Франция запретила хранить пароли в хешированном виде

[TARAKAN]

Этот мир сошел с ума…

[mcrey]

"… и мне придется спятить, отвечая требованиям моды"(ц)

[xyu]

Это не мир сошел с ума, это хабр сошел с ума, где люди верят самым желтейшим заголовкам на Земле и норовят сразу закричать «Франция в перде!» В оригинале же написано:

Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour;

Т.е. хранить нужно последнюю версию пароля, либо данные для его проверки или изменения.

В западных интернетах все уже перетерли, да, данные нужно хранить в течении года, но никто не настаивает на использовании открытого пароля.

[SmartBye]

А в чем разница? Что такое «последняя версия пароля»? Кто-то хранит историю смены паролей? И что подразумевается под данными для проверки или изменения?

[Dragonizer]

А хеш не является данными для проверки или изменения? Для проверки он и так используется, а для изменения достаточно поменять хеш в базе.

Стало быть, все и так выполняют законодательство, храня либо пароль, либо хеш.
Не?

[AndrewStephanoff]

то есть под данными для проверки можно считать хеш пароля + алгоритм, верно?

[soomrack]

Тут есть один интересный нюанс: если сами данные хранятся не в зашифрованном виде, то что захеширован пароль, что незахеширован — разницы почти нет.

PS: и да, внизу уже отписали, что заголовок не соответствует содержанию закона.

[Elkaz]

Думаю ваш 5-ый слева по счёту тег, коротко и ёмко указал оценочное суждение по данному вопросу :)))

[guyfawkes]

«Было им прибавлено и существительное к слову „заплатанной“, очень удачное, но неупотребительное в светском разговоре, а потому мы его пропустим. Впрочем, можно догадываться, что оно выражено было очень метко, потому что Чичиков, хотя мужик давно уже пропал из виду и много уехали вперед, однако ж все еще усмехался, сидя в бричке. Выражается сильно российский народ! и если наградит кого словцом, то пойдет оно ему в род и потомство, утащит он его с собою и на службу, и в отставку, и в Петербург, и на край света».

[mephisto]

Нажимая на заголовок поста, чтобы увидеть комменты, уже думал написать «феерические ...» как раз с применением этого слова, но вы выразились более красиво)

[schursin]

[irony]Это потеря-потерь![/irony]
А если серьезно, это похоже на маниакальную борьбу не пойму с чем…

[Biga]

Силы добра против сил разума.

[SmartBye]

Т.е. пароли нужно хранить в открытом виде?

[oYASo]

Да, теперь вместо «6c9b8b27dea1ddb845f96aa2567c6754» гугл должен хранить «pa$$w0rd».

[Scorpil]

Респект всем кто, как и я, первым делом перепроверил хэш :)

[printf]

Но вы же не знаете соль. Или вы всерьез думаете, что гугл хранит пресные хеши?

[VasG]

Это уже кто как «придумает». Но обычно — конечно же нет.

[mixrin]

Пойду печатать шифроблокноты. На всякий пожарный.

[SmartBye]

Куда можно запихнуть соль, что бы это имело хоть какой-нибудь смысл в плане безопасности?

[babai]

Можно хранить сервер генерации соли в другой стране.

Допустим при регистрации, идёт запрос на создание соли, которая сохраняется в бд с логином юзера. И при авторизации запрашивать соль с этого сервера.

[lol2Fast4U]

Тормозить будет.

[mephisto]

Задачи соли — сделать невозможным применение радужных таблиц и сделать хэши одинаковых паролей разными.
Первую задачу ваш вариант решает, а вторую — нет.

[Kolonist]

Для решения второй задачи, к соли всегда «подмешиваю» логин. Т.о. даже если у двух юзеров в базе одинаковые пароли, этого не будет видно.

[mephisto]

В принципе это нормальный вариант.
Я лично в своих проектах использую рандомно сгенеренную соль, храняющуюся в базе вместе с хэшем пароля.

[Scorpil]

Гугль настолько суров что хэширует даже соль…

[oYASo]

… то Ваш пароль «6c9b8b27dea1ddb845f96aa2567c6754», это же очевидно :)

[ulitin]

Что-то в этом году, весенние обострение какое-то неимоверно сильное.

[Sapercheg]

Непонятно зачем. Владелец сервиса, если полиция попросит сам сменит пароль на «1234» и даст эти «1234» полиции.

