Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 82
Пароль пассврод, имя Джек… «Люди как люди, только квартирный вопрос их испортил»
Можно еще как то понять, еслиб такую комбинацию — логин+пароль использовали в какой нибудь компашке никому не интересной и не известной. Но это не простительно и не поддается никакому обьяснению, когда в проект вложенно несколько десятков миллионов, за которые они отвечают перед инвесторами и вот так вот беззаботно относиться к вопросам о безопасности. Пароли и логины должны быть сложными и меняться чуть ли не каждый день.
А Вы не используете пароль от публичного (в данном случае ГМейловского) почтового ящика еще в других службах (однокласнники, вКонтакте и пр.)??
Тогда достаточно, чтобы один раз оттуда было прислано напоминание пароля.
Часто и при регистрации welcome mail содержит пароль.
Так что неудивительно, что у него пароль оказался в почте…
Тогда достаточно, чтобы один раз оттуда было прислано напоминание пароля.
Часто и при регистрации welcome mail содержит пароль.
Так что неудивительно, что у него пароль оказался в почте…
В идеале рекомендуется на разные службы разный пароль, но мало кто так делает.
И ходить со шпорой, где до 30–40 ресурсов и паролей… А потом в один день всё потерять.
Вывод: ничего идеального не существует.
Вывод: ничего идеального не существует.
Есть спец программы типа onepassword и тп.
Их зачастую нельзя ставить на работе, и уж точно их не будет в интернет-кафе или сотовом телефоне, с которого я, возможно, захочу зайти на сервис…
Есть достаточно легких способов запомнить 10-12 паролей, а больше, уже не понадобится… А кому лень, те отговорку всегда найдут!
Напишите топик на Хабре «Легкие способы запоминания сложных паролей», я с удовольствием прокомментирую.
Сам я, к сожалению, могу запомнить не больше 5-ти масок, которыми пользуюсь для генерации паролей, но вспомнить точно на каком ресурсе какая маска (система) использовалась — практически невозможно, если не логиниться каждый день…
Сам я, к сожалению, могу запомнить не больше 5-ти масок, которыми пользуюсь для генерации паролей, но вспомнить точно на каком ресурсе какая маска (система) использовалась — практически невозможно, если не логиниться каждый день…
используйте метод «пароль+название ресурса».
passwordhabrahabrru
passwordmailru
и тд в различных комбинациях
passwordhabrahabrru
passwordmailru
и тд в различных комбинациях
не подходит
Если будут различные комбинации, то они и забудутся. А если будут такие как вы привели, то после того, как злоумышленник увидит каким-либо образом passwordhabrahabrru, он сразу догадается какие должны быть другие пароли.
можно по разному смешивать пароль и сайт.
Например:
puarsrsbwaohradrbah для приведенного вами.
pmaoscslwioarmdg для passwordgmail.com.
вариатнов смешивающей функции удобной для человека, но трудно обратимых — множество.
Например:
puarsrsbwaohradrbah для приведенного вами.
pmaoscslwioarmdg для passwordgmail.com.
вариатнов смешивающей функции удобной для человека, но трудно обратимых — множество.
Извините, но я увидел только перетасованные буквы. Я как-то не очень понял, как выучить этот пароль :)
Надеюсь, что не надо будет его записывать на бумажке и потом тасовать буквы по хитрым формулам, чтобы сообразить какой же он на самом деле.
При этом, если смешивание будет простым, то злоумышленник, который видит пароль, сможет попробовать перебрать разные варианты смешивания для другого ресурса (у него цель взломать, можно и попыхтеть), а если смешивание будет сложным, то слишком много усилий требуется на ввод пароля, что опять же ни к чему хорошему не приведёт.
Надеюсь, что не надо будет его записывать на бумажке и потом тасовать буквы по хитрым формулам, чтобы сообразить какой же он на самом деле.
При этом, если смешивание будет простым, то злоумышленник, который видит пароль, сможет попробовать перебрать разные варианты смешивания для другого ресурса (у него цель взломать, можно и попыхтеть), а если смешивание будет сложным, то слишком много усилий требуется на ввод пароля, что опять же ни к чему хорошему не приведёт.
