об атаках, которые бы опирались на сохранение паролей).
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Ну, носить профиль того же ФайрФокса с работы домой тоже не хотелось бы. Так что этот хитросочиненный пароль все-таки мимо головы не пройдет, так или иначе. Другая машина, другой браузер - и сразу неудобства.
Linux Firefox
0
0
Анони-маусс (#1416505)
Как, ты не слышал про скачивание хранилища Оперы через торрент???
Вшоке.
Windows IE
0
0
Михайлов (#3579600)
а читали про утилиты, которые показывают пароли, сохраненные в разных прикладных программах? Браузеры не исключения, а тем более популярные браузеры.
Windows Firefox
2
0
Abstraction
Если машина пользователя скомпрометирована, то в первом приближении не столь важно уже, получит злоумышленник пароль из хранилища или из кейлоггера.

Я говорил об атаках вроде "сделать так, чтобы браузер подставил пароль в невидимое поле на странице под контролем атакующего, содержимое которого отправится злоумышленнику"
Linux Ubuntu Firefox
 Владимир
0
1
Adamos
Я выше уже упоминал средство от таких программ: мастер-пароль. Рекомендую.
Mac Safari
0
1
sergey (#2061179)
"провели атаку по словарю и вскрыли"
А разве не против этого соль используют?
Windows Firefox
 Москва
3
0
Abstraction
Не совсем. Если алгоритм получения хэша известен атакующему (а мы всегда принимаем, что он известен), от атаки простым перебором она не защищает.
Соль нужна для скрытия информации о том, одинаковы ли пароли у некоторой пары пользователей и, соответственно, эффективного приравнивания взлома базы с 100000 записей к 100000 одиночных взломов.
Есть парная мера, "растягивание" (stretching). Вот она помогает защитить пароль от перебора.
Прочитать об этом можно, например, здесь:
http://www.rsdn.ru/article/crypto/StorageOfSecrets.xml#ESC
Windows Firefox
0
0
vassiliy.vlassov
Постойте. Просветите немного, ибо я отстал от современных хакерских систем. Ранее я полагал, что неважно каким образом формируется результат хэш-функции. Важная особенность любой хэш-функции, это отсутствие единственного решения обратной задачи. Зная хэш, мы не можем точно сказать какие были входные переменные в функцию, а лишь определить множество входных параметров. Ну и кому захочется перебирать множество? Ведь мощность множества велика. Тут не хватит и жизни, ну разве что случайно напорешься на вариант из начала списка.
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Это математика, а мы говорим о практических вещах. Давайте посмотрим на примерах. Допустим, у нас есть сворованная база пользователей и полная информация об алгоритме хэша.

1. Пароли хранятся в виде хэша без соли.
Берем словарь частых паролей и делаем хэш каждой строки словаря по известному нам алгоритму, проверяя, не встречается ли в базе такой хэш. Если встречается - мы теперь знаем исходный пароль тех пользователей, у которых совпало.

2. Пароли хранятся в виде "соленого" хэша, соль одна для всех пользователей.
Делаем то же самое, только вычисляем соленый хэш. С тем же результатом за то же время.

3. Пароли хранятся в виде "соленого" хэша, соль у каждого пользователя своя.
А вот тут каждый словарный пароль для каждого пользователя даст свой хэш. И для каждого придется перебирать весь словарь. В результате время перебора умножается на количество пользователей.
Windows Firefox
4
0
Abstraction
> Важная особенность любой хэш-функции, это отсутствие единственного решения обратной задачи. Зная хэш, мы не можем точно сказать какие были входные переменные в функцию, а лишь определить множество входных параметров.
Почти правильно. Важная особенность хэш-функции (её отличие от произвольного неинъективного отображения) - эффективная необратимость, сложность вычисления даже одного значения f^(-1) для произвольного аргумента. Вторая важная особенность - эффективная невычислимость коллизий (т.е. невозможность эффективно выбрать пару значений x,y : f(x)=f(y)).

> Ну и кому захочется перебирать множество? Ведь мощность множества велика.
Мощность множества исходных текстов велика. Однако энтропия пароля меньше его длины, и на этом основана атака по словарю: мы берём элементы множества x, для которых априорная вероятность f(x)=y для нашего y относительно высока. То есть, на множестве строк (формально вообще бесконечном) мы выбираем подмножество в несколько тысяч элементов. Его мощность уже невелика, а вероятность того, что пароль находится в этом множестве, существенно выше 0.

Одна на всех соль, как уже отмечено, против этой атаки не помогает. Фактически, она по имеющейся хэш-функции f строит хэш-функцию f', столь же стойкую. Это может быть полезно, если для f уже построены таблицы значений для многих строк: для f' их придётся строить заново.

Индивидуальная соль играет ту же роль для индивидуальных записей по отношению ко всей базе: теперь нельзя провести эффекивных приготовлений для исследования паролей базы в целом, записи надо разбирать поштучно.

Растягивание домножает требуемое время словарной атаки на некоторый постоянный коэффициент, что может задержать атакующего и свести к минимуму урон от успешного взлома.

Всё сказанное в этом сообщение - некоторые академические рассуждения; если кому-то придёт в голову мысль опираться на них при построении реальной системы, то это будет не очень умная мысль.
Windows Firefox
12
0
Ranma
Например в WinRar сделано так: либо пароль открытый и вводится один раз, либо звездочки и 2, человек сам выбирает способ и не зависит от личных предпочтений разработчика
Windows Firefox
 Израиль
36
0
braintunic
Це винрарно.
Windows Opera
 Новосибирск
1
3
OHOTOJIE (#2007116)
забавную реализацию видел в какой-то софтине - она при наборе пароля 2 секунды показывала вбитый символ, а потом меняла его на звездочку.

Но самый убойный случай - когда при установке линукса лохматого года в комстроке не показывались вообще никакие символы, будто в пустоту набираешь. А потом еще и повторить пароль просили.

А вот пример из современного косоручия: форум на сайте openinfotech точка ru. Просил зарегистрировать логин 0507033, пароль 1234567, и указать почту. Ок - зарегался, активировался - не пускает раз, другой, третий. Пишу- забыл пароль, пришлите на мыло (зря чтоли указывал?). Присылают совершенно другой логин 507033 и пароль ну совершенно не тот, который я указал. И такой у них весь сайт косорылый.

Кстати, ни у кого не завалялся hytech sql server?
Linux Firefox
 Москва
3
0
Фыва Jr Олдж (#1114686)
> при наборе пароля 2 секунды показывала вбитый символ, а потом меняла его на звездочку.

В телепхонах Nokia когда задаёшь пароли для e-mail и для разных точек доступа по жизни так. За другие телепхоны не скажу, у меня кроме Nokia других сроду не было.
Linux Firefox
0
0
Анони-маусс (#1416505)
За другие телефоны тоже так, Алкатель, например.
Linux Firefox
6
1
Л. Янукович
> Просил зарегистрировать логин 0507033, пароль 1234567, и указать почту. Ок - зарегался, активировался - не пускает раз, другой, третий. Пишу- забыл пароль, пришлите на мыло (зря чтоли указывал?). Присылают совершенно другой логин 507033 и пароль ну совершенно не тот, который я указал. И такой у них весь сайт косорылый.

А, это прикол от сильно умного PHP. Он если число в строке видит - часто в число и преобразовывает. Вам еще повезло, что просто нолик в начале откинул, мог бы и вовсе посчитать восьмиричным числом.
Windows Firefox
 Richardson
1
1
Михаил (#1684620)
Там из-за этого со сравнением хэшей ещё веселее было: http://phpsadness.com/sad/47

И вообще, от PHP слоны заводятся: http://lleo.me/dnevnik/2013/08/08.html?=PHPE9568F36-D428-11d[...]
Windows Firefox
1
0
vassiliy.vlassov
В старых давних временах, в 94 году довелось сидеть на скотине (SCO unix). У этой скотины при добавлении пользователя стояли какие то свои алгоритмы определения "кошэрности" пароля на предмет подбороустойчивости. Как мне тогда поведали, система анализировала, в том числе, и соседство кнопок между собой. И если пароль казался системе простым, скотина его не принимала. Так что проще было принять пароль, который система сама сгенерила. До сих пользуюсь.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж (#1114686)
> Единственное что — после моих вчерашних экспериментов с почтой там вывалилась куча мусора в sendmail и он задумался - сервер может работать нестабильно и письма дойдут не сразу.

Что-то "не сразу" уже довольно долго происходит (это я эксремент хотел сделать, надо же новую фичу попробовать!) и до сих пор так и не произошло.
Linux Firefox
 Москва
1
0
Leonid Kaganov
Мне до сих пор приходят письма, которые робот отправил позавчера - в старом еще дизайне ;)
Linux Firefox
 Москва
0
0
Фыва Jr Олдж (#1114686)
Везёт! А мне вот до сих пор так ничего и не пришло. За весь вечер, ночь и кусочек утра -- ни-че-го до сих пор.
Windows Firefox
0
0
Маркони (#1890282)
Да, подобный косяк тоже был... зарегился, пароль не накарябал на бумаге(может и накарябал, но в бардаке на столе всё перепуталось, ещё и жена помогла), вот и получаете хрен знает что с разных аккаунтов...
Windows Safari Chrome
8
1
ewafe (#2853930)
пароль звездочками нужная штука - это защита от случайно подсмотренных паролей людьми у которых нет умысла на взлом.