[schursin]

Искренне верю, что гугл не такой…

[Mezomish]

Зря. Вспомните как Гугл выдал данные пользователя, который ничего не совершал, не то что полиции, а банку. А в данном случае будет двойное «усиление» ситуации: 1) пользователь не просто не пойми кто, а подозреваемый в совершении преступления (или вообще обвиняемый), 2) запрос идёт от полиции, а не от коммерческой организации.
Так что, боюсь, и сменит, и выдаст.

[crash]

еще проще просто дать полицейскому аккаунту право видеть все

[Scorpil]

Ну например чтобы знать если пароль — 'i_hate_niggas'… :)

[nolar]

thoughtcrime?

[Rascko]

Очень понятно зачем. Смененный пароль — первый звоночек, даже набат — «в моем аккаунте кто-то что-то делает».

[fifonik]

никто не мешает после того, как с этим 1234 зашли и посмотрели что надо, вернуть туда изначальный хэш.

[yushkevichv]

Для начала, службы не настолько быстрые, чтобы «смените, мы щас 5 минуточек глянем и обрптно верните». Также бюрократические проволочки будут также делать свое дело.

Для продолжения — а кто говорит, что на момент смены пароля пользователь не будет в своем аккаунте?

[fifonik]

вы о чем вообще?
если у кого-то есть полный доступ к данным, то он может сделать что угодно (даже не зная пароля, если конечно все данные не шифруются функцией от пароля), и если захочет — то тот, кого «просматривают» об этом никогда не узнает.

— этому пользователю можно показать страничку «тут чип и дейл что-то чинят, вернитесь чуть позже»
— на основании данных о пользователя можно сначала узнать, когда именно он бывает онлайн.
— можно вообще поднять копию системы, а пользователь пусть работает с живой системой.

[fifonik]

err. это я к тому, что при наличии всех данных пароль, в подавляющем большинстве случаев, ну нафиг не нужен.

[yushkevichv]

Это я к предложению о том, чтобы «заменили хэш на 'свой', зашли под аккаунтом, полазили, затем вернули старый хэш».

[Talismanium]

завести второй пароль

[Alukardd]

Думаю такие гиганты как Google изрядно потреплют правительству мозги. Так же вполне вероятен такой исход, что гугл уберёт свое представительство во Франции. А французы будут сидеть хоть через google.ru — кто им это запретит?

[nolar]

ФСБ же ж! Ссылка прямо в статье :)

[Gol]

Французская Служба Безопасности? :-)

[nikosid]

Думаю всё это очередное преувеличение правительства, дабы потом великодушно откатить назад такие законы и стать всеми любимыми…

[steff]

Дурдооооом… Докатились… Может, опомнятся?

[admhome]

Такие меры правительства той или иной страны вызваны страхом. Правительство понимает, что население ушло в онлайн, а правительство отстаёт. Так как правительство спокойно только тогда, когда население под контролем — бредовые с точки зрения населения законы лишь дело времени.

[toxa82]

Скоро потребуют ежемесячный отчет о посещённых сайтах.

[admhome]

Может да, может нет. Полагаю это подстегнёт гонку ответственных органов со стороны государства и неких лиц, так или иначе не желающих плясать под подобные дудки.

[CAJAX]

Да зачем отчет, когда с ноября HADOPI во всю работает. Слежка уже узаконена.

[SeVit]

HADOPI — это ужас, взяли и сделали всех виновными по умолчанию.

То что в казалось бы развитой стране политики смогли безнаказанно принять такой пакет законов — это звоночек.

[Palehin]

Не даром Медведев призывает чиновников освоить блоги и соц.сети…

[RiderSx]

Маразм крепчал, придурки ликовали…

[Scorpil]

Эх, пойду я сделаю свой интернет. Как все уже догадались, с Uplink'ом и хакершами…

[0nly0ne]

к чёрту всё!

[Colwin]

В т.ч. черта )

[BiBo]

Страны-борцы с безопасностью (в лице Сарко-Путведева) доиграются и Googlю (и т.д. по списку) станет дешевле выиграть выборы и привести во власть своих людей, тем паче, что у Google такая мощная инвестиционная программа.

[vilgeforce]

Интересная мысль, надо сказать. Одного не понимаю: почему еще не?

