0
<< предыдущая заметкаследующая заметка >>
08 августа 2013
Движок: восстановление забытого пароля

Вы меня долго об этом спрашивали, но все руки не доходили. Наконец я забыл свой пароль на lleo.homeip.net (а может, пароля там и не было, а я логинился через Фейсбук какой-нибудь?), и пришлось наконец сделать в движке восстановление пароля.

Итак: чтобы вызвать окно логина, надо нажать с клавиатуры 'U' и в раскрывшейся карточке кнопку «залогиниться». Либо — просто открыть страницу по прямой ссылке http://lleo.me/dnevnik/login. В самом нижнем разделе, где ввод логина и пароля, теперь есть ссылочка «я не помню свой пароль». По ней раскроется дополнительный раздел, где надо ввести email, указанный при регистрации (не важно, был он подтвержден или нет) или логин (если не помните email). Или и то и другое, если на один email вы назаводили когда-то кучу аккаунтов. Впрочем, если просто указать емайл, движок сам найдет все аккаунты и перечислит их на выбор. На email отправится письмо со ссылкой, зайдя по которой, вы сможете набрать новый пароль (и вас сразу переключит в ваш старый аккаунт). Единственное что — после моих вчерашних экспериментов с почтой там вывалилась куча мусора в sendmail и он задумался — сервер может работать нестабильно и письма дойдут не сразу.

Пользуясь случаем, хочу сказать следующее всем разработчикам:

1. Ненавижу, когда пароль на экране заменяется звездочками. Если я такой идиот, что мне приспичило набирать пароль в переполненном трамвае, я сам способен решить проблему, как отгородиться ладошкой от пассажиров, заглядывающих через плечо. А профессиональный шпион сумеет углядеть пароль просто по тем кнопкам, которых я касаюсь — их-то вы звездочками не закроете.

2. Ненавижу, когда пароль предлагают «повторить» от опечаток. А нехер было его забивать звездочками, тогда и опечаток не будет! Человек не дебил, чтобы делать опечатку в пароле. А если он опечатался — ничего страшного, проведет смену пароля через почту еще раз.

3. Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...» Смени себе мозг, сука, и придумай нормальный интерфейс! Пароль — личное дело пользователя, а не разработчика.

4. Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.

5. Ну и конечно надо убивать разработчиков, которые хранят у себя пароли пользователей. Только хэш! Вы не имеете никакого права хранить у себя чужое, подвергая своих пользователей риску, если ваш говноресурс кто-то взломает и узнает пароли, которые пользователь, возможно, использует еще где-то. Именно поэтому все эти годы я ничем не мог помочь людям, которые мне писали «Лео, подскажи, какой у меня был пароль?» или «Лео, пропиши мне пароль qwerty123, а то я свой забыл». У меня хранится только хэш.

Извините за резкость, просто на той неделе мне довелось беседовать на эти темы с одним профессиональным деятелем, который половину этих пунктов просто не понимает. Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки...

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок

Комментарии к этой заметке сейчас отключены, надеюсь на понимание.

Windows Firefox
4
0
ТТ
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
имхо лучше не выдавать на выбор акаунты, а молча послать на почту линки поменять все пароли - во первых секурней (зачем кому-то знать что у меня в принципе тут есть аккаунт и какой у него логин. параноя и всётакое), во вторых скорей всего много аккаунтов появилось от того что их/пароли к ним забывали.
Linux Firefox
 Москва
3
0
Леонит Каганофф
Вы абсолютно правы, я думал об этом, но забыл. Сейчас исправил.
Windows Safari Chrome
3
0
greenisha
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Приветствую, а поменять-то пароль если он в хэше хранится проблем не составляет
Linux Firefox
 Москва
1
1
Леонит Каганофф
Составляет. Это я должен написать специальную утилиту, которая соберет все соли и повторит весь путь формирования хэша в движке, и полученный результат руками забить в MySQL-таблицу.
Linux Firefox
0
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Погодите- погодите
У вас же соль _одна_, сами говорили, что вы собирать будете?
Windows Safari Chrome
4
0
KB
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> Это я должен написать специальную утилиту, которая соберет все соли и повторит весь путь формирования хэша в движке

И эти люди запрещают нам ковыряться в носу.
Linux Safari
1
0
_
> Ненавижу, когда пароль на экране заменяется звездочками
Тяжело вам без современных интерфейсов то :)
Linux Firefox
 Москва
1
0
Леонит Каганофф
Это каких же? Плагин к браузеру MyPasswordsStore.exe? ;)
Windows Firefox
1
0
Артем Павлов
Вот, например, милый вариант из Вин8. Пароль скрыт, но его можно посмотреть нажав на глазик. Причем, пароль виден только пока копка с глазиком нажата.





В вебе, правда, делается с некоторым изъебом, потому что не все браузеры дают просто так сменить тип у инпута с парольного на текстовый.

Ну, а так-то я по всем пунктам согласен.
Linux Firefox
 Москва
1
0
Леонит Каганофф
А что мешает сменить сам input? Или показывать пароль во всплывающем окна по наведению мышки на глазик?
Windows Opera
 Обнинск
4
0
Wgent.com
Самое простое решение - средствами CSS сделать большую часть фона (кроме узкой, в 1 пиксел полоски посередине) поля input такого же цвета, как и вводимый в нём текст.
Выделение мышью - и пароль виден!
А по кнопочке рядом можно в поле select-all делать.
Windows IE
0
0
D.iK.iJ
Обычный Javascript на 1 строчку:
http://dikij.com/personal/
Windows Firefox
0
0
Артем Павлов
Да ничего не мешает, просто задача не решается самым очевидным способом для всех браузеров.
Windows IE
0
0
ngs-govno
Вон ниже написали. В вин8 по умолчанию работает везде, не только в браузере. в IE с 10-й версии
Linux Firefox
 Москва
0
0
Леонит Каганофф
Что именно работает? ;)))
Windows Firefox
0
0
grassy
угу. на арморгеймсах давеча требовали менять пароли в обязательном порядке. самое обидное, что если даже его сменить, почти неделю выбрасывало все на тот же экран с требованием поменять пароль по соображениям безопасности. стращная, блин, штука - украдут пароль от сайта с бесплатными играми, где только онлайн-сейвы хранятся.
Windows Opera
0
0
beast
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Бесплатность - штука относительная... если посчитать, сколько трудодней вложено в выбивание рекордов и ачивок, потерять пароль выходит не дёшево.
Windows Opera
 Киев
1
0
manigor
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
"Самому потерять (забыть)" и "украдут" - это разные вещи. В одном случае более вероятно одно, а в другом - другое :-)
Windows Firefox
 Израиль
23
1
braintunic
По поводу этих пунктов с выражениями ненависти к разработчикам, пара замечаний.

"1. Ненавижу, когда пароль на экране заменяется звездочками. ... я сам способен решить проблему, как отгородиться ладошкой"

Когда сидишь в Open Space Office, на открытом пространстве, и у тебя за спиной десятки людей, а перед тобой 27-дюймовый монитор, то при всем желании пароль ладошкой не прикроешь))
Поэтому желательно, чтобы в интерфейсе была опция: "показывать или не показывать пароль".

"4. Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания"

Это правильное замечание, если я - клиент, и ввожу логин к провайдеру услуг, и в случае взлома пароля страдаю только я сам.
НО, если я - наемный работник, ввожу логин как работник в корпоративной сети, здесь я уже не имею права ни на какие претензии, здесь политику безопасности назначает корпоративный IT.
Linux Firefox
 Москва
5
27
Леонит Каганофф
1. Выключите монитор (там кнопочка на корпусе), наберите пароль, нажмите Enter, включите монитор. Не помню, отправляется ли у меня сейчас по Enter, но вроде должно. Если надо - сделаю именно это. Впрочем, на "открытом офисном пространстве" не так уж трудно посмотреть, какие пароли вы каждый день набираете с клавиатуры (некоторые кретины-админы требуют набирать пароль ежедневно, этот маразм потянет на пункт 6, пожалуй ;)

2. Не понял проблемы. Если вы наемный работник в корпоративной сети, то кто это будет пытаться подобрать ваш "простой пароль"? Другие наемные работники вашей корпоративной сети? Но тогда отдел IT, вместо того, чтобы говниться по поводу сложного пароля, должен бдительно отслеживать попытки подбора и сообщать о шпионе в отдел безопасности.
Windows Firefox
 Израиль
29
1
braintunic
1. Точно, выключать монитор, когда набираешь пароль, как это я сам не догадался))
Еще лучше вариант - принести на работу черное покрывало и накидывать его на монитор!

2. Другие наемные работники здесь ни при чем - они и так уже имеют свой пароль для входа.
Если я работник в компании типа Intel или скажем Cisco, то мой пароль для входа в корпоративную сеть представляет собой лакомый кусочек для компаний-конкурентов, для хакеров, для биржевых трейдеров, для журналистов, ну и блогеров не забудем))
Потому то - обязательный сложный пароль плюс обязательная смена пароля каждые пару месяцев.
Linux Firefox
 Москва
9
15
Леонит Каганофф
Попросите вашу корпоративную сеть Intel и Cisco выдать вам специальный usb-ключ как остальным сотрудникам, а то они вас, похоже, за стажера держат :)
Windows Opera
 Москва
11
2
Кирилл
Наличие ключа не отменяет необходимости в наличии пароля. Неужели вы не слышали про двухфакторную аутентификацию?
Mac Safari
1
1
sergey
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Проблема в требовании к сложности пароля. Если есть ключ, то сложный пароль не нужен
Windows IE
0
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Проблема в понимании определения двухфакторной аутентификации = иметь + помнить. Иметь можно хоть супердлинный пароль, помнить - намного меньший и простой.
Windows Safari Chrome
 Москва
4
5
propir
Скажите, какая разница хакерам насколько сложный у вас пароль? Уж от метода перебора, думаю, сисадмины intel в состоянии защититься.

Митник в свое время говорил о том, что самый большой фактор риска не пароли, а люди. Какой бы сложный пароль не был, хоть из стопитьсот букВоцифр
Linux Ubuntu Firefox
 Владимир
7
1
Adamos
Разницу можно проиллюстрировать на примере.
Взломан форум, хакеры получили список логинов с хэшами паролей. Принцип использованного хэша известен.
Составляются радужные таблицы (хэши популярных паролей, полученные по такому принципу), сверяются с базой.
Все, кто использовал один из этих популярных паролей, "попали". Те, кто использовал нетривиальные - не пострадают.

Хотя навязчиво "сложный" пароль - не дело. Я так жене аську восстанавливал после смерти винта. Долго пытался сообразить, что там был за пароль, в отчаянии запросил смену пароля. Вводя новый, получил сообщение типа "не годится - цифр нет". Сразу вспомнил прошлую аналогичную борьбу с той же аськой и ввел тот пароль, на который думал, с дополнительной цифирью - менять не пришлось.

В описанной выше ситуации взлома легко учитывается такой вариант и его обычный результат - человек тупо добавляет одну из 10 цифр к тому, что он считает нормальным для себя паролем. Профанация...
Linux Firefox
 Москва
30
0
Леонит Каганофф
Я пытался восстановить забытый пароль на кривейшем железнодорожном сайте rzd.ru Регистрировать он меня отказался - такой емайл, говорит, уже зарегистрирован. Когда - не помню. Запросил восстановление пароля, и сайт потребовал, чтобы я ответил на контрольный вопрос. Цитирую буквально: блять какой мудак писал эту ебаническую систему? К сожалению, ответа на этот вопрос я не знаю - ни сейчас, ни в те незапамятные времена, когда заводил эту учетную запись. Но догадываюсь, что заводил я ее много лет назад с большим трудом и неоднократным вводом всех данных заново вместе с капчей... ;)
Windows Firefox
4
0
taskmgr
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
ржунимагупацталом
Linux Firefox
 Москва
0
0
Леонит Каганофф
А вот мне в тот момент не смешно было в другом городе с мобильника.
Windows Safari Chrome
13
0
барисыч
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Так ответ же ПИДОРАСЫ
Mac Safari
 Израиль
12
0
braintunic
Ну так сам же виноват!
Кто мешал сформулировать контрольный вопрос так, чтобы ответ запомнился автоматически?
Например: "блять, как назвать того, кто писал эту ебаническую систему?"
Ответ очевиден: мудак ;)
Linux Firefox
 Москва
7
0
Леонит Каганофф
Пробовал.
Windows Firefox
0
0
Ranma
Попробуйте "тупой"
Windows IE
0
0
Вы забыли подписаться.
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
"феерический"
Windows Opera
 Обнинск
0
0
Wgent.com
ХЗ?
Linux Opera
 Москва
19
0
Леонит Каганофф
Если вам так интересно, я могу снова запросить на rzd.ru восстановление аккаунта, а пришедшую по почте ссылку выложу в дневнике. И развлекайтесь, кто подберет - с меня бутылка )
Windows Firefox
6
0
quick_brown_fox
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Леонид, как я вас понимаю! :)

У меня вот недавно издох Yahoo'вский ящик.
Двенадцать лет он прожил в страшной опасности со слишком простым паролем. И наконец... Наконец... Наконец, меня на него не пустили. Причем в два этапа. Первым делом меня предупредили о ужасном факте ущербности моего пароля. Я не поверил. А зря. Потому что на следующий день меня тупо не пустили. Как? А вот так. "У нас есть подозрения, что вашу учетную запись пытаются взломать, ответьте на контрольный вопрос". Контрольный вопрос. Двенадцать лет назад. Вобщем, зря я им не поверил, что ящик у меня в страшной опасности.

Все бы ничего, но этот ящик я использовал везде, где нужна регистрация с мейлом. Теперь судорожно пытаюсь вспомнить, где именно.

В общем, со всеми пятью пунктами согласен по всем пунктам.
:)
Windows Firefox
 Richardson
4
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я после подобного стал контрольные вопросы и ответы тоже записывать... Как побочный эффект, ответом можно указывать любую чушь, даже не связанную с вопросом — чтобы враг не догадался. ;-)
Windows Opera
2
0
niksyatina
Тоже использую несвязанную с вопросом чушь в качестве ответа на контрольный вопрос. Т.к. ответы на банальный вопрос типа "Девичья фамилия матери" легко вычисляются.
Windows Firefox
1
4
Пашка
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Поподробнее можно рассказать, как это "вычисляется"??
А лучше - покажите!
Вот представим, что вы хакер и хотите хакнуть мой ящик, типа pashka@ya.ru
вычислите нам что-нибудь "банальное", например, девичью фамилию моей матери, имя моей первой учительницы и марку моей первой машины!
Ведь сами сейчас сказали, что это "легко". Ну и?
Windows Firefox
1
0
Св
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Два мудака встретились - один пароль не может нормальный сделать, другой не может нормальный скрипт для дебилов написать.
Windows Opera
0
0
tsoky
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
может ответ банально "якунин"?
Windows IE
0
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Друзья, давайте поможем мастеру слова вспомнить все красивейшие и уместные эпитеты к слову "мудак"!

Вот мой скромный вклад:

редкостный
отпетый
необыкновенный
сказочный
феерический
неизвестный
Windows Firefox
 Мытищи
6
0
DGN
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
ну вообще "составляются радужные таблицы" это не так все просто. правильная таблица занимает типично самый большой хард (2тб, щас наверное уже сгенерировали и бОльшие) и создается месяцы, если не годы. так что применяйте в форуме генерацию хеша и соли не из примера, и таблицы отпадут.