Не написал принцип:
буквы пароля идут в прямом порядке:
password
буквы сайта в обратном
mocliamg -[gmailcom]
смешение: буква из пароля, буква из сайта:
p m a o… итд.
Варианов масса.
можно пропускать буквы из сайта, смешивая с чистом букв в названии сайта.тогда можно и прямой порядок использовать.
p g s l s…
Вобщем много вариантов. Но конечно, к финансовым и ключевым сайтам пароли должны быть уникальными и длинными.
буквы пароля идут в прямом порядке:
password
буквы сайта в обратном
mocliamg -[gmailcom]
смешение: буква из пароля, буква из сайта:
p m a o… итд.
Варианов масса.
можно пропускать буквы из сайта, смешивая с чистом букв в названии сайта.тогда можно и прямой порядок использовать.
p g s l s…
Вобщем много вариантов. Но конечно, к финансовым и ключевым сайтам пароли должны быть уникальными и длинными.
если кто-то узнает что у тебя пароль на gmail — «passwordgmail.com», то несложно догадаться какой пароль у тебя к хабру…
Парни, не так топорно :)
Я указал только алгоритм. Комбинация может быть любой, но суть только в том, чтобы в пароле как-то применялось название ресурса.
Между «password» и «habrahabrru» из моего примера, перед ними или до них можно писать много всяких разных символов.
Можно комбинировать регистр.
Большинство людей, которых я знаю, вообще не заморачиваются по поводу сложности паролей, и пишут какие-то фразы на русском в латинской раскладке.
Я предпочитаю использовать какие-то почти осмысленные для произношения куски фраз. Например, «вромашкахспрятал» — строчка из «В ромашках спрятались».
Чаще всего комбинирую такие строки с номерами телефонов.
Я указал только алгоритм. Комбинация может быть любой, но суть только в том, чтобы в пароле как-то применялось название ресурса.
Между «password» и «habrahabrru» из моего примера, перед ними или до них можно писать много всяких разных символов.
Можно комбинировать регистр.
Большинство людей, которых я знаю, вообще не заморачиваются по поводу сложности паролей, и пишут какие-то фразы на русском в латинской раскладке.
Я предпочитаю использовать какие-то почти осмысленные для произношения куски фраз. Например, «вромашкахспрятал» — строчка из «В ромашках спрятались».
Чаще всего комбинирую такие строки с номерами телефонов.
ну почему же. есть KeePass. его можно носить на флешке. его можно поставить на телефон…
я уже давно пользую KeePass. Раньше носил на флешке, а теперь он у меня в DropBox.
очень доволен.
очень доволен.
осталось подобрать пароль к дропбоксу.
или спереть флешку
или спереть флешку
вернее подобрать пароль к дропбоксу, в котором больше 10 символов, а потом пароль к базе кипэсс, в котором тоже больше 10 символов.
а если сопрёте флешку — снова останется всего лишь подобрать пароль к базе кипэсс.
а если сопрёте флешку — снова останется всего лишь подобрать пароль к базе кипэсс.
подбирать пароль придется в любом случае :)
а DropBox, да, нужная вещь. периодически складываю на него бекапы :)
ибо флешки это такое создание — малонадежное. она может затеряться, упасть, попасть под случайную статику от свитера :) а так — в случае чего — всегда можно слить актуальный (ну, или почти актуальный) бекап.
пользоваться постоянно DropBox`ом вместо флешки может получиться не у каждого. в большинстве корпоративных сетей политика безопасности не позволяет устанавливать лишнее ПО. в таких случаях приходится носить копию базы на флешке.
p.s. насчет «упасть». была у меня флешка. и на асфальт падала. и в воде купалась. и usb-выход сгибался под 90 градусов. хоть бы что. но однажды она упала с 50 см на мягкий ковер. и не выжила :-(
а DropBox, да, нужная вещь. периодически складываю на него бекапы :)
ибо флешки это такое создание — малонадежное. она может затеряться, упасть, попасть под случайную статику от свитера :) а так — в случае чего — всегда можно слить актуальный (ну, или почти актуальный) бекап.
