Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 55
Я обычно в качестве ответа на секретный вопрос пишу
asfljhafs wea;ouaso[dif pasdofuypoasdf poi asdfopuy asdfopi yasdfopuiy asdf
asfljhafs wea;ouaso[dif pasdofuypoasdf poi asdfopuy asdfopi yasdfopuiy asdf
Вы где-то ошиблись, не подошло ;)
попробуйте в русской раскладке.
>фыадорфаы цуфжщгфыщхвша зфывщагнзщфыва зщш фыващзгн фыващзш нфыващзгшн фыва
А толку-то?
А толку-то?
А в японской?
В какой то должно подойти…
В какой то должно подойти…
ставлю вам «плюс» за трудолюбие — фраза была не короткой…
Kirgudu для Mac OS X pihto.com/kirgudu
Ну и typing.su — на любой платформе.
Зря вы это сказали. Я вломал все ващи ящики. Трепещите :)
вот вот, та же история. Ответ обычно совсем не подходит к «секретному вопросу».
Может быть лучше писать что-то в духе «3QevIqfTScKN5Y1c6WUjJS3jvreK4NLSVFNBjJFR3c51J8OF0X43LszedKQIRZhk»?
— Открыл первый шифр? Хорошо. Теперь набирай ключ… он простой…
ламерский…
Вот оно в чем дело!
— Это фраза, первая буква строчная, все остальные прописные. Пробелы
значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
Чего он тянет…
Чингиз выдыхает и ледяным голосом произносит:
— Сорок тысяч обезьян в жопу сунули банан.
Темный Дайвер сгибается от беззвучного хохота. Трубка в его руке
пляшет у лица Чингиза. Падла издает хрюкающий звук, пытается скосить
глаза на Чингиза, потом смотрит на меня.
Я держусь. С трудом, но держусь.
ламерский…
Вот оно в чем дело!
— Это фраза, первая буква строчная, все остальные прописные. Пробелы
значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
Чего он тянет…
Чингиз выдыхает и ледяным голосом произносит:
— Сорок тысяч обезьян в жопу сунули банан.
Темный Дайвер сгибается от беззвучного хохота. Трубка в его руке
пляшет у лица Чингиза. Падла издает хрюкающий звук, пытается скосить
глаза на Чингиза, потом смотрит на меня.
Я держусь. С трудом, но держусь.
а чем кончился народный конкурс на угадывание пароля падлы, кстати?
Если честно, то я не знаю. Никогда не видел такого конкурса, но сам пытался расшифровать.Много вариантов. Обширен русский мат
Кстати, пароли типа Сорок тысяч обезьян работают очень хорошо.
Из-за длины хрен подберешь, из-за юмора хрен забудешь.
Единственная проблема — система должна поддерживать длинные пароли.
Из-за длины хрен подберешь, из-за юмора хрен забудешь.
Единственная проблема — система должна поддерживать длинные пароли.
я уже зашел в систему восстановления пароля на вашем ящике :) спасибо за подсказку!
не иначе как оригинал статьи был написан самим Кэпом.
с вопросами поступаю с ними также как в посте выше.
с вопросами поступаю с ними также как в посте выше.
а я всегда честно отвечаю на вопрос. Просто посылаю подальше, но честно
Что характерно, если ответить на секретный вопрос какую-то фигню, то через 2 года уже ее ни за что не вспомнишь, поэтому так делать нельзя.
А еще нельзя пользоваться стандартными секретными вопросами, думаю в этом основная беда (пресловутая «девичья фамилия матери», которая пробивается по базам).
Я указываю кастомный вопрос, причем нетривиальный и составной, но который я смогу через много лет так же легко вспомнить. Надо спрашивать что-то типа:
«Через подчеркивание прописными русскими буквами: имя первой девушки, что крикнул Вася когда навернулся с велосипеда в Крыму, священное число над которым все шутили в школе». Тогда шансы вспомнить через много лет будут велики, а то что кто-то подберет — ничтожны.
А еще нельзя пользоваться стандартными секретными вопросами, думаю в этом основная беда (пресловутая «девичья фамилия матери», которая пробивается по базам).
Я указываю кастомный вопрос, причем нетривиальный и составной, но который я смогу через много лет так же легко вспомнить. Надо спрашивать что-то типа:
«Через подчеркивание прописными русскими буквами: имя первой девушки, что крикнул Вася когда навернулся с велосипеда в Крыму, священное число над которым все шутили в школе». Тогда шансы вспомнить через много лет будут велики, а то что кто-то подберет — ничтожны.