Когда кто-то рядом с монитором и нужно набрать пароль, например с коллегой вопрос обсуждаем и там по дороге всплыла надобность куда-нибудь залогиниться, просить людей отвернуться - лишняя заморочка, лучше чтобы звездочки. У меня такая ситуация бывает с периодичностью в месяц, примерно.
Mac Safari
1
1
Вячеслав Сомов
Речь идет не о залогинивании, а о смене или установке пароля
Mac Safari Chrome
 Москва
0
0
artyfarty
Можно обнаружить людей со слабыми паролями даже если хранятся хеши, просто перебором по словарю пройдясь по базе. Причем если хеши не засолены, то такой перебор делается за всего лишь кратное длине словаря время.
Linux Firefox
 Москва
4
2
Leonid Kaganov
Хэши конечно засолены. Причем, засолены, в частности, еще и с номером учетной записи. Поэтому "пройти по базе" я не могу.
Windows Firefox
1
0
^__^
1)Может пользователю самому решать, использовать звездочки, или нет? Закрываться менее удобно, чем их использовать. И, если говорить не о шпионах, дофига людей не смогут восстановить пароль по набору, но смогут запомнить увиденный.
2)Мозг так не работает. "По рзелульаттам илссеовадний одонго анлигйсого унвиертисета, не иеемт занчнеия, в кокам пряокде рсапожолена бкувы в солве"
4)Это выгодно разработчикам, т.к. забывший пароль не свалит с их сервиса. Но невыгодно пользователю, да.
Linux Safari Chrome
5
0
Andrew Kolchoogin (#3344560)
Ты проходишь путь Брюса Шнайера. Он тоже сначала говорил, что, дескать, пароли должны не звездиться, потом -- что звездиться, потом -- что не пришёл с собой к единому мнению.
А так -- всё верно, кроме того, что сайт вообще должен быть Zero Knowledge -- хэш от логина и пароля должен вычислять JavaScript на стороне клиента. IHMO, конечно.
Linux Firefox
 Москва
0
2
Leonid Kaganov
Это мудрое замечание. А есть md5 под JS?
Linux Ubuntu Firefox
 Нидерланды
0
0
byka (#1019372)
да. Более того - все распространенные алгоритмы шифрования.
Библиотечка на джаваскрипте подключается...
Linux Firefox
 Москва
2
1
Leonid Kaganov
А есть конкретно md5, да покомпактнее?
А то иные говнописатели чтоб 2+2 сложить создают иерархические системы классов и подключают фреймворки...

Давече спорили с другом в аське. Мне нужен был алгоритм на PHP, который бы проверял, входит ли IP в диапазон, заданный маской типа "123.123.123.123/24". Товарищ предлагал немыслимого размера файлы с процедурами и классами, созданные человечеством на PHP для решения этой задачи (причем, с использованием функций, которые не во всех версиях PHP есть). А я написал 3 (три) строки.
Linux Ubuntu Firefox
 Нидерланды
0
0
byka (#1019372)
а вот не знаю.
То, о чем говорил - называется CryptoJS, мне как раз нужно было шифровать данные в браузере и сохранять на сервер уже шифрованными. Вот там md5 тоже был.
Библиотечка около 20кбайт.

На тему "писать самому" или "использовать фреймворк" - это от ситуации зависит.
Например, подключать весь GLIB + GNOME ради единственной функции преобразования имени файла в URI типа file:///path/filename - это явно перебор (видел такое).
С другой стороны, если заведомо ожидается наличие GLIB + GNOME - почему бы и не использовать?
Mac Firefox
3
0
gul (#2961029)
Правильно ли я понимаю, что md5 под JS нужен для того, чтобы не использовать https и быть более-менее защищённым от того, кто может прослушать трафик?
Если да, то, во-первых, откуда взялась столь странная цель (не использовать https), а во-вторых, боюсь, тот, кто видит трафик, сможет залогиниться под аккаунтом пользователя и без знания пароля, перехватив информацию из cookies (session-id или что там используется).

И так ли часто случается, что злоумышленник может прослушивать трафик, но не может на него влиять (перенаправив на себя)? А если может перенаправить, то никакой md5 в JS от утечки пароля не спасёт.
Windows Opera
 Малаховка
0
0
yura (#3395993)
Linux Firefox
 Москва
0
1
Leonid Kaganov
Спасибо!!! Очень даже православненько так...
Linux Firefox
3
0
morruth (#1315455)
А сервер просто сравнить хеш с тем, что у него записано?
Если да, то поздравляю - можете считать, что хэша нет.
Linux Firefox
 Москва
0
1
Leonid Kaganov
Я так понял, речь о том, чтобы не передавать пароль в открытом виде даже 1 раз. Сервер должен прислать пользователю уникальную (желательно именно для этого клиента) соль, а браузер зашифрует пароль с этой солью через md5 и пошлет результат шифрования серверу. Далее все как обычным паролем - сервер его зашифрует поверх уже по своему алгоритму, и в таком виде сохранит или проверит...

В результате злоумышленник "на взломанном домашнем маршрутизаторе" сможет прослушать соль, сможет прослушать шифр в ответ, но каков был вводимый с клавиатуры пароль, не узнает. Типа смысл в этом.
Linux Firefox
2
0
morruth (#1315455)
А ему и не надо.
Если соль для этого клиента всегда одна и та же, то результат шифрования тоже всегда будет один и тот же. его и перехватываем.

А если нет - тогда на сервере пароли надо хранить в открытом виде.
Linux Firefox
 Москва
0
0
Leonid Kaganov
Не понимаете.

Здесь уже вопрос не в том, чтобы защититься от перехвата информации, если по условиям задачи злоумышленник ее слушает на том же конце провода, что и сервер (взломан сам сервер или провайдер или домашний роутер).

Вопрос в том, чтобы пароль "vasya123" никогда не звучал на этом проводе, а звучал лишь его шифр, по которому нельзя восстановить, что пароль был "vasya123" (и пробовать его на других ресурсах этого пользователя, например, в банковской админке, вдруг у него он всюду один).
Linux Firefox
0
0
morruth (#1315455)
кстати - домашний маршрутизатор взламывать необязательно.
Куча народу по дороге имеет возможность перехватить просто по долгу службы.
Linux Ubuntu Firefox
1
0
sapa (sappa)
Да, но злоумышленнику и не надо узнавать пароль. Он знает что ответить серверу, так как знает зашифрованный пароль, а соль приходит от сервера одна и та же. Можно ответить серверу тем же самым и залогиниться. Хотя, конечно, это лучше чем светить открытый пароль, который может использоваться где-то еще.
Более интересным был бы такой вариант: на клиентской стороне есть функция которая на основании введенного пароля генерит пару ключей, закрытый и открытый. Обычно подобные ключи генерятся на основании данных от генератора случайных чисел, но не в этом случае. Так вот, открытый ключ отправляется на сервер при заведении аккаунта. Закрытый нигде не хранится. При вводе пароля сервер передает клиенту длинное случайное число. Клиент на основании пароля генерит закрытый ключ и шифрует им это число. Результат возвращает серверу. Сервер расшифровывает открытым ключом и проверяет, то ли это число что он передал.
Windows IE
1
0
Вы забыли подписаться. (#3295049)
Ещё можно хэшировать пришедший хэш. )
Это защитит от неприятностей, если база паролей вдруг отрастит ноги. А вся остальная защита сайта останется на том же уровне, что и с простой отправкой пароля.
За исключением того, что сайт банка Авангард будет более защищён, да. Неожиданный такой альтруизм получился! ))
Linux Ubuntu Firefox
0
0
Sheldon Mini Cooper (ximaera)
Для защиты от взломанных маршрутизаторов человечество придумало SSL.
Windows Opera
2
0
niksyatina
Не особо спасёт, пока народ на автомате тыкает "принять сертификат".
Windows Safari Chrome
 Chatham
0
0
Vadimus
Типа как сделано LastPass?
Windows Safari Chrome
0
0
малдер (#2484540)
Если хэш без соли, то все плохо!
FreeBSD Firefox
8
1
Eygene Ryabinkin (#3549172)
Ооо, пункт 6 отличен. А ничего, что у вас нет HTTPS на ресурсе, поэтому пароли по сети передаются в открытом виде, а, скажем, поменять DNS на домашнем роутере, у которого стоит слабый пароль, и устроить выборочный proxy для отдельных доменов и, таким образом, получить пароль со стороны пользователя, даже не взламывая ваш сервер или базу -- несложно? Ну и есть еще некоторые способы зарулить или получить копию трафика пользователя ;)) Я не говорю, что пароли никогда не нужно хешировать, -- это полезно, чаще всего их хешировать нужно, причем стойкими методами и присаливая, но только если вы предприняли другие меры противостояния получению этих самых паролей по другим каналам, нежели чем доступ к их хранилищу. Ну и, конечно, есть X.509-сертификаты, Kerberos и прочие замечательные методы, основанные на ЭЦП, которые можно и нужно применять (но там есть свои неприятности), однако утверждение-то "надо убивать разработчиков" ;)) Ну и если взломают говноресурс и увидят хеширование паролей, то вполне могут и приходящие паролики собирать; всё сразу взять не получится, но по частям -- возможно, так что вы в обоих случаях (хранение хешированных и нехешированных паролей) будете хранить у себя "чужое", вопрос во времени хранения.

Lleo, мое основное утверждение очень простое: не нужно пользуясь случаем огульно говорить всем разработчикам вещи, которые сильно зависят от контекста, который вами не раскрыт (по любой причине). Есть замечательное соотношение: безопасность обратно пропорциональна удобству использования. Оно, конечно, такое -- иллюстративное, лучше сказать "чаще всего усиление безопасности ведет к уменьшению удобства использования, хотя бывают случаи, когда уменьшение удается сделать очень маленьким". Но вы своим обращением как раз говорите: эй, ребята, давайте сделаем пользователю удобно. Только безопасность от этого будет страдать. Может для говноресурсов это то, что надо, может нет.

Ну и по поводу того, как часто подбирают пароли: есть, например, Trustwave 2012 security report, https://www.trustwave.com/downloads/Trustwave_WP_Global_Secu[...] (tl;dr -- http://www.zdnet.com/blog/service-oriented/passwords-are-the[...]); они утверждают, что слабые или известные пароли -- это бич бизнес-приложений. То, что если у вас есть SSH-сервер и к нему не подбирают пароли означает либо что он выключен, либо что он закрыт сетевым экраном от всех -- это известный анекдот, который вполне подтверждается реальностью.

Ну и в качестве заключения -- представьте себе простую ситуацию: есть ресурс, у которого для пользователей существует более расширенная функциональность (доступны, скажем, дополнительные возможности, за которые отвечают какие-то части кода на стороне сервера). Регистрируют только проверенных людей, но у них простые пароли, поэтому их может подобрать почти любой за несколько десятков проб. А в коде, который отвечает за дополнительные возможности -- дырка, поэтому получив доступ наш злоумышленник ломает сервер полностью и получает все или некоторые пароли, которые почему-то оказались сложными. Мне кажется, что это противоречит не только здравому смыслу, но и вашему пункту 6, хотя происходит в соответствии с пунктом 5. Я понимаю ответ "а надо код без ошибок писать", но кто же может за их отсутствие поручиться-то?

