Pull to refresh

Comments 72

UFO just landed and posted this here
Часто аккаунт необходим только для просмотра сайта, его ценность нулевая. Для этих целей подойдет любой пароль, чтобы отстали.
Безответственное поведение — такие аккаунты брутят и используют, например, для рассылки спама.
Безответственное поведение — это разрешение легких паролей, наличие возможности брутить. Если свобода действий оставлена, то пользователь будет делать так как ему удобно. Хабр, например, с капчей на логине.
С другой стороны, Хабру не нужна аудитория в миллиарды глупых хомячков, а при сложной регистрации (да, хомячкам лень вводить капчу и подтверждать регистрацию по емайлу), половина домохозяек забьет.
Как правило простой люд один и тот же пароль ставит на разных ресурсах, в т.ч. и на почту.
Часто мыл и пароль к тому самому сайту являются мылом и паролем ко всем остальным ресурсам.
Зачастую важным.
Ни разу не пользовался LinkedIn, но блин, они что, серьезно разрешали пользователям выбирать пароли из 3-х символов и последовательных цифр? Не удивительно, что с таким подходом к безопасности их хакнули.
UFO just landed and posted this here
Даже хуже: когда я там регистрировался (около года назад) — длинна пароля вообще никак не проверялась. Ну т.е. я вбил в регистрационную форму нормальный такой, длинный пароль, а залогинится с ним уже не смог. Оказалось, что из 30 введеннных символов, запомнились в виде пароля, только 16 первых. И никаких предупреждений. Такие дела.
Странное дело с этими проверками:
* либо вообще ничего не проверяют
* либо считают, что это их собачье дело говорить мне, что в моем пароле обязаны быть большие и маленькие буквы, знаки препинания, числа и парочка символов из шумерского алфавита

Мне лично кажется, что эта часть вообще ни у кого проработана.
Ещё лучше когда говорят чего в пароле не должно быть!
Не сильно лучше, когда говорят, что должно быть a-zA-Z0-9
В результате пытаешься нормальный пароль со спецсимволами впихнуть — а система таки да делает свою проверку =(
зы: Личный опыт на каком-то сайте (на каком не помню, долго на нем не задержался)
Собственно это тоже самое. Из крупных минимум rambler.ru таким страдает(л?).
Можно выводить предупреждение типа «слишком простой пароль».
Если пользователь проигнорил, то это хотя бы его осознанный выбор, а заставлять насильно использовать сложный пароль уместно только для ограниченного круга сайтов, например для банковских.
Да, мне даже кажется, что можно делать более комплексно:
* ежели твой пароль входит в сотню-тысячу самых подбираемых — запрещаем такой пароль и нормально это объясняем в сообщении об ошибке.
* если твой пароль просто плохой (совсем маленький, без цифр и т.п.) — выдаём предупреждение, но всё-таки разрешаем создать учетку.
«Извините, ваш новый пароль уже использует пользователь Вася, придумайте другой пароль»
Да, так даже лучше, единственный минус в том, что придётся написать подробную статью на тему распространённых паролей с отсылкой к статистическим данным. А то найдутся пользователи, которые даже запрет 100 самых популярных паролей сочтут самоуправством… Кстати, интересно какая будет вероятность ситуации, когда пользователь 3 раза пытается задать пароль и каждый раз попадает на легко подбираемый :-)
UFO just landed and posted this here
С таким подходом произведение Moby Dick заиграет новыми красками.
Когда потребность в обсценной лексике превышает возможности языка, люди ставят звездочки в неожиданных местах.
Тут вы правы, даже слово Cat можно истолковать непристойно) Кто не догадался — загляните в Lingvo, очень удивитесь.
Если что, дик — есть имя в америке, так что даже с членом сравнивать наверно не стоит =)
любой Ричард потенциально Дик, это уменьшительное, это нормально)
UFO just landed and posted this here
Представляете, как сложно некоторым в школе, на алгебре, с её «одночленами» и «многочленами» было…
Как в анекдоте про Петьку и В.И.Ч.

— Да попросили изобразить квадратный трёхчлен, а я даже представить себе такое не могу…
«Член» — это «penis». А «dick» — это скорее «х*р» ;)
Ну что за политкорректность? «dick» это скорее «х*й»