ЮЛЯ_42
Одна проблема — длина кастомного вопроса часто ограничена какими-нибудь 30 символами…
Лучше использовать какой-то стандартный алгоритм — всегда и везде. Ну, скажем, в вопросе писать страницу, строку, порядковый номер слова из известной вам книги. И только вы знаете, что это 3-й том Войны и Мира 1937 года издания, издательство «Художественная Литература»
Лучше использовать какой-то стандартный алгоритм — всегда и везде. Ну, скажем, в вопросе писать страницу, строку, порядковый номер слова из известной вам книги. И только вы знаете, что это 3-й том Войны и Мира 1937 года издания, издательство «Художественная Литература»
У меня есть универсальный пароль, который я пишу ко всем воообще «секретным вопросам», независимо от того, девичья фамилия матери это или любимый цвет правого ботинка.
Больше нигде его не использую.
Больше нигде его не использую.
Самый нормальный вариант.
В секретных вопросах особенно прикалывает «девичья фамилия матери».
Да и остальные вопросы типа «имя кошки» или «любимое блюдо» сильно поддаются социальной инженерии.
В секретных вопросах особенно прикалывает «девичья фамилия матери».
Да и остальные вопросы типа «имя кошки» или «любимое блюдо» сильно поддаются социальной инженерии.
Проблема в том, что при взломе одного сервиса, который хранит Ваш пароль в открытом виде, а не хешем (или перехватом не-https трафика, или кейлоггером, etc.) будет получен универсальный пароль ко всем Вашим ресурсам.
Я бы рекомендовал фичу восстановления забытого пароля с помощью секретных вопросов/ответов не использовать вообще, т.к. она уменьшает безопасность.
Пароли ко всем ресурсам — случайные. Все пароли хранятся в локальном, зашифрованном (мастер-паролем) файле, который регулярно бэкапится в разные места. В поле ответа на секретный вопрос пишется либо текущий пароль к системе либо мусор.
Я бы рекомендовал фичу восстановления забытого пароля с помощью секретных вопросов/ответов не использовать вообще, т.к. она уменьшает безопасность.
Пароли ко всем ресурсам — случайные. Все пароли хранятся в локальном, зашифрованном (мастер-паролем) файле, который регулярно бэкапится в разные места. В поле ответа на секретный вопрос пишется либо текущий пароль к системе либо мусор.
Пишу в вопросе случайный набор символов A, а ответе — MD5(A+мастер-пароль). Жаль, не все дают указывать свой вопрос.
Во многих местах помимо ответа предлагают вспомнить еще и вопрос… 100% секьюрность гарантированна) по крайней мере от меня самого…
Иногда удобно, когда можно восстановить пароль по «секретному вопросу», но в таком случае надо обязательно предоставлять пользователя ввести свой вопрос. Не понимаю, почему до сих пор на громдном количестве сайтов, в частности почтовиков это сделать нельзя.
Хех, решил поинтересоваться, какие секретные вопросы у друзей. У одной подруги вопрос был «Ваше любимое животное». Ответ был дан верный с первого раза — «кошка». Ну и куда такую безопасность?
Хех, решил поинтересоваться, какие секретные вопросы у друзей. У одной подруги вопрос был «Ваше любимое животное». Ответ был дан верный с первого раза — «кошка». Ну и куда такую безопасность?
Кстати, если ответ — фамилия, можно и перебор поробовать
У меня знакомый на все вопросы в таких системах писал ответ «Ёжик в тумане» и был дико доволен своей находкой. А потом он попал на сайт с вопросом «ваш любимый мультфильм детства» и впал в ступор.
Мой любимый цвет, номер школы, фамилия первой девушки — картошка.
Относительо безопасно и просто запомнить. Ну естественно картошка — это не правда, правда морковка.
Относительо безопасно и просто запомнить. Ну естественно картошка — это не правда, правда морковка.
Опоздал Вовочка на урок. Марья Ивановна его спрашивает:
— Вовочка, ты почему опоздал? Где был?
— Марь Иванна, я картошку жарил.
— Ну, если так, то заходи. Умница, Вовочка, хозяйственный мальчик.
Проходит ещё пять минут. В класс заходит девочка.
— Марь Иванна, извините за опоздание…
— Так, а ты, Картошкина, где была?!
— Вовочка, ты почему опоздал? Где был?