если хакер залез на сайт настолько, что слил базу, он может и скриптик повесить на тему высылать ему емайлом все логины-пароли которые будут вводить.
Windows Safari Chrome
 Москва
1
0
propir
Уточню, мы исходим из того, что взламывается пользователь, а не "форум". Проблемы защиты БД лежат на тех, кто их предоставляет и пользователя они вообще не волнуют.
Linux Ubuntu Firefox
 Владимир
2
1
Adamos
Это вы исходите. Обычная практика взломов - массовый слив данных и добыча того, что добывается легко.
Mac Safari
3
0
sergey
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Для таких говно сайтов у меня спец говно пароль. Поэтому не должно быть требований к сложности паролей.
Linux Firefox
2
0
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
плюс стопиццоттыщмильонов!
Аналогично имею около десятка стандартных паролей, которые применяю в зависимости от ситуации.
Бесят говносайты, требующие непонятно за каким хуем регистрацию вообще, а потом ещё и требующие, сука, пароль с цифрами, знаками препинания и прочей хуитой, походу руководствуясь только непомерно распухшим ЧСВ, т.к. сайтик их так-то нахуй вообще никому не впился никуда.
Windows Firefox
1
0
Маркони
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Не, у нас в компании смена пароля каждые полгода, прикольно выглядит менять старый пароль на старый :)))
Linux Firefox
 Москва
2
3
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Если бы это зависело от меня, то я бы недопустил подобной безответственности :-)

Да, у меня паранойя, у меня все пароли подобного вида:

[fywa@sys3175 ~]$ mkpasswd -s 0 -l 8
6JI6zkut
[fywa@sys3175 ~]$ mkpasswd -s 0 -l 8
qo6QD8qq
[fywa@sys3175 ~]$ mkpasswd -s 0 -l 8
n46NdhXm
[fywa@sys3175 ~]$

И я их запоминаю естественно, и никогда никуда не записываю.
Linux Ubuntu Firefox
4
1
sapa
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
И как много таких последовательностей вы в состоянии помнить? Десятка два сможете? А три?
Linux Firefox
 Москва
1
3
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ну я не мальчик с феноменальной памятью, так что не более одного десятка. Т.к. различных аккаунтов где надо вводить пароли у меня тоже не более одного десятка, то помню все.
Windows Safari Chrome
4
1
Arseny
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
- две кредитки, соответственно два логина в интернет-банки
- банковский счет, не кредитный - еще один логин, причем раз в полгода требует принудительно менять пароль и следит чтобы не использовался какой-либо из ранее использованных
- рабочий email
- личный email
- форумы по моему хобби, 3 штуки
- форум по работе
- форум по моему автомобилю

...уже 10, а я еще только разогнался
Windows Firefox
4
0
vassiliy.vlassov
Достаточно 3х паролей которые твёрдо запомнил и далее комбинации из них. Комбинаций тоже не много получается. Даже если забыл, то подбирается махом. Проверено. В инете с 1994 года сижу. Как говорится, ни одного разрыва!
Windows Firefox
1
0
Megadest
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Радикальный подход...
Это признание "я не пользуюсь вашими интернетами"?
То есть не заказывать в онлайн магазинах, не ходить по банкам, не регистрироваться на рабочих форумах, не...
Я знаю, что в РФ интернет не дошел, но не до такой же степени? :)

Вот специально пошел, посмотрел -- у меня порядка 200 паролей в разные места. Ну, допустим, какие-то 10-20 из них сдохли, а я не удалил, но остальные -- вполне рабочие.

Помню я, впрочем, десятка 2-3, остальные в записях закриптованы...
Windows Safari Chrome
0
6
Camel1000
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я надеюсь, на самом деле у вас система совсем другая? Потому что эту вы только что торжественно спалили ;)
Linux Firefox
 Москва
4
1
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Нет, именно такая система. А вот чем я её спалил я в упор не понимаю.
Mac Firefox
8
0
unclegluk
У товарища винды — он просто не знает, что делает команда mkpasswd.
Windows Safari Chrome
 Москва
1
1
propir
Это моветон использовать, как пароль имя своей кошки.
Windows Firefox
 Мытищи
1
0
DGN
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
я как-то получал сообщение "старый пароль совпадает с новым" и "этот пароль вы уже использовали"...
Linux Firefox
 Москва
9
1
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А как вам попытка попытка сменить пароль для своего же логина? Просто по логике вещей набрать в поле "Новый пароль" новый пароль и нажать Ok/Сохранить, да? АВОТХУЙ!





Знакомый интерфейс, не правда ли? :-) Именно потому, что я не помню пароль на http://lleo.me/dnevnik уже лет пять-шесть, а http://lleo.me/dnevnik про меня помнит, я таскаю по бекапам cookies.sqlite от Firefox, который подсовываю всем файрфоксам когда систему приходится переставлять полностью с нуля. Иначе http://lleo.me/dnevnik меня не узнает, придётся заводить новый аккаунт и тогда прав станет товарищ ы, утверждающий что у меня на самом деле куча аккаунтов с которых я сам себя плюсую постоянно. Хотя это и не так, аккаунт у меня один, только с неизвестным мне паролем, который "не глуши, не заведёшь!", только бекапом печенек можно восстановить.
Linux Opera
4
1
Леонит Каганофф
Мне стыдно, но я исправлюсь.
Windows Firefox
0
2
Маркони
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Леонид, можно сделать проще: почистить аккаунты и предложить залогиниться заново ;)
Windows Firefox
0
0
Маркони
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Товарищ Ы мне говорил, что у меня дохрена браузеров и несколько осей, а так же несколько анонимных аккаунтов, он даже пытался это доказать, за что был послан в известном направлении по ИЗВЕСТНОМУ АДРЕСУ ;)
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
В моё босоногое дайлапное детство в конференциях моего первого провайдера "МТУ-Интел" был некий товарищ с ником Ы, который тоже любил сочинять всякие небылицы не только про меня, но и про большинство тамошних %username%. Сам товарищ Ы был в меньшинстве, ибо являлся ярым и оголтелым коммунистом, фанатом КПСС, СССР, всяких чучхе и прочих единственно правильных по его мнению идеологий. Вот я думаю, тот товарищ Ы и местный товарищ Ы не родственники часом?
Windows Firefox
0
0
Маркони
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Подозреваю в камраде Ы Самого, тот тоже всегда с Линуха.
Windows Firefox
17
2
LastFire
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
>>Еще лучше вариант - принести на работу черное покрывало и накидывать его на монитор!

дедовские методы каие-то
Linux Firefox
 Москва
15
1
Леонит Каганофф
Издалека видать cтаричка-разработчика, чье детство прошло в СССР у игрального автомата "Морской бой" ;)
Windows Firefox
1
0
taskmgr
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Кстати, есть чудесный эмулятор под винду - называется "Советские игровые автоматы". Иконка - в виде 15-копеечной монеты. У меня дети играют иногда. Очень удивились, когда я сказал им, что такие шкафы раньше стояли в реале, физически.
Windows Firefox
1
0
aikr
А ещё есть сайт 15kop.ru
Windows Safari Chrome
0
0
Aleksandr
а я был в этом музее и неограниченно играл на автоматах. Воть.
Windows Opera
0
0
niksyatina
В Москве есть музей советских игровых автоматов, где за небольшую сумму можно купить 15-копеечных монет и поиграть в любые :)
Windows Firefox
14
1
vinny-the-poo
Полностью поддерживаю брейнтюника. Ещё хуже ситуация у меня: толпой приваливают подрядчики, пользователи и прочие должностные лица. Просят решить проблему (что-то найти в инете, раскрыть нераскрывающийся файл, прочитать почтовое послание и прокомментировать, что-то хитро отформатировать или прошить), тычут флешками, толпятся, дышат в затылок.

И так-то наваливание грудью на клаву, заслонение собой набираемых символов вызывает смешки и подколки (в последнее время всё меньше — сразу отвечаю матом), а тут ещё и моник выключать. Нет, спасибо, обойдёмся без лишней нервозности. Звёздочки — наше всё.
Linux Firefox
 Москва
4
15
Леонит Каганофф
Давайте я уточню: а с какой целью вы в присутствии пользователя затеяли процедуру смены пароля в моем дневнике? Они вам тычут флешками и торопятся решить проблему, а вы херней заняты? ;)
Mac Safari
 Израиль
11
0
braintunic
Это к кому обращен вопрос?
Разве не видно, что человек заходит сюда через ЖЖ, то есть вообще никогда не вводит и не использует никакого пароля на сайте LLeo?
Обсуждение давно уже идет об общих принципах интерфейса, а вовсе не о мелком частном случае ввода паролей на данном сайте.
Windows Firefox
 Челябинск
16
0
vinny-the-poo
В тексте были приведены претензии ко всем разработчикам. Исходя из контекста их следует рассматривать как концептуальные. Вот в этом ключе я их и обсуждаю.
Linux Ubuntu Firefox
 Иваново
0
0
Коржик
Золотое правило: "по одному".
Mac Safari
1
0
sergey
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Все запросы по емейлу, а то потом "я не то просил"
и в очередь с приоритетами
Windows Firefox
0
0
vinny-the-poo
В силу специфики это не вариант.
Windows Firefox
0
0
dummy-bear anonym
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я когда монитор выключаю у меня глупая винда переносит все окна на оставшиеся мониторы. :-
Windows Firefox
 Москва
2
0
Abstraction
Если сервис рассчитан на людей, о безопасности паролей не имеющих представления, и если известно, что они его всё равно скажут запомнить браузеру с вероятностью 99.99%, то, как мне кажется, пункт 3) может иметь право на существование. Хотя больше 8-10 символов с минимумом спец- при таком подходе делать всё одно бессмысленно, по очевидным причинам.

За "посмотрели пароли по базе", конечно, надо бить ломом. А вот что делать, если "мы на тестовой выборке пользователей провели атаку по словарю и вскрыли 90% паролей" - это вопрос заметно более неприятный.

А закрытый звёздочками пароль - это какой-то рудимент, особенно "приятный" при наборе пароля на экранной клавиатуре с touch-интерфейсом. Под Firefox есть плагин, но помогает относительно.
Linux Firefox
 Москва
6
2
Леонит Каганофф
Если человек о безопасности не имеет представления, он и пароль от своей почты не сможет сохранить в тайне. А если человек не имеет представления о компьютере и о том, что пароль надо запомнить? Нельзя строить сервис в расчете на идиотов, это оскорбляет нормальных пользователей.

Что касается всего остального, есть ли в мире статистика, какой процент взломов приходится именно на подбор паролей, а какой - на вирусы, руткиты, кейсканеры и дешифровщики браузерных хранилищ? Возможно, люди зря требуют вешать на дверь амбара замок весом 5кг вместо 200гр, а воришки лезут внутрь, отодвигая фанерку на окошке?
Windows Firefox
 Москва
0
2
Михаил Воронков
Вот более научное обоснование поднятой в посте проблемы http://infowatch.livejournal.com/13253.html
Windows Firefox
5
0
Abstraction
> Нельзя строить сервис в расчете на идиотов, это оскорбляет нормальных пользователей.
Встречный аргумент: многие сервисы нельзя строить без учёта того, что процент... ну, не идиотов, но людей недостаточно разбирающихся в ИБ - довольно велик. У пользователя всегда должна быть возможность сказать "я знаю, что я делаю", но презумпция абсолютной компетентности может ухудшить качество сервиса.

> Что касается всего остального, есть ли в мире статистика, какой процент взломов приходится именно на подбор паролей, а какой - на вирусы, руткиты, кейсканеры и дешифровщики браузерных хранилищ?
Сходу не нашёл. Есть факты - что словари достаточно активно распространяются, что функция атаки по словарю встроена в ряд хакерских инструментов, начиная с Metasploit, что по сей день достаточно велика доля повторяющихся паролей ( http://thepasswordproject.com/2012-02-01_how_effective_is_a_[...] ).
В общем, лично моё мнение, что пароль, уязвимый к атаке по словарю - это не есть хорошо. Лучше бы на всяких сервисах вместо дурацкого "индикатора надёжности" (который безбожно врёт на честных случайных символах) делали проверку по паре наиболее расхожих словарей и в случае совпадения предупреждали бы пользователя.
Windows Firefox
 Мытищи
2
0
DGN
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
кстати да, индикатор надежности пароля рулит! а если еще и небанальный, с чеком по словарям. и с автодобавлением в словари ;-)

классный может быть ресурс - проверьте свой пароль и подпишитесь на обновление словарей ;-)
Linux Firefox
7
1
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вот я худею, каждый говнофорум, в котором за каким-то хуем даже в режиме рид-онли нельзя без регистрации, считает, что он настолько Ахуенен, что может себе позволить от меня пароль не короче 40 знаком требовать и всё такое.
Робяты, запомните: ежели я на вашем Ресурсе ввёл пароль 123, то с вероятностью 99% это не потому, что я дебил, ничего не понимающий в безопасности, а потому, что ваш ресурс - говно, и аккаунт на нём мне так-то и в хуй не впился, и мне глубоко похуй, угонят ли аккаунт или через него взломают ваш говноресурс (потому что ахуенные спецы по IT-секьюрити сделали всех пользователей форума юзерами форумного сервака с правами рута, гыгыгы).
Windows Safari Chrome
 Волжский
0
0
Юрий Дятлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
+1. Причём именно на подобных ресурсах оно и процветает. Ну сделай, блин, напоминание "нам кажется, что пароль слишком простой", но именно как пожелание, а не обязанность. Нет, ещё и поэтапно: меньше 8 символов нельзя. А теперь нет цифр. а теперь - заглавных букв. а теперь - знаков препинания. А теперь - китайских иероглифов. А теперь - шумеро-аккадских логограмм...
В общем, согласен со всеми пунктами, указанными Леонидом. И сам некоторые из них на днях формулировал. Устно и с применением ненормативной лексики.
Windows Safari Chrome
12
2
Camel1000
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
"Нельзя строить сервис в расчете на идиотов, это оскорбляет нормальных пользователей."

А вот здесь и заключается фундаментальная ошибка. Не только можно, но и необходимо строить интерфейс именно в расчете на "идиотов". Только тогда все будет хоть как-то работать.
Windows Firefox
 Москва
8
3
Михаил
"Создайте систему, которой сможет пользоваться даже дурак и только дурак будет ею пользоваться".
Linux Opera
6
6
Леонит Каганофф
Не сходить ли вам на собеседование в Microsoft? )
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
> они его всё равно скажут запомнить браузеру

А что в этом страшного? Я большую часть своих паролей доверяю хранить Файрфоксу. Естественно, задав мастер-пароль, чтобы просто так, с диска, их прочитать не получилось. Не вижу в этом сколько-нибудь реальной угрозы безопасности.
Windows Firefox
0
0
Abstraction
Речь о том, что пользователю не придётся этот автоматически сгенерированный пароль забивать себе в голову. Я не говорю, что хранение пароля в браузере само по себе является угрозой (во всяком случае, не читал об атаках, которые бы опирались на сохранение паролей).
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Ну, носить профиль того же ФайрФокса с работы домой тоже не хотелось бы. Так что этот хитросочиненный пароль все-таки мимо головы не пройдет, так или иначе. Другая машина, другой браузер - и сразу неудобства.
Linux Firefox
0
0
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Как, ты не слышал про скачивание хранилища Оперы через торрент???
Вшоке.
Windows IE
0
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
а читали про утилиты, которые показывают пароли, сохраненные в разных прикладных программах? Браузеры не исключения, а тем более популярные браузеры.
Windows Firefox
2
0
Abstraction
Если машина пользователя скомпрометирована, то в первом приближении не столь важно уже, получит злоумышленник пароль из хранилища или из кейлоггера.