Резюме: дневник, конечно, ваш, но нужно бы выражаться либо поумереннее, либо уточняя, для каких случаев изложенное применимо. А лучше -- и то, и другое.
Linux Firefox
 Москва
8
6
Leonid Kaganov
Вы написали много возмущенных букв, но смысла я не понял.

Какое я имею отношение к взломанному домашнему роутеру пользователя? Почему я в своем движке должен лечить проблему чужого взломанного роутера?

Сказок ваших про код я не понял. Код у меня открытый. И если движок вы теоретически взломать можете, то пароли пользователей все равно не получите - их получить невозможно, потому что их нет на стороне сервера.

Ну и совсем смешны упреки про "область применения". Вы зашли почитать личный дневник, автор которого сделал собственный блогодвижок. Так ли высок должен быть IQ, чтобы догадаться, какова область применения и какого рода задачи имеет в виду автор, рассуждая в дневнике об интерфейсах? :)

Ну и, наконец, навскидку тема для размышления: современная банковская карта имеет пин в 4 (четыре!) цифры. Это всего-то 10000 комбинаций перебора. Вы слышали когда-нибудь, чтобы кто-то взял чужую банковскую карту, подобрал пин и снял в банкомате деньги? Нет? А почему? Наверно потому, что банкомат не даст устроить перебор? А не потому, что пользователя заставили запомнить пароль из 30 символов, в котором обязательно заглавные и строчные буквы, знаки препинания и символы шрифта Windings?
Linux Firefox
1
2
morruth (#1315455)
неа, это потому, что проще в банкомате сделать накладку на клавиатуру. ж)
Mac Safari
4
0
sergey (#2061179)
Если так, то можно еще проще, устроить засаду у банкомата и грабить не отходя от кассы
Windows Safari Chrome
 Москва
1
0
Денис Пантюшев
Бац по голове! "Какой-то у вас, батенька, пароль на карточке не криптостойкий!".
Linux Firefox
 Москва
0
0
Фыва Jr Олдж (#1114686)
Три попытки ввода неправильного пина и банкомат заглатывает карту. Во всяком случае у нас в Union Card так и было. Так что не особо поперебираешь 10,000 комбинаций.
Windows IE
1
0
Михайлов (#3579600)
Даже если делать всего по одной-две неверные попытки в любом банкомате и вытаскивать карту, софт на стороне процессинга ведет подсчет, и если видит, что одна и та же карта "бегает по его банкоматам" не зная PIN, после нескольких смен банкомата просто "аннулирует" карту, выдавая её обратно со словами - "превышено количество неверных попыток ввода PIN, обратитесь в Ваш банк".
Windows Safari Chrome
 Москва
0
0
Денис Пантюшев
Упаси боже, если еще и в банкоматах надо будет символы в регистрах набирать...
Народ сразу на купюры перейдет.
Windows Firefox
 Москва
12
0
Михаил Воронков (mv1)
Вспоминается рассказ одного админа про систему, которая не давала разным пользователям иметь одинаковые пароли. Когда кто-то пытался установить себе пароль, уже кем-то используемый, она выдавала сообщение типа "Нельзя, такой пароль уже используется пользователем таким-то, так что себе другой придумайте".
Linux Firefox
 Москва
16
1
Leonid Kaganov
Михаил, ну вы нашли чего вспомнить. Эта строчка проверки в коде движка уже два года как закомментарена!
Linux Ubuntu Firefox
 Владимир
3
0
Adamos
6. И животноводство! На примере Телебанка от ВТБ24.
Логин - только цифры. Ну, это ладно, "you're a number - not a name", все всё поняли.
Но ПАРОЛЬ - ТОЛЬКО ЦИФРЫ? К онлайн-банку?! Для обычных пользователей, которые других цифр, кроме своего дня рождения, вообще не знают?!! Есть ощущение, что там весь IT-штат успешно достиг своего уровня некомпетентности - и разработчики, и тестеры, и (особенно) их начальство, которое все это приняло и утвердило.

Кстати, юзабилити у них тоже из бронзового века. Чтобы перевести некоторую сумму со своей рублевой карточки на свою же евровую, нужно совершить то ли три, то ли четыре операции, подтверждая каждую очередным кодом с одноразовой карточки. Причем пересчитать валюты по курсу тоже надо самостоятельно. Все равно же за компьютером сидишь...
Windows Firefox
 Европа
0
0
Vlad+ (vladplus)
Цифры там для того, чтобы водить пароль с клавиатуры банкомата или Нокии 3310.
Насчет "потверждая каждую очередным одноразовым кодом" - можно совершенно бесплатно получить сертификат и вводить переменный код всего один раз за сеанс (непонятно зачем). Плюс суммы "неподписанных операций" очень существенно снижаются.
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Телебанк работает с банкомата? Первый раз слышу. Владельцам реликтофонов никто не мешает задать цифровой пароль где угодно, при чем здесь все остальные?
Насчет сертификатов - насколько я помню, все эти плюшки четыре года назад, когда я впервые подключался, были Windows-only. Судя по тому, насколько изменилась система за это время, на Линуксе ловить по-прежнему нечего.

Кстати, сейчас пользуюсь этой системой только потому, что внезапно оказалось, что она мне подключена бесплатно, как всем, кто раньше пробовал и бросил. Очевидно, сервис так дико популярен, что приходится проводить такие акции.

Поймите правильно: я же критикую не от разлития желчи. Жена пользуется Сбер-онлайном, который, в отличие от, бесплатен - и при этом сделан более по-человечески. Быть более отсталым, чем Сбер - это, конечно, тоже достижение... не каждый сможет...
Windows IE
0
0
Михайлов (#3579600)
Вижу в сберовском уеб... получателя, его ИНН совпадает с его же бумажным квитком - а электронно заплатить не могу! А в обычной сберкассе, ногами - пожалуйста! Их лучшие умы, приняв в три этапа мою заявку (я звоню, и я плачУ) бьются затем ровно месяц над вопросом, чтобы высрать мне в мыльницу, что: 1) мне нужно обратиться в сберкассу 2) с данной организацией [возможно!] не заключен какой-то ещё договор! [Ипануццо!!!...] и, наконец - 3) "в настоящий момент электронная платежная система банка дорабатывается по моему запросу"... Та-дааа!... Но спустя год я всё так же не могу заплатить электронно за этот несчастный детсад... ((
Windows Safari Chrome
0
0
evils_empire
дадада, они мне сказали, когда ограничили пароль только цифрами, что это необходимо для мобильного банкинга
Windows Opera
0
0
Jktu
В Телебанке нельзя сменить выданный пароль на цифры своего ДР. А вся система дебильная - да. Худший из интернет банков.
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Ух ты! Оказывается, дыра подперта костылем, все нормально! ;)
Windows IE
 Киев
0
0
Артем (#3311063)
А можно объяснить неспециалисту на счет пятого пункта? Как это работает? Как можно не знать пароля пользователя, но знать что он его знает? Надеюсь, я не выгляжу совсем уж дикарем...
Linux Firefox
 Москва
4
0
Leonid Kaganov
Вы делаете md5(), а лучше sha1() от строки пароля с некими дополнительными сущностями (солью) и получаете уникальный код типа F4E473AB74C4... (штук 30-40 символов). Один изменившийся бит в пароле меняет эту строку до полной неузнаваемости, таков алгоритм. Вы всегда можете проделать с предложенным паролем ту же операцию и сравнить строки, поняв, верен пароль или нет. Но восстановить по этой строке, каким был пароль, вы не сможете - алгоритмы md5 и sha1 придуманы именно для этого.
Windows Opera
2
1
чейтател (#1150888)
> Ненавижу, когда пароль на экране заменяется звездочками
Леонид, есть такая вещь как телеконференции. С расшариванием экрана. Webex, например.
Не знаю насколько вы себе представляете использование вашего движка в процессе телеконференции, но всякое может быть.
И там замена пароля звездочками вполне себе имеет смысл.
Linux Firefox
 Москва
6
3
Leonid Kaganov
А как вы себе представляете использование моего движка в процессе телеконференции с расшаренным экраном? ;) Расскажите, мне любопытно.
Windows Opera
6
0
чейтател (#1150888)
Демонстрация админский функций потенциальному заказчику.
Публикация заметки в процессе конференции.
Зайти "что-нибудь посмотреть".

Ну дело ваше. Буду писать свой движок - добавлю туда маджонг и гейш. И звездочки вместо пароля, конечно.
Windows IE
2
0
Михайлов (#3579600)
Так это же известная буратинистая задача:
"
- Допустим, некто собирается продать твой движок и показывает его возможности заказчику...
- Так я и дал тому некту продать мой движок!!!"
Mac Safari
 Швейцария
2
6
Миха (#3099586)
Особенно бесит пункт 4 про заглавные буквы, цифры и т.д. в паролях.
Почему-то до говноадминов не доходит тот факт, что при использовании этих правил количество вариантов пароля уменьшается, то есть безопасность снижается. Потенциальному взломщику заранее известно, что исключены варианты из одних букв, одних цифр и т.д.
Linux Firefox
 Москва
3
1
Leonid Kaganov
Ну, это вы хватили ;) Количество вариантов уменьшить сложно ;)
Linux Ubuntu Firefox
 Владимир
2
1
Adamos
Варианты хорошего пароля, который можно запомнить, действительно уменьшаются. Если человек волен в пароле, он может использовать мнемонические методики и постоянно пользоваться хорошими несловарными паролями типа "непарныйхвостогрыз".
А тут вдруг ему тупой автомат говорит, что это (внезапно!) плохой пароль, нужно цифры и разный регистр. Кто сможет придумать и так же легко запомнить хороший несловарный пароль с такими требованиями?
Windows Safari Chrome
14
0
Вася Васечкин (#3084600)
На эту тему несколько месяцев назад комикс был... http://xkcd.com/936/ :-)
Linux Firefox
0
0
Анони-маусс (#1416505)
непарныйхв0ст0грыз, например :)
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Это слабый пароль, как вы понимаете. В нем же не используются буквы разных регистров!
Mac Safari
 Швейцария
2
3
Миха (#3099586)
Лео, посчитай.
Допустим, пароль состоит из двух символов, каждый из которых можно представить одной из 5 цифр или одной из 5 букв. Вариантов получается 10^2=100.