пользоваться постоянно DropBox`ом вместо флешки может получиться не у каждого. в большинстве корпоративных сетей политика безопасности не позволяет устанавливать лишнее ПО. в таких случаях приходится носить копию базы на флешке.
p.s. насчет «упасть». была у меня флешка. и на асфальт падала. и в воде купалась. и usb-выход сгибался под 90 градусов. хоть бы что. но однажды она упала с 50 см на мягкий ковер. и не выжила :-(
а еще есть онлайн сервисы синхронизации приватной информации
Их можно и нужно ставить на работе
Правда там должны быть пароли только от работы, а не от жж с одноклассниками
Правда там должны быть пароли только от работы, а не от жж с одноклассниками
clipperz.com
У меня все пароли на всех сайтах различные. Помогает roboform и его чудесная кнопка «Генерировать пароль»
Я не использую. У меня пароль на гмайл состоит из 15 символов. Такая комбинация символов нигде у меня больше не повторяется и хранится только в голове. Почта это ключ ко многим важным данным и глупо не заботиться о ее безопасности.
«Вы» было использовано чисто собирательно.
Понятно, что есть и те, кто адекватно относится к безопасности в сети. Это очевидно также, как и то, что есть и другая крайность.
Проблема только заключается в том, что для компании достаточно иметь одного сотрудника с таким вот небрежным отношением к защите, чтобы ВСЯ система защиты была скомпрометирована человеческим фактором.
Понятно, что есть и те, кто адекватно относится к безопасности в сети. Это очевидно также, как и то, что есть и другая крайность.
Проблема только заключается в том, что для компании достаточно иметь одного сотрудника с таким вот небрежным отношением к защите, чтобы ВСЯ система защиты была скомпрометирована человеческим фактором.
Интересно, а сколько 15-символьных паролей Вы можете помнить? У меня несколько сотен паролей…
Ну я помню в районе 10 паролей, которые приходится часто использовать. Остальные не самые критичные записаны в спец проге.
Не говорите глупостей!
в смысле?
В смысле того, что если у вас действительно 100+ паролей, то их невозможно запомнить все, даже если они все трехсимвольные, и в этом случае нужно пользоваться спец. программой, т.е. написали (глупость) не по делу.
в том смысле что «У меня несколько сотен паролей… » и все эти пароли от различных служб которыми вы пользуетесь?? что-то сомневаюсь… или вы что-то вроде торговца icq номерами?
(поправте если не так)
(поправте если не так)
может, именно поэтому нельзя располагать почту на площадках того, кто владеет информацией?
не чистой ли, концентрированной глупостью есть важный корпоративный почтовый ящик на GMail?
не чистой ли, концентрированной глупостью есть важный корпоративный почтовый ящик на GMail?
Удивляюсь отношению к безопасностью некоторых ресурсов :) Хорошо что пароли не раздали школьникам с античата (это я про квип и блог инфа)…
> Дело в том, что в качестве резервного был указан уже закрытый ящик на Hotmail. HC просто зарегистрировал его, заказал письмо и щёлкнул по ссылке, которая генерирует новый пароль. Так он зашёл в Gmail.
никуя себе хотмейл, от это дырища… аж свистит, выдавать новым юзерам заэкспайренные логины.
никуя себе хотмейл, от это дырища… аж свистит, выдавать новым юзерам заэкспайренные логины.
А лично меня смущает правдоподобность вот этот действия:
«HC получил доступ к почтовому ящику Gmail одного из сотрудников Twitter, воспользовавшись функцией восстановления пароля на резервный адрес электронной почты....»
Гул не рассказывает какой резервный емайл указан в профиле.
https://www.google.com/accounts/ForgotPasswd?service=mail&fpOnly=1
— Откуда HC тогда узнал какой резервный емайл у пользоателя?