Я говорил об атаках вроде "сделать так, чтобы браузер подставил пароль в невидимое поле на странице под контролем атакующего, содержимое которого отправится злоумышленнику"
Linux Ubuntu Firefox
 Владимир
0
1
Adamos
Я выше уже упоминал средство от таких программ: мастер-пароль. Рекомендую.
Mac Safari
0
1
sergey
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
"провели атаку по словарю и вскрыли"
А разве не против этого соль используют?
Windows Firefox
 Москва
3
0
Abstraction
Не совсем. Если алгоритм получения хэша известен атакующему (а мы всегда принимаем, что он известен), от атаки простым перебором она не защищает.
Соль нужна для скрытия информации о том, одинаковы ли пароли у некоторой пары пользователей и, соответственно, эффективного приравнивания взлома базы с 100000 записей к 100000 одиночных взломов.
Есть парная мера, "растягивание" (stretching). Вот она помогает защитить пароль от перебора.
Прочитать об этом можно, например, здесь:
http://www.rsdn.ru/article/crypto/StorageOfSecrets.xml#ESC
Windows Firefox
0
0
vassiliy.vlassov
Постойте. Просветите немного, ибо я отстал от современных хакерских систем. Ранее я полагал, что неважно каким образом формируется результат хэш-функции. Важная особенность любой хэш-функции, это отсутствие единственного решения обратной задачи. Зная хэш, мы не можем точно сказать какие были входные переменные в функцию, а лишь определить множество входных параметров. Ну и кому захочется перебирать множество? Ведь мощность множества велика. Тут не хватит и жизни, ну разве что случайно напорешься на вариант из начала списка.
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Это математика, а мы говорим о практических вещах. Давайте посмотрим на примерах. Допустим, у нас есть сворованная база пользователей и полная информация об алгоритме хэша.

1. Пароли хранятся в виде хэша без соли.
Берем словарь частых паролей и делаем хэш каждой строки словаря по известному нам алгоритму, проверяя, не встречается ли в базе такой хэш. Если встречается - мы теперь знаем исходный пароль тех пользователей, у которых совпало.

2. Пароли хранятся в виде "соленого" хэша, соль одна для всех пользователей.
Делаем то же самое, только вычисляем соленый хэш. С тем же результатом за то же время.

3. Пароли хранятся в виде "соленого" хэша, соль у каждого пользователя своя.
А вот тут каждый словарный пароль для каждого пользователя даст свой хэш. И для каждого придется перебирать весь словарь. В результате время перебора умножается на количество пользователей.
Windows Firefox
0
0
tartaglia
Уже 30 лет разглядываю /etc/shadow. Никаких взломов - так можно продублировать пользователя на другой Unix и сказать, что имя/пароль старые.

Я помню, что Unix изначально гордился своей системой паролей - односторонний медленный алгоритм шифрования, разные случайные соли. Возможно, всё это были пионерские оригинальные разработки, не помню уже.

И вот я разглядываю эти shadow 30 лет и по характеру хэшей то и дело вижу, что алгоритм шифрования изменился. Каждый раз оказывается, что "медленный" алгоритм недостаточно медленный.
Windows Firefox
4
0
Abstraction
> Важная особенность любой хэш-функции, это отсутствие единственного решения обратной задачи. Зная хэш, мы не можем точно сказать какие были входные переменные в функцию, а лишь определить множество входных параметров.
Почти правильно. Важная особенность хэш-функции (её отличие от произвольного неинъективного отображения) - эффективная необратимость, сложность вычисления даже одного значения f^(-1) для произвольного аргумента. Вторая важная особенность - эффективная невычислимость коллизий (т.е. невозможность эффективно выбрать пару значений x,y : f(x)=f(y)).

> Ну и кому захочется перебирать множество? Ведь мощность множества велика.
Мощность множества исходных текстов велика. Однако энтропия пароля меньше его длины, и на этом основана атака по словарю: мы берём элементы множества x, для которых априорная вероятность f(x)=y для нашего y относительно высока. То есть, на множестве строк (формально вообще бесконечном) мы выбираем подмножество в несколько тысяч элементов. Его мощность уже невелика, а вероятность того, что пароль находится в этом множестве, существенно выше 0.

Одна на всех соль, как уже отмечено, против этой атаки не помогает. Фактически, она по имеющейся хэш-функции f строит хэш-функцию f', столь же стойкую. Это может быть полезно, если для f уже построены таблицы значений для многих строк: для f' их придётся строить заново.

Индивидуальная соль играет ту же роль для индивидуальных записей по отношению ко всей базе: теперь нельзя провести эффекивных приготовлений для исследования паролей базы в целом, записи надо разбирать поштучно.

Растягивание домножает требуемое время словарной атаки на некоторый постоянный коэффициент, что может задержать атакующего и свести к минимуму урон от успешного взлома.

Всё сказанное в этом сообщение - некоторые академические рассуждения; если кому-то придёт в голову мысль опираться на них при построении реальной системы, то это будет не очень умная мысль.
Windows Firefox
12
0
Ranma
Например в WinRar сделано так: либо пароль открытый и вводится один раз, либо звездочки и 2, человек сам выбирает способ и не зависит от личных предпочтений разработчика
Windows Firefox
 Израиль
36
0
braintunic
Це винрарно.
Windows Opera
 Новосибирск
1
3
OHOTOJIE
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
забавную реализацию видел в какой-то софтине - она при наборе пароля 2 секунды показывала вбитый символ, а потом меняла его на звездочку.

Но самый убойный случай - когда при установке линукса лохматого года в комстроке не показывались вообще никакие символы, будто в пустоту набираешь. А потом еще и повторить пароль просили.

А вот пример из современного косоручия: форум на сайте openinfotech точка ru. Просил зарегистрировать логин 0507033, пароль 1234567, и указать почту. Ок - зарегался, активировался - не пускает раз, другой, третий. Пишу- забыл пароль, пришлите на мыло (зря чтоли указывал?). Присылают совершенно другой логин 507033 и пароль ну совершенно не тот, который я указал. И такой у них весь сайт косорылый.

Кстати, ни у кого не завалялся hytech sql server?
Linux Firefox
 Москва
3
0
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> при наборе пароля 2 секунды показывала вбитый символ, а потом меняла его на звездочку.

В телепхонах Nokia когда задаёшь пароли для e-mail и для разных точек доступа по жизни так. За другие телепхоны не скажу, у меня кроме Nokia других сроду не было.
Linux Firefox
0
0
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
За другие телефоны тоже так, Алкатель, например.
Linux Firefox
6
1
Л. Янукович
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> Просил зарегистрировать логин 0507033, пароль 1234567, и указать почту. Ок - зарегался, активировался - не пускает раз, другой, третий. Пишу- забыл пароль, пришлите на мыло (зря чтоли указывал?). Присылают совершенно другой логин 507033 и пароль ну совершенно не тот, который я указал. И такой у них весь сайт косорылый.

А, это прикол от сильно умного PHP. Он если число в строке видит - часто в число и преобразовывает. Вам еще повезло, что просто нолик в начале откинул, мог бы и вовсе посчитать восьмиричным числом.
Windows Firefox
 Richardson
1
1
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Там из-за этого со сравнением хэшей ещё веселее было: http://phpsadness.com/sad/47

И вообще, от PHP слоны заводятся: http://lleo.me/dnevnik/2013/08/08.html?=PHPE9568F36-D428-11d[...]
Windows Firefox
1
0
vassiliy.vlassov
В старых давних временах, в 94 году довелось сидеть на скотине (SCO unix). У этой скотины при добавлении пользователя стояли какие то свои алгоритмы определения "кошэрности" пароля на предмет подбороустойчивости. Как мне тогда поведали, система анализировала, в том числе, и соседство кнопок между собой. И если пароль казался системе простым, скотина его не принимала. Так что проще было принять пароль, который система сама сгенерила. До сих пользуюсь.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> Единственное что — после моих вчерашних экспериментов с почтой там вывалилась куча мусора в sendmail и он задумался - сервер может работать нестабильно и письма дойдут не сразу.

Что-то "не сразу" уже довольно долго происходит (это я эксремент хотел сделать, надо же новую фичу попробовать!) и до сих пор так и не произошло.
Linux Firefox
 Москва
1
0
Леонит Каганофф
Мне до сих пор приходят письма, которые робот отправил позавчера - в старом еще дизайне ;)
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Везёт! А мне вот до сих пор так ничего и не пришло. За весь вечер, ночь и кусочек утра -- ни-че-го до сих пор.
Windows Firefox
0
0
Маркони
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да, подобный косяк тоже был... зарегился, пароль не накарябал на бумаге(может и накарябал, но в бардаке на столе всё перепуталось, ещё и жена помогла), вот и получаете хрен знает что с разных аккаунтов...
Windows Safari Chrome
8
1
ewafe
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
пароль звездочками нужная штука - это защита от случайно подсмотренных паролей людьми у которых нет умысла на взлом.

Когда кто-то рядом с монитором и нужно набрать пароль, например с коллегой вопрос обсуждаем и там по дороге всплыла надобность куда-нибудь залогиниться, просить людей отвернуться - лишняя заморочка, лучше чтобы звездочки. У меня такая ситуация бывает с периодичностью в месяц, примерно.
Mac Safari
1
1
Вячеслав Сомов
Речь идет не о залогинивании, а о смене или установке пароля
Mac Safari Chrome
 Москва
0
0
artyfarty
Можно обнаружить людей со слабыми паролями даже если хранятся хеши, просто перебором по словарю пройдясь по базе. Причем если хеши не засолены, то такой перебор делается за всего лишь кратное длине словаря время.
Linux Firefox
 Москва
4
2
Леонит Каганофф
Хэши конечно засолены. Причем, засолены, в частности, еще и с номером учетной записи. Поэтому "пройти по базе" я не могу.
Windows Firefox
1
0
^__^
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
1)Может пользователю самому решать, использовать звездочки, или нет? Закрываться менее удобно, чем их использовать. И, если говорить не о шпионах, дофига людей не смогут восстановить пароль по набору, но смогут запомнить увиденный.
2)Мозг так не работает. "По рзелульаттам илссеовадний одонго анлигйсого унвиертисета, не иеемт занчнеия, в кокам пряокде рсапожолена бкувы в солве"
4)Это выгодно разработчикам, т.к. забывший пароль не свалит с их сервиса. Но невыгодно пользователю, да.
Linux Safari Chrome
5
0
Andrew Kolchoogin
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ты проходишь путь Брюса Шнайера. Он тоже сначала говорил, что, дескать, пароли должны не звездиться, потом -- что звездиться, потом -- что не пришёл с собой к единому мнению.
А так -- всё верно, кроме того, что сайт вообще должен быть Zero Knowledge -- хэш от логина и пароля должен вычислять JavaScript на стороне клиента. IHMO, конечно.
Linux Firefox
 Москва
0
2
Леонит Каганофф
Это мудрое замечание. А есть md5 под JS?
Linux Ubuntu Firefox
 Нидерланды
0
0
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
да. Более того - все распространенные алгоритмы шифрования.
Библиотечка на джаваскрипте подключается...
Linux Firefox
 Москва
2
1
Леонит Каганофф
А есть конкретно md5, да покомпактнее?
А то иные говнописатели чтоб 2+2 сложить создают иерархические системы классов и подключают фреймворки...

Давече спорили с другом в аське. Мне нужен был алгоритм на PHP, который бы проверял, входит ли IP в диапазон, заданный маской типа "123.123.123.123/24". Товарищ предлагал немыслимого размера файлы с процедурами и классами, созданные человечеством на PHP для решения этой задачи (причем, с использованием функций, которые не во всех версиях PHP есть). А я написал 3 (три) строки.
Linux Ubuntu Firefox
 Нидерланды
0
0
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
а вот не знаю.
То, о чем говорил - называется CryptoJS, мне как раз нужно было шифровать данные в браузере и сохранять на сервер уже шифрованными. Вот там md5 тоже был.
Библиотечка около 20кбайт.

На тему "писать самому" или "использовать фреймворк" - это от ситуации зависит.
Например, подключать весь GLIB + GNOME ради единственной функции преобразования имени файла в URI типа file:///path/filename - это явно перебор (видел такое).
С другой стороны, если заведомо ожидается наличие GLIB + GNOME - почему бы и не использовать?
Mac Firefox
3
0
gul
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Правильно ли я понимаю, что md5 под JS нужен для того, чтобы не использовать https и быть более-менее защищённым от того, кто может прослушать трафик?
Если да, то, во-первых, откуда взялась столь странная цель (не использовать https), а во-вторых, боюсь, тот, кто видит трафик, сможет залогиниться под аккаунтом пользователя и без знания пароля, перехватив информацию из cookies (session-id или что там используется).

И так ли часто случается, что злоумышленник может прослушивать трафик, но не может на него влиять (перенаправив на себя)? А если может перенаправить, то никакой md5 в JS от утечки пароля не спасёт.
Windows Firefox
 Richardson
3
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Давайте уже скинемся Lleo на сертификат для HTTPS. :-)
Mac Firefox
0
0
gul
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А чем не устраивает бесплатный?
Я на свой личный сайт получил сертификат на startssl.com, броузер не ругается, меня всё устраивает.
ЧЯДНТ? ;-)
Windows Firefox
 Richardson
0
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Бесплатный он мог бы и сам давно уже сделать, а так хоть стимул будет. :-) И, как я понял, их бесплатный отличается от самодельного только тем, что «броузер не ругается».
Mac Firefox
0
0
gul
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Так весь смысл сертификации сайтов в том, чтобы "броузер не ругался". Если вдруг пользователю вместо моего сайта ответит какой-то другой от моего имени, его броузер ругнётся, что и требуется.
Бесплатный сертификат отличается тем, что его не бывает на поддомены (*.lleo.me не получится, только что-то конкретное), его нужно обновлять каждый год и его можно использовать только в некоммерческих целях.
Windows Firefox
 Richardson
0
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Про некоммерческие цели я там вроде не заметил, но это и не важно. Суть в том, что для этих сертификатов они довольно поверхностно подходят к проверке подлинности клиента. Т.е. вроде бы при некоторой ловкости враг может написать от имени владельца письмо «ой, у меня всё пропало, дайте-ка новый сертификат» и таки получить его. (Впрочем, если не параноить, то даже такой гораздо лучше вообще никакого. :-) )
Linux Opera
0
0
Леонит Каганофф
md5 под JS я планировал когда-то использовать для разных других целей - когда браузер собирает ленту с разных движков (разных серверов) и надо на лету делать всякие там подписи и ключи проверки подлинности.
Windows Opera
 Малаховка
0
0
yura
Linux Firefox
 Москва
0
1
Леонит Каганофф
Спасибо!!! Очень даже православненько так...
Linux Firefox
3
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А сервер просто сравнить хеш с тем, что у него записано?
Если да, то поздравляю - можете считать, что хэша нет.
Linux Firefox
 Москва
0
1
Леонит Каганофф
Я так понял, речь о том, чтобы не передавать пароль в открытом виде даже 1 раз. Сервер должен прислать пользователю уникальную (желательно именно для этого клиента) соль, а браузер зашифрует пароль с этой солью через md5 и пошлет результат шифрования серверу. Далее все как обычным паролем - сервер его зашифрует поверх уже по своему алгоритму, и в таком виде сохранит или проверит...