Теперь ставится условие, что один из символов обязательно должен быть цифрой. То есть, все варианты, состоящие из одних букв, невозможны. Таких вариантов из одних букв = 5*5 = 25.

Остается 100-25 = 75 возможных вариантов пароля.
75 меньше, чем 100.

Эти правила уменьшают вариативность пароля, значит, понижают безопасность системы.
Linux Firefox
 Москва
7
1
Leonid Kaganov
Знаете, я попытался посчитать, но с трудом соображаю в такое время. Попробую. Для 6 знаков. Алфавит 26 символов, цифр 10.

Паролей из 6 только букв: 26^6=308915776 вариантов

Паролей из 5 букв + одна из 10 цифр + 6 вариантов, в каком месте эта цифра может находиться: 26^5*10*6

26^5 сразу сокращаем у обоих (оказывается, не важно, сколько было символов в пароле), получаем разницу: в первом случае множитель 26, во втором 60.

Вывод: требование использовать хотя бы одну цифру может вдвое усилить пароль, если обычный пользователь цифр использовать не планировал.

А вот если планировал (точнее МОГ бы планировать)?
36^6 - его общее число вариантов
26^6 - число запрещенных вариантов
Требование обязательно использовать хоть одну цифру (запрет использования только букв) сокращает объем перебора примерно на 1/7 (для 6 символов).

Следите за рассуждением? Я не ошибся? Итог: при 6 символах для тех, кто не планировал использовать цифры, пароль усиливается более, чем вдвое. Для тех, кто мог бы такое планировать без подсказки - сокращается на 1/7.

Даже если не вдаваться в смешной метафизический парадокс задачи "тот, кто и так хотел бы использовать цифры, но огорчен тем, что ему запрещают отказываться от этого своего намерения..." :))) То все равно получается выигрыш по усилению пароля, учитывая, что любителей цифр меньшинство ;)
Windows Firefox
0
0
Abstraction
Встречный пример (мелкое неудобство, но всё же):
Я генерирую случайную строку в 60 бит. Преобразую 6 бит в символ (заглавные буквы, строчные буквы, цифры, скобки). Получаю пароль стойкостью 60 бит.
С вероятностью ~1/5 я получу пароль без символов одной из трёх групп и он окажется нелегитимным. Лечится дописыванием в конец соответственно a,A,0.
Mac Safari
 Швейцария
1
0
Миха (#3099586)
Неправильная логика. Но математика правильная.

Допустим, я любитель совмещать цифры и буквы в пароле из двух символов. Вдруг мне говорят, что обязательно один из них должен быть цифрой. Вариантов становится меньше. Неважно, сколько их было в абсолютных величинах, их просто меньше. Это факт.
Windows IE
0
0
Михайлов (#3579600)
Брутфорсеру похуй намерения жертвы, ему важно количество возможных комбинаций, а оно, при таких ограничениях, увы, сокращается. Это неоспоримый факт. ((
Windows Opera
2
0
Ggueld (#2014143)
Другими словами, если подбирающий пароль знает о запрете на определенные комбинации (a мы считаем, что он попытался зарегистрироваться и знает) это упрощает ему задачу. А если вдруг не знает – усложняет. Так это очевидно, никакой метафизики.
Mac Safari
 Швейцария
0
0
Миха (#3099586)
Если вдруг не знает, задача в любом случае на может усложниться. Потому что кол-во вариантов то же самое. 10 символов на два регистра всегда дадут 100 вариантов. Тупой перебор займет в среднем одно и то же время.

Если же он хотя бы догадывается о том, что есть некое правило, как это часто бывает в паролях Виндовс, напр. необходимость ввести хотя бы одну цифру, то сначала проверяются все подходящие под это правило варианты. Если они не подходят, потом проверяются все оставшиеся пароли. Среднее время взлома неизбежно должно уменьшаться. Если никакого правила нет, и взломщик об этом не знает, время взлома не изменится.
Windows Safari Chrome
 El Segundo
0
1
JM (#2938658)
С первыми двумя пунктами не соглашусь. С последними тремя - безусловно.
Windows Opera
 Москва
0
0
Сергей (#3283481)
Ллео, режете правду-матку.
Windows Safari Chrome
3
1
Алексей (#2960134)
Привет! Пользуясь случаем...

По 1. пункту: если вместо инпута пасс сделать обычный текст, то браузеры будут хранить историю заполнения этого поля(автокомплит). Да, щас некоторые понимают autocomplete=off, но не все и раньше не понимали.

2. 50\50 - прав. Тут чисто человеческий фактор. Некоторые растяпы бывают.

3. Кнопка "генерация пароля" - очень полезна. Можно и самому придумать либо воспользоваться этой услугой, если сайт нужен для 1 раза - меньше мозг напрягать.

4. Зависит от сайта. Если хоумпэйдж типа твоего - то да.

5. А какой хэш ты используешь? Ты ведь знаешь что md5 ломается влет(и всякие комбинации, хотя и дольше)? )) По крайней мере 4-5 значный. Хотя, в целом - ессно. Но я не уверен, что в 21 веке кто-то будет в базе хранить пароли как текст.
Linux Firefox
 Москва
1
1
Leonid Kaganov
5. Для базы я добавляю в паролю некую уникальную строку, которая известна только мне и храню как md5 - так повелось исторически. Готовых решений для моей уникальной строки в мире нет, поэтому пароли вскрыть практически невозможно. При этом предполагается, что база все-таки на сервере, и добыть ее - сложная задача. А вот в регистрационную куку, выдаваемую пользователям, я подмешиваю к соли еще и его номер, и кодирую sha1. Регистрационная кука - штука на виду, можно заморочиться и набрать их много, но взломать соль не удастся.
Linux Ubuntu Firefox
 Владимир
0
2
Adamos
Добыть базу - сложная задача.
Добыть скрипты, в которых расписан алгоритм хэша - тоже сложная задача.
Судя по отчетам о громких взломах, эти две сложные задачи вообще никто прямо не решает. Решают третью - добыть административный доступ к админке сайта или хостинга.
Верю, что у вас это тоже - сложная задача ;)
Хотя работник техподдержки вашего хостера, подозреваю, готов со мной поспорить...
Linux Firefox
 Москва
1
1
Leonid Kaganov
В чем задача добыть "скрипты с алгоритмом хэша", если код движка открытый?

Поймите правильно: я не идеализирую свой код и не утверждаю, что ошибок там нет и не может появиться. По крайней мере, за его трехлетнюю историю было 5 критических уязвимостей, найденных сторонними доброжелателями. Я говорю лишь о том, что задачу безопасности нельзя перекладывать на плечи пользователя, и чуть что - кричать "наверно у него пароль был плохой". Пароль конкретного пользователя - самое последнее, что будут взламывать. И скорее всего, это не удастся, даже если пароль 12345.
Linux Ubuntu Firefox
 Владимир
3
1
Adamos
В открытом коде может быть объявлена константа с дополнительной солью, которая на каждом реальном сайте заменяется на другую. Доступ к базе, например, у вас тоже в открытом коде, но не сами данные для доступа же. В принципе, у многих движков алгоритм вычисления хэша полностью известен, без базы эта информация бесполезна.

На популярные сайты регулярно посылаются запросы "адрес сайта" - "адрес админки по умолчанию популярного движка" - "банальные логин и пароль". Видимо, какой-то профит и от этого бывает, но это, конечно, совсем другая история.
Windows Safari Chrome
0
5
Алексей (#2960134)
Да, этой уникальной стройкой ты просто заставишь работать проц взломщика на пару тактов быстрей ) Короче если сопрут базу - вскроют 99%, ибо md5 и sha давно уже научились хорошо декриптить
Linux Firefox
0
0
morruth (#1315455)
То есть соль у вас для _всех_ паролей одна и та же?
Linux Firefox
 Москва
0
2
Leonid Kaganov
Для паролей в закрытой базе - разумеется.
Для паролей в куке - постоянная, но к ней еще при шифровке добавляется уникальный номер каждого юзера, впрочем, он открыт.

А как вы себе представляете менять соль? И в чем математический смысл этого действия?
Linux Firefox
5
0
morruth (#1315455)
Да случайно генерировать для каждого юзера.
(примерно как пароли в freebsd/linux хранятся)

Смысл этого действия в том, что если мы каким-то образом раздобыли соль для оного юзера - то если она одна для всех, мы резко облегчаем себе перебор для всех юзеров, ну и у юзеров с одинаковыми паролями и хеш будет одинаковый, если соль одна на всех, а вот если у каждого своя - фиг!

ЗЫ Можно и комбинировать - 2 соли , 1 общая + своя для каждого
ЗЫ. В практически любом языке сейчас (пыхпых не исключение) стандартная функция для этого есть, кстати
http://php.net/manual/ru/function.crypt.php
Linux Firefox
2
0
morruth (#1315455)
Кстати, я правильно понял, что sha1 у вас берётся 1раз?

