Comments 36
ну и самое последнее — длина пароля. Исследования показывают, что шести символов вполне достаточно для генерации взломостойкого пароля.
При введении пароля определяемого пользователем повышается риск его подбора по словарю с использованием социальной инженерии. Более оптимально использование смартакарт + пароль.
А я вот как запоминаю пароли. Запомнил комбинацию символов, например, pass.
Если это пароль от gmail.com, то gmpass.
Если это пароль от habrahabr.ru, то hapass.
Если это пароль от forum.onliner.by, то onpass.
В итоге - везде разные пароли, но легко запоминаются. Главное не забыть принцип составления.
Если это пароль от gmail.com, то gmpass.
Если это пароль от habrahabr.ru, то hapass.
Если это пароль от forum.onliner.by, то onpass.
В итоге - везде разные пароли, но легко запоминаются. Главное не забыть принцип составления.
У меня, например, всего три пароля. Типовых, но составных :)
Первая часть - слово, например, "2подлодки", набранная в латинской раскладке - 2gjlkjrb. В принципе, уже достаточно :) Но к нему я еще добавляю название сайта, как я привык его называть. Например, арпод (rpod.ru). Потом составляю осмысленное сочетание, например, "2 подлодки for арпод". Запомнить предельно легко, подобрать - невозможно, подсматривать - бессмысленно, разве что украсть можно. 2gjlkjlrb4fhgjl получается. Можно сделать rpod с заглавной - Арпод, тогда вообще неломаемый пароль. Трудности начинаются при вводе, например, с мобильника, где нет стандартной раскладки клавиатуры :(
И проблемы с регулярной сменой пароля тоже нет. Меняй себе 2 подлодки на 4 торпеды, 4 торпеды на ключи от квартиры и т.д.
Первая часть - слово, например, "2подлодки", набранная в латинской раскладке - 2gjlkjrb. В принципе, уже достаточно :) Но к нему я еще добавляю название сайта, как я привык его называть. Например, арпод (rpod.ru). Потом составляю осмысленное сочетание, например, "2 подлодки for арпод". Запомнить предельно легко, подобрать - невозможно, подсматривать - бессмысленно, разве что украсть можно. 2gjlkjlrb4fhgjl получается. Можно сделать rpod с заглавной - Арпод, тогда вообще неломаемый пароль. Трудности начинаются при вводе, например, с мобильника, где нет стандартной раскладки клавиатуры :(
И проблемы с регулярной сменой пароля тоже нет. Меняй себе 2 подлодки на 4 торпеды, 4 торпеды на ключи от квартиры и т.д.
Хорошая статья, то что давно витало в воздухе и вот материализовалось.
Вдохновило меня на рождение собственного топика :)
По поводу собственно политики работы с паролями - полностью согласен.
Что хотелось бы добавить - имеет смысл проводить с пользователями дружеские беседы для чёткого понимания людьми зачем всё это нужно. Как показывает практика - это реально помогает.
Что касается паролей администраторов - то они не должны быть из словаря, но быть хорошей длины и состава. Запоминание (или "запоминание") таких паролей - секрет каждого администратора :)
Вдохновило меня на рождение собственного топика :)
По поводу собственно политики работы с паролями - полностью согласен.
Что хотелось бы добавить - имеет смысл проводить с пользователями дружеские беседы для чёткого понимания людьми зачем всё это нужно. Как показывает практика - это реально помогает.
Что касается паролей администраторов - то они не должны быть из словаря, но быть хорошей длины и состава. Запоминание (или "запоминание") таких паролей - секрет каждого администратора :)
А зачем под замок спрятали?
Только для подписчиков. :) На самом деле жалко что на хабре все коллективные блоги изначально открытые.
Я к тому, что многие пропустили хорошую статью. А если бы блоги были закрытыми, пришлось бы иметь список подписок как у 
Денискина. Я обычно подписываюсь только чтобы получить возможность написать в блог. Здесь вот пришлось подписаться, чтобы прочитать :)
Денискина. Я обычно подписываюсь только чтобы получить возможность написать в блог. Здесь вот пришлось подписаться, чтобы прочитать :)
Обоснуйте, если не сложно - чем же это плохо?
Вы не хотите привлекать в блог новых читателей? Или наоборот, гонитесь за рейтингом?
Вы не хотите привлекать в блог новых читателей? Или наоборот, гонитесь за рейтингом?
просто я посчитал что это будет интересно только подписчикам.
сейчас замок уберу :)
сейчас замок уберу :)
Вы писали:
На самом деле AJAX к этому имеет очень малое отношение. Лишь ущербный программист будет создавать AJAX-запрос для такой проверки. Сложность пароля легко можно проверить на стороне клиента (JavaScript в помощь), не создавая дополнительного запроса на сервер.
Благо современные технологии для веба (Ajax, к примеру) позволяют это сделать элегантно.