— Марь Иванна, я картошку жарил.
— Ну, если так, то заходи. Умница, Вовочка, хозяйственный мальчик.
Проходит ещё пять минут. В класс заходит девочка.
— Марь Иванна, извините за опоздание…
— Так, а ты, Картошкина, где была?!
Во многих системах секретный вопрос не поможет восстановить пароль без доступа к регистрационному email.
Т.е. нужен и доступ к email, и секретный вопрос.
В этом случае нет ничего страшного в легком вопросе.
Сам раньше писал случайную белиберду в ответ на секретный вопрос, но один раз забыл пароль к платежному сервису и, хотя был доступ к email, паспортные данные, номер карточки и т.д., пришлось довольно долго доказывать поддержке, что я — это я, т.к. я не мог вспомнить данный мной при регистрации ответ на секретный вопрос «Место рождения».
Т.е. нужен и доступ к email, и секретный вопрос.
В этом случае нет ничего страшного в легком вопросе.
Сам раньше писал случайную белиберду в ответ на секретный вопрос, но один раз забыл пароль к платежному сервису и, хотя был доступ к email, паспортные данные, номер карточки и т.д., пришлось довольно долго доказывать поддержке, что я — это я, т.к. я не мог вспомнить данный мной при регистрации ответ на секретный вопрос «Место рождения».
Самой «безопасной» во времена нашего детства была почта mail.ru:
Во-первых отсутствовал секретный вопрос «свой вопрос», а ответы на все остальные как правило можно узнать в течение часа. Например «как зовут питомца» — не поленись, сходи да и спроси у соседей, как зовут собаку. Делов то.
Во-вторых пароль пересылался в открытом текстовом виде и ловился любым сниффером.
В-третьих если владелец не проверял почту 90 дней, ящик удалялся. Это самая прелесть, потому что содержимое ящика не представляло интереса для молодых «хакеров», целью были пароли от других сайтов, которые можно было «восстановить» на e-mail. Для получения всех паролей нужно было просто дождаться, пока ящик удалят за непосещаемость, и создать его снова, уже со своим паролем. Работало это много лет подряд, разработчики не реагировали ни на какие прецеденты и письма в саппорт.
Во-первых отсутствовал секретный вопрос «свой вопрос», а ответы на все остальные как правило можно узнать в течение часа. Например «как зовут питомца» — не поленись, сходи да и спроси у соседей, как зовут собаку. Делов то.
Во-вторых пароль пересылался в открытом текстовом виде и ловился любым сниффером.
В-третьих если владелец не проверял почту 90 дней, ящик удалялся. Это самая прелесть, потому что содержимое ящика не представляло интереса для молодых «хакеров», целью были пароли от других сайтов, которые можно было «восстановить» на e-mail. Для получения всех паролей нужно было просто дождаться, пока ящик удалят за непосещаемость, и создать его снова, уже со своим паролем. Работало это много лет подряд, разработчики не реагировали ни на какие прецеденты и письма в саппорт.
Сама по себе парольная защита очень уязвима, ибо обладает принципиальными недостатками — простые пароли легко подбираются, а сложные легко забываются. Кстати эти самые «секретные вопросы» и нужны потому, что пользователи забывают свои пароле. В идеале ключ аутентификации — это что-то аппаратное, что можно носить с собой в кармане. Флэшка, смарт-карта…
Примерно 35% ответов на секретный вопрос типа ваш любимый цвет — красный, зеленый итд…
Примерно столько же пользователей не могут вспомнить ответ через год-полтора.
Из тех, кто помнит ответ через год — ответ на секретный вопрос можно вытащить под тем или иным предлогом.
Идеально в качестве усилителя пароля подходит такая штука:
^^Оно генерирует каждую минуту новый код по алгоритму.^^
Оно работает отлично, проверено на людях.
Примерно столько же пользователей не могут вспомнить ответ через год-полтора.
Из тех, кто помнит ответ через год — ответ на секретный вопрос можно вытащить под тем или иным предлогом.
Идеально в качестве усилителя пароля подходит такая штука:
^^Оно генерирует каждую минуту новый код по алгоритму.^^
Оно работает отлично, проверено на людях.
Задаю секретный вопрос обычно: fakanj. Ответ — в японской раскладке. От младохакеров думаю спасает — поди догадайся, что это значит, и что ни один вариант ASCII и кириллицы не подойдет))
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Секретные» вопросы — пародия на безопасность