В результате злоумышленник "на взломанном домашнем маршрутизаторе" сможет прослушать соль, сможет прослушать шифр в ответ, но каков был вводимый с клавиатуры пароль, не узнает. Типа смысл в этом.
Linux Firefox
2
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А ему и не надо.
Если соль для этого клиента всегда одна и та же, то результат шифрования тоже всегда будет один и тот же. его и перехватываем.

А если нет - тогда на сервере пароли надо хранить в открытом виде.
Linux Firefox
 Москва
0
0
Леонит Каганофф
Не понимаете.

Здесь уже вопрос не в том, чтобы защититься от перехвата информации, если по условиям задачи злоумышленник ее слушает на том же конце провода, что и сервер (взломан сам сервер или провайдер или домашний роутер).

Вопрос в том, чтобы пароль "vasya123" никогда не звучал на этом проводе, а звучал лишь его шифр, по которому нельзя восстановить, что пароль был "vasya123" (и пробовать его на других ресурсах этого пользователя, например, в банковской админке, вдруг у него он всюду один).
Linux Firefox
1
1
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
если пароль именно vasya123 (или любой другой словарный) - очень даже можно.
Просто перебираем по словарю (алгоритм мы знаем)
займёт несколько минут даже на не очень мощной машине
(john the ripper у меня на машине перебирает порядка 10000 md5 в секунду, словарь на 1млн вариантов переберёт минуты за 2 машинка у меня не так чтобы новая и топовой не была даже когда я её брал + джон задействовал только 1 ядро, а перебор очень хорошо параллелится)
ЗЫ. На сервер посылать во время перебора ничего не нужно
ЗЗЫ. Собственно именно поэтому генерируют эти жутко выглядящие пароли на овер 9000 символов с греческими буквами ;)
Linux Opera
 Москва
2
1
Леонит Каганофф
Да вообще разговор не о том...

Представьте, что мой пароль "NaRechke-naRechke,naTom_berejochke-ku2raza-tyts-ParaPara-tyts-ParaPara-bums!", и я его использую всюду.

Вы - убили админа и захватили сервер любителей игры Тетрис.РФ, где у меня аккаунт тоже. Ваша задача - заставить меня залогиниться и во время логина подслушать мой пароль, а затем вломиться с ним в мой интернет-банк avangard.ru и украсть деньги (вам известно из моего блога, что пароль у меня сложный, зато всюду один).

Если по описанной схеме пароль еще в браузере шифруется средствами JS md5, то на сервер он не передается в открытом виде. И узнать, каким он у меня был, вы никак не сможете.

Ну хоть теперь понятно?
Linux Ubuntu Firefox
5
0
Sheldon Mini Cooper
Если я захватил сервер, то я просто поменяю на нём JS-код, заменю md5 на rot13, и ваш пароль точно так же улетит мне -- если вы, конечно, не будете каждый раз изучать страницу авторизации с Firebug'ом (а вы не будете).

Так что это всё равно вопрос доверия, а не информационной безопасности.
Linux Opera
7
1
Леонит Каганофф
Возразить тут совсем нечего ) Правы 100%
Windows Safari Chrome
 Москва
0
0
Денис Пантюшев
То есть нормально может защитить только электронный ключ (usb-ный), с поставляемым софтом?
Mac Firefox
1
0
gul
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
В чём проблема отдать пользователю другой JS, который не криптует пароль, а отправляет его в открытом виде?

Если злоумышленник имеет контроль над содержимым сайта (дефейс, MitM, фишинг), и сайт просит пользователя ввести пароль - защититься средствами оригинального сайта нельзя, это очевидно. Защищённым от этого может быть, разве что, сайт, который никогда не спрашивает пароль - по аналогии с аутентификацией ssh через RSA keypair. Да и то - если ssh приватный ключ никому не отдаст, то js, если может использовать приватный ключ для шифрования, то может его со спокойной совестью и рассказать злоумышленнику по запросу.

Вообще, отсутствие keypair authentication в http - это идиотизм, конечно. Может, есть какие-то средства?..
Linux Firefox
0
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
кстати - домашний маршрутизатор взламывать необязательно.
Куча народу по дороге имеет возможность перехватить просто по долгу службы.
Linux Ubuntu Firefox
1
0
sapa
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да, но злоумышленнику и не надо узнавать пароль. Он знает что ответить серверу, так как знает зашифрованный пароль, а соль приходит от сервера одна и та же. Можно ответить серверу тем же самым и залогиниться. Хотя, конечно, это лучше чем светить открытый пароль, который может использоваться где-то еще.
Более интересным был бы такой вариант: на клиентской стороне есть функция которая на основании введенного пароля генерит пару ключей, закрытый и открытый. Обычно подобные ключи генерятся на основании данных от генератора случайных чисел, но не в этом случае. Так вот, открытый ключ отправляется на сервер при заведении аккаунта. Закрытый нигде не хранится. При вводе пароля сервер передает клиенту длинное случайное число. Клиент на основании пароля генерит закрытый ключ и шифрует им это число. Результат возвращает серверу. Сервер расшифровывает открытым ключом и проверяет, то ли это число что он передал.
Windows IE
1
0
Вы забыли подписаться.
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ещё можно хэшировать пришедший хэш. )
Это защитит от неприятностей, если база паролей вдруг отрастит ноги. А вся остальная защита сайта останется на том же уровне, что и с простой отправкой пароля.
За исключением того, что сайт банка Авангард будет более защищён, да. Неожиданный такой альтруизм получился! ))
Linux Ubuntu Firefox
0
0
Sheldon Mini Cooper
Для защиты от взломанных маршрутизаторов человечество придумало SSL.
Windows Opera
2
0
niksyatina
Не особо спасёт, пока народ на автомате тыкает "принять сертификат".
Windows Safari Chrome
 Chatham
0
0
Vadimus
Типа как сделано LastPass?
Windows Safari Chrome
0
0
малдер
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Если хэш без соли, то все плохо!
FreeBSD Firefox
8
1
Eygene Ryabinkin
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ооо, пункт 6 отличен. А ничего, что у вас нет HTTPS на ресурсе, поэтому пароли по сети передаются в открытом виде, а, скажем, поменять DNS на домашнем роутере, у которого стоит слабый пароль, и устроить выборочный proxy для отдельных доменов и, таким образом, получить пароль со стороны пользователя, даже не взламывая ваш сервер или базу -- несложно? Ну и есть еще некоторые способы зарулить или получить копию трафика пользователя ;)) Я не говорю, что пароли никогда не нужно хешировать, -- это полезно, чаще всего их хешировать нужно, причем стойкими методами и присаливая, но только если вы предприняли другие меры противостояния получению этих самых паролей по другим каналам, нежели чем доступ к их хранилищу. Ну и, конечно, есть X.509-сертификаты, Kerberos и прочие замечательные методы, основанные на ЭЦП, которые можно и нужно применять (но там есть свои неприятности), однако утверждение-то "надо убивать разработчиков" ;)) Ну и если взломают говноресурс и увидят хеширование паролей, то вполне могут и приходящие паролики собирать; всё сразу взять не получится, но по частям -- возможно, так что вы в обоих случаях (хранение хешированных и нехешированных паролей) будете хранить у себя "чужое", вопрос во времени хранения.

Lleo, мое основное утверждение очень простое: не нужно пользуясь случаем огульно говорить всем разработчикам вещи, которые сильно зависят от контекста, который вами не раскрыт (по любой причине). Есть замечательное соотношение: безопасность обратно пропорциональна удобству использования. Оно, конечно, такое -- иллюстративное, лучше сказать "чаще всего усиление безопасности ведет к уменьшению удобства использования, хотя бывают случаи, когда уменьшение удается сделать очень маленьким". Но вы своим обращением как раз говорите: эй, ребята, давайте сделаем пользователю удобно. Только безопасность от этого будет страдать. Может для говноресурсов это то, что надо, может нет.

Ну и по поводу того, как часто подбирают пароли: есть, например, Trustwave 2012 security report, https://www.trustwave.com/downloads/Trustwave_WP_Global_Secu[...] (tl;dr -- http://www.zdnet.com/blog/service-oriented/passwords-are-the[...]); они утверждают, что слабые или известные пароли -- это бич бизнес-приложений. То, что если у вас есть SSH-сервер и к нему не подбирают пароли означает либо что он выключен, либо что он закрыт сетевым экраном от всех -- это известный анекдот, который вполне подтверждается реальностью.

Ну и в качестве заключения -- представьте себе простую ситуацию: есть ресурс, у которого для пользователей существует более расширенная функциональность (доступны, скажем, дополнительные возможности, за которые отвечают какие-то части кода на стороне сервера). Регистрируют только проверенных людей, но у них простые пароли, поэтому их может подобрать почти любой за несколько десятков проб. А в коде, который отвечает за дополнительные возможности -- дырка, поэтому получив доступ наш злоумышленник ломает сервер полностью и получает все или некоторые пароли, которые почему-то оказались сложными. Мне кажется, что это противоречит не только здравому смыслу, но и вашему пункту 6, хотя происходит в соответствии с пунктом 5. Я понимаю ответ "а надо код без ошибок писать", но кто же может за их отсутствие поручиться-то?

Резюме: дневник, конечно, ваш, но нужно бы выражаться либо поумереннее, либо уточняя, для каких случаев изложенное применимо. А лучше -- и то, и другое.
Linux Firefox
 Москва
8
6
Леонит Каганофф
Вы написали много возмущенных букв, но смысла я не понял.

Какое я имею отношение к взломанному домашнему роутеру пользователя? Почему я в своем движке должен лечить проблему чужого взломанного роутера?

Сказок ваших про код я не понял. Код у меня открытый. И если движок вы теоретически взломать можете, то пароли пользователей все равно не получите - их получить невозможно, потому что их нет на стороне сервера.

Ну и совсем смешны упреки про "область применения". Вы зашли почитать личный дневник, автор которого сделал собственный блогодвижок. Так ли высок должен быть IQ, чтобы догадаться, какова область применения и какого рода задачи имеет в виду автор, рассуждая в дневнике об интерфейсах? :)

Ну и, наконец, навскидку тема для размышления: современная банковская карта имеет пин в 4 (четыре!) цифры. Это всего-то 10000 комбинаций перебора. Вы слышали когда-нибудь, чтобы кто-то взял чужую банковскую карту, подобрал пин и снял в банкомате деньги? Нет? А почему? Наверно потому, что банкомат не даст устроить перебор? А не потому, что пользователя заставили запомнить пароль из 30 символов, в котором обязательно заглавные и строчные буквы, знаки препинания и символы шрифта Windings?
Linux Firefox
1
2
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
неа, это потому, что проще в банкомате сделать накладку на клавиатуру. ж)
Mac Safari
4
0
sergey
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Если так, то можно еще проще, устроить засаду у банкомата и грабить не отходя от кассы
Windows Safari Chrome
 Москва
1
0
Денис Пантюшев
Бац по голове! "Какой-то у вас, батенька, пароль на карточке не криптостойкий!".
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Три попытки ввода неправильного пина и банкомат заглатывает карту. Во всяком случае у нас в Union Card так и было. Так что не особо поперебираешь 10,000 комбинаций.
Windows IE
1
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Даже если делать всего по одной-две неверные попытки в любом банкомате и вытаскивать карту, софт на стороне процессинга ведет подсчет, и если видит, что одна и та же карта "бегает по его банкоматам" не зная PIN, после нескольких смен банкомата просто "аннулирует" карту, выдавая её обратно со словами - "превышено количество неверных попыток ввода PIN, обратитесь в Ваш банк".
Windows Safari Chrome
 Москва
0
0
Денис Пантюшев
Упаси боже, если еще и в банкоматах надо будет символы в регистрах набирать...
Народ сразу на купюры перейдет.
Windows Firefox
 Москва
12
0
Михаил Воронков
Вспоминается рассказ одного админа про систему, которая не давала разным пользователям иметь одинаковые пароли. Когда кто-то пытался установить себе пароль, уже кем-то используемый, она выдавала сообщение типа "Нельзя, такой пароль уже используется пользователем таким-то, так что себе другой придумайте".
Linux Firefox
 Москва
16
1
Леонит Каганофф
Михаил, ну вы нашли чего вспомнить. Эта строчка проверки в коде движка уже два года как закомментарена!
Linux Ubuntu Firefox
 Владимир
3
0
Adamos
6. И животноводство! На примере Телебанка от ВТБ24.
Логин - только цифры. Ну, это ладно, "you're a number - not a name", все всё поняли.
Но ПАРОЛЬ - ТОЛЬКО ЦИФРЫ? К онлайн-банку?! Для обычных пользователей, которые других цифр, кроме своего дня рождения, вообще не знают?!! Есть ощущение, что там весь IT-штат успешно достиг своего уровня некомпетентности - и разработчики, и тестеры, и (особенно) их начальство, которое все это приняло и утвердило.

Кстати, юзабилити у них тоже из бронзового века. Чтобы перевести некоторую сумму со своей рублевой карточки на свою же евровую, нужно совершить то ли три, то ли четыре операции, подтверждая каждую очередным кодом с одноразовой карточки. Причем пересчитать валюты по курсу тоже надо самостоятельно. Все равно же за компьютером сидишь...
Windows Firefox
 Европа
0
0
Vlad+
Цифры там для того, чтобы водить пароль с клавиатуры банкомата или Нокии 3310.
Насчет "потверждая каждую очередным одноразовым кодом" - можно совершенно бесплатно получить сертификат и вводить переменный код всего один раз за сеанс (непонятно зачем). Плюс суммы "неподписанных операций" очень существенно снижаются.
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Телебанк работает с банкомата? Первый раз слышу. Владельцам реликтофонов никто не мешает задать цифровой пароль где угодно, при чем здесь все остальные?
Насчет сертификатов - насколько я помню, все эти плюшки четыре года назад, когда я впервые подключался, были Windows-only. Судя по тому, насколько изменилась система за это время, на Линуксе ловить по-прежнему нечего.

Кстати, сейчас пользуюсь этой системой только потому, что внезапно оказалось, что она мне подключена бесплатно, как всем, кто раньше пробовал и бросил. Очевидно, сервис так дико популярен, что приходится проводить такие акции.