[Scorpil]

Дык уже. А вы и не заметили. :)

[vilgeforce]

Да я политикой как-то мало интересуюсь, кто есть кто — так это только президентов знаю. Кто из гугля не подскажете? ;-)

[SVlad]

Медвед из Эппла — айПады рекламирует.

[vilgeforce]

Не серьезно, президентам надо защищенные ноуты дарить :-)

[Scorpil]

Ну хотя бы так:
money.cnn.com/2009/10/21/technology/obama_google.fortune/
www.youtube.com/watch?v=m4yVlPqeZwo

Если спросить любителей теорий заговоров можно получить еще больше аргументов… :)

[vilgeforce]

Теория заговора может объяснить все, что угодно :-)

[Scorpil]

Струнные теории — тоже. Но физики только рады :)

[HnH]

«Теория заговора» — идиотский термин, именно поэтому к ней мало кто серьёзно и относится. Каждый день слушать новости про всякие рейдерские захваты, миллионные откаты, убитых бизнессменов, «удачно» ограбленных инкассаторов с кучей денег на какой-нибудь тихой улице и всё такое прочее, но при этом верить, что в политике все исключительно честные и благородные — это по меньшей мере наивно. Такое ощущение, что теорией заговора стали называть всё, что не показывается по вечерним новостям.

[vilgeforce]

Одно дело говорить «Я не знаю», а другое «Я знаю, от всех это скрывают!». И второе — теория заговора, а первое — нормальное положение вещей.

[HnH]

Я знаю, что ни одна спецслужба мира не афиширует свои операции. Это от всех скрывают.

[Rand]

Зря вы считаете, что Гугл богаче тех кто у власти.

[SilenceAndy]

OAuth/OpenID сервис в другой стране = PROFIT

[yeputons]

«К сожалению, Ваш пароль совпадает с паролем пользователя Michael»

[0nly0ne]

Ок, сегодня я Michael.

[Colwin]

Магазинчик Бо? =)

[0nly0ne]

Ну вообще да, но в данный момент нет.

[xbreaker]

«К сожалению, Ваш пароль „6c9b8b27dea1ddb845f96aa2567c6754“ слишком похож на хэш, придумайте простой пароль»

[Colwin]

К сожалению, «6c9b8b27dea1ddb845f96aa2567c6754» является хешем от «pa$$w0rd».

[nolar]

Гораздо интереснее как быть с «одноразовыми паролями» и прочими генерируемыми на лету опознавалками.

[Scorpil]

Не вариант, судя по источнику, закон обязует сайт по первому требованию отдавать в открытом виде все данные, включая пару логин/пароль. Да и идея не очень, логин же надо проверять на уникальность…

[Smi1e]

А чем вас уникальность хеша не устраивает? Или вы боитесь коллизий?

[Scorpil]

Дык придется же отказатся от соли. Ну или нагружать сервер под 100% при каждой попытке авторизации :)

[Roler]

Webmoney и так в открытом виде хранит))

[StirolXXX]

пруф?

[Roler]

Да без проблем.

1. При восстановлении пароля к аккаунту предлагаю указать примерно возможные пароли. Мне, в итоге, указали, что я забыл про последний символ.

2. Пытался вывести деньги с domains.webmoney (кинул лишние, системы вывода нет). Саппорт попросил 4 последние символа пароля.

[dezo]

Им просто лень брутить хэши, в надежде на то, что мы будем у них как на ладони. Это же противоправно, в конце концов!

[admhome]

Вероятно брут хэшей может осложниться солью в пароле, хотя вероятно принять закон проще, чем оправдать массовые бруты хэшэй.

[Smi1e]

Еще абсурднее все выглядело бы, если бы они запретили использовать хеши с солью :)

[nekt]

Можно использовать хэши и без соли — как на итхэпенс было. Достаточно допустить «ошибку» в реализации хэш-функции.

[Ofigenen]

Очередной подтверждение тому, что даже в развитых европейских странах правовой статус интернета сильно оторван от реальности.

[AmdY]

пару минут назад в «последний дозор» прочитал — дежурный стрелочник — это тот на кого валят все шишки.
если постаратьс не думать, что мы айтишники самые умные, а они все тупые, то приходим к мысли, что явная глупость кому-то нужна.

