Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 38
А если пропустить пункт «2», и вместо хотмэйла — яндекс, к примеру? Или Мэйл с Рамблером?
А то все просто как-то кажется…
А то все просто как-то кажется…
Хорошая статейка, у меня кстати тоже везде почти один пароль :( Но я стараюсь его использовать только на тех сервисах, которыми редко пользуюсь. если почта или что-то важное, пасворд сохраняю уже на компе и делаю индивидуальный.
> 2) Дебильные сервисы, которые присылают пароль в чистом виде после регистрации (я подозреваю, они еще его и хранят у себя в нешифрованном виде).
Вы, молодой человек, не понимаете работу почты, а судите о безопастности. Так вот: для безопасной аутентификации пользователя через небезопасный канал ОБЕ стороны должны знать пароль, поэтому он НЕОБХОИМ в открытом виде. RTFM про методы CRAM-MD5 (Challenge-Response Authentication Mechanism), DIGEST-MD5 и прочие подобные.
Это касается не только почты. У вашего интернет-провайдера пароль от учётной записи хранится в открытом виде, и провайдер был бы редкий идиот, если бы сделал иначе. Дело в том, что опять же для аутентификации используется безопасный алгоритм CHAP, при котором открытый пароль никогда не появляется на линии (только его хеш с некоторой случайно сгененированной сервером солью, в CRAM-MD5 и так понятно, какой именно хеш). Если бы открытого пароля у провайдера не было, пришлось бы использовать PAP — пароль в нём пересылается провайдеру в открытом виде.
Никакое шифрование здесь недоступно (аутентификация у провайдера происходит в LCP-канале PPP-сессии), соответственно, любой, кто имеет доступ к вашей линии, могу бы перехватить ваш пароль, если бы дурной провайдер не хранил пароли в открытом виде.
Так-то.
Вы, молодой человек, не понимаете работу почты, а судите о безопастности. Так вот: для безопасной аутентификации пользователя через небезопасный канал ОБЕ стороны должны знать пароль, поэтому он НЕОБХОИМ в открытом виде. RTFM про методы CRAM-MD5 (Challenge-Response Authentication Mechanism), DIGEST-MD5 и прочие подобные.
Это касается не только почты. У вашего интернет-провайдера пароль от учётной записи хранится в открытом виде, и провайдер был бы редкий идиот, если бы сделал иначе. Дело в том, что опять же для аутентификации используется безопасный алгоритм CHAP, при котором открытый пароль никогда не появляется на линии (только его хеш с некоторой случайно сгененированной сервером солью, в CRAM-MD5 и так понятно, какой именно хеш). Если бы открытого пароля у провайдера не было, пришлось бы использовать PAP — пароль в нём пересылается провайдеру в открытом виде.
Никакое шифрование здесь недоступно (аутентификация у провайдера происходит в LCP-канале PPP-сессии), соответственно, любой, кто имеет доступ к вашей линии, могу бы перехватить ваш пароль, если бы дурной провайдер не хранил пароли в открытом виде.
Так-то.
Во-первых, я не говорю о провайдерах, не говорю о почте.
Во-вторых, не понимаю, с какой стати серверу: а) НЕОБХОДИМО хранить пароль в открытом виде; б) прислать мне его на почту после регистрации. Стандартная схема — хэшировать пароль при регистрации и хранить этот хэш на сервере. Пересылается пароль от клиента по безопасному каналу, точно так же хэшируется и сверяется с тем, что уже на сервере имеется. В каком месте здесь возникает необходимость хранить пароль в открытом виде?
Во-вторых, не понимаю, с какой стати серверу: а) НЕОБХОДИМО хранить пароль в открытом виде; б) прислать мне его на почту после регистрации. Стандартная схема — хэшировать пароль при регистрации и хранить этот хэш на сервере. Пересылается пароль от клиента по безопасному каналу, точно так же хэшируется и сверяется с тем, что уже на сервере имеется. В каком месте здесь возникает необходимость хранить пароль в открытом виде?