Поймите правильно: я же критикую не от разлития желчи. Жена пользуется Сбер-онлайном, который, в отличие от, бесплатен - и при этом сделан более по-человечески. Быть более отсталым, чем Сбер - это, конечно, тоже достижение... не каждый сможет...
Windows IE
0
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вижу в сберовском уеб... получателя, его ИНН совпадает с его же бумажным квитком - а электронно заплатить не могу! А в обычной сберкассе, ногами - пожалуйста! Их лучшие умы, приняв в три этапа мою заявку (я звоню, и я плачУ) бьются затем ровно месяц над вопросом, чтобы высрать мне в мыльницу, что: 1) мне нужно обратиться в сберкассу 2) с данной организацией [возможно!] не заключен какой-то ещё договор! [Ипануццо!!!...] и, наконец - 3) "в настоящий момент электронная платежная система банка дорабатывается по моему запросу"... Та-дааа!... Но спустя год я всё так же не могу заплатить электронно за этот несчастный детсад... ((
Windows Safari Chrome
0
0
evils_empire
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
дадада, они мне сказали, когда ограничили пароль только цифрами, что это необходимо для мобильного банкинга
Windows Opera
0
0
Jktu
В Телебанке нельзя сменить выданный пароль на цифры своего ДР. А вся система дебильная - да. Худший из интернет банков.
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Ух ты! Оказывается, дыра подперта костылем, все нормально! ;)
Windows IE
 Киев
0
0
Артем
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А можно объяснить неспециалисту на счет пятого пункта? Как это работает? Как можно не знать пароля пользователя, но знать что он его знает? Надеюсь, я не выгляжу совсем уж дикарем...
Linux Firefox
 Москва
4
0
Леонит Каганофф
Вы делаете md5(), а лучше sha1() от строки пароля с некими дополнительными сущностями (солью) и получаете уникальный код типа F4E473AB74C4... (штук 30-40 символов). Один изменившийся бит в пароле меняет эту строку до полной неузнаваемости, таков алгоритм. Вы всегда можете проделать с предложенным паролем ту же операцию и сравнить строки, поняв, верен пароль или нет. Но восстановить по этой строке, каким был пароль, вы не сможете - алгоритмы md5 и sha1 придуманы именно для этого.
Windows Opera
2
1
чейтател
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> Ненавижу, когда пароль на экране заменяется звездочками
Леонид, есть такая вещь как телеконференции. С расшариванием экрана. Webex, например.
Не знаю насколько вы себе представляете использование вашего движка в процессе телеконференции, но всякое может быть.
И там замена пароля звездочками вполне себе имеет смысл.
Linux Firefox
 Москва
6
3
Леонит Каганофф
А как вы себе представляете использование моего движка в процессе телеконференции с расшаренным экраном? ;) Расскажите, мне любопытно.
Windows Opera
6
0
чейтател
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Демонстрация админский функций потенциальному заказчику.
Публикация заметки в процессе конференции.
Зайти "что-нибудь посмотреть".

Ну дело ваше. Буду писать свой движок - добавлю туда маджонг и гейш. И звездочки вместо пароля, конечно.
Windows IE
2
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Так это же известная буратинистая задача:
"
- Допустим, некто собирается продать твой движок и показывает его возможности заказчику...
- Так я и дал тому некту продать мой движок!!!"
Mac Safari
 Швейцария
2
6
Миха
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Особенно бесит пункт 4 про заглавные буквы, цифры и т.д. в паролях.
Почему-то до говноадминов не доходит тот факт, что при использовании этих правил количество вариантов пароля уменьшается, то есть безопасность снижается. Потенциальному взломщику заранее известно, что исключены варианты из одних букв, одних цифр и т.д.
Linux Firefox
 Москва
3
1
Леонит Каганофф
Ну, это вы хватили ;) Количество вариантов уменьшить сложно ;)
Linux Ubuntu Firefox
 Владимир
2
1
Adamos
Варианты хорошего пароля, который можно запомнить, действительно уменьшаются. Если человек волен в пароле, он может использовать мнемонические методики и постоянно пользоваться хорошими несловарными паролями типа "непарныйхвостогрыз".
А тут вдруг ему тупой автомат говорит, что это (внезапно!) плохой пароль, нужно цифры и разный регистр. Кто сможет придумать и так же легко запомнить хороший несловарный пароль с такими требованиями?
Windows Safari Chrome
14
0
Вася Васечкин
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
На эту тему несколько месяцев назад комикс был... http://xkcd.com/936/ :-)
Linux Firefox
0
0
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
непарныйхв0ст0грыз, например :)
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Это слабый пароль, как вы понимаете. В нем же не используются буквы разных регистров!
Windows Firefox
 Richardson
0
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
непарныйхвостогрызБл@!111
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Вот! Я уже писал выше, что пароль, который вынудили придумать таким, как нравится системе, лучше всего вспоминается в том же состоянии задолбанности этой системой ;)
Windows IE
2
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
телеконф сибирского заказчика с московским фрилансером глубокой ночью (по MST):

- Константин, у меня не получается ввести пароль из "символов разного регистра", это какой-то косяк?
- ....а если вот такой: "КаК нЫнЕ сБиРаЕтСя ВеЩиЙ ОлЕг"
- Костя, вы что там, ебетесь, что-ли? Может, я позже перезвоню?
Mac Safari
 Швейцария
2
3
Миха
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Лео, посчитай.
Допустим, пароль состоит из двух символов, каждый из которых можно представить одной из 5 цифр или одной из 5 букв. Вариантов получается 10^2=100.

Теперь ставится условие, что один из символов обязательно должен быть цифрой. То есть, все варианты, состоящие из одних букв, невозможны. Таких вариантов из одних букв = 5*5 = 25.

Остается 100-25 = 75 возможных вариантов пароля.
75 меньше, чем 100.

Эти правила уменьшают вариативность пароля, значит, понижают безопасность системы.
Linux Firefox
 Москва
7
1
Леонит Каганофф
Знаете, я попытался посчитать, но с трудом соображаю в такое время. Попробую. Для 6 знаков. Алфавит 26 символов, цифр 10.

Паролей из 6 только букв: 26^6=308915776 вариантов

Паролей из 5 букв + одна из 10 цифр + 6 вариантов, в каком месте эта цифра может находиться: 26^5*10*6

26^5 сразу сокращаем у обоих (оказывается, не важно, сколько было символов в пароле), получаем разницу: в первом случае множитель 26, во втором 60.

Вывод: требование использовать хотя бы одну цифру может вдвое усилить пароль, если обычный пользователь цифр использовать не планировал.

А вот если планировал (точнее МОГ бы планировать)?
36^6 - его общее число вариантов
26^6 - число запрещенных вариантов
Требование обязательно использовать хоть одну цифру (запрет использования только букв) сокращает объем перебора примерно на 1/7 (для 6 символов).

Следите за рассуждением? Я не ошибся? Итог: при 6 символах для тех, кто не планировал использовать цифры, пароль усиливается более, чем вдвое. Для тех, кто мог бы такое планировать без подсказки - сокращается на 1/7.

Даже если не вдаваться в смешной метафизический парадокс задачи "тот, кто и так хотел бы использовать цифры, но огорчен тем, что ему запрещают отказываться от этого своего намерения..." :))) То все равно получается выигрыш по усилению пароля, учитывая, что любителей цифр меньшинство ;)
Windows Firefox
0
0
Abstraction
Встречный пример (мелкое неудобство, но всё же):
Я генерирую случайную строку в 60 бит. Преобразую 6 бит в символ (заглавные буквы, строчные буквы, цифры, скобки). Получаю пароль стойкостью 60 бит.
С вероятностью ~1/5 я получу пароль без символов одной из трёх групп и он окажется нелегитимным. Лечится дописыванием в конец соответственно a,A,0.
Mac Safari
 Швейцария
1
0
Миха
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Неправильная логика. Но математика правильная.

Допустим, я любитель совмещать цифры и буквы в пароле из двух символов. Вдруг мне говорят, что обязательно один из них должен быть цифрой. Вариантов становится меньше. Неважно, сколько их было в абсолютных величинах, их просто меньше. Это факт.
Windows Firefox
2
1
modulo_zero
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Действительно, интересная особенность, о которой как-то мало задумываются, спасибо что обратили внимание. Согласен с вами насчет того, что Леонид, правильно посчитав количество комбинаций, совершенно зря вплел в рассуждения интенциональность, "планировал - не планировал". По факту, значение имеет лишь различие между "может использовать буквы во всех позициях - не может". Т.е. если сервер при генерации пароля только РЕКОМЕНДУЕТ использовать и буквы и цифры, то это повышает криптостойкость, а если ЗАСТАВЛЯЕТ использовать хотя бы одну цифру, то понижает, поскольку это открытая информация и злоумышленник, автоматически, может рассчитывать что в пароле, как минимум, один из символов - цифра.
Mac Safari
 Швейцария
1
0
Миха
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я прочитал об этом когда-то давно и тоже удивился, почему на этот факт мало кто обращает внимание.
Windows IE
0
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Брутфорсеру похуй намерения жертвы, ему важно количество возможных комбинаций, а оно, при таких ограничениях, увы, сокращается. Это неоспоримый факт. ((
Windows Opera
2
0
Ggueld
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Другими словами, если подбирающий пароль знает о запрете на определенные комбинации (a мы считаем, что он попытался зарегистрироваться и знает) это упрощает ему задачу. А если вдруг не знает – усложняет. Так это очевидно, никакой метафизики.
Mac Safari
 Швейцария
0
0
Миха
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Если вдруг не знает, задача в любом случае на может усложниться. Потому что кол-во вариантов то же самое. 10 символов на два регистра всегда дадут 100 вариантов. Тупой перебор займет в среднем одно и то же время.

Если же он хотя бы догадывается о том, что есть некое правило, как это часто бывает в паролях Виндовс, напр. необходимость ввести хотя бы одну цифру, то сначала проверяются все подходящие под это правило варианты. Если они не подходят, потом проверяются все оставшиеся пароли. Среднее время взлома неизбежно должно уменьшаться. Если никакого правила нет, и взломщик об этом не знает, время взлома не изменится.
Windows Safari Chrome
 El Segundo
0
1
JM
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
С первыми двумя пунктами не соглашусь. С последними тремя - безусловно.
Windows Opera
 Москва
0
0
Сергей
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ллео, режете правду-матку.
Windows Safari Chrome
3
1
Алексей
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Привет! Пользуясь случаем...

По 1. пункту: если вместо инпута пасс сделать обычный текст, то браузеры будут хранить историю заполнения этого поля(автокомплит). Да, щас некоторые понимают autocomplete=off, но не все и раньше не понимали.

2. 50\50 - прав. Тут чисто человеческий фактор. Некоторые растяпы бывают.

3. Кнопка "генерация пароля" - очень полезна. Можно и самому придумать либо воспользоваться этой услугой, если сайт нужен для 1 раза - меньше мозг напрягать.

4. Зависит от сайта. Если хоумпэйдж типа твоего - то да.

5. А какой хэш ты используешь? Ты ведь знаешь что md5 ломается влет(и всякие комбинации, хотя и дольше)? )) По крайней мере 4-5 значный. Хотя, в целом - ессно. Но я не уверен, что в 21 веке кто-то будет в базе хранить пароли как текст.
Linux Firefox
 Москва
1
1
Леонит Каганофф
5. Для базы я добавляю в паролю некую уникальную строку, которая известна только мне и храню как md5 - так повелось исторически. Готовых решений для моей уникальной строки в мире нет, поэтому пароли вскрыть практически невозможно. При этом предполагается, что база все-таки на сервере, и добыть ее - сложная задача. А вот в регистрационную куку, выдаваемую пользователям, я подмешиваю к соли еще и его номер, и кодирую sha1. Регистрационная кука - штука на виду, можно заморочиться и набрать их много, но взломать соль не удастся.
Linux Ubuntu Firefox
 Владимир
0
2
Adamos
Добыть базу - сложная задача.
Добыть скрипты, в которых расписан алгоритм хэша - тоже сложная задача.
Судя по отчетам о громких взломах, эти две сложные задачи вообще никто прямо не решает. Решают третью - добыть административный доступ к админке сайта или хостинга.
Верю, что у вас это тоже - сложная задача ;)
Хотя работник техподдержки вашего хостера, подозреваю, готов со мной поспорить...
Linux Firefox
 Москва
1
1
Леонит Каганофф
В чем задача добыть "скрипты с алгоритмом хэша", если код движка открытый?

Поймите правильно: я не идеализирую свой код и не утверждаю, что ошибок там нет и не может появиться. По крайней мере, за его трехлетнюю историю было 5 критических уязвимостей, найденных сторонними доброжелателями. Я говорю лишь о том, что задачу безопасности нельзя перекладывать на плечи пользователя, и чуть что - кричать "наверно у него пароль был плохой". Пароль конкретного пользователя - самое последнее, что будут взламывать. И скорее всего, это не удастся, даже если пароль 12345.
Linux Ubuntu Firefox
 Владимир
3
1
Adamos
В открытом коде может быть объявлена константа с дополнительной солью, которая на каждом реальном сайте заменяется на другую. Доступ к базе, например, у вас тоже в открытом коде, но не сами данные для доступа же. В принципе, у многих движков алгоритм вычисления хэша полностью известен, без базы эта информация бесполезна.

На популярные сайты регулярно посылаются запросы "адрес сайта" - "адрес админки по умолчанию популярного движка" - "банальные логин и пароль". Видимо, какой-то профит и от этого бывает, но это, конечно, совсем другая история.
Linux Firefox
 Москва
0
1
Леонит Каганофф
Разумеется, у меня внешняя константа соли. Она хранится в config.php, при инсталляции движка генерится довольно сложным алгоритмом длиной в 160 символов строчных и заглавных. Хотя админ ее может поменять. У меня по-старинке вбит стишок, например ;)

А что касается ломятся - ну разумеется, ломятся. У меня на домашний сервер постоянно пытаются роботы долбиться - типа логин john и пароль john123 :) А в движок постоянно тычутся роботы, пытаясь нащупать дырявые файлы BB-форума, всякий раз радуюсь, что у меня не BB-форум :) В принципе у меня в движке вообще нет админки как таковой и пароля к ней - админить можно на любой странице, надо только, чтобы посетитель со своей кукой был назначен админом. А это делается сложно, а на многопользовательских движках типа Биноника там вообще невидимые, но сложнейшие протоколы с изолированными ифреймами - куку можно украсть, но она самопривязывается к IP, поэтому смысла ее красть нету.
Windows Firefox
1
0
Alllex
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Леонид, а почему соль - константа? Таким образом снижается защищенность системы - у пользователей с одинаковыми паролями будет одинаковый хеш этих самых паролей. А тут уже и до атаки по словарю на такие пароли недалеко.
В идеале соль вычисляется рандомно, добавляется в конец пароля, перед вычислением, и в конец полученного хеша. При верификации пароля она выкусывается с конца хеша и добавляется к введенному паролю перед проверкой.
Linux Opera
1
0
Леонит Каганофф
1. Я пока не вижу смысла для моих задач.
2. Но если честно - я просто об этом не думал, узнал об этом только вчера в переписке в комментах.
3. см п.1 )
Windows Safari Chrome
0
5
Алексей
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да, этой уникальной стройкой ты просто заставишь работать проц взломщика на пару тактов быстрей ) Короче если сопрут базу - вскроют 99%, ибо md5 и sha давно уже научились хорошо декриптить
Linux Firefox
0
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
То есть соль у вас для _всех_ паролей одна и та же?
Linux Firefox
 Москва
0
2
Леонит Каганофф
Для паролей в закрытой базе - разумеется.
Для паролей в куке - постоянная, но к ней еще при шифровке добавляется уникальный номер каждого юзера, впрочем, он открыт.

А как вы себе представляете менять соль? И в чем математический смысл этого действия?
Linux Firefox
5
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да случайно генерировать для каждого юзера.
(примерно как пароли в freebsd/linux хранятся)

Смысл этого действия в том, что если мы каким-то образом раздобыли соль для оного юзера - то если она одна для всех, мы резко облегчаем себе перебор для всех юзеров, ну и у юзеров с одинаковыми паролями и хеш будет одинаковый, если соль одна на всех, а вот если у каждого своя - фиг!