ну, например.
дежурный стрелочник начинает бороться с интернетом, хомячки испуганы и здесь приходит самый чЭсный политик, поливают грязью стрелочника, и получает нужное количество голосов. а стрелочник уходит на покой в тёплое и хорошо оплачиваемое место предоставленное пожалованное за заслуги чЭсным политиком.

[VasG]

Собственно, это тот вариант событий, который первым приходит в голову (по-моему). Так что, наверное, хомячки всё-же должны проявлять беспокойство и иногда вписываться в план, а то иначе потом и не такое придумают…

[verigo]

Уверен, что этот закон не будет принят в окончательном чтении или будет пересмотрен.

[bstnd]

«А все веселье начнется с того момента, как Google, Facebook, eBay и другие интернет-сервисы уберутся из Франции, дабы не противоречить французскому законодательству»

[johny]

И войска США вторгаются в Европейские страны дабы уберечь бедных граждан от опасного правительства.

[ainu]

Или проверить пароли на предмет хранения в них инфомации о ядерном оружии.

[Colwin]

В вашем хеше пароля закодирована информация о последнем терракте! :-)

[NLab]

В Европе не хватит нефти, чтоб заинтересовать Америку ядерным оружием.

[torai]

Естественно, полиция, налоговики, таможенники и прочие «органы безопасности» получают полный доступ к этим данным — а это ваше утверждение из чего следует? Совершенно не естественно, если есть решение суда, то и до принятия данного закона пароли и доступы к аккаунту тот же Google выдавал без проблем и не важно как пароли хранились — в хеше или вне оного :-)

[poi2punk]

if your government shuts down the internet — shut down your government

[ComodoHacker]

Прежде, чем ставить минусы, дам вам шанс.
Где б..?

Где в заметке BBC слова о запрете хранить пароли в хешированном виде? Там возмущаются дегкостью доступа к персональным данным большого количества госструктур. Может есть какой-то другой источник, ссылку на который вы «забыли» привести?

[ComodoHacker]

*легкостью

[Scorpil]

Справедливости ради:

The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.

This includes users' full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.

[akamuza]

И где здесь о хешах? Сказано, что они обязаны хранить пароли и передавать их по требованию, но нигде не сказано, что запрещено хешировать.

[Scorpil]

Хранить хэшированные пароли вместе с паролями в открытом виде как-то бессмысленно, вам не кажется? А хэш != пароль, если вы об этом.

[akamuza]

Не забывайте, что это юристы. И что подразумевает вольную интерпретацию, то её и получит.
Хранение хеша пароля логически равно хранению пароля. Уверен, что они еще зубы покрошат обсуждая это.

[babai]

Если используется соль, то уже никак нельзя утверждать, что это хеш пароля, т.к. хеширование пароля без оной — будет другой хеш.

Это можно назвать как-нибудь в стиле «данные для аутентификация пользователя»

[Scorpil]

А можно назвать и «усовершенствованный алгоритм хэширования». Это кому как выгоднее.

[babai]

Да как не назови, с солью результат уже не является хешом пароля.

[Scorpil]

Хэш — это не только md5. Я имею в виду что с солью результат не является хэшем md5, но является хэшем другой хэш-функции (например такой же как md5, только с солью).

[babai]

Я разве где-то упомянул про md5? Результат работы любой хэш-функции является хэш. Если пароль хэшируется без соли — один результат = его можно считать «отпечатком» пароля. Если с солью (а если она ещё и динамическая или рандомная), то результат является лишь данными для аутентификации пользователя. Даже если захотеть, пароль практически (не будет вдаваться в коллизии) не возможно получить из результата хорошо проработанной системы генерации хэшей (множественное в том числе)

[s0rr0w]

Для вольной интерпретации придумали вольные названия. Переименовываем приправленый хешированный пароль в уникальный идентификатор пользователя, а в качестве пароля устанавливаем имя пользователя. Аутентификацию делаем по трем параметрам. С юридической точки зрения все законно, а вот только наличие логина и пароля ничего уже не решает.

Хотя нужно читать текст закона.

[ComodoHacker]

Пароль хранится в виде, достаточном для его проверки. Также как видео можно хранить во множестве форматов, в том числе и непригодных к восприятию человеком без дополнительных преобразований.

Чтобы потребовать открытые пароли, им придется сначала отменить например тайну переписки.