Повторяю, для аутетнификации методами CRAM и DIGEST. en.wikipedia.org/wiki/CRAM-MD5
Он поддерживается всем ПО, поэтому очень часто автоматически выбирается.
Он поддерживается всем ПО, поэтому очень часто автоматически выбирается.
как это относится к тому, о чем я писал, критикуя сервисы, присылающие пароль в чистом виде мне на ящик? :)
Ваша цитата:
> 2) Дебильные сервисы, которые присылают пароль в чистом виде после регистрации (я подозреваю, они еще его и хранят у себя в нешифрованном виде).
Прямо относится. Чтобы это работало, сервису необходим ваш пароль в чистом виде.
Ну и вообще, ничего не вижу дурного в том, чтобы его хранить в открытом виде. Пароль — далеко не самая конфиденциальная информация, которая может храниться в системе. Если где-нибудь ухитрились уж базу паролей спереть, наверняка спёрли и что-то поинтереснее, чем пароли, так что принципиальной разницы между зашифрованными, хешированными и открытыми паролями вообще нет.
> 2) Дебильные сервисы, которые присылают пароль в чистом виде после регистрации (я подозреваю, они еще его и хранят у себя в нешифрованном виде).
Прямо относится. Чтобы это работало, сервису необходим ваш пароль в чистом виде.
Ну и вообще, ничего не вижу дурного в том, чтобы его хранить в открытом виде. Пароль — далеко не самая конфиденциальная информация, которая может храниться в системе. Если где-нибудь ухитрились уж базу паролей спереть, наверняка спёрли и что-то поинтереснее, чем пароли, так что принципиальной разницы между зашифрованными, хешированными и открытыми паролями вообще нет.
Почте — может быть. А всем остальным?
Вообще меня раздражает в основном то, что они его мне прислыают в открытом виде. Как там они его хранят — дело десятое.
Вообще меня раздражает в основном то, что они его мне прислыают в открытом виде. Как там они его хранят — дело десятое.
Вообще все крупные сервисы основаны на протоколе аутентификации RADIUS, а тут наиболее удобно использовать Challenge-Response в том или ином виде.
Это может вы сможете сами себе придумать пароль хороший, а 99% других пользователей — очень вряд ли на это способны. См. комментарии ниже memkill.habrahabr.ru/blog/64920/#comment_1811097 и memkill.habrahabr.ru/blog/64920/#comment_1811091
Это может вы сможете сами себе придумать пароль хороший, а 99% других пользователей — очень вряд ли на это способны. См. комментарии ниже memkill.habrahabr.ru/blog/64920/#comment_1811097 и memkill.habrahabr.ru/blog/64920/#comment_1811091
Про присылание открытого пароля: ну, вообще-то самый удобный метод — прислать случайно сгенерированный пароль с требованием его сразу же сменить. Так, например, можно на примере показать, какие пароли система считает вполне безопасными, несколько снизив возможность пароля типа «19841984». Кроме того, в подавляющем большинстве случаев пароль никто не сменит, и мы по умолчанию получаем надёжный пароль, вместо трёх единичек, которые бы ввёл пользователь.
Чем это отличается от взлома почты? — Ничем. А не хотим посидеть, по раздумывать в местах не столь отдаленных?
Кто знает, как долго ящик не будет удаляться, если он не активен, на разных почтовиках?
Мне кажется это должен быть очень! длительный срок — 5-10-50 лет :)
Мне кажется это должен быть очень! длительный срок — 5-10-50 лет :)
намного меньше чем вы думаете. уже не раз терял ящики на yandex например
Не знаю, я пользуюсь как раз в основном gmail'ом, и один мой ящик уже года 3 не используется.
Не поленился, нашел от него пароль только что, проверил — работает.
Мой плюс gmail'у.
Не поленился, нашел от него пароль только что, проверил — работает.
Мой плюс gmail'у.
Кто сламает gmail Обамы?
Не прав в этой ситуации HotMail.com который удаляет почтовые ящики.