ЗЫ Можно и комбинировать - 2 соли , 1 общая + своя для каждого
ЗЫ. В практически любом языке сейчас (пыхпых не исключение) стандартная функция для этого есть, кстати
http://php.net/manual/ru/function.crypt.php
Linux Opera
 Москва
0
4
Леонит Каганофф
Зашибись вы умный. А зачем вам тогда вообще пароли? Генерируйте случайную строку и пишите ее в базу для каждого юзера. Вообще никто не догадается! Даже юзер!
Linux Firefox
5
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вообще-то это стандартный способ хранения паролей.
Но Вы, естественно, разбираетесь в этом гораздо лучше специалистов в этой области, писавших реализации в Bsd/linux/postgres/etc ;)))
Linux Opera
 Москва
0
4
Леонит Каганофф
Боже... Ну где вы собираетесь хранить эту случайную соль? Не хранить - не сможете никогда залогинить юзера. Хранить рядом в базе - так и соли сопрут вместе с паролями. Ваша идея имеет смысл лишь в том случае, когда украли огромную базу и пытаются перебором выяснить, были ли у кого-то (не важно, кого) самые простейшие из паролей. Тогда можно каждую комбинацию искать по базе среди всех, а не по одному.

Но никакого прикладного смысла такая задача не имеет. Вот вы украли базу с моего сервера (опс), украли секретный конфиг (тоже опс), запустили комп страдать и узнали, что у меня в блоге есть юзеры Olegmos и Julia-Kisa с паролем 1. И что? Админский пароль вы перебором не возьмете - он сложен. Вы проделали такую работу - взломали сервер, украли базу, украли вдобавок секретные конфиги... Да вам даже админский пароль не нужен - вы уже на сервере. И все ради того, чтобы узнать, что у двух ламеров пароль настолько прост, что его можно подобрать за несколько дней?
Linux Firefox
4
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Повторяю ещё раз:
Если соль одна на всех - мы _сразу_ знаем, что вот у этого, этого, и ещё вот этого юзера пароли - одинаковые, так что сломав один из них _любым_ способом, мы знаем его у всех этих юзеров.

А хранятся они примерно так
$1$06VAy9wo$mX03JJpzFc45FAS3OIpHT1
$1$- это md5 (2-blowfish,5 - sha-256, 6 sha-512 (кстати, sha1 давно уже не модно $)
06VAy9wo - это соль
mX03JJpzFc45FAS3OIpHT1 - а вот это готовый хеш

>Но никакого прикладного смысла такая задача не имеет. Вот вы украли базу с моего сервера (опс), украли секретный конфиг (тоже опс), запустили комп страдать и узнали, что у меня в блоге есть юзеры Olegmos и Julia-Kisa с паролем 1. И что? Админский пароль вы перебором не возьмете - он сложен. Вы проделали такую работу - взломали сервер, украли базу, украли вдобавок секретные конфиги... И все ради того, чтобы узнать, что у двух ламеров пароль слишком прост?

Неуловимый Джо во всей своей красе ;)

Ну и если я ухитрился спереть базу с конфигом, то админский пароль к блогу мне скорее всего уже нафиг не нужен ;)
Linux Opera
 Москва
0
3
Леонит Каганофф
Так а я о чем толкую? Блог взломан. Вопрос о том, чтобы отгадывать перебором пароли юзеров (заметим - вряд ли уже нужные, блог-то взломан). Чтобы отгадать пароли юзеров, потребуется сколько-то тысяч триллиардов попыток. Либо в 2000 раз меньше (столько юзеров) - просто триллиард. О чем мы торгуемся? ) Сервер взломан, данные уплыли, а вы меня пугаете, что Солнце погаснет не через 5 миллиардов лет, а всего через 5 миллионов, беда )))
Linux Firefox
2
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Кстати, я правильно понял, что sha1 у вас берётся 1раз?

Для справки - в стандартной реализации функции crypt, которая используется для шифрования паролей в юниксах, sha1 по дефолту берётся 5 _тысяч_ раз (можно поменять, но не меньше 1000)
Linux Firefox
0
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
поправка - там вообще на sha1, а sha256|sha512
(sha1 сейчас считается ненадёжным, как и md5)
Linux Opera
 Москва
1
6
Леонит Каганофф
Но и md5 на практике никто не сломал. Умная китайская женщина только теоретически предсказала математическую возможность коллизий при некоторых условиях. Но алгоритма взлома не было и нет, и возможен ли он - все еще вопрос. Правильнее будет сказать, что md5 взломан китайским сферическим конем в вакууме.
Linux Opera
 Москва
1
4
Леонит Каганофф
Да вы один-то раз расшифруйте )))

Вот я буду на 200 посетителях в секунду делать sha1 5000 ращ... ))) "Девяносто миллиардов тонн говна... Девяносто миллиардов тонн говна! Девяносто миллиардов тонн говна..." (c)Вася Обломов
Linux Firefox
3
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
я там уже приводил цифры - оно на АМД 1.8 ггц (на одном ядре) делается 9529 раз в секунду (каждый раз - 1000 md5)
и у вас явно не 200 _логинов_ в секунду - это считается так при логине.
Windows IE
1
0
Михайлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это не говно, а сок мозга пользователей!
Передает мне как-то руководительница кал-центра "холодный" звонок, против правил - говорит без хихи, но с предвестником истерики, и "клиент может продолжать разговор только с мужчиной". Ладно, передали, спрашиваю, чем я лучше - "у меня такой пароль стоял, что девочкам говорить стыдно, а он теперь не работает... а я не хочу его менять!... я всё-таки клиент или хер собачий?... а вы ведь солидная организация, ну выручите, а? Ты же мужик, ты должен понять..." - и какой же там был пароль??? - "пиздопроёбина" (на слух всё просто, вроде бы) .

Посылать его смысла нет - всё-равно разговор, переключенный с кал-центра уже пишется. Смотрю статус клиента, журнал смен пароля... действительно, периодически заходит, пароль давно не менял. Начинаю думать, в чем он накосячил, пробуем набрать на чисто русском "пиздопроебина" - не получается, "gbpljghjt,byf" - тоже... хмм... коллега, слыша мою часть диалога, начинает улыбаться, говорит - это чудо вчера звонило, ему эникейщик клаву почистил, Z и S местами поменяны. И правда, поменяны... ))
Windows Safari Chrome
0
0
Алексей
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Кстати, у тебя глюк. Сообщения дублируются.
Мои действия: написал, нажал на send - надпись "введите имя", ввел имя и мэйл, нажал на send снова - прокрутился ajax-значек и все. Потом ещё нажал - тоже самое. Закрыл окно и увмдел 2 коммента.
Windows Safari Chrome
2
0
Алексей
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Или это не баг,а фича? Просто по идее окно должно закрываться после отправки, не?
Windows Safari Chrome
 Волжский
0
0
Юрий Дятлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Имеет место при каких-то настройках хрома. Возможно, связанных с блокированием всплывающих окон. Но точно не уверен.
Каммент отправляется, но окно ввода остаётся, и можно либо отправлять его снова и снова, либо нажать F5 и увидеть, что всё давно ОК.

Кстати, и на сайте Авангарда замечено именно в хроме нечто +-схожее. Но там это выглядит так: платёжку вбил, нажал "сохранить, она закрылась, а кнопки не работают. F5 - платёжка опять на экране, закрыл, работаю дальше. Какие именно сочетания настроек хрома это вызывают - не разобрался.
Windows Safari Chrome
6
0
Programmist
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ну насчет звездочек - лучший вариант, имхо - добавить чекбокс, показывать пароль или нет. К ней же можно привязать, повторять от опечаток или нет
А вот насчет плохого пароля - не согласен. Во всяких форумах - там ладно, пускай хоть 123 выставляют. А, например, в интернет-банках такие пароли надо запрещать. Да и в тех же социальных сетях - сначала юзеры выставляют пароль в 123, а потом тысячами атакуют техподдержку, когда у них угоняют аккаунт. Хотя греческие буквы - это конечно перебор, достаточно просто прогнать по словарю.
А вот что действительно стоит отнести к пункту "Ненавижу" - это требование секретного вопроса и ответа. Сначала просят изобрести сложный пароль, а затем готовы забить на него и дать доступ и возможность сменить пароль любому, кто назовет кличку твоей кошки :)
Windows IE
3
1
Вы забыли подписаться.
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
ФИКСИРОВАННЫЙ СПИСОК секретных вопросов!!! В котором нет ни одного реально приватного - всякие номера паспортов, любимые блюда и девичьи фамилии, известные десяткам людей.
Без возможности задать свой вопрос.
То ещё зло.
Linux Ubuntu Firefox
 Нидерланды
15
3
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Сразу видно человека, никогда не занимавшегося разработкой корпоративных систем :)

1. за спиной непременно окажется несколько человек, из которых кто-нибудь обязательно постарается пароль запомнить. Для прикола, пошутить потом.

2. если будут звездочки (см.п.1) - обязательно найдется Мариванна, которая забудет собственный пароль сразу, как только его наберет.

3. Причем Мариванна будет долго тупить, сочиняя пароль сложнее "111". В итоге придумает "qwe"

4. Пароль "qwe" будет подобран новеньким сотрудником, который томится на рабочем месте, поскольку еще не успел включиться в рабочий процесс. Получив доступ к базе клиентов - он прозреет, скопирует базу и отнесет к конкурентам. Люлей получит Мариванна и разработчики.

5. При всем при этом - через неделю та же Мариванна забудет свой пароль, как раз перед созданием Очень Важного Отчета. Она вынесет моск техподдержке, своему руководству, директору по ИТ, и дойдет до генерального. И все будут выяснять причину, а окажется, что виноват гребаный ПунтоСвитчер, заменивший пароль на "йцу".
В итоге пароли будут храниться в базе открытым текстом.

Никакого злого умысла, чиста жизнь заставляет...
Windows Safari Chrome
14
0
Unica
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Зачем такие сложности? Марь-Иванна все равно хранит свой пароль на стикере, приклеенном к монитору.
Linux Ubuntu Safari Chrome
5
2
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
нет, за это ей уже дали люлей после того как новенький сотрудник слил старую базу конкурентам :)
Windows Opera
5
1
Konstantin Vlasov
> 4. […] Если я хочу поставить "123" — это мое личное дело, а не ваше!

Я раньше тоже так считал. Пока не стал админить форум, на котором в один прекрасный день обнаружилось, что три десятка аккаунтов с подобными паролями оказались взломаны (видимо, простым перебором), и через них весь ресурс был заспамлен чуть менее чем до полной неюзабельности.
Linux Firefox
 Москва
7
4
Леонит Каганофф
Дружище, это проблема движка форума и системы организации. Например, у меня в дневнике можно оставлять комментарии БЕЗ регистрации. Без этой унизительной процедуры ввода имени, "подтверждения емайла" и т.п. То есть, не надо никого "взламывать", чтобы отправить спам - оставить сообщение может каждый. Почему же спама нет при посещаемости до 40000 заходов в сутки? Потому что работает простейшая отсечка, а я просматриваю сообщения, и у меня есть удобнейшая кнопка "забанить мудака, удалив все его сообщения". Если по какой-то причине сообщений будет много и я не смогу их все просматривать - назначу ответственных. В чем проблема?
Linux Firefox
4
1
Л. Янукович
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Кстати, Константин вполне неплохо подметил, не могу не согласиться.

Публичный сервис заботится не только о своем пользователе, но и о собственной безопасности тоже. Вас пока спасает небольшой размер ресурса и использование нестандартного движка. Резона особого ломать вас и закидывать спамом сайт нет, но если кому-нибудь когда-нибудь это понадобится - то достаточно просто можно, например, через одну взломанную учетку поставить небольшой зомби-нет постить один и тот же дебильный комментарий, пока вы, например, спите (или уехали в Якутию) - так ли уж много времени займет, например, забить на вашем сервере жесткий диск? Небось не терабайты там, а гигабайт 30-40.

Модераторы, конечно, в какой-то мере спасают, но масштабируется это решение очень плохо. Так что слегка позаботиться о себе и заставить пользователя поставить пароль хотя бы не из списка Морриса - не так уж и сложно, но определенную защиту от не слишком изобретательного хулигана все-таки обеспечит.

Я не уговариваю вас все бросить и срочно этим заняться, я просто пытаюсь объяснить, откуда ноги растут у этой практики. "Звездочки" тоже объяснимы, как и то, что содержимое парольных полей принято сбрасывать. Вы этот момент как-то упустили, но, думаю, вам неоднократно приходилось перебивать заново две копии пароля при неправильно введенной капче на странице регистрации - раздражает, не так ли?

Так что правильно нащупать баланс между мерами безопасности и удобством пользования - задача довольно сложная, и если бы кому-то удалось ее решить, то Интернет бы выглядел совсем по-другому.
Linux Opera
 Москва
6
4
Леонит Каганофф
Маразм какой... )))
Да зачем вам "вломанная" учетка, если спам можно оставлять со своей собственной? Взлом - одна проблема, спам - совсем другая, они решаются разными средствами и не связаны никак.
Вам так нравится само выражение "взломанная учетка", что вы уже забыли цель взлома?
Спам станет еще круче, если взламывать учетку с краденного ноутбука, отнятого у убитой процентщицы! )
Linux Firefox
5
1
Л. Янукович
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Со свежезаведенной учетки обычно "можно" несколько меньше, чем с чьей-то неаккуратно заведенной, но уже накопившей репутацию.

Бывает, впрочем, и обратное. Например, вряд ли можно использовать для такого хулиганства учетку того же Маркони, а вот мою - запросто.

Насчет остального... Пожалуй, мы действительно друг друга не поймем. Вы - пишете стихи на PHP, а я регулярно достаю из бэкапов то, что вот совсем-совсем никому не было нужно, а потом вдруг куда-то пропало. Например, 200 блогов, потертых через учетку модератора (пароль там оказался не простой, а ажно 1234567! хакеры, кейлоггеры и лично призрак Эдгара Гувера).
Linux Firefox
0
2
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Может, если всё упростить, оно получшеет?
Windows Firefox
1
5
Борис
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
+100500!!!
Подписуюсь под каждой буквой! Вот бы уже кто-нибудь составил такой меморандум для разработчиков модулей регистрации и утвердил его как международный ГОСТ!!!
Windows Firefox
1
1
Westnik
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Уважаемые! Интересно было все прочитать, познавательно. Задам вопрос с точки зрения Мариванны, т.е. юзера. С некоторого времени стал пользоваться Хранителями паролей на телефоне с синхронизацией на компьютере.
Нахожу это удобным. Запоминать пароли уже давно не пытаюсь, их у меня не менее 50, всякие кредитные карты, онлайн банки, пин коды, и прочая. Что можете сказать хорошего или плохого про такой способ хранения паролей?