[Scorpil]

Да сам закон противоречит праву на неприкосновенность частной жизни, так что это уже и не проблема.

[dmitriy_b]

Я лично категорически против такого вмешательства в частную жизнь, но, справедливости ради, хотелось бы прояснить момент с паролями с технической стороны.

Правительству важно, что бы по запросу они могли получить данные, включая не зашифрованный пароль. Таким образом ничто не мешает для нормальной работы сайта пароль хэшировать, а для правительства шифровать пароль открытым ключом и хранить в отдельной таблице. Надежность практически та же.

[Scorpil]

Ну да, это уже вариант. Как-то я сам не подумал о добавлении банального шифрования… Наверное потому что поздно уже.

[oYASo]

В статьи написано, что пароль должен лежать в открытом доступе. Т.е. сейчас, технически говоря, гугл не знает моего пароля, т.к. он лежит в закрытом, хэшированном виде. Если кто-то украдет эту базу хэшей, еще далеко не факт, что он сможет подобрать такой пароль, чтобы получился хэш к этому паролю.

Франция же предлагает обязательно хранить пароль в абсолютно открытом виде.

[ComodoHacker]

> В статьи написано, что пароль должен лежать в открытом доступе.

Пожалуйста цитату, и дословный ее перевод.

> гугл не знает моего пароля
Вы не знаете, что Гугл не знает, не так ли? :) Не так давно Гугл уволил одного кадра из саппорта, за то что тот читал почту юзеров, не помните?

[babai]

На кой этому кадру пароль, если он имел доступ к бд?

[aml]

Этого уволили — и он перестал читать. А если бы он паролей наворовал?

[oYASo]

«The French government wants access to a range of data stored by Google, eBay and others»
Французское правительство хочет получить доступ к целому ряду данных, хранящихся в Google, eBay и других компаниях.

«The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.»
Закон обязывает ряд сайтов электронной коммерции, видео и музыкальных сервисов, а также почтовиков хранить множество данных о клиентах.

«This includes users' full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.»
Данные включает в себя пользовательские полные имена, почтовые адреса, телефонные номера и пароли. Данные должны быть переданы властям, если потребуется.

«Police, the fraud office, customs, tax and social security bodies will all have the right of access.»
Полиция, Бюро по борьбе с мошенничеством, таможня, налоговые и социальные органы безопасности будут иметь право доступа (к этим данным).

Что, собственно, Вам не нравится?

Вы не знаете, что Гугл не знает, не так ли? :)

Я написал, что технически говоря — не знают. Отмаза «мы не храним пароли пользователей» будет, в принципе, верна, т.к. хэш — это не пароль, а «слепок» для проверки подлинности пароля.

[ComodoHacker]

Я не то процитировал выше, прошу прощения.

> хранить пароль в абсолютно открытом виде.

Вот этого в статье нет, запрета хранить пароль в хешированном виде нет. Вы добавили желтизны, как многие тут любят.

Вот что мне не нравится.

[IIIyT]

Мне кажется не желтизны добавили, а просто разъяснили что к чему.

[oYASo]

Внес поправки в конец текста.

[ixpict]

хм, а гугл соберет большую «расхешировалку» для уже существующих паролей?

[ainu]

Скорее ненавязчиво скажет:
1. Вы француз? — согласитесь вот с этим изменением в положении о конфиденциальности
2. Спасибо. А теперь (или при следующем входе в систему) смените, пожалуйста пароль.

[JokerOfGod]

Неужели Мистер Пу добрался до Франции?

[JokerOfGod]

А ну это все объясняет…

[bestfriend]

* как нельзя

[ainu]

Страну открываете?

[puffofsmoke]

Так теперь пароли самому нужно хэшировать?

[Gesper]

А что это вам даст?

[puffofsmoke]

А что это даст спецслужбе, прочитавшей пароль из БД французского сайта?
Только не говорите, что они смогут зайти под моим логином и паролем на тот самый сайт :-)

[khorost]

Следующим этапом будет декларирование гражданами в налоговой пин-кодов к банковским карточкам и передача дубликатов ключей к дому и сейфу в местное отделение жандармерии.

[mehanizator]

а вынести базу с паролями за пределы Франции?