«HC получил доступ к почтовому ящику Gmail одного из сотрудников Twitter, воспользовавшись функцией восстановления пароля на резервный адрес электронной почты....»
Гул не рассказывает какой резервный емайл указан в профиле.
https://www.google.com/accounts/ForgotPasswd?service=mail&fpOnly=1
— Откуда HC тогда узнал какой резервный емайл у пользоателя?
Всегда удаляю из почтового ящика письма с присланными паролями.
Смешно читать
«а я, а я....» давайте еще длинной пароля меряться.
«а я, а я....» давайте еще длинной пароля меряться.
Странно… у меня есть аккаунт на hotmail, зарегистрированный лет 7 назад. Сейчас вспомнил пароль, зашел. Без проблем. Аккаунт существует и активен.
Хотите узнать как именно был осуществлён взлом?
Всё очень просто: утюг + паяльник!
Хакеры уже не те…
Всё очень просто: утюг + паяльник!
Хакеры уже не те…
Вот чего я не понял — как хакер узнал, что у пользователя использовался ящик на hotmail, и как он узнал КАКОЙ ящик?
Например, нашёл древнее сообщение от данного человека на форуме вида: Превед, диффчонки, я Вася Пупкин, пишите на pupkin@hotmail.com, познакомимся. Как вариант просто попробовал vasiliy.pupkin@hotmail.com в разных комбинациях, вариантов много. Главное собрать побольше сведений о данном человеке, а там можно и уже попытки подбора пробовать.
Ничего, что в хуизах твиттера и не пахнет GoDaddy?
что автоматически ставит под сомнение и остальные пункты.
что автоматически ставит под сомнение и остальные пункты.
А какая связь должна быть между хуизами и регистратором домена?
В хуизе домена twitter.com указана информация о его регистраторе.
Оп, скушался комментарий
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: www.networksolutions.com
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: www.networksolutions.com
«HC начал поиск в архиве писем, чтобы найти указания на то, какой был раньше пароль к Gmail. Ему удалось найти эту информацию, и он поменял пароль на старый, чтобы владелец почтового ящика не догадался о взломе.»
это как?? где там такое может храниться?
это как?? где там такое может храниться?
ICANN Registrar: NETWORK SOLUTIONS, LLC.
с каких пор godaddy стало называться network solutions, llc.?
с каких пор godaddy стало называться network solutions, llc.?
HC начал поиск в архиве писем, чтобы найти указания на то, какой был раньше пароль к Gmail. Ему удалось найти эту информацию, и он поменял пароль на старый, чтобы владелец почтового ящика не догадался о взломе.
_
Гугло не присылает пароль. это страно очень
_
Гугло не присылает пароль. это страно очень
POP с удалением всех писем с сервера рулит. У меня чуть не увели мой проект вместе с хостингом, только потому что я указал на хостинге адрес на мэйл.ру (за глупость поплатился). Каким образом был подобрал 12-символьный пароль к ящику — понятия не имею — возможно вообще была утечка из мэйл.ру. Судя по IP камрад был из Украины, но даже после того как он поменял все пароли, в т.ч. и на ящике, он не убрал письма с запросами паролей (в которых были новые пароли) от хостинга и VDS. Ящик на мэйл.ру вернул через контрольный вопрос, ну а остальное — дело не хитрое. А вот если бы тот лох заюзал клиент и получил письма через POP с удалением с сервера — увел бы точно.
Так что почтовики со снятой галочкой «оставлять письма на сервере» рулят, ибо в почте вообще нельзя хранить конфиденциальную и рабочую информацию. Лучше сохранить аттачи и тексты и носить на флешке.
Так что почтовики со снятой галочкой «оставлять письма на сервере» рулят, ибо в почте вообще нельзя хранить конфиденциальную и рабочую информацию. Лучше сохранить аттачи и тексты и носить на флешке.
Twitter -херня. Много шуму из ничего. Думаю, многие из мыслящих хабралюдей со мной согласятся.
Однако на Диком Западе и Востоке (Япония) им пользуются миллионы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Атака на Twitter: шаг за шагом