Для справки - в стандартной реализации функции crypt, которая используется для шифрования паролей в юниксах, sha1 по дефолту берётся 5 _тысяч_ раз (можно поменять, но не меньше 1000)
Linux Firefox
0
0
morruth (#1315455)
поправка - там вообще на sha1, а sha256|sha512
(sha1 сейчас считается ненадёжным, как и md5)
Linux Opera
 Москва
1
6
Leonid Kaganov
Но и md5 на практике никто не сломал. Умная китайская женщина только теоретически предсказала математическую возможность коллизий при некоторых условиях. Но алгоритма взлома не было и нет, и возможен ли он - все еще вопрос. Правильнее будет сказать, что md5 взломан китайским сферическим конем в вакууме.
Linux Opera
 Москва
1
4
Leonid Kaganov
Да вы один-то раз расшифруйте )))

Вот я буду на 200 посетителях в секунду делать sha1 5000 ращ... ))) "Девяносто миллиардов тонн говна... Девяносто миллиардов тонн говна! Девяносто миллиардов тонн говна..." (c)Вася Обломов
Linux Firefox
3
0
morruth (#1315455)
я там уже приводил цифры - оно на АМД 1.8 ггц (на одном ядре) делается 9529 раз в секунду (каждый раз - 1000 md5)
и у вас явно не 200 _логинов_ в секунду - это считается так при логине.
Windows IE
1
0
Михайлов (#3579600)
Это не говно, а сок мозга пользователей!
Передает мне как-то руководительница кал-центра "холодный" звонок, против правил - говорит без хихи, но с предвестником истерики, и "клиент может продолжать разговор только с мужчиной". Ладно, передали, спрашиваю, чем я лучше - "у меня такой пароль стоял, что девочкам говорить стыдно, а он теперь не работает... а я не хочу его менять!... я всё-таки клиент или хер собачий?... а вы ведь солидная организация, ну выручите, а? Ты же мужик, ты должен понять..." - и какой же там был пароль??? - "пиздопроёбина" (на слух всё просто, вроде бы) .

Посылать его смысла нет - всё-равно разговор, переключенный с кал-центра уже пишется. Смотрю статус клиента, журнал смен пароля... действительно, периодически заходит, пароль давно не менял. Начинаю думать, в чем он накосячил, пробуем набрать на чисто русском "пиздопроебина" - не получается, "gbpljghjt,byf" - тоже... хмм... коллега, слыша мою часть диалога, начинает улыбаться, говорит - это чудо вчера звонило, ему эникейщик клаву почистил, Z и S местами поменяны. И правда, поменяны... ))
Windows Safari Chrome
0
0
Алексей (#2960134)
Кстати, у тебя глюк. Сообщения дублируются.
Мои действия: написал, нажал на send - надпись "введите имя", ввел имя и мэйл, нажал на send снова - прокрутился ajax-значек и все. Потом ещё нажал - тоже самое. Закрыл окно и увмдел 2 коммента.
Windows Safari Chrome
2
0
Алексей (#2960134)
Или это не баг,а фича? Просто по идее окно должно закрываться после отправки, не?
Windows Safari Chrome
 Волжский
0
0
Юрий Дятлов
Имеет место при каких-то настройках хрома. Возможно, связанных с блокированием всплывающих окон. Но точно не уверен.
Каммент отправляется, но окно ввода остаётся, и можно либо отправлять его снова и снова, либо нажать F5 и увидеть, что всё давно ОК.

Кстати, и на сайте Авангарда замечено именно в хроме нечто +-схожее. Но там это выглядит так: платёжку вбил, нажал "сохранить, она закрылась, а кнопки не работают. F5 - платёжка опять на экране, закрыл, работаю дальше. Какие именно сочетания настроек хрома это вызывают - не разобрался.
Windows Safari Chrome
6
0
Programmist (#2710150)
Ну насчет звездочек - лучший вариант, имхо - добавить чекбокс, показывать пароль или нет. К ней же можно привязать, повторять от опечаток или нет
А вот насчет плохого пароля - не согласен. Во всяких форумах - там ладно, пускай хоть 123 выставляют. А, например, в интернет-банках такие пароли надо запрещать. Да и в тех же социальных сетях - сначала юзеры выставляют пароль в 123, а потом тысячами атакуют техподдержку, когда у них угоняют аккаунт. Хотя греческие буквы - это конечно перебор, достаточно просто прогнать по словарю.
А вот что действительно стоит отнести к пункту "Ненавижу" - это требование секретного вопроса и ответа. Сначала просят изобрести сложный пароль, а затем готовы забить на него и дать доступ и возможность сменить пароль любому, кто назовет кличку твоей кошки :)
Windows IE
3
1
Вы забыли подписаться. (#2983442)
ФИКСИРОВАННЫЙ СПИСОК секретных вопросов!!! В котором нет ни одного реально приватного - всякие номера паспортов, любимые блюда и девичьи фамилии, известные десяткам людей.
Без возможности задать свой вопрос.
То ещё зло.
Linux Ubuntu Firefox
 Нидерланды
15
3
byka (#1019372)
Сразу видно человека, никогда не занимавшегося разработкой корпоративных систем :)

1. за спиной непременно окажется несколько человек, из которых кто-нибудь обязательно постарается пароль запомнить. Для прикола, пошутить потом.

2. если будут звездочки (см.п.1) - обязательно найдется Мариванна, которая забудет собственный пароль сразу, как только его наберет.

3. Причем Мариванна будет долго тупить, сочиняя пароль сложнее "111". В итоге придумает "qwe"

4. Пароль "qwe" будет подобран новеньким сотрудником, который томится на рабочем месте, поскольку еще не успел включиться в рабочий процесс. Получив доступ к базе клиентов - он прозреет, скопирует базу и отнесет к конкурентам. Люлей получит Мариванна и разработчики.

5. При всем при этом - через неделю та же Мариванна забудет свой пароль, как раз перед созданием Очень Важного Отчета. Она вынесет моск техподдержке, своему руководству, директору по ИТ, и дойдет до генерального. И все будут выяснять причину, а окажется, что виноват гребаный ПунтоСвитчер, заменивший пароль на "йцу".
В итоге пароли будут храниться в базе открытым текстом.

Никакого злого умысла, чиста жизнь заставляет...
Windows Safari Chrome
14
0
Unica (#2979335)
Зачем такие сложности? Марь-Иванна все равно хранит свой пароль на стикере, приклеенном к монитору.
Linux Ubuntu Safari Chrome
5
2
byka (#2803171)
нет, за это ей уже дали люлей после того как новенький сотрудник слил старую базу конкурентам :)
Windows Opera
5
1
Konstantin Vlasov
> 4. […] Если я хочу поставить "123" — это мое личное дело, а не ваше!

Я раньше тоже так считал. Пока не стал админить форум, на котором в один прекрасный день обнаружилось, что три десятка аккаунтов с подобными паролями оказались взломаны (видимо, простым перебором), и через них весь ресурс был заспамлен чуть менее чем до полной неюзабельности.
Linux Firefox
 Москва
7
4
Leonid Kaganov
Дружище, это проблема движка форума и системы организации. Например, у меня в дневнике можно оставлять комментарии БЕЗ регистрации. Без этой унизительной процедуры ввода имени, "подтверждения емайла" и т.п. То есть, не надо никого "взламывать", чтобы отправить спам - оставить сообщение может каждый. Почему же спама нет при посещаемости до 40000 заходов в сутки? Потому что работает простейшая отсечка, а я просматриваю сообщения, и у меня есть удобнейшая кнопка "забанить мудака, удалив все его сообщения". Если по какой-то причине сообщений будет много и я не смогу их все просматривать - назначу ответственных. В чем проблема?
Linux Firefox
4
1
Л. Янукович
Кстати, Константин вполне неплохо подметил, не могу не согласиться.

Публичный сервис заботится не только о своем пользователе, но и о собственной безопасности тоже. Вас пока спасает небольшой размер ресурса и использование нестандартного движка. Резона особого ломать вас и закидывать спамом сайт нет, но если кому-нибудь когда-нибудь это понадобится - то достаточно просто можно, например, через одну взломанную учетку поставить небольшой зомби-нет постить один и тот же дебильный комментарий, пока вы, например, спите (или уехали в Якутию) - так ли уж много времени займет, например, забить на вашем сервере жесткий диск? Небось не терабайты там, а гигабайт 30-40.

Модераторы, конечно, в какой-то мере спасают, но масштабируется это решение очень плохо. Так что слегка позаботиться о себе и заставить пользователя поставить пароль хотя бы не из списка Морриса - не так уж и сложно, но определенную защиту от не слишком изобретательного хулигана все-таки обеспечит.

Я не уговариваю вас все бросить и срочно этим заняться, я просто пытаюсь объяснить, откуда ноги растут у этой практики. "Звездочки" тоже объяснимы, как и то, что содержимое парольных полей принято сбрасывать. Вы этот момент как-то упустили, но, думаю, вам неоднократно приходилось перебивать заново две копии пароля при неправильно введенной капче на странице регистрации - раздражает, не так ли?

Так что правильно нащупать баланс между мерами безопасности и удобством пользования - задача довольно сложная, и если бы кому-то удалось ее решить, то Интернет бы выглядел совсем по-другому.
Linux Opera
 Москва
6
4
Leonid Kaganov
Маразм какой... )))
Да зачем вам "вломанная" учетка, если спам можно оставлять со своей собственной? Взлом - одна проблема, спам - совсем другая, они решаются разными средствами и не связаны никак.
Вам так нравится само выражение "взломанная учетка", что вы уже забыли цель взлома?
Спам станет еще круче, если взламывать учетку с краденного ноутбука, отнятого у убитой процентщицы! )
Linux Firefox
5
1
Л. Янукович
Со свежезаведенной учетки обычно "можно" несколько меньше, чем с чьей-то неаккуратно заведенной, но уже накопившей репутацию.

Бывает, впрочем, и обратное. Например, вряд ли можно использовать для такого хулиганства учетку того же Маркони, а вот мою - запросто.

Насчет остального... Пожалуй, мы действительно друг друга не поймем. Вы - пишете стихи на PHP, а я регулярно достаю из бэкапов то, что вот совсем-совсем никому не было нужно, а потом вдруг куда-то пропало. Например, 200 блогов, потертых через учетку модератора (пароль там оказался не простой, а ажно 1234567! хакеры, кейлоггеры и лично призрак Эдгара Гувера).
Windows Firefox
1
5
Борис (mbv63)
+100500!!!
Подписуюсь под каждой буквой! Вот бы уже кто-нибудь составил такой меморандум для разработчиков модулей регистрации и утвердил его как международный ГОСТ!!!
Windows Firefox
1
1
Westnik (#513668)
Уважаемые! Интересно было все прочитать, познавательно. Задам вопрос с точки зрения Мариванны, т.е. юзера. С некоторого времени стал пользоваться Хранителями паролей на телефоне с синхронизацией на компьютере.
Нахожу это удобным. Запоминать пароли уже давно не пытаюсь, их у меня не менее 50, всякие кредитные карты, онлайн банки, пин коды, и прочая. Что можете сказать хорошего или плохого про такой способ хранения паролей?