На самом деле AJAX к этому имеет очень малое отношение. Лишь ущербный программист будет создавать AJAX-запрос для такой проверки. Сложность пароля легко можно проверить на стороне клиента (JavaScript в помощь), не создавая дополнительного запроса на сервер.
А что вы думаете по поводу использования вместо пароля специальных карт идентификации/аутентификации вкупе с кард-ридерами на рабочих станциях? Или по поводу любой сходной технологии, при которой, пользователю не приходится запоминать пароль.
Основной минус, как я считаю это затраты на внедрение подобных технологий. Далеко не многие компании могут позволить внедрить подобную технологию.
Кроме риска кражи/потери карточки, видите ли вы в таком подходе какие-либо дополнительные риски?
Основной минус, как я считаю это затраты на внедрение подобных технологий. Далеко не многие компании могут позволить внедрить подобную технологию.
Кроме риска кражи/потери карточки, видите ли вы в таком подходе какие-либо дополнительные риски?
Позволю себе оспорить эту пару правил, поскольку опыт работы с системами безопасности у меня имеется. Практика показывает, что ничто не приводит к таким плачевным результатам, как ситуация, когда система безопасности идет на поводу у пользователя. Защита должна быть компромисом между маньяком и параноиком системным администратором (а он должен быть таким) и ленивым и забывчивым пользователем (которых абсолютное большинство). И пользователь должен понимать, что ему придется идти на уступки для достижения собственной безопасности.
Я предлагаю исключить "социальную инженерию", когда пользователь по причине собственного тупоумия сообщает злоумышленнику пароль, и пересмотреть правила:
1) Регулярное изменение пароля.
Согласен. Ненужная штука, кроме одного НО. Человек, используя сеть, имеет склонность заводить один универсальный пароль для часто посещаемых сайтов. И если свистнуть его пароль с банковского сайта весьма сложно, то свистнуть этот же пароль с сайта знакомств, где неизвестно, шифруется ли он вообще в базе, проще простого. А уж как пароль этот использовать злоумышленники придумают.
2) Разрешение вводить похожие пароли
Согласен на 100%. Вообще системы "похожесть" идиотски определяют.
3) Отсутствие обязательных символов
Если верить этому правилу, то человек волен ввести для своего банковского счета пароль "123" и система должна спокойно его зарегистрировать. Итог: человек теряет деньги, банк теряет репутацию. И если человек - черт с ним, его проблема, то банкам не хочется, чтобы их клиентов чистили, поскольку клиенты не вникают обычно в сетевые интерфейсы и правила составления паролей и склонны обвинять во всем банк, куда они свои деньги вложили.
4) 6 символов для пароля достаточно
Задай пожалуйста на систему администраторский пароль (из любых символов, хоть псевдографикой) и через 10-30 мин он будет у меня. Не хэш какой-нибудь, а твой реальный пароль. Информация о 6 символах неактуальна уже лет 5. В наше время оптимальная рекомендация - 10-12 символов. Хотя, если говорить объективно, то это зависит от приложения, куда устанавливается пароль.
Для web-сайтов достаточно 8-10 символов
Пароль на вход в систему (Win XP) 10-12 символов.
Пароль на zip архивы 10-12 символов
Пароль на rar архивы 6-8 символов (Рошаль, чертяка, затормозил перебор по максимуму)
В общем, юзабилити конечно не хватает в мире, но вот в сферу безопасности ей лучше не лезть. Потому что любые рассуждения об удобствах и демократии ввода пароля заканчиваются в один момент, когда ты из-за своего "удобного" пароля что-то теряешь. А задача любой серьезное системы защиты - предотвратить это. Пусть даже ущемлением твоих прав и привычек.
Я предлагаю исключить "социальную инженерию", когда пользователь по причине собственного тупоумия сообщает злоумышленнику пароль, и пересмотреть правила:
1) Регулярное изменение пароля.
Согласен. Ненужная штука, кроме одного НО. Человек, используя сеть, имеет склонность заводить один универсальный пароль для часто посещаемых сайтов. И если свистнуть его пароль с банковского сайта весьма сложно, то свистнуть этот же пароль с сайта знакомств, где неизвестно, шифруется ли он вообще в базе, проще простого. А уж как пароль этот использовать злоумышленники придумают.
2) Разрешение вводить похожие пароли
Согласен на 100%. Вообще системы "похожесть" идиотски определяют.
3) Отсутствие обязательных символов
Если верить этому правилу, то человек волен ввести для своего банковского счета пароль "123" и система должна спокойно его зарегистрировать. Итог: человек теряет деньги, банк теряет репутацию. И если человек - черт с ним, его проблема, то банкам не хочется, чтобы их клиентов чистили, поскольку клиенты не вникают обычно в сетевые интерфейсы и правила составления паролей и склонны обвинять во всем банк, куда они свои деньги вложили.
