Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 70
У пароля «xy» предмаксимальная стойкость. Не совсем правдоподобно.
Не проверяютя не-латинские символы. И длина пароля, похоже, тоже.
да там походу даже о не-QWERTY раскладках не знают…
qawfpg — аналог qwert на Колемаке оценивают в 4 балла :) www.google.com/accounts/RatePassword?Passwd=qawfpg
aoeui — Двораковскую тоже в 4 балла :) www.google.com/accounts/RatePassword?Passwd=aoeui
qawfpg — аналог qwert на Колемаке оценивают в 4 балла :) www.google.com/accounts/RatePassword?Passwd=qawfpg
aoeui — Двораковскую тоже в 4 балла :) www.google.com/accounts/RatePassword?Passwd=aoeui
Автор же сказал что проверяемое слово Passwd www.google.com/accounts/RatePassword?qawfpg=PsWD
Ну они действительно не очень популярные.
Но 4 балла даже за 5 случайных букв — это фигня какая-то.
Но 4 балла даже за 5 случайных букв — это фигня какая-то.
словарное слово из 7 букв плюс одна цифра — и сразу стойкость пароля максимальная (4). Нехорошо это.
трехцифренный пароль (например, 132): стойкость два, то есть даже не минимальная
неправильный какой-то оценщик у гугла
трехцифренный пароль (например, 132): стойкость два, то есть даже не минимальная
неправильный какой-то оценщик у гугла
Моя оценка по четырехбальной шкале этому четырехбальному оценщику — 1
Так оно и есть. Такое впечатление, что он не проверяет почти ничего из того, что должен.
Слушайте, а вдруг у него прогрессирующий логарифмически временный бан за некорректные попытки аутентификации? Тогда и пароль из 3-х симолов будешь подбирать целую вечность. То есть, первые 5 неправильных попыток — бан на 1 минуту, потом на 10, и так далее. Конечно, прогресия должна быть умеренной, иначе можно же кому-то акк залочить злонамеренно. А вообще, с ориентаций по IP, можно в принципе, подзажать по времени злоумышленника-брутфорсера, ведь у гугла есть статистика твоих посещений и с каких IP, он может по-разному лимитировать при определении частых ошибок.
Аутентификация задача весьма гибкая, даже в теории — лучшим выбором является точка пересечения двух кривых — А) сложности и криптостойкости Б) кол-ва ошибок при вводе.
Дак вот, если гугл может техническим путем осложнить саму процедуру подбора пароля, то с точки зрения юзабилити можно на эту величину опустить сложность пароля, это даст уменьшение коллизий в целом и статистическую разгрузку ошибок реальных пользователей. Как-то так — как идея.
Аутентификация задача весьма гибкая, даже в теории — лучшим выбором является точка пересечения двух кривых — А) сложности и криптостойкости Б) кол-ва ошибок при вводе.
Дак вот, если гугл может техническим путем осложнить саму процедуру подбора пароля, то с точки зрения юзабилити можно на эту величину опустить сложность пароля, это даст уменьшение коллизий в целом и статистическую разгрузку ошибок реальных пользователей. Как-то так — как идея.
Не хочу вдаваться в подробности откуда такие данные, но уверен, что реально они используют весьма солидный алгоритм и явно не с 4-х бальной оценкой.
Я писал — это оценка gmail при смене пароля. Возможно, для массового пользования они сильно упростили проверку.
Я только вчера регил знакомой акк на гмыле, начнем с того, что форма принимает пароль с минимальной длинной 8 символов. И как следствие возможно их алгоритм проверки(представленный вами) на меньшее не рассчитан.
Тогда вижу явную недоработку — длину пароля проверять на форме, а все остальное — в сервисе. Это надо делать вместе.
Нерационально. Там, где можно не делать запрос к серверу, лучше не делать. Как раз случай с коротким паролем.
JS выполняется на стороне клиента и его можно легко обойти. Имхо, в случае с паролем лучше сделать дополнительную проверку, она не сильно ресурсоемкая. Если бы мы валидировали, скажем, название картинки, тогда я с вами соглашусь.
Вы представляете себе человека, который регистрируясь в gmail обходит проверки JS лишь для того, чтобы потестить 4х буквенные пароли на сложность? (При сабмите думаю длинна всё-равно проверится.)
Автор топика явно не до конца разобрался что это и как работает, но поспешил кинуть ссылку на хабр, заработать плюсов.
Автор топика явно не до конца разобрался что это и как работает, но поспешил кинуть ссылку на хабр, заработать плюсов.
Автор топика хотел озвучить две мысли: (1) Google использует слабую проверку надежности пароля; (2) без вашего ведома, еще до смены пароля, в большом и неадекватном количестве собираются и связываются персональные данные.
Это позволяет сделать вывод, что всё это работает совсем не затем, зачем объявлено Google. И тонкости типа «автор не стал разбираться в развесистой лапше кода Google» уже не играют роли.
Это позволяет сделать вывод, что всё это работает совсем не затем, зачем объявлено Google. И тонкости типа «автор не стал разбираться в развесистой лапше кода Google» уже не играют роли.
1. Я регистрировался в Google не раз и не раз помогал это делать другим. Пароль там требуют нормальный, везде.
2. Они не собираются и связываются, а как я уже говорил ниже необходимы для того, чтобы человек не поставил свою дату рождения или имя-фамилию в качестве пароля. Неужели вы думаете, что гуглу негде достать эти все данные и без грязных трюков? Смешно.
Тонкости типа «автор не стал разбираться в развесистой лапше кода Google» играет роль для всех и всегда, вы выставляете претензию просто потому, что вам так показалось. А как там на самом деле вам плевать.
2. Они не собираются и связываются, а как я уже говорил ниже необходимы для того, чтобы человек не поставил свою дату рождения или имя-фамилию в качестве пароля. Неужели вы думаете, что гуглу негде достать эти все данные и без грязных трюков? Смешно.
Тонкости типа «автор не стал разбираться в развесистой лапше кода Google» играет роль для всех и всегда, вы выставляете претензию просто потому, что вам так показалось. А как там на самом деле вам плевать.
в большом и неадекватном количестве собираются и связываются персональные данные
Причем эти данные собираете Вы сами. Думаете зачем Гугл дает неограниченное (почти) место на диске для писем? В этих письмах вся ваша история. Случись что спецслужбы поднимут эту историю, а к Гуглу не будет никаких претензий, т.к. формально он за вами не шпионил.
Странно, у меня любым паролям, кроме Passwd, оценка 1.
Хорошо бы с той стороны этой Ajax проверки добавлялку в радужные таблицы делать.
Отличне:
qwerty11 — 1
qwerty11 — 1
[параноик mode on]
Этот сервис служит Google для составления частотного словаря паролей и, возможно, для привязки к вашим ip.
[параноик mode off]
Этот сервис служит Google для составления частотного словаря паролей и, возможно, для привязки к вашим ip.
[параноик mode off]
Такого сервиса для общего доступа не существует. Это я немного покопался в исходниках страницы.
Но сам Google допонительно вместе с паролем туда пересылает Фамилию, Имя и дату рождения. Полагаю, что IP туда придет из браузера. В общем, «параноик off» пока делать не стоит.
Но сам Google допонительно вместе с паролем туда пересылает Фамилию, Имя и дату рождения. Полагаю, что IP туда придет из браузера. В общем, «параноик off» пока делать не стоит.
У Гугла уже есть все данные о вас, даже если не от вас, то от ваших знакомых, которые добавили вас в список контактов вместе с домашним адресом и датой рождения.
Это они для Франции подсуетились.
Потому, что пароль не должен быть похож на фамилию, имя или дату рождения и проверка на это осуществляется. Откуда он их берёт? Из формы, которую вы итак заполняете на сайте гугла. Вы же всё равно эти данные им отправите.
Проверка идёт на сервере чисто для того, чтобы алгоритм не стырили из js-кода.
Паранойте дальше в своё удовольствие.
Проверка идёт на сервере чисто для того, чтобы алгоритм не стырили из js-кода.
Паранойте дальше в своё удовольствие.
Твердая четверочка у меня.
20 символов.
20 символов.
И Гуглу не стыдно?
> Возвращает число 1-4
www.google.com/accounts/RatePassword?Passwd=жопа
www.google.com/accounts/RatePassword?Passwd=жопа
Как нынче просто собрать базу паролей… только вот чего с ними дальше делать (:
Там клевая проверка по словарю. «На коленке» за 5 минут такого самим не сделать :)
Или не по словарю, а по сочетаниям символов.
Примеры:
www.google.com/accounts/RatePassword?Passwd=godmode — 2
www.google.com/accounts/RatePassword?Passwd=godmqde — 4
www.google.com/accounts/RatePassword?Passwd=irregular — 3
www.google.com/accounts/RatePassword?Passwd=ireegular — 4
Примеры:
www.google.com/accounts/RatePassword?Passwd=godmode — 2
www.google.com/accounts/RatePassword?Passwd=godmqde — 4
www.google.com/accounts/RatePassword?Passwd=irregular — 3
www.google.com/accounts/RatePassword?Passwd=ireegular — 4
Вообще никакой логики не нашел:
«q1» — сложность 3
«q12345» — сложность 1
«q1» — сложность 3
«q12345» — сложность 1
Вот самоубийци то…
пароль надо отправлять только через https!
пароль надо отправлять только через https!
Кстати да. По https тоже работает. Неужели при смене пароля Google отправляет его аяксом по http?
Надеюсь просто автор статьи ошибся при наборе адреса.
Надеюсь просто автор статьи ошибся при наборе адреса.
На самом деле, работает и http, и https. Насколько я понял, Ajax работает через http, хотя могу ошибаться.
Чтобы не быть голословным, демонстирирую код этого запроса (искать исходники здесь и здесь).
Чтобы не быть голословным, демонстирирую код этого запроса (искать исходники здесь и здесь).
function CreateRatePasswdReq(formKey) {
if (!isBrowserCompatible) {
return;
}
var passwd = document.forms[formKey].Passwd.value;
if (document.forms[formKey].Email) {
var email = escape(document.forms[formKey].Email.value);
} else {
var email = escape("serge.ryvkin@gmail.com");
}
if (document.forms[formKey].LastName) {
var lastname = escape(document.forms[formKey].LastName.value);
}
if (document.forms[formKey].FirstName) {
var firstname = escape(document.forms[formKey].FirstName.value);
}
if (document.forms[formKey].Birthday) {
var birthday = escape(document.forms[formKey].Birthday.value);
}
var min_passwd_len = 8;
var passwdKey = "Passwd";
var emailKey = "Email";
var FirstNameKey = "FirstName";
var LastNameKey = "LastName";
var BirthdayKey = "Birthday";
if (passwd.length < min_passwd_len) {
if (passwd.length > 0) {
DrawBar(0);
} else {
resetBar();
}
} else {
passwd = escape(passwd);
var params = passwdKey + "=" + passwd + "&" +
emailKey + "=" + email + "&" +
FirstNameKey + "=" + firstname + "&" +
LastNameKey + "=" + lastname + "&" +
BirthdayKey + "=" + birthday;
myxmlhttp = CreateXmlHttpReq(RatePasswdXmlHttpHandler);
XmlHttpPOST(myxmlhttp, "RatePassword", params);
}
}//------------------------------------------------------------------------
// This file depends on:
// http://gmail.google.com/gmail?view=page&name=browser
//------------------------------------------------------------------------
//------------------------------------------------------------------------
// Some browser detection logic.
// Once http://gmail.google.com/gmail?view=page&name=browser has these
// variables as *global* these definitions can be deleted.
//------------------------------------------------------------------------
var agt = navigator.userAgent.toLowerCase();
var is_op = (agt.indexOf("opera") != -1);
var is_ie = (agt.indexOf("msie") != -1) && document.all && !is_op;
var is_ie5 = (agt.indexOf("msie 5") != -1) && document.all && !is_op;
//------------------------------------------------------------------------
// Communication with server
//------------------------------------------------------------------------
function CreateXmlHttpReq(handler) {
var xmlhttp = null;
if (is_ie) {
// Guaranteed to be ie5 or ie6
var control = (is_ie5) ? "Microsoft.XMLHTTP" : "Msxml2.XMLHTTP";
try {
xmlhttp = new ActiveXObject(control);
xmlhttp.onreadystatechange = handler;
} catch (ex) {
// TODO: better help message
alert("You need to enable active scripting and activeX controls");
}
} else {
// Mozilla
xmlhttp = new XMLHttpRequest();
xmlhttp.onload = handler;
xmlhttp.onerror = handler;
}
return xmlhttp;
}
// XMLHttp send POST request
function XmlHttpPOST(xmlhttp, url, data) {
try {
xmlhttp.open("POST", url, true);
xmlhttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
xmlhttp.send(data);
} catch (ex) {
// do nothing
}
}
// XMLHttp send GEt request
function XmlHttpGET(xmlhttp, url) {
try {
xmlhttp.open("GET", url, true);
xmlhttp.send(null);
} catch (ex) {
// do nothing
}
}
Прошу прощения, первая ссылка к исходникам должна быть www.google.com/accounts/EditPasswd?hl=ru
Вообще то это не четырехбальный оценщик, а таки пятибальный:
www.google.com/accounts/RatePassword?Passwd=Привет_Хабрахабр — 0
(:
www.google.com/accounts/RatePassword?Passwd=Привет_Хабрахабр — 0
(:
На эту параноидальную мысль навел один из комментариев ниже. Помимо самого пароля в этот сервис (при смене пароля на gmail) передается Фамилия (Last name), Имя (First name) и дата рождения. Данные об IP могут браться из браузера.
Так и должно быть. По сути эти данные необходимы, чтобы человек не поставил себе пароль состоящий с даты рождения или имени-фамилии.
На рандомный пароль из 30 символов выдал Bad Request…
не учитываете минимальную длинну пароля, которая есть в форме регистрации аккаунта
Я писал чуть выше, что IMHO логика должна быть в одном месте, а не раскидана отдельно — в форме проверять длину пароля, а в сервисе — все остальное. Народ со мной не согласился (-3) — такая реализация снижает нагрузку на сервер.
Вот мое IMHO как аналитика против IMHO специалистов по технологиям.
Вот мое IMHO как аналитика против IMHO специалистов по технологиям.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Оценка стойкости пароля от Google