Знаю, другие ведут книжечку паролей, прячут ее в сейф.
Linux Ubuntu Firefox
 Иваново
4
0
Коржик
Плохо - проебать телефон вдали от своего компьютера.
Хорошо - даже с паяльником у вас эти пароли не отберут. Хотя, возможно, для вашего здоровья это тоже будет плохо.
Mac Safari
 Израиль
5
0
braintunic
Возражу по обоим пунктам.
1. Если хранитель паролей приличный, типа RoboForm, то при проебывании телефона, просто ставишь аппликацию на любой другой телефон, синхронизируешься, и все в порядке. Занимает не больше двух минут.
2. С паяльником - все как раз наоборот. Теперь владельцам паяльника нужно выпытать у вас всего лишь один пароль - пароль к хранителю паролей, и все остальные пароли сразу доступны.
Mac Safari
 Швейцария
1
0
Миха (#3099586)
Звучит как-то утопично.
То есть, все 50 накопленных паролей хранишь в "сейфе", который могут украсть, взломать, который можно легко потерять и т.д. Кроме того, его содержимое могут подсмотреть. Потом, у самого сейфа какой-нибудь один простой пароль, и любая системная программа может все данные считать и передать в интернет?
Windows Safari Chrome
 Волжский
1
0
Юрий Дятлов
Это из того же списка маразмов, что и "робот, которому я должен доказать, что я не робот". :)
Хранимый в заднем кармане и регулярно бросаемый на столе закрытый паролем 123 список из 50 Разных Длинных Почти Неподбираемых Паролей...
Linux Firefox
8
1
morruth (#1315455)
>Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки...

Скорее всего имелось в виду - "мы прогнали по своей базе атаку по словарю и схватились за волосы, когда она раскрыла там половину паролей" ;)
Windows IE
0
2
Олаф
В общем - да. Наблюдается паршивая тенденция ко всяким усложнениям регистраций на разных ресурсах. Всё меньше сервисы заботятся о пользователе. Мало, что в комп лезут, меняют что-то, так ещё им номер сотового дай! Ага! База паролей - услада сердцу хакеров и Большого Брата.
Linux Firefox
1
0
Анони-маусс (#1416505)
Там, где просят номер телефона, я не регистрируюсь принципиально.
Windows IE
1
0
Олаф
Аналогично. Нигде в инете, за эти годы, я не оставлял свои номера телефонов. Более того. В инете нет ни одной моей фотографии и настоящих личных данных.
Windows Firefox
 Мытищи
0
1
DGN (#3140229)
я туплю, или в чем проблема прописать пароль 123, если даже ты хранишь только хеш?

очень за возможность любых паролей, не дело говноресурсу решать за пользователя. хотя конечно есть всякие госуслуги и банки, им можно наверное.

звездочки против скринграбберов ведь, а не для трамвая? хотя конечно кейграббер проще... видел в одном банке поле для ввода пароля мышкой, тыкать по цифрам которые в разном порядке каждый раз появляются.

я за генерацию первичного пароля сервером, в своих проектах делал такое основываясь на генераторе эльфийских имен ;-) типа проще запомнить... поменять конечно можно.
Linux Firefox
1
0
Leo B. (#1018496)
Как бы еще узнавать, к какому из множества OpenID привязана учетная запись?
Linux Ubuntu Firefox
0
0
RussianNeuroMancer (rusneuromancer)
Возможность сменить основной e-mail отсутствует, или я что-то упускаю?
Windows Opera
0
0
GH (#2947922)
Кстати мне теперь не дает обновить мой блог с lleo.homeip.net - выскакивает окно HTTP авторизации.
Windows Safari Chrome
0
0
Des
Ненавижу когда в пароле не разрешают применять "спец" символы, типа: "#", "_", "&".
Ненавижу когда нет галочки "показать пароль" чтоб не вводить вслепую. Если за спиной шпион, тогда да - звёздочки, а если я сижу дома один нафига?!
Windows Firefox
 Richardson
2
0
Михаил (#1684620)
Некоторые даже пробелы не разрешают. :-/
А при наличии шпионов лучше даже звёздочки не показывать, потому что по ним видна длина пароля.
Windows Safari Chrome
 Волжский
0
0
Юрий Дятлов
А некоторые - разрешают. Но обрезают по пробелу, или по кавычке, или, как тут замечено, удаляют незначащие нули.

А в одной многопользовательской игре при обновлении был уничтожен аккаунт персонажа с именем NULL. Типа, сам виноват.
Windows Firefox
 Richardson
4
0
Михаил (#1684620)
> ... уничтожен аккаунт персонажа с именем NULL. Типа, сам виноват.

Интересно. Надо было ему перерегистрироваться под новым именем ;-)


(это не, «© Михаил ...», а XKCD 327)
Mac Safari
 Израиль
19
1
braintunic
Лео, конечно, ловко мошенничает!
Написал письмо ненависти: "хочу сказать следующее всем разработчикам!", а когда ему отвечают, что в некоторых случаях одно из замечаний не всегда верно, а в других ситуациях другое замечание не всегда правильно, то реакция стандартна, примеры:

1) - "если за спиной толпятся пользователи, то ввод открытого пароля ..."
- "а с какой целью вы в присутствии пользователя затеяли процедуру смены пароля в моем дневнике?"

2) -"если я участвую в телеконференции с расшаренным экраном, и надо в это время ввести пароль ..."
- "а как вы себе представляете использование моего движка в процессе телеконференции?"

Тогда уж надо было в самом начале сделать приписку:
"Все мои претензии к разработчикам относятся только и только к:
а) разработчикам процедуры смены пароля,
б) только на сайте приватного форума,
в) только с движком собственной разработки,
г) и только если имя сайта lleo.me !"
Linux Firefox
1
4
Анони-маусс (#1416505)
Нехуй на работе лазать по соцсетям, бложикам и говнофорумам. В нормальных конторах есть правило - мониторить деятельность клерка за компом, и в случае обнаружения занятия хуйнёй - выгонять его ссаными тряпками на мороз.
Windows Firefox
11
0
braintunic
1. Слава богу, мне никогда не доводилось работать в таких "нормальных" конторах, которые бы мониторили мою деятельность за компьютером. Если бы я обнаружил, что моя компания пытается применить ко мне подобный мониторинг, то эта компания могла бы немедленно идти на мороз - искать себе другого сотрудника, который бы справился с моей работой (удачи, ребята).
Те компании, где мне посчастливилось за мою жизнь работать, оценивали мою работу по результату, а не по тому, сколько времени я потратил на дизайн, сколько на кодирование, сколько на отладку, сколько на документацию, сколько на заигрывание с секретаршей, сколько на переписку в форумах, и сколько на игру в покер.

2. Если у Лео еще были какие-то (слабые) основания полагать, что разговор крутится вокруг логина к его личному форуму, то ваше утверждение о лазании по "соцсетям, бложикам и говнофорумам" притянуто за такие уши, что им бы позавидовал кролик из Плейбоя.
Сужу по себе, во время работы за день приходится вводить логины не менее нескольких десятков раз. Большинство - логины к разным компьютерам в лаборатории, для отладки кода после установки продукта. Меньшая часть - к разным сайтам технической поддержки и техническим форумам, которые требуют пароль (саппорт IBM - нужен пароль, саппорт Red Hat - нужен пароль, и т.д). Блин, да даже для технической литературы (те же O'Reilly Safari Books Online), и то нужен пароль.
Ну и не забыть на сайт Лео Каганова заглянуть :)
Windows Firefox
0
0
dummy-bear anonym (#1243563)
Подозреваю, что вы не клерк. ;)
Windows Firefox
1
2
tartaglia
Не понимаю, о чём сыр-бор. Известно же распространённое гуманное средство: галочка "показать набираемый пароль". И человек сам решает, будет пароль отображаться на экране или нет.

Когда же пароль не отображается, логично поведение Лотуса, что ли, не помню, когда звёздочки рисуются в неадекватном количестве, так что и длина пароля остаётся скрытой. Либо звёздочки не рисуются вообще.

И всегда наивна и неразумна святая вера в то, что ваш пароль не скомпрометирован каким-то образом: не снят с вашей же клавиатуры, не продублирован в открытом виде на ресурсе или не вскрыт из хранилища хэшей и т.п. Насколько я понимаю, схемы шифрования подлежат во всех цивилизованных странах обязательной сертификации как раз для того, чтобы всё зашифрованное могли вскрыть те, от кого вы, может быть, и шифруетесь.

В конечном счёте все пароли сродни цыскиным, зашифрованным по типу 7, только некоторые раскалываются чуть дольше либо нематематическими методами.
Windows Firefox
3
0
vassiliy.vlassov
Сильно сомневаюсь, что зная метод шифрования можно легко вскрыть пароли. На то и шифрование, что обратная задача не решается. Так что в 99% случаев тупой перебор вариантов, после того как база паролей не помогла.
Windows Safari Chrome
 Москва
0
4
Денис Пантюшев
Сноуден подтвердит!
Linux Ubuntu Firefox
12
0
Ogra
Лео, вы кое-что важное забыли.