Знаю, другие ведут книжечку паролей, прячут ее в сейф.
Linux Ubuntu Firefox
 Иваново
4
0
Коржик
Плохо - проебать телефон вдали от своего компьютера.
Хорошо - даже с паяльником у вас эти пароли не отберут. Хотя, возможно, для вашего здоровья это тоже будет плохо.
Mac Safari
 Израиль
5
0
braintunic
Возражу по обоим пунктам.
1. Если хранитель паролей приличный, типа RoboForm, то при проебывании телефона, просто ставишь аппликацию на любой другой телефон, синхронизируешься, и все в порядке. Занимает не больше двух минут.
2. С паяльником - все как раз наоборот. Теперь владельцам паяльника нужно выпытать у вас всего лишь один пароль - пароль к хранителю паролей, и все остальные пароли сразу доступны.
Mac Safari
 Швейцария
1
0
Миха
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Звучит как-то утопично.
То есть, все 50 накопленных паролей хранишь в "сейфе", который могут украсть, взломать, который можно легко потерять и т.д. Кроме того, его содержимое могут подсмотреть. Потом, у самого сейфа какой-нибудь один простой пароль, и любая системная программа может все данные считать и передать в интернет?
Windows Safari Chrome
 Волжский
1
0
Юрий Дятлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это из того же списка маразмов, что и "робот, которому я должен доказать, что я не робот". :)
Хранимый в заднем кармане и регулярно бросаемый на столе закрытый паролем 123 список из 50 Разных Длинных Почти Неподбираемых Паролей...
Linux Firefox
8
1
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
>Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки...

Скорее всего имелось в виду - "мы прогнали по своей базе атаку по словарю и схватились за волосы, когда она раскрыла там половину паролей" ;)
Windows IE
0
2
Олаф
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
В общем - да. Наблюдается паршивая тенденция ко всяким усложнениям регистраций на разных ресурсах. Всё меньше сервисы заботятся о пользователе. Мало, что в комп лезут, меняют что-то, так ещё им номер сотового дай! Ага! База паролей - услада сердцу хакеров и Большого Брата.
Linux Firefox
1
0
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Там, где просят номер телефона, я не регистрируюсь принципиально.
Windows IE
1
0
Олаф
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Аналогично. Нигде в инете, за эти годы, я не оставлял свои номера телефонов. Более того. В инете нет ни одной моей фотографии и настоящих личных данных.
Windows Firefox
 Мытищи
0
1
DGN
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
я туплю, или в чем проблема прописать пароль 123, если даже ты хранишь только хеш?

очень за возможность любых паролей, не дело говноресурсу решать за пользователя. хотя конечно есть всякие госуслуги и банки, им можно наверное.

звездочки против скринграбберов ведь, а не для трамвая? хотя конечно кейграббер проще... видел в одном банке поле для ввода пароля мышкой, тыкать по цифрам которые в разном порядке каждый раз появляются.

я за генерацию первичного пароля сервером, в своих проектах делал такое основываясь на генераторе эльфийских имен ;-) типа проще запомнить... поменять конечно можно.
Linux Firefox
1
0
Leo B.
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Как бы еще узнавать, к какому из множества OpenID привязана учетная запись?
Linux Ubuntu Firefox
0
0
RussianNeuroMancer
Возможность сменить основной e-mail отсутствует, или я что-то упускаю?
Windows Opera
0
0
GH
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Кстати мне теперь не дает обновить мой блог с lleo.homeip.net - выскакивает окно HTTP авторизации.
Windows Safari Chrome
0
0
Des
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ненавижу когда в пароле не разрешают применять "спец" символы, типа: "#", "_", "&".
Ненавижу когда нет галочки "показать пароль" чтоб не вводить вслепую. Если за спиной шпион, тогда да - звёздочки, а если я сижу дома один нафига?!
Windows Firefox
 Richardson
2
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Некоторые даже пробелы не разрешают. :-/
А при наличии шпионов лучше даже звёздочки не показывать, потому что по ним видна длина пароля.
Windows Safari Chrome
 Волжский
0
0
Юрий Дятлов
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А некоторые - разрешают. Но обрезают по пробелу, или по кавычке, или, как тут замечено, удаляют незначащие нули.

А в одной многопользовательской игре при обновлении был уничтожен аккаунт персонажа с именем NULL. Типа, сам виноват.
Windows Firefox
 Richardson
4
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> ... уничтожен аккаунт персонажа с именем NULL. Типа, сам виноват.

Интересно. Надо было ему перерегистрироваться под новым именем ;-)


(это не, «© Михаил ...», а XKCD 327)
Mac Safari
 Израиль
19
1
braintunic
Лео, конечно, ловко мошенничает!
Написал письмо ненависти: "хочу сказать следующее всем разработчикам!", а когда ему отвечают, что в некоторых случаях одно из замечаний не всегда верно, а в других ситуациях другое замечание не всегда правильно, то реакция стандартна, примеры:

1) - "если за спиной толпятся пользователи, то ввод открытого пароля ..."
- "а с какой целью вы в присутствии пользователя затеяли процедуру смены пароля в моем дневнике?"

2) -"если я участвую в телеконференции с расшаренным экраном, и надо в это время ввести пароль ..."
- "а как вы себе представляете использование моего движка в процессе телеконференции?"

Тогда уж надо было в самом начале сделать приписку:
"Все мои претензии к разработчикам относятся только и только к:
а) разработчикам процедуры смены пароля,
б) только на сайте приватного форума,
в) только с движком собственной разработки,
г) и только если имя сайта lleo.me !"
Linux Firefox
1
4
Анони-маусс
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Нехуй на работе лазать по соцсетям, бложикам и говнофорумам. В нормальных конторах есть правило - мониторить деятельность клерка за компом, и в случае обнаружения занятия хуйнёй - выгонять его ссаными тряпками на мороз.
Windows Firefox
11
0
braintunic
1. Слава богу, мне никогда не доводилось работать в таких "нормальных" конторах, которые бы мониторили мою деятельность за компьютером. Если бы я обнаружил, что моя компания пытается применить ко мне подобный мониторинг, то эта компания могла бы немедленно идти на мороз - искать себе другого сотрудника, который бы справился с моей работой (удачи, ребята).
Те компании, где мне посчастливилось за мою жизнь работать, оценивали мою работу по результату, а не по тому, сколько времени я потратил на дизайн, сколько на кодирование, сколько на отладку, сколько на документацию, сколько на заигрывание с секретаршей, сколько на переписку в форумах, и сколько на игру в покер.

2. Если у Лео еще были какие-то (слабые) основания полагать, что разговор крутится вокруг логина к его личному форуму, то ваше утверждение о лазании по "соцсетям, бложикам и говнофорумам" притянуто за такие уши, что им бы позавидовал кролик из Плейбоя.
Сужу по себе, во время работы за день приходится вводить логины не менее нескольких десятков раз. Большинство - логины к разным компьютерам в лаборатории, для отладки кода после установки продукта. Меньшая часть - к разным сайтам технической поддержки и техническим форумам, которые требуют пароль (саппорт IBM - нужен пароль, саппорт Red Hat - нужен пароль, и т.д). Блин, да даже для технической литературы (те же O'Reilly Safari Books Online), и то нужен пароль.
Ну и не забыть на сайт Лео Каганова заглянуть :)
Windows Firefox
0
0
dummy-bear anonym
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Подозреваю, что вы не клерк. ;)
Windows Firefox
1
2
tartaglia
Не понимаю, о чём сыр-бор. Известно же распространённое гуманное средство: галочка "показать набираемый пароль". И человек сам решает, будет пароль отображаться на экране или нет.

Когда же пароль не отображается, логично поведение Лотуса, что ли, не помню, когда звёздочки рисуются в неадекватном количестве, так что и длина пароля остаётся скрытой. Либо звёздочки не рисуются вообще.

И всегда наивна и неразумна святая вера в то, что ваш пароль не скомпрометирован каким-то образом: не снят с вашей же клавиатуры, не продублирован в открытом виде на ресурсе или не вскрыт из хранилища хэшей и т.п. Насколько я понимаю, схемы шифрования подлежат во всех цивилизованных странах обязательной сертификации как раз для того, чтобы всё зашифрованное могли вскрыть те, от кого вы, может быть, и шифруетесь.

В конечном счёте все пароли сродни цыскиным, зашифрованным по типу 7, только некоторые раскалываются чуть дольше либо нематематическими методами.
Windows Firefox
3
0
vassiliy.vlassov
Сильно сомневаюсь, что зная метод шифрования можно легко вскрыть пароли. На то и шифрование, что обратная задача не решается. Так что в 99% случаев тупой перебор вариантов, после того как база паролей не помогла.
Windows Safari Chrome
 Москва
0
4
Денис Пантюшев
Сноуден подтвердит!
Linux Ubuntu Firefox
12
0
Ogra
Лео, вы кое-что важное забыли.

1. К прокрустову ложу приговариваются разработчики, которые устанавливают максимальную длину пароля. Пароль в 30 символов - хороший, но им почему-то не нравится. С PRISM сотрудничают, что ли?
2. Разработчики, не признающие спецсимволы, кириллицу и так далее получают запрет на проживание и посещение США, Канады, Великобритании, Австралии, Новой зеландии.
3. Разработчики, применяющие md5 для шифрования паролей в обязательном порядке идут читать Кнута. md5 - очень, ОЧЕНЬ быстрый алгоритм. Расчет md5 на GPU уже не новинка, 3 миллиарда хэшей в секунду - это не шутки.
4. Разработчики, солящие все пароли одной солью приговариваются к полному запрету на использование приправ, пряностей и специй, кроме православного NaCl.
Windows Safari Chrome
0
1
jmster
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
2. Да пусть разработчики ничего не признают, кроме АSCII, но только пусть договорятся между собой и с тестерами.
Вот мне попался роутер с веб-интерфейсом, в котором при смене пароля позволяется вводить что угодно, при логине тоже, но при этом уникод эти две странички, видимо, перекодируют по-разному.
И если бы при смене пароля мне сказали бы: «кретин, у тебя же кириллица включена!», я бы только сказал спасибо.
А так - полный ресет и все с начала.
Linux Firefox
2
0
morruth
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
4. Пожалейте Леонида ж)
Windows Safari Chrome
4
0
Ogra
Вот что Леонид писал: "Хэши конечно засолены. Причем, засолены, в частности, еще и с номером учетной записи". Так что соли, возможно, все-таки разные для разных пользователей - надо исходники движка посмотреть.
А вот от md5 ему нужно уходить.
Linux Opera
0
4
Леонит Каганофф
Не, это куки так делаются. Не пароли. От md5 я не хочу уходить - придется всех разлогинить...
Linux Ubuntu Firefox
 Владимир
6
0
Adamos
Зачем кого-то разлогинивать?
Отныне проверяем, совпадает ли хэш в базе с вычисленным по-новому. Если нет, проверяем, совпадает ли он с вычисленным по-старому.
Если да, то логиним пользователя и записываем на место старого хэша в базе новый.
Через некоторое время все активные пользователи будут лежать в базе с новым хэшем.
Linux Ubuntu Firefox
3
0
Ogra
Тогда это плохо.
От md5 и общей соли нужно уходить на стандартную, специально предназначенную для этого функцию crypt. http://php.net/manual/ru/function.crypt.php
Генерируете случайную соль для каждого пользователя и хэшируете Blowfish. Вот, кстати: http://www.php.net/manual/ru/faq.passwords.php
Windows Firefox
2
6
Пашка
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Прикиньте: на софтовых раздаточных регулярно появляются коцаные проги для конфиденциального хранения паролей и номеров кредитных карт...
Как-то набрел на обсуждение таких прог, так там некто пошел, поискал, и нашел их все взломанные на различных раздачах, кроме одной какой-то, про которую сперва решил, что она-то наверно крепкая... Но оказалась, она просто плохая, неудобная и нахрен никому не нужная, как тот неуловимый Джо.
К сожалению, не помню их названий, я их все просто вычеркнул с тех пор из горизонта, раз они коцаются, пусть идут в жопу.
Я пароль лучше запишу на бумажку в середине записки про телефон и приемные часы хирурга Марка Соломоновича, и приколю прямо перед компом, не таясь. Хрен кто поймет, что это список паролей.
Windows Firefox
5
0
braintunic
Вас кто-то заставляет использовать "коцаные" программы для хранения конфиденциальной информации??
Ведь делать это добровольно способны только пациенты некоторых клиник.
Пользуйтесь оригинальными "некоцаными" программами (хорошими), тогда не придется из другого города звонить на работу вашему сослуживцу, чтобы он вам прочел из записки, приклеенной над компом, этот пароль, спрятанный под приемными часами хирурга Марка Соломоновича :)
Windows Firefox
0
3
Пашка
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Невнимательно читаете.
Я не только не желаю пользоваться коцаными прогами хранения паролей, я также не желаю пользоваться ими же и некоцаными - потому что их МОГУТ коцать, что доказано нахождением их всех на пиратских раздаточных.

Я думаю, что если прогу легко взломать для бесплатной установки, то можно и для для чтения паролей - это логично?

А раз так, то я не хочу ими пользоваться в принципе!
О чем и пишу второй раз, впрочем, вы и во второй не поймете.
Теперь глядите: если стандартный наугад взятый человек не в состоянии правильно понять ясно написанный специально ему текст в три фразы, то как же он нафиг догадается, что та записка - на самом деле список паролей?
Шансы на это нулевые. И даже если догадается, там будет столько букв и цифр, как он узнает, где пароль а где заполнение? И от чего этот пароль?

Ну и насчет другого города: это трудно, но представьте на минуту, что та же записка про Марка Соломоновича будет у меня и в кармане, и в смартфоне, и, допустим, на аккаунте в Гугле лежать?
Windows Firefox
4
0
braintunic
Похоже, мы с вами действительно не понимаем друг друга.
Вы говорите: "Я думаю, что если прогу легко взломать для бесплатной установки, то можно и для для чтения паролей - это логично?"
Это логично, но абсолютно неверно (хотя большинство людей почему-то именно так и думают).
Смотрите, у меня на компьютере и на телефоне и на планшете установлена нормальная "некоцнутая" программа по хранению конфиденциальной информации. Далее упрощенно. Информация хранится на сервере, закрытая очень сильным кодом, нечитаемым без пароля. Пароль на сервере не хранится, хранится лишь хэш с солью. То есть, сервер хэширует введенный пароль и сравнивает с сохраненным кэшем - если совпало, значит введен правильный пароль. Обратная задача нерешаема в принципе - невозможно узнать пароль по имеющемуся хэшу.
Теперь, какая мне разница, если кто-то где-то установил эту программу каким-угодно образом взломанную? Все-равно, как бы эта программа ни была взломана, у нее нет никакой возможности получить доступ к моим данным, если она не введет мой пароль. А откуда она его узнает? На сервере этот пароль не хранится, на моих компьютерах тоже не хранится, только у меня в памяти.
Есть разные причины, почему подобные программы не всегда являются панацеей, но уж описанная вами логика точно не обоснована реальностью.
P.S. Кстати, нет НИ ОДНОЙ хоть чуть-чуть популярной программы, которая бы не предлагалась "взломанная" на пиратских раздаточных. Исходя из этого, странно, что вы вообще рискуете пользоваться компьютером :)
Windows Firefox
0
3
Пашка
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Но вы же не утверждаете, что все такие проги, для конфиденциального хранения паролей и всего прочего, без центрального сервера не работают?
С сервером работает ваша прога, но послушайте: как только какая-то программа жестко связана со своим центральным сервером и без интернета бесполезна, так сразу она становится невзламываемой!
Ну во всяком случае, теоретически к ней становится возможно привинтить постоянную онлайн-проверку подлинности, и крайне глупо будет производителю такую возможность не использовать, особенно когда прога рекламируется как имеющая отношение к безопасности (иначе будет сапожник без сапог)!
Так несколько лет назад ушел с пиратского рынка Доктор Веб - они приделали проверку при обновлениях баз...
Ну а про автономные проги и речи нет - они все без сапог.
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
К drWeb без проблем находятся временные ключи на месяц-три-полгода. Особенной нужды пиратить просто нет.
Windows Firefox
0
4
Пашка
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Просто чтобы вы знали: эти, якобы, ключи слетают при обновлении баз. Не при первом же, а где-то через пару дней. А без обновлений - на кой он нужен сейчас...
Что же касается пиратских ключей "на месяц" - это вы не в курсе просто.
Туфту написали, извините за прямоту. Дело в том, что они и сами дают ключ на месяц бесплатно, полный функционал, совершенно официально. Но часто это повторять не дадут. Так что Др-Веб не коцается. Уже лет 5. Просто запомните.
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Поясняю: есть ключи (легальные, а не пиратские!), которые drWeb раздает в рекламных целях. Публикует в журналах, например, для читателей этих журналов.
Эти ключи ни при каких обновлениях не блокируются, и я месяц назад находил такой ключ на три месяца сроком для знакомой, которой это понадобилось.
Вы, видимо, просто не в курсе, что "коцать"-то и не требуется.
Windows Safari Chrome
 Москва
1
0
Денис Пантюшев
А как вы докажете, что "некочаная" прога не тырит ваши пароли с телефона?
КАК можно быть уверенным, что андроидофон с предустановленными Google-программами не таскает вашу инфу?
Я правда, не android-разработчик, может, там все давно чисто и стабильно. Но все-равно, стремно както хранить на телефоне такую информацию.
Windows Firefox
8
0
Алексей Озеров
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Почитал статью. Почитал комменты - и решил зарегистрироваться, чтобы оставить комментарий. Ок нашел где регистрироваться, заполнил форму. Получил в почту 2 письма с запросом на подтверждение регистрации. Попутно удивился тому, что регистрация на авторском сайте худший способ общения с автором. Вернулся на сайт, вернулся в дневник - нажал U - на мониторе с 1280 х 1024 окно логина уехало вправо и появилась полоска нижней прокрутки. Кстати церез Ctrl-Enter нельзя сообщить об опечатке во всплывающем окне при наведении на ссылку движок сайта. (там в середине слова установить лишние буквы). Ну это так издержки ручной работы, понимаю. Зато все свое и не так как у большинства сайтов блогов. Ок. Но почему ко мне приклеилось фото автора при невозможности его сменить на свое - не понимаю.