4) 6 символов для пароля достаточно
Задай пожалуйста на систему администраторский пароль (из любых символов, хоть псевдографикой) и через 10-30 мин он будет у меня. Не хэш какой-нибудь, а твой реальный пароль. Информация о 6 символах неактуальна уже лет 5. В наше время оптимальная рекомендация - 10-12 символов. Хотя, если говорить объективно, то это зависит от приложения, куда устанавливается пароль.
Для web-сайтов достаточно 8-10 символов
Пароль на вход в систему (Win XP) 10-12 символов.
Пароль на zip архивы 10-12 символов
Пароль на rar архивы 6-8 символов (Рошаль, чертяка, затормозил перебор по максимуму)
В общем, юзабилити конечно не хватает в мире, но вот в сферу безопасности ей лучше не лезть. Потому что любые рассуждения об удобствах и демократии ввода пароля заканчиваются в один момент, когда ты из-за своего "удобного" пароля что-то теряешь. А задача любой серьезное системы защиты - предотвратить это. Пусть даже ущемлением твоих прав и привычек.
Пять баллов.
самый главный месадж мой, Паша, который ты так и не смог понять: "Пусть пользователь сам решит, какой пароль ему вводить и когда." Если ты дурак - это твои проблемы, что твои данные украли. Тоже самое с антивирусами - я никогда ими не пользовался за 15 лет работы на компе, при этом раза два попадал на них. Я знаю людей, у которых стоят 2 антивируса и у них каждую неделю проблемы. Ошибка в ДНК, как говорится.
прочую лабуду (типа задай пароль из 6-ти символов, и я его подберу) я отвечать не буду. Все нормальные системы имеют защиту против перебора, которая на 99.9% убирает всю необходимость. А вот увидеть, что ты набираешь у себя на клавиатуре, когда я прохожу мимо твоего компьютера, будь он хоть 15 символов. Чувствуешь?
В общем комментарь по-чаще. И пиши что-нибудь тоже :)
прочую лабуду (типа задай пароль из 6-ти символов, и я его подберу) я отвечать не буду. Все нормальные системы имеют защиту против перебора, которая на 99.9% убирает всю необходимость. А вот увидеть, что ты набираешь у себя на клавиатуре, когда я прохожу мимо твоего компьютера, будь он хоть 15 символов. Чувствуешь?
В общем комментарь по-чаще. И пиши что-нибудь тоже :)
Макс, я и веду речь о том, что это неправильный мессадж. Я уже привел пример, когда это невыгодно для банка, а не для пользователя. Удобство пользователя тоже должно быть вынужденным. А облегчать ему жизнь подобным способом это все равно, что предложить человеку, который хочет спрыгнуть с обрыва, камень на шею для более скоростного полета. Вроде бы и забота о пользователе, а вроде бы... :) Здесь очень правильно писалось про беседы с людьми на тему паролей, но до тех пор, пока ВСЕ пользователи компьютеров не будут осознавать прямую зависимость между своей безопасностью и сложностью вводимого пароля, их нужно заставлять это делать. Если трехлетний ребенок хочет поиграть с горячим утюгом, то никто не обвиняет родителей в том, что они не разрешают ему делать это. А 80% пользователей интернета в плане защиты себя и есть трехлетние дети, а системный администратор и есть их родитель, который отбирает у них полную свободу, но для их же блага. Кстати говоря, тут уже получается конфликт с матерыми пользователями, которые и так знают что такое пароль и не любят, когда их принуждают к чему-то. Которые пишут статьи и... :):):)
С точки зрения юзабельности, в форму регистрации лучше добавить поле "новичек / продвинутый пользователь" и в зависимости от этого вести "парольную политику". Хотя опять же, никто не захочет быть "новичком".
Антивирусы это совершенно отдельная тема. Я бы с удовольствием про нее написал, но этот блог не совсем соответствует этой теме.
Да, много систем имеет защиту от перебора. Вот только 9/10 из них давно нашли себе партнеров, обходящих эту их защиту. А вообще, многое кажется относительно безопасным, пока собственными глазами не поcмотришь на ту же SamInside, которая подбирает администраторский пароль к системе WinXP со скоростью 5 млн паролей в секунду.
С точки зрения юзабельности, в форму регистрации лучше добавить поле "новичек / продвинутый пользователь" и в зависимости от этого вести "парольную политику". Хотя опять же, никто не захочет быть "новичком".
Антивирусы это совершенно отдельная тема. Я бы с удовольствием про нее написал, но этот блог не совсем соответствует этой теме.
Да, много систем имеет защиту от перебора. Вот только 9/10 из них давно нашли себе партнеров, обходящих эту их защиту. А вообще, многое кажется относительно безопасным, пока собственными глазами не поcмотришь на ту же SamInside, которая подбирает администраторский пароль к системе WinXP со скоростью 5 млн паролей в секунду.
Sign up to leave a comment.
Где тонко, там и рвется