1. К прокрустову ложу приговариваются разработчики, которые устанавливают максимальную длину пароля. Пароль в 30 символов - хороший, но им почему-то не нравится. С PRISM сотрудничают, что ли?
2. Разработчики, не признающие спецсимволы, кириллицу и так далее получают запрет на проживание и посещение США, Канады, Великобритании, Австралии, Новой зеландии.
3. Разработчики, применяющие md5 для шифрования паролей в обязательном порядке идут читать Кнута. md5 - очень, ОЧЕНЬ быстрый алгоритм. Расчет md5 на GPU уже не новинка, 3 миллиарда хэшей в секунду - это не шутки.
4. Разработчики, солящие все пароли одной солью приговариваются к полному запрету на использование приправ, пряностей и специй, кроме православного NaCl.
2. Да пусть разработчики ничего не признают, кроме АSCII, но только пусть договорятся между собой и с тестерами.
Вот мне попался роутер с веб-интерфейсом, в котором при смене пароля позволяется вводить что угодно, при логине тоже, но при этом уникод эти две странички, видимо, перекодируют по-разному.
И если бы при смене пароля мне сказали бы: «кретин, у тебя же кириллица включена!», я бы только сказал спасибо.
А так - полный ресет и все с начала.
Linux Firefox
2
0
morruth (#2988675)
4. Пожалейте Леонида ж)
Windows Safari Chrome
4
0
Ogra
Вот что Леонид писал: "Хэши конечно засолены. Причем, засолены, в частности, еще и с номером учетной записи". Так что соли, возможно, все-таки разные для разных пользователей - надо исходники движка посмотреть.
А вот от md5 ему нужно уходить.
Linux Opera
0
4
Leonid Kaganov
Не, это куки так делаются. Не пароли. От md5 я не хочу уходить - придется всех разлогинить...
Linux Ubuntu Firefox
 Владимир
6
0
Adamos
Зачем кого-то разлогинивать?
Отныне проверяем, совпадает ли хэш в базе с вычисленным по-новому. Если нет, проверяем, совпадает ли он с вычисленным по-старому.
Если да, то логиним пользователя и записываем на место старого хэша в базе новый.
Через некоторое время все активные пользователи будут лежать в базе с новым хэшем.
Linux Ubuntu Firefox
3
0
Ogra
Тогда это плохо.
От md5 и общей соли нужно уходить на стандартную, специально предназначенную для этого функцию crypt. http://php.net/manual/ru/function.crypt.php
Генерируете случайную соль для каждого пользователя и хэшируете Blowfish. Вот, кстати: http://www.php.net/manual/ru/faq.passwords.php
Windows Firefox
2
6
Пашка (#1041889)
Прикиньте: на софтовых раздаточных регулярно появляются коцаные проги для конфиденциального хранения паролей и номеров кредитных карт...
Как-то набрел на обсуждение таких прог, так там некто пошел, поискал, и нашел их все взломанные на различных раздачах, кроме одной какой-то, про которую сперва решил, что она-то наверно крепкая... Но оказалась, она просто плохая, неудобная и нахрен никому не нужная, как тот неуловимый Джо.
К сожалению, не помню их названий, я их все просто вычеркнул с тех пор из горизонта, раз они коцаются, пусть идут в жопу.
Я пароль лучше запишу на бумажку в середине записки про телефон и приемные часы хирурга Марка Соломоновича, и приколю прямо перед компом, не таясь. Хрен кто поймет, что это список паролей.
Windows Firefox
5
0
braintunic
Вас кто-то заставляет использовать "коцаные" программы для хранения конфиденциальной информации??
Ведь делать это добровольно способны только пациенты некоторых клиник.
Пользуйтесь оригинальными "некоцаными" программами (хорошими), тогда не придется из другого города звонить на работу вашему сослуживцу, чтобы он вам прочел из записки, приклеенной над компом, этот пароль, спрятанный под приемными часами хирурга Марка Соломоновича :)
Windows Firefox
0
3
Пашка (#1041889)
Невнимательно читаете.
Я не только не желаю пользоваться коцаными прогами хранения паролей, я также не желаю пользоваться ими же и некоцаными - потому что их МОГУТ коцать, что доказано нахождением их всех на пиратских раздаточных.

Я думаю, что если прогу легко взломать для бесплатной установки, то можно и для для чтения паролей - это логично?

А раз так, то я не хочу ими пользоваться в принципе!
О чем и пишу второй раз, впрочем, вы и во второй не поймете.
Теперь глядите: если стандартный наугад взятый человек не в состоянии правильно понять ясно написанный специально ему текст в три фразы, то как же он нафиг догадается, что та записка - на самом деле список паролей?
Шансы на это нулевые. И даже если догадается, там будет столько букв и цифр, как он узнает, где пароль а где заполнение? И от чего этот пароль?

Ну и насчет другого города: это трудно, но представьте на минуту, что та же записка про Марка Соломоновича будет у меня и в кармане, и в смартфоне, и, допустим, на аккаунте в Гугле лежать?
Windows Firefox
4
0
braintunic
Похоже, мы с вами действительно не понимаем друг друга.
Вы говорите: "Я думаю, что если прогу легко взломать для бесплатной установки, то можно и для для чтения паролей - это логично?"
Это логично, но абсолютно неверно (хотя большинство людей почему-то именно так и думают).
Смотрите, у меня на компьютере и на телефоне и на планшете установлена нормальная "некоцнутая" программа по хранению конфиденциальной информации. Далее упрощенно. Информация хранится на сервере, закрытая очень сильным кодом, нечитаемым без пароля. Пароль на сервере не хранится, хранится лишь хэш с солью. То есть, сервер хэширует введенный пароль и сравнивает с сохраненным кэшем - если совпало, значит введен правильный пароль. Обратная задача нерешаема в принципе - невозможно узнать пароль по имеющемуся хэшу.
Теперь, какая мне разница, если кто-то где-то установил эту программу каким-угодно образом взломанную? Все-равно, как бы эта программа ни была взломана, у нее нет никакой возможности получить доступ к моим данным, если она не введет мой пароль. А откуда она его узнает? На сервере этот пароль не хранится, на моих компьютерах тоже не хранится, только у меня в памяти.
Есть разные причины, почему подобные программы не всегда являются панацеей, но уж описанная вами логика точно не обоснована реальностью.
P.S. Кстати, нет НИ ОДНОЙ хоть чуть-чуть популярной программы, которая бы не предлагалась "взломанная" на пиратских раздаточных. Исходя из этого, странно, что вы вообще рискуете пользоваться компьютером :)
Windows Firefox
0
3
Пашка (#1041889)
Но вы же не утверждаете, что все такие проги, для конфиденциального хранения паролей и всего прочего, без центрального сервера не работают?
С сервером работает ваша прога, но послушайте: как только какая-то программа жестко связана со своим центральным сервером и без интернета бесполезна, так сразу она становится невзламываемой!
Ну во всяком случае, теоретически к ней становится возможно привинтить постоянную онлайн-проверку подлинности, и крайне глупо будет производителю такую возможность не использовать, особенно когда прога рекламируется как имеющая отношение к безопасности (иначе будет сапожник без сапог)!
Так несколько лет назад ушел с пиратского рынка Доктор Веб - они приделали проверку при обновлениях баз...
Ну а про автономные проги и речи нет - они все без сапог.
Windows Safari Chrome
 Москва
1
0
Денис Пантюшев
А как вы докажете, что "некочаная" прога не тырит ваши пароли с телефона?
КАК можно быть уверенным, что андроидофон с предустановленными Google-программами не таскает вашу инфу?
Я правда, не android-разработчик, может, там все давно чисто и стабильно. Но все-равно, стремно както хранить на телефоне такую информацию.
Windows Firefox
8
0
Алексей Озеров
Почитал статью. Почитал комменты - и решил зарегистрироваться, чтобы оставить комментарий. Ок нашел где регистрироваться, заполнил форму. Получил в почту 2 письма с запросом на подтверждение регистрации. Попутно удивился тому, что регистрация на авторском сайте худший способ общения с автором. Вернулся на сайт, вернулся в дневник - нажал U - на мониторе с 1280 х 1024 окно логина уехало вправо и появилась полоска нижней прокрутки. Кстати церез Ctrl-Enter нельзя сообщить об опечатке во всплывающем окне при наведении на ссылку движок сайта. (там в середине слова установить лишние буквы). Ну это так издержки ручной работы, понимаю. Зато все свое и не так как у большинства сайтов блогов. Ок. Но почему ко мне приклеилось фото автора при невозможности его сменить на свое - не понимаю.

Но вернемся, к тому с чего начали - пароли и безопасность. Те, кто пользуются VK или ОК получали наверняка и не один раз спам или левые ссылки от аккаунтов своих друзей. У моей жены как-то попытались увести почту на mail.ru - у нее все руки на старом аккаунте не доходили пароль сменить. Про то как в период расцвета у людей тырили аккаунты в ICQ думаю все в курсе. Сейчас есть еще более лакомые куски - Скайп, который хранит у себя всю историю переписки, аккаунты в F2P играх, куда может быть просажена не одна тысяча вечнозеленых. И существуют вполне реальные биржи, торгующие не только честно прокачаными, но и украденными или "брутированными" аккаунтами.

И пойдем по пунктам - двойной ввод пароля - лишний повод убедиться сможет ли человек запомнить пароль и доп проверка - сможет ли он САМ ввести этот пароль. У продвинутых систем поэтому и копипаст туда отключен.

Пароль закрывающийся звездочками при логине - при том, что дальше на вход в рабочую почту нет отдельного пароля - не позволит идиоту или завидующему коллеге в обеденный перерыв отправить от вашего имени письмо на общекорпоративную почту.

Кстати набрать с клавиатуры текст, так чтобы было не видно что набираете, гораздо проще чем прикрыть монитор от нежелательных наблюдателей.

Третий случай - ну приличные сервисы после первого входа с этим паролем клиента переводят на ввод своего пароля.

Четвертый хотя бы заставит людей не пользоваться цельными словами подбираемыми по словарям. Демагогию о том, что это упрощает пароль если человек заранее хотел так сделать - оставим на совести авторов. Собственно главная ошибка рассуждения - там где пароль идет с цифрами и буквами брутующему надо перебирать И ЦИФРЫ И БУКВЫ так что при чисто цифровом пароле на 2 символа есть 100 вариантов, буквенном англоязычном 26 х 26 - 676, А в простом цифробуквенном (без спецсимволов) вариантов 36 х 36 = 1296. И толку взломщику от того, что он знает что пароль цифробуквенный нет - точнее есть, скорее всего робот будет настроен на сброс поиска после перебора чисто цифровых или буквенных сочетаний и переход к другому аккаунту.

Вот 5й пункт толковый.