Ненавижу сервисы, которые не присылают пароль на почту. Зарегился, залогинился, поставил птичку «запомнить меня». Пару месяцев не заходил, переставил браузер, то-се, заходишь на сайт — требуют пароль. Попробуй теперь его вспомни. Залазишь на почту — а там только «Как мы рады, как мы рады...». И начинается — забыл пароль, почта, подтвердить, туда-сюда… Мрак.
А я наоборот таких уважаю. Я использую разные пароли для разных сервисов, причем довольно нетривиальные. «тупой треугольный @утконос» например (обычные слова запомнить легче, при этом получившийся пароль оказывается весьма длинным, а абсурдность фразы и спецсимволы делают атаку перебором еще сложнее)- начал использовать что-то подобное около месяца назад. Понятно, что помню я ну от силы пять таких паролей — для самых важных и часто используемых сервисов. А для всего остального я не против заниматься их восстановлением — случается это не так и часто.
А я наоборот не люблю, когда пароль показывают где бы то ни было. Особенно бесят сайты, которые после регистрации говорят: поздравляю %username%, вы успешно зарегистрированы, ваш пароль: 123. Так его может кто угодно подсмотреть. Тоже самое относится к электронным письмам.
Пароль может быть осмысленным, легкозапоминаемым, но трудно угадываемым. И не должен никак отображаться на экране монитора, кроме звёздочек. Это не безопасно.
Пароль может быть осмысленным, легкозапоминаемым, но трудно угадываемым. И не должен никак отображаться на экране монитора, кроме звёздочек. Это не безопасно.
Такое чувство, что прочел вырезку из журнала ][akep за '99 г. :)
статья в стиле, «законектился на сервер админ был лох и remote root был разрешен и пароль стоял 123», туфта
Если пароль от корпоративного ящика совпадёт с чем-либо вышеперечисленным, это будет или чудо или частая случайность, во всех адекватных компаниях пароль меняется минимум раз в 3 месяца, после года работы пользователя уже пароль проще брутфорсом подобрать чем пытаться найти сервис где такой же пароль.
удалил у себя из ящика все письма с паролями )
если мучает вопрос безопасности — далается криптоконтейнер на флешке (плюс этот контейнер записать в поток файла/папки, вообще «шпиёнский» способ получается) и туда кладется что-то вроде KeePass вместе со всеми секурными данными.
если же вы сами отвечаете за безопасность ваших пользователей — можно начать с блокировки учетных записей при неоднократном неправильно введенном пароле и закончить запретом на самостоятельную смену пароля. банально, но иногда не очевидно. хранить пассы у себя опять же можно способом описанном выше, я например так и делаю.
если же вы сами отвечаете за безопасность ваших пользователей — можно начать с блокировки учетных записей при неоднократном неправильно введенном пароле и закончить запретом на самостоятельную смену пароля. банально, но иногда не очевидно. хранить пассы у себя опять же можно способом описанном выше, я например так и делаю.
мм, а зачем keepass в контейнер класть? он и так свою базу надежно шифрует (мой рецепт — keepass+dropbox )
за наводку на dropbox спасибо, все как-то руки не доходили самостоятельно найти подобный сервис :)
а насчет контейнера — не только ж keepass хранится обычно из личного, та же аська например :) мне пароли не так стремно потерять чем логи с принятыми файлами :) пароли с локальной копии поменяю, а вот остальное уже как в пословице — не воробей, не воротишь :)
а насчет контейнера — не только ж keepass хранится обычно из личного, та же аська например :) мне пароли не так стремно потерять чем логи с принятыми файлами :) пароли с локальной копии поменяю, а вот остальное уже как в пословице — не воробей, не воротишь :)
ucoz.ru, например, в конце первого пункта так и показывает со звездочками «Система по восстановлению пароля отправила одноразовую ссылку на вторичный адрес v*******n@h*****l.com». Представленный ТСом алгоритм не везде прокатит, даже если пользовались одноразовыми мылами типа темпинбокс.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как получить секреты крупной компании за 5 шагов