[nolar]

Массовый переход на системы удалённой аутентификации (банально, тот же OpenID) спасёт мир. Быстро, легко и дёшево! Один-два крупных сервиса где-нибудь подальше от таких законов, и коллекция гуглов-яндексов-ипр, которая авторизует пользователя по сторонним credentials. Как-то так.

Другой вариант, более затратный — спрашивать «Под каким законом вы хотите обслуживать свой аккаунт. У нас есть США, Франзция, Китай (ссылка на сравнение). Убедитесь что вы не нарушаете законов своей страны при указании.» Вуаля! ЖЖ такой фокус один раз делали, кстати.

[Sliver]

Мож они ещё нам напишут указ как переменные называть?

[printf]

«Франция запретила хранить строки в char*»

[pticavorobey]

Так все к паспортам для доступа в сеть придет, но только зачем?

[Mew]

Добавьте, пожалуйста, к пятому тегу слово «сказочные».

[oYASo]

«Сказочные» — это у нас :)

[baltazorbest]

мороз крепчал…

[HoochieMen]

А что тут думать… олени у власти везде, мир вперде! Если бы этот весь зоопарк на нас не сказывался можно было бы просто ржать, а так ещё и грустить получается…

[JokerOfGod]

>>>мир вперде!
Вы не Очепятались?
Вы знаете как получается на самом деле, по идеи это мы должны ржать над властями, но они видимо решили без нашего согласия поменяться местами) теперь они над нами ржут… :(

[HoochieMen]

Эхх… вообще сугубо имхо конечно, но по идее власти должны обеспечивать хорошую жизнь людям, как бы инвестировать в условия, тем самым увеличивая отдачу для себя, и за тяжелый труд (действительно тяжелый труд, делать жизнь нации лучше если на самом деле) получать хорошие гонорары. Власти должны быть как владельцы своего бизнеса, а люди как ценные сотрудники. а ржать над конкурентами) я думаю так :)

[Oblitus]

Самооборона у нас запрещена давно. Для вас это новость?

[Smi1e]

Чувствую, грядет новый мем и пачка демотиваторов. Наряду с «Британские ученые доказали...» будет «Франция запретила...»

[babai]

Сначала подумал, что ТС видимо запоздал с 1 апреля, перешёл на оригинал — тоже не 1 апреля. о_О Маразм.

[Klaus]

Лично я думаю, что кто-то там уж окончательно пиздонулся

[babai]

Кстати, ТС

Не только в России правительство хочет полностью контролировать частную жизнь своих граждан, запрещая им пользоваться сервисами с надежным шифрованием.

Не стоит писать такие громкие заявления, не разобравшись в вопросе. Как журналисты прям. Правительство тут не при чём. Какой-то долбоёб из ФСБ решил пропиарить себя (гы-гы), да вышло наоборот.

[oYASo]

Получилось и правда желтовато.
Но насчет пропиарить себя — хз. Все равно соберут какую-то «межведомственную рабочую группу», она выработает какие-то предложение, кто-то эти предложения может подписать.

Я помню, у нас хотели отменить транспортный налог и повысить акциз на бензин. В конечном итоге и оставили транспортный налог, и повысили акциз, да еще и в качестве бонуса ввели какой-то экологический закон.
Или взять в пример закон с болванками — многие кричали, что такого бреда никто не подпишет. Ага. Стара чудес.
Так что я бы не утверждал, что правительство не хочет иметь доступ к данным своим граждан. Хотя явно, конечно, про это нигде не говорится, получилась моя вольная интерпретация слов долбоебов из ФСБ.

[AFC]

В ФСБ до крупного начальника долбоёб скорее всего не дослужится. В данном случае он сделал то, что было велено. И поддержка Пу говорит о том, что пока неизвестно насколько наоборот вышло…

[Die_Gelassenheit]

У французов национальная забава — революция. Они не рискнут такие законы принимать.

[mitrichlab]

Да пусть просто законодательно выдвинут
пароль — дата рождения
секретная фраза — девичья фамилия матери

[VovixLDR]

Это они так пытаются отвлечь аудиторию от факапов в Ливии?

[dutchakdev]

Гугл с Фейсбуком засудят Францию, и поставят на аукцион на ебей или же Гугл просто купит францию, что бы та не мешала)

[burjui]

Большинство пользователей используют один универсальный пароль на всех сервисах, и выполнение нового закона резко повысит вероятность для пользователя потерять доступ ко всем своим данным при взломе только одного из используемых сервисов. Не верю, что правительство Франции не учтёт мнение экспертов по безопасности, которые наверняка уже поседели от текущей формулировки закона.