Но не хватает почему-то жалобы на разработчиков, ставящих капчу, которую здоровый человек с хорошим зрением не может разобрать - вот это бред реальный. Как и капча, которая может просто не прогрузиться на мобильном браузере (при этом показ картинок был включен) Или цифробуквенную капчу с невыключенными из отображения буквой о и цифрой 0.
Linux Ubuntu Firefox
 Владимир
1
7
Adamos
Имхо, человеку, который хочет поделиться своим мнением на тысячу знаков, лучше завести собственный блог, а не строчить простыни в комментариях к чужому.

Насчет демагогии о цифрах - там и на комикс ссылку давали. Что, даже картинки не помогли понять, о чем речь?
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Видимо, не помогли. Попробую разжевать:
1. Математика - это хорошо.
2. Но на практике большинство пользователей не ставят себе пароли, которые можно получить только перебором всех символов подряд.
3. Большинство пользовательских паролей - это то, что человек может запомнить сам. Поэтому высока вероятность того, что пароль содержится в словаре частых паролей - психология, знаете ли.
4. Требования ввести цифры обычно, опять же психологически, приводят к паролю, достаточно слабому, чтобы его запомнить, но "усложненному" за счет 0 вместо о, 4 вместо ch или ч и т.п. Привести словарь паролей к такому "усложненному" виду может любой студент, словарь от такого "усложнения" вырастет от силы на порядок.
5. Зато улов от такого словаря будет выше, чем от обычного, так как даже опытные пользователи опустятся до простых паролей.
6. Вывод: усложнение паролей цифрами сродни быстрому антивирусу - создает иллюзию безопасности, реально ее уменьшая.
Windows Firefox
1
0
Shandrydan (#3399276)
Есть еще более унизительное издевательство.
Банк шлет смски - пользуйся, чувак, интернет-банком, это круто и удобно. Ну ок, но например я не могу войти в интернет-банк, потому что забыл пароль. Ну ладно, бывает. Давайте отвечу на контрольный вопрос и все дела. Вылезает две пустых строки, в одной из которых я должен написать вопрос (или выбрать из десяти вариантов, уже не помню), а в другой - ответ. В итоге они меня вроде вообще заблокировали. Собственно на этом я закончил вообще все.
Windows Firefox
 Нижний Новгород
2
1
tartaglia
Известная реальная старая, лет десять как, история: системщик вскрыл на своём Юниксе пароли и предложил их усложнить тем, у кого вскрылось. Этого американского мужика уволили, чему он очень удивился. У нас немного отстают, по обыкновению, все - и системщики, и начальство.

Мои коллеги-системщики раньше регулярно вскрывали пароли на Винде, когда они были 14 символов, каждые семь из которых шифровались отдельно - мелкософт такой мелкософт. Им юзеры регулярно выдавали запросы: "У меня от монитора отклеилась бумажка, а новый пароль я не хочу - какой у меня был пароль?"

Также типичный запрос: "Я потерял письмо, пусть оно придёт мне ещё раз." Что говорить - меня один раз взяли на работу, чтобы я на Юниксе сделал анализатор транзитной sendmail-почты, был такой запрос от начальства.

Правильный юзер не сомневается, что он под колпаком. На самом деле, это правильный подход для любого. "Всегда считайте, что пароль рута уже скомпрометирован." - есть такое правило.
Windows Firefox
2
0
Westnik (#513668)
"Есть еще более унизительное издевательство. Если я забыл пароль."

Издевательство будет, когда ваши деньги украдут, из-за слабой системы защиты банка. Серьезные пацаны не забывают пароль. И не возмущаются как пионеры, типо "панаставили тут дверей, а я ключ потерял, все козлы". Вот если в банке лежит кровно заработанные 100 штук зелени, тут начнете задумываться.
Windows Opera
2
0
russel (#3563047)
Склонен согласиться.
А от себя добавлю причину, по которой планшет не заменяет мне нетбука. У меня все пароли, ну кроме тех, которые нужны для того, чтобы зарегистрироваться на очередном форуме со скрытыми ссылками, это русские словосочетания, набранные в английской раскладке. Поди - взломай "7_,tl?_jlby_jndtn". Но во всех планшетах клавиатуры с одним знаком на кнопке. И как мне угадать - какой символ где? Приходится смотреть на полноразмерную клавиатуру.
Mac Firefox
1
3
gul (#2961029)
Либо вы шутите, либо сильно заблуждаетесь, считая такие пароли криптостойкими.
И русские слова без переключения раскладки, и русские слова латиницей, и русские слова схожими по начертанию латинскими буквами - всё это проверяется при словарном брутфорсе, т.к. увеличивает время проверки незначительно.
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Не слова. Словосочетания. Замучитесь словарь составлять, не то что перебирать...
Windows Opera
2
0
russel (#3563047)
Создайте файл с паролем "Jlyf;ls?_d_cnel`ye._pbvy.._gjhe", и попробуйте взломать любой доступной программой. О результатах сообщите... лет через 100.
Вы хоть представляете, какой должен быть список? Вобьёте всю литературу? А если я банально буду вместо пробелов ставить "-"?
У такой системы только один недостаток - нужна стандартная клавиатура.
Windows Opera
0
6
russel (#3563068)
К слову - я бы добавил от себя неприязнь обязательности требования по установке пароля. Помню - раздобыл в своё время дистрибутив Убунты. Думаю - гляну. А там по ходу установки следует задать два пароля, причём - определённой степени сложности и - разные. В итоге - после первой установки пароли я забыл. И чего делать? Пришлось переустанавливать. Но если я не хочу ничего защищать? Просто - выдайте окошко, типа "Слишком простой пароль или его нет - если не измените - считаете отказавшимся от гарантий безопасности". Всё! Я просто посмотреть хочу. Или, допустим, потом задать.
Linux Ubuntu Firefox
 Владимир
4
0
Adamos
Это как в установщике Виндов, что ли?
Спасибо, "наелись" результатами такого послабления...
Windows Opera
0
5
russel (#3563047)
И каковы же были ваши результаты?
Меня это вообще однажды спасло. Нужно презентацию на чужом объекте делать, а админ в отпуске и связи с ним нет. А нужны сетевые настройки, чтобы подключить Интернет. Комп - с паролем. По счастью "Администратор" оказался без пароля, чем я и воспользовался.
Linux Ubuntu Firefox
 Владимир
4
0
Adamos
Да не мои, а мировые результаты - многочисленные вирусные пандемии и репутация "решето" у системы, столь наплевательски относившейся к правам пользователей и их защите. Как следствие - быстрое вытеснение этой системы с серверного рынка.
Mac Safari
 Израиль
10
0
braintunic
Мне нужно было деньги взять в банке, а карточку я забыл. По счастью сейф у них оказался не заперт и сигнализация выключена, чем я и воспользовался.
Windows Opera
4
5
Соло (#3463192)
Как был ты, Лёня, норкоман упоротый, так и остался.
Windows Firefox
7
0
Megadest



Нудеть? "Fatal error:" плохое сообщение при восстановлении пароля :)
Mac Safari
 Израиль
3
0
braintunic
"Fatal error" - это цветочки.
На любом Юниксе/Линуксе иногда выскакивает вот такое сообщение об ошибке: "You don't exist, go away!", вот тут испугаешься ;)
Linux Ubuntu Firefox
 Владимир
0
1
Adamos
Не подскажете тот "любой", на котором такое можно посмотреть?
BSD и ее коммерческие клоны не предлагать ;)
Mac Safari
0
0
anonymouse (#1339282)
За остальные клоны не знаю, но на Линуксах часто вижу
Linux Ubuntu Firefox
 Владимир
3
3
Adamos
Никому не кажется странным, что я, сидя под Линуксами постоянно, ничего подобного не видел, а тут уже второй товарищ с Mac то "иногда", то даже "часто"?
Windows Opera
2
4
Justas (#2958133)
Lleo, пиши больше. Талант можно обменивать на деньги разными способами. Раз книги для этого не подходят, ставь рекламу, делай заказные статьи. Мы, твои читатели, в любом случае будем рады новым текстам.
Windows Firefox
2
4
Серж (#3579228)
Пробудили во мне старые мысли о книгах. Сейчас всё скачивают бесплатно и не платят за книги. Но я часто распечатываю на принтере то что скачал и делаю себе книгу. Речь о технической литературе. Печатный вариант удобнее для глаз, там можно делать заметки карандашом и маркером, написать свои замечания. И ребенку покупал сказки с картинками, а не ноутбук давал читать. Мне кажется, что трудно называть книгами современные наборы газетной бумаги в мягкой обложке. Книга должна быть не на один день. Должна быть нормальная обложка, приятная бумага, умный дизайн - это должна быть вещь, которую хочется хранить. У меня есть книги - дореволюционнве издания. Я подобного качества ни в СССР ни после не видел. На западе делают что-то подобное на более современных материалах. Может книга возродится, когда издатели поймут что люди не будут им отдавать деньги за печать на туалетной бумаге, даже если издатель будет называть это бестселлером. Извините ,что не в тему, но может на эту тему стоит отдельно поговорить - как возродить книги?
Windows Safari Chrome
 Chatham
5
1
Vadimus
А еще давайте возродим пеньку, треуголку и ботфорты.
Или хотя бы папирус.

Только вопрос - зачем? Если для вас книга - предмет искусства - наслаждайтесь. Но это уже фетиш, а не способ хранить информацию.
Windows Firefox
 Richardson
4
0
Михаил (#1684620)
> Но это уже фетиш, а не способ хранить информацию.

И, применительно к «технической литературе», далеко не самый удобный способ ей пользоваться, ибо гиперссылки и поиск не работают.
Windows Safari Chrome
2
0
Ник (#3581471)
Все это неоднозначно.
Перечисленные Вами пункты друг с другом связаны. Как Вы и сами показали. И сильно связаны тем, какие именно из возможных конкретных сценариев решено реализовать: для кого это делается, чего хотим избежать/получить.
А Вы в упомянутой беседе выглядите как недоговорной: хотите полностью ваш случай; исходите из того, что другая сторона не имеет свои причины и соображения, а просто не понимает; материтесь.

Это, конечно, не оправдывает решение по блокировке, принятое исключительно по результатам просмотра базы.

всего комментариев: 325

<< предыдущая заметка следующая заметка >>