Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 121
При всём моём согласии с необходимостью сложных паролей, не пойму, как это пересекается с идеей об ответственности пользователей за сохранность их персональных данных. Заблокировать злосчастные 2% аккаунтов, и всего делов-то.
Заблокировали, восстановили сообщения из бэкапа, это понятно. Но в следующий раз пойдут в ход пароли «qwerty» или ещё что-нибудь. Кроме того чисто по-человечески неприятно, что пару месяцев на форуме была грязь, а администраторы не замечали.
Мне кажется, нужно чётко решить — нужны ли на форуме пользователи, не способные установить нормальный пароль. Если нет — безусловно, нужно контролировать пароль при вводе и сообщать пользователям со слабым паролем, что они рискуют быть заблокированы.
Если из-за конкуренции борьба идёт за каждого пользователя, таких придётся терпеть.
Если из-за конкуренции борьба идёт за каждого пользователя, таких придётся терпеть.
Когда пользователь знает что о нем заботятся, это вызывает лишнее доверие к сервису. Это всегда "+"
не пойму, как это пересекается с идеей об ответственности пользователей за сохранность их персональных данных.Что тут непонятного? Идея в том, что аргумент «слабый пароль — это личная проблема самого пользователя и только» несостоятелен. Автор на конкретном примере показал, что слабый пароль в итоге может обернуться не только проблемой пользователя, но и проблемой сайта/ресурса. Поэтому администраторам ресурсов не нужно пускать всё на самотёк и нужно требовать от пользователей соблюдать минимальную сложность пароля при его установке.
Интересно, те, кто придумали штрафовать водителя за не пристёгнутый ремень безопасности тоже руководствовались такой логикой? Кому он может нанести ущерб тем, что разобьёт голову о лобовое стекло? Наказывать надо за использование чужих аккаунтов, а не заставлять ставить сложные замки. Ну это в идеале.
Интересно, те, кто придумали штрафовать водителя за не пристёгнутый ремень безопасности тоже руководствовались такой логикой? Кому он может нанести ущерб тем, что разобьёт голову о лобовое стекло?Вы думаете, что непристёгнутый человек в машине рискует только своей жизнью? Посмотрите эту социальную рекламу о безопасности за рулём:
www.youtube.com/watch?v=CrqETOyvpnY
Вы верите рекламе? о_О
Я еду один в своей машине. Объясните мне хоть одну причину ограничивать мою свободу. Почему меня заставляют пристёгиваться? Как я могу навредить окружающим? Дурной пример, что ли, подаю? Давайте запретим босяком по городу ходить, ведь опасно. Наступишь на гвоздь и от шока можешь ударить прохожего!
Короче, теми, кто ограничивают свободу в этих вопросах движет что угодно, но не забота о безопасности. Что движет? Убеждения, привычки, зависть, амбиции, эгоизм, глупость. Что угодно… всё то, что заставляет ошибаться.
Короче, теми, кто ограничивают свободу в этих вопросах движет что угодно, но не забота о безопасности. Что движет? Убеждения, привычки, зависть, амбиции, эгоизм, глупость. Что угодно… всё то, что заставляет ошибаться.
Я еду один в своей машине. Объясните мне хоть одну причину ограничивать мою свободу. Почему меня заставляют пристёгиваться? Как я могу навредить окружающим?Хотите, чтобы я привёл пример? ОК.
Человек едет один в своей машине. На что-то наезжает, или лопается колесо, короче машина уходит в занос.
Вариант А: Человек пристёгнут, поэтому остаётся на месте, не теряет дорогу из вида, контролирует ситуацию и выводит машину из заноса.
Вариант Б: Человек не пристёгнут, его мотает по сторонам, бьёт головой об руль, об дверцу, он теряет контроль над дорогой, не может контролировать машину, может даже от ударов теряет сознание. В итоге неконтролируемый автомобиль вылетает на тротуар и сбивает пешеходов, или машина вылетает на встречку и становится виновником столкновения. В итоге страдает не только водитель, а под угрозой оказываются и жизни окружающих.
Если человека не выкидывает из кресла, только из-за того, что он пристегнут, то из заноса он ее не выведет: трудно выводить ПЕРЕВЕРНУТОЕ авто.
Исключение — блондинка, купившая права, и находящаяся в 10см от руля, которая даже не касается сиденья спиной. Я не блондинка. И почему-то уверен, что тот, кому вы ответили — тоже.
Исключение — блондинка, купившая права, и находящаяся в 10см от руля, которая даже не касается сиденья спиной. Я не блондинка. И почему-то уверен, что тот, кому вы ответили — тоже.
Ремни безопасности нужны для того, чтобы удержать человека в кресле при столкновении. Избежать столкновения они помочь никак не могут, даже наоборот, скорее помешают, т.к. стесняют движения водителя. Да они и не для этого созданы! Это всё отговорки, причины другие, как я говорил. Большинство не может разобраться в проблеме и лишний раз перестраховываются. Это в полной мере относится и к теме топика.
Вы меня не поняли — я вовсе не против дополнительных мер безопасности. Если у форума есть масса лояльных пользователей, то запросто можно потребовать от них сложные пароли длинной не меньше 10 символов, капчу при каждом логине и тд. Но эти меры будут направлены на защиту форума от спама, а не на защиту персональных данных пользователей.
У меня на Ютюбе пароль 1234. Угонят — заведу нового юзера. Никаких персональных данных в профиле нет, так что защита безопасности там — не моя проблема.
У меня на Ютюбе пароль 1234. Угонят — заведу нового юзера. Никаких персональных данных в профиле нет, так что защита безопасности там — не моя проблема.
как альтернатива запретить устанавливать шаблонные пароли:
qwerty
12345
логин = пароль
и т.д.
и в форме регистрации сделать генератор случайного пароля.й
или же
не давать самому при регистрации задавать пароль. а выдавать сгенерированный и только потом давать возможность сменить пароль.
qwerty
12345
логин = пароль
и т.д.
и в форме регистрации сделать генератор случайного пароля.