Но вернемся, к тому с чего начали - пароли и безопасность. Те, кто пользуются VK или ОК получали наверняка и не один раз спам или левые ссылки от аккаунтов своих друзей. У моей жены как-то попытались увести почту на mail.ru - у нее все руки на старом аккаунте не доходили пароль сменить. Про то как в период расцвета у людей тырили аккаунты в ICQ думаю все в курсе. Сейчас есть еще более лакомые куски - Скайп, который хранит у себя всю историю переписки, аккаунты в F2P играх, куда может быть просажена не одна тысяча вечнозеленых. И существуют вполне реальные биржи, торгующие не только честно прокачаными, но и украденными или "брутированными" аккаунтами.

И пойдем по пунктам - двойной ввод пароля - лишний повод убедиться сможет ли человек запомнить пароль и доп проверка - сможет ли он САМ ввести этот пароль. У продвинутых систем поэтому и копипаст туда отключен.

Пароль закрывающийся звездочками при логине - при том, что дальше на вход в рабочую почту нет отдельного пароля - не позволит идиоту или завидующему коллеге в обеденный перерыв отправить от вашего имени письмо на общекорпоративную почту.

Кстати набрать с клавиатуры текст, так чтобы было не видно что набираете, гораздо проще чем прикрыть монитор от нежелательных наблюдателей.

Третий случай - ну приличные сервисы после первого входа с этим паролем клиента переводят на ввод своего пароля.

Четвертый хотя бы заставит людей не пользоваться цельными словами подбираемыми по словарям. Демагогию о том, что это упрощает пароль если человек заранее хотел так сделать - оставим на совести авторов. Собственно главная ошибка рассуждения - там где пароль идет с цифрами и буквами брутующему надо перебирать И ЦИФРЫ И БУКВЫ так что при чисто цифровом пароле на 2 символа есть 100 вариантов, буквенном англоязычном 26 х 26 - 676, А в простом цифробуквенном (без спецсимволов) вариантов 36 х 36 = 1296. И толку взломщику от того, что он знает что пароль цифробуквенный нет - точнее есть, скорее всего робот будет настроен на сброс поиска после перебора чисто цифровых или буквенных сочетаний и переход к другому аккаунту.

Вот 5й пункт толковый.

Но не хватает почему-то жалобы на разработчиков, ставящих капчу, которую здоровый человек с хорошим зрением не может разобрать - вот это бред реальный. Как и капча, которая может просто не прогрузиться на мобильном браузере (при этом показ картинок был включен) Или цифробуквенную капчу с невыключенными из отображения буквой о и цифрой 0.
Linux Ubuntu Firefox
 Владимир
1
7
Adamos
Имхо, человеку, который хочет поделиться своим мнением на тысячу знаков, лучше завести собственный блог, а не строчить простыни в комментариях к чужому.

Насчет демагогии о цифрах - там и на комикс ссылку давали. Что, даже картинки не помогли понять, о чем речь?
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Видимо, не помогли. Попробую разжевать:
1. Математика - это хорошо.
2. Но на практике большинство пользователей не ставят себе пароли, которые можно получить только перебором всех символов подряд.
3. Большинство пользовательских паролей - это то, что человек может запомнить сам. Поэтому высока вероятность того, что пароль содержится в словаре частых паролей - психология, знаете ли.
4. Требования ввести цифры обычно, опять же психологически, приводят к паролю, достаточно слабому, чтобы его запомнить, но "усложненному" за счет 0 вместо о, 4 вместо ch или ч и т.п. Привести словарь паролей к такому "усложненному" виду может любой студент, словарь от такого "усложнения" вырастет от силы на порядок.
5. Зато улов от такого словаря будет выше, чем от обычного, так как даже опытные пользователи опустятся до простых паролей.
6. Вывод: усложнение паролей цифрами сродни быстрому антивирусу - создает иллюзию безопасности, реально ее уменьшая.
Windows Firefox
1
0
Shandrydan
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Есть еще более унизительное издевательство.
Банк шлет смски - пользуйся, чувак, интернет-банком, это круто и удобно. Ну ок, но например я не могу войти в интернет-банк, потому что забыл пароль. Ну ладно, бывает. Давайте отвечу на контрольный вопрос и все дела. Вылезает две пустых строки, в одной из которых я должен написать вопрос (или выбрать из десяти вариантов, уже не помню), а в другой - ответ. В итоге они меня вроде вообще заблокировали. Собственно на этом я закончил вообще все.
Windows Firefox
 Нижний Новгород
2
1
tartaglia
Известная реальная старая, лет десять как, история: системщик вскрыл на своём Юниксе пароли и предложил их усложнить тем, у кого вскрылось. Этого американского мужика уволили, чему он очень удивился. У нас немного отстают, по обыкновению, все - и системщики, и начальство.

Мои коллеги-системщики раньше регулярно вскрывали пароли на Винде, когда они были 14 символов, каждые семь из которых шифровались отдельно - мелкософт такой мелкософт. Им юзеры регулярно выдавали запросы: "У меня от монитора отклеилась бумажка, а новый пароль я не хочу - какой у меня был пароль?"

Также типичный запрос: "Я потерял письмо, пусть оно придёт мне ещё раз." Что говорить - меня один раз взяли на работу, чтобы я на Юниксе сделал анализатор транзитной sendmail-почты, был такой запрос от начальства.

Правильный юзер не сомневается, что он под колпаком. На самом деле, это правильный подход для любого. "Всегда считайте, что пароль рута уже скомпрометирован." - есть такое правило.
Windows Firefox
2
0
Westnik
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
"Есть еще более унизительное издевательство. Если я забыл пароль."

Издевательство будет, когда ваши деньги украдут, из-за слабой системы защиты банка. Серьезные пацаны не забывают пароль. И не возмущаются как пионеры, типо "панаставили тут дверей, а я ключ потерял, все козлы". Вот если в банке лежит кровно заработанные 100 штук зелени, тут начнете задумываться.
Windows Opera
2
0
russel
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Склонен согласиться.
А от себя добавлю причину, по которой планшет не заменяет мне нетбука. У меня все пароли, ну кроме тех, которые нужны для того, чтобы зарегистрироваться на очередном форуме со скрытыми ссылками, это русские словосочетания, набранные в английской раскладке. Поди - взломай "7_,tl?_jlby_jndtn". Но во всех планшетах клавиатуры с одним знаком на кнопке. И как мне угадать - какой символ где? Приходится смотреть на полноразмерную клавиатуру.
Mac Firefox
1
3
gul
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Либо вы шутите, либо сильно заблуждаетесь, считая такие пароли криптостойкими.
И русские слова без переключения раскладки, и русские слова латиницей, и русские слова схожими по начертанию латинскими буквами - всё это проверяется при словарном брутфорсе, т.к. увеличивает время проверки незначительно.
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Не слова. Словосочетания. Замучитесь словарь составлять, не то что перебирать...
Windows Opera
2
0
russel
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Создайте файл с паролем "Jlyf;ls?_d_cnel`ye._pbvy.._gjhe", и попробуйте взломать любой доступной программой. О результатах сообщите... лет через 100.
Вы хоть представляете, какой должен быть список? Вобьёте всю литературу? А если я банально буду вместо пробелов ставить "-"?
У такой системы только один недостаток - нужна стандартная клавиатура.
Windows Opera
0
6
russel
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
К слову - я бы добавил от себя неприязнь обязательности требования по установке пароля. Помню - раздобыл в своё время дистрибутив Убунты. Думаю - гляну. А там по ходу установки следует задать два пароля, причём - определённой степени сложности и - разные. В итоге - после первой установки пароли я забыл. И чего делать? Пришлось переустанавливать. Но если я не хочу ничего защищать? Просто - выдайте окошко, типа "Слишком простой пароль или его нет - если не измените - считаете отказавшимся от гарантий безопасности". Всё! Я просто посмотреть хочу. Или, допустим, потом задать.
Linux Ubuntu Firefox
 Владимир
4
0
Adamos
Это как в установщике Виндов, что ли?
Спасибо, "наелись" результатами такого послабления...
Windows Opera
0
5
russel
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
И каковы же были ваши результаты?
Меня это вообще однажды спасло. Нужно презентацию на чужом объекте делать, а админ в отпуске и связи с ним нет. А нужны сетевые настройки, чтобы подключить Интернет. Комп - с паролем. По счастью "Администратор" оказался без пароля, чем я и воспользовался.
Linux Ubuntu Firefox
 Владимир
4
0
Adamos
Да не мои, а мировые результаты - многочисленные вирусные пандемии и репутация "решето" у системы, столь наплевательски относившейся к правам пользователей и их защите. Как следствие - быстрое вытеснение этой системы с серверного рынка.
Mac Safari
 Израиль
10
0
braintunic
Мне нужно было деньги взять в банке, а карточку я забыл. По счастью сейф у них оказался не заперт и сигнализация выключена, чем я и воспользовался.
Windows Opera
4
5
Соло
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Как был ты, Лёня, норкоман упоротый, так и остался.
Windows Firefox
7
0
Megadest
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?



Нудеть? "Fatal error:" плохое сообщение при восстановлении пароля :)
Mac Safari
 Израиль
3
0
braintunic
"Fatal error" - это цветочки.
На любом Юниксе/Линуксе иногда выскакивает вот такое сообщение об ошибке: "You don't exist, go away!", вот тут испугаешься ;)
Linux Ubuntu Firefox
 Владимир
0
1
Adamos
Не подскажете тот "любой", на котором такое можно посмотреть?
BSD и ее коммерческие клоны не предлагать ;)
Mac Safari
0
0
anonymouse
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
За остальные клоны не знаю, но на Линуксах часто вижу
Linux Ubuntu Firefox
 Владимир
3
3
Adamos
Никому не кажется странным, что я, сидя под Линуксами постоянно, ничего подобного не видел, а тут уже второй товарищ с Mac то "иногда", то даже "часто"?
Linux Firefox
 Израиль
2
1
braintunic
Это говорит лишь о том, что у вас правильно настроены аккаунты и правильно настроен ssh (ну или что вы не пользуетесь ssh).
Если хотите, могу рассказать, как получить такое сообщение на вашей системе ;)
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Ssh пользуюсь ежедневно. И мне интересно, но... давайте лучше прекратим этот оффтопик. Здесь-то это совсем ни к чему.
Mac Safari
0
0
anonymouse
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Маком я пользуюсь, потому что выдали на работе (других не было, ну это долгая история). Собственно, мне от него только броузер и терминал нужны. На работе десяток debian-серверов.
Ошибка встречается, когда сессия не может найти тебя в списке пользователей.
За "часто" я погорячился, но пару раз действительно неправильно удалил пользователя из каталога, после чего лицезрел такое сообщение
Windows Opera
2
4
Justas
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Lleo, пиши больше. Талант можно обменивать на деньги разными способами. Раз книги для этого не подходят, ставь рекламу, делай заказные статьи. Мы, твои читатели, в любом случае будем рады новым текстам.
Windows Firefox
2
4
Серж
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Пробудили во мне старые мысли о книгах. Сейчас всё скачивают бесплатно и не платят за книги. Но я часто распечатываю на принтере то что скачал и делаю себе книгу. Речь о технической литературе. Печатный вариант удобнее для глаз, там можно делать заметки карандашом и маркером, написать свои замечания. И ребенку покупал сказки с картинками, а не ноутбук давал читать. Мне кажется, что трудно называть книгами современные наборы газетной бумаги в мягкой обложке. Книга должна быть не на один день. Должна быть нормальная обложка, приятная бумага, умный дизайн - это должна быть вещь, которую хочется хранить. У меня есть книги - дореволюционнве издания. Я подобного качества ни в СССР ни после не видел. На западе делают что-то подобное на более современных материалах. Может книга возродится, когда издатели поймут что люди не будут им отдавать деньги за печать на туалетной бумаге, даже если издатель будет называть это бестселлером. Извините ,что не в тему, но может на эту тему стоит отдельно поговорить - как возродить книги?
Windows Safari Chrome
 Chatham
5
1
Vadimus
А еще давайте возродим пеньку, треуголку и ботфорты.
Или хотя бы папирус.

Только вопрос - зачем? Если для вас книга - предмет искусства - наслаждайтесь. Но это уже фетиш, а не способ хранить информацию.
Windows Firefox
 Richardson
4
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> Но это уже фетиш, а не способ хранить информацию.

И, применительно к «технической литературе», далеко не самый удобный способ ей пользоваться, ибо гиперссылки и поиск не работают.
Windows Safari Chrome
2
0
Ник
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Все это неоднозначно.
Перечисленные Вами пункты друг с другом связаны. Как Вы и сами показали. И сильно связаны тем, какие именно из возможных конкретных сценариев решено реализовать: для кого это делается, чего хотим избежать/получить.
А Вы в упомянутой беседе выглядите как недоговорной: хотите полностью ваш случай; исходите из того, что другая сторона не имеет свои причины и соображения, а просто не понимает; материтесь.

Это, конечно, не оправдывает решение по блокировке, принятое исключительно по результатам просмотра базы.

всего комментариев: 325

<< предыдущая заметка следующая заметка >>