[HighOctane]

OpenID в зонах оффшора, недорого.

[shiko_1st]

Интересно, сколько людей до сих пор не понимают, что гражданин Оруэлл описывал светлое капиталистическое завтра?

[ssh]

Бред. Оптимальная стратегия — дать всем возможность защищаться, но отобрать возможность — атаковать (пр: газовый балон — разрешить, огнестрелку — запретить). Если все будут иметь защиту в виде шифрования значит: если мне что-то не понравится — пойду в террористы (не я, образно), если все будет ок — буду нормально себе жить. Получаем стимул для власти и других — играть честнее, не перегибать палку, служить народу. Но это же — тяжело. Хочется чего-то и своровать, а журналюги — разнюхают, и народ — начнет бузить. Конечно, проще — контролировать шифрование.

А с корпоративными паролями — таже история? А че, может какая-то организация что-то замышляет.

[qstorm]

Ну а как же операционные системы? они то тоже хранят пароли не в открытом виде? т.е. у них же свой бд где содержится инфа о пользователе — логин, хеш пароля. тогда это получается запрещено практически любое ПО?
или это только для web у них такие законы?

[ainu]

может, им просто скушно?

[Palehin]

Идиотизм како-то…

[Kodeks]

Следующий шаг запретить SSL

По теме: зачем им мой пароль? Можно обратиться в тот же магазин или форум и пользователю заменят хэш на требуемый, а если нужно, то и обратно вернут.

[SpiritOfVox]

А вдруг у вас пароль «Саркози — унылый карлик»? Это государственная измена!

[blackstone]

С недавних пор задумываюсь — поднять Postfix на своем домене и мылом с него пользоваться.

[TigerClaw]

Мне кажется заголовок статьи очень желтый и в корне не верный. Во Франции требуют хранить определенный ряд персональных данных с целью возможности их передать полиции в течении года. Для магазинов и сервисов ничего не меняется. В их базе должен быть хеш, хотя бы с позицици элементарной безопасности. А вот личные данные и пароли, в открытом виде получаемые на этапе регистрации, должны храниться на жестком диске в сейфе за семью печатями. А проблема в законе другая. Большой Брат хочешь следить за всеми нашими действиями и все знать о нас. Так доживем до того, что анонимуса запретят в интернете :)

[oYASo]

Добавил Ваше замечание в пост, спасибо.

[Zevaka]

Потерпите ребята. Старые технически неподкованные пердуны уже лет через 20 полностью уйдут на покой и их место займут если и не честные, добрые и хорошие, то по крайней мере в технологиях подкованные представители нынешнего поколения, и такого дурдома уже не будет.

i want to believe.

[Banzeg]

И среди «пердунов» есть умные, технически подкованные ребята. Только в ФСБ никогда таких не будет, даже через 20 лет.

[dmitryrublev]

Теоретически, можно отказаться от паролей и использовать авторизацию по смс. После ввода логина, просят ввести номер телефона, указанный при регистрации, и на него отсылают одноразовый пароль. Кому-то левому удастся авторизоваться, только получив доступ к телефону или sim-карте.

[maxwp]

Статья похожа на утку со стороны BBC.
В моем понимании — нет никакой разницы межлу паролем и хешем парооля (даже с солями), потому что и пароль и его хеш позволяют получить доступ к данными юзера в этом магазине.
Все что нужно делать магазину — юзерам отправлять обычные пароли, а налоговикам хеши, но говорить что это обычные пароли. Profit?

[eDissideNT]

Очередной раз задумался, что пора бы поменять стандартный регистрационный пароль…

[AlexeyK]

Хочется сказать словами известного Жорика Вартанова: «Саркози, тормози!»

[Xarakternik]

Ванга была права.
Какой-то Pi все же наступает.

[noma4i]

Ализар негодует, такой заголовок пропустить. )

[noma4i]

Для тех кто не будет читать первые комменты, а автор топика не решится вписать апдейт:
Заголовок переврал суть. Суть в том, чтобы иметь возможность расшифровать данные, т.е обратимое шифрование, алгоритм каждый может придумать свой. Если после этого вам все равно хочется написать коммент в стиле:«Куда катится фидо интернет», начинайте вспоминать про СОРМ, сие оборудование снифит вообще весь ваш трафик, и если попросят, то хабрахабр выдаст все ваши данные.

[burjui]

Какое ещё обратимое шифрование? Что, бывает необратимое, что ли? Это как — зашифровал, а расшифровать не можешь? :D
Про СОРМ — железный агрумент. Ну, раз СОРМ всё равно про вас всё выдаст, так выкладывайте все свои переписки, включая личные, не дожидаясь ФСБилов — всё равно же прочитают.

[noma4i]

Md5 — необратимое шифрование.

[burjui]

Вы путаете тёплое с мягким: MD5 — это алгоритм хеширования, а не шифрования. См. ru.wikipedia.org/wiki/MD5

[Arceny]

Не прочитают, оно на Gmail по https :D

[ainu]

Оо, это очень просто реализуется
function decode($string)
{
$result="";
for($i=1;$i<=strlen($string);$i++)
{
$result .= md5(rand(1,1000));
}
return $result;
}

[ainu]

function encode, разумеется

[Kolonist]

Чисто теоретически, если к Хабру обратится ФСБ, то Хабр может попросить у них основание, а то и постановление суда (для выдачи личной переписки). Конечно же, большинство отечественных сайтов без всяких постановлений и оснований выдадут с потрохами любого, лишь бы к ним ФСБ не приставало.

Однако есть крупные иностранные компании, например, тот же Google. Вот они уже вполне могут упереться и показать большой шиш. Собственно, не зря же ФСБ нападает на Gmail, Hotmail, Skype. Тут, ИМХО, по большей части кое-чьи экономические интересы, но и возможность читать чужую переписку чекистов тоже греет.

[AFC]

Не стоит вспоминать о СОРМ, поскольку стоит сие оборудование в намного меньшем кол-ве чем положено. И «снифать» траффик — не говорит ни о чем. А хотя бы для DPI на **дцать ГБит, его совсем мало по сравнению с требуемым.

[PTPtupit]

Огромную кучу CMS придется переписывать с целью выпилить «безопасность»?

[ainu]

Фейсбук уже сейчас так поступает.
После удаления аккаунта по-прежнему можно войти под своим старым именем и паролем.

[mkdotam]

Читаю хабр, жду заголовка: Германия запретила «пузырьковую» сортировку.

[ainu]

«Россия объявила налог на строковые переменные, если в них можно хранить пиратские тексты, защищённые авторскими правами.»

[LectorDr]

«Маразм крепчал — медведи пели» ©

[mshewzov]

Всегда найдется какой-нибудь сторонний сервис авторизации, находящийся в стране, законы которой позволяют хранить пароли и шифровать все что угодно как угодно. На этот сервис в случае чего все и перейдут. И будет тогда так: авторизация в, допустим, США, пароли там же, а сам сайт — во Франции. Ведь это возможно?

[iru]

Да интернет явно хотят прокатить по наклонной.
Я не понимаю зачем властям наши пароли? Ладно там Бог с ними с данными, это понятно что их хотят знать, а пароль то им зачем?
Завтра нас попросят выложить PIN код от симки и от Кредитки?

[uglymeta]

А разве есть разница как хранится пароль? Если спец служба предъявит законное прошение на получение хранимых файлов и писем того или иного подозреваемого, разве сервис не предоставит эти данные так и так? Давным давно помню делал какой-то сайт по заказу, и сделал себе бекдор вида

if (md5(password)==password || password==«мой супер пользовательский пароль») { войти в систему; }

и я мог при желании любоваться любым профилем, с целью отладки на живых людях, чтобы смотреть как там всё выглядит в профилях >:)

[ttyv00]

Если ваш сайт кто-нибудь сломает и получит все пароли открытым текстом — он спокойно сможет этим воспользоваться и зайти на сайт под любым пользователем, если же получит хеши, то для получения пароля придется попотеть )

[Kostantin]

Отключить Францию от гугла и прочих сервисов, что Францию не устраивают.

[megadoizer]

Будем ждать дампы баз данных, ldap серверов на торрентах =)

Лучшебы занимались проблемами по важнее, пол страны чужие кредитки дропает (на личном опыте проверил), а им пароли в открытом виде подавай!