P.S. У меня сотрудник есть, и он предпочитает, чтобы его звали Dick а не Richard. Взрослый уже дядька, за 50.
UFO just landed and posted this here
Был у меня одноклассник, который посмотрев в словаре «член» — потом всем говорил, что член (имея в виду половой) — будет по английски «member».
dick — сыщик, детектив (US), клятва, обещание (сокращение, declaration)
UFO just landed and posted this here
Да, как-то ирония не чувствуется :)
Спасибо, исправил.
Я бы не злоупотреблял выделением кавычками слов в ироническом значении. Это как рассказать анекдот, а потом начать объяснять его смысл.
Кто-нибудь знает, где можно посмотреть какие пароли были взломаны? Интересно посмотреть, попал ли мой в их число. Проверял хэш на сайте leakedin.org/, но он пока не числится в числе взломанных.
UFO just landed and posted this here
Это у меня есть. Меня интересуют именно те «3,7 million hashes already cracked».
Они там же, в том же файле, у взломанных первые 5 символов хеша забиты нулями.
Ну чтобы их получить понятное дело нужно взять словарь побольше и побрутить…
Действительно, в файле 3'521'256 взломанных хэшей, что очень близко к 3,7 млн.
Мне кажется, или ты добавил к этим 3,7 млн еще один хакнутный пароль введя его на этом сайте?!=)
Сайт производит хэширование на стороне клиента (SHA-1 реализован в JavaScript), то есть пароль не передаётся.
Можно вместо пароля сразу указывать хэш, что я и сделал.
Мой старый пароль линкедина — 8 golf MIKE charlie BRAVO papa ROMEO foxtrot 7 x-ray romeo 0 1 uniform ROMEO victor (фонетика)
ждем расшифровку ;)
Мой сайт сказал бы — слабый пароль, потому что:
* пароль начинается с цифры
* нет спецсимволов
Тоже правда.

Но я не люблю когда мне говорит сайт, какой пароль ставить. Раздражает одним словом такая забота. Уживаюсь только с е-банками.
Особенно бесят, когда ставят довольно странные ограничения — например обязательно должна быть цифра, но НЕ должно быть спецсимволов. Как пример, тот же lj.ru
Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь) — мое личное дело.

Бесит еще, что о том, что пароль «неверный» узнаешь только нажав submit. Догадались? Все поля тутже очищаются, капча новая… FFUUUU эффект в чистом виде.
Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь)

Прикольнее когда задать необычные символы можно, но потом либо такой пароль/ник не будет работать вообще, либо (в случае ника) будет выводиться неправильно (например в виде экранированного кода). Я так попадал один раз с паролем, один раз с ником.
А ещё веселее когда зарегился и всё вроде ok, а через какое-то время там накатывают какой-нибудь апдэйт или врубают какие-нибудь более параноидальные опции рантайма, активирующие неучтённую программистами экранировку, и на этот эккаунт внезапно становится невозможно залогиниться.
Странный у Вас сайт. Т.е. пароль из 10-ти символов, без первой цифры и с одним спец-символом Вы сочли бы надежным, а пароль из 16-ти символов с первой цифрой и без спец-символа — нет?
Какая вообще разница, какой первый символ? Да, если первая — цифра, то можно предположить, что и все остальные тоже. Но ведь именно так можно пустить брутфорсер по ложному следу, не? Чем пароль типа «54Gk%w(Š-gFuйddM_» хуже «M4Gk%w(Š-gFuйdd5_»?
я не думаю, что ваш сайт в этом случае будет прав
Дефис в «x-ray» не спецсимвол? А чем вам первая цифра не угодила?
Есть там qwerty и qwerty123. Просто не так много 8)
Странно, что нет 1234567890. Я лично ставил такой пароль в паре мест (где в общем пофигу, но просто 123 поставить инстинкт таки мешает).
Может они в топ 50 входят, а тут только 30.
Есть там в дампе и хэш от 1234567890 )
Я правда это вижу? Картинка больше метра весом прямо в теле поста?
Та да, как-то отвык трафик считать.
Пережал.
Меня удивляет то, что система регистрации (или обновления пароля в уже существующем аккаунте) пропустила такие простые слабые пароли. Это о многом говорит про сайт и про его систему безопасности пользователей.
Скажу по личному опыту.
Одно время ставил «средненькие пароли» (6-8 символов без заморочек).
Когда мне взломали почту, сразу изменил свой подход к этому вопросу. Теперь все оценщики стойкости паролей говорят «Very strong» в противовес старому «Normal».

Т.е. это я к чему — самое главное уже озвучено: извлечь урок.
Я более чем уверен, что большинство «обычных пользователей» и понятия не имеет, что утекают такие базы.
Но те, что знают и умеют извлекать урок из своих и чужих ошибок — обязательно сделают выводы. Т.е. какой-то «положительный» (прошу не прикапываться к этой фразе) момент также есть.

Хотя… как показывает практика, большая часть людей ничему не учится на ошибках.
Бесполезный анализ. В общем-то и так очевидно, какие пароли самые слабые — какая разница сколько их.

Да и всего 3.7 миллиона сломали из 6.5 (в реальности и того меньше 5.8, из-за дубликатов).

Завтра постараюсь подготовить анализ самых «сложных» из найденных паролей и выложу обновленную версию MD5Blast, теперь с поддержкой SHA1.
Мне кажется, что общество скоро наткнется на проблему с паролями.
1. Я уже (и, думаю, не только я) не могу вспомнить, какой и где я сохранял пароль. Получается, что нужно использовать один пароль для нескольких ресурсов. В чем тогда смысл пароля?
2. Дальше больше. Многие ресурсы позволяют использовать открытую учетную запись вроде google. Так какой смысл в пароле вообще, если один раз ввел и потом им пользуешься?
Sign up to leave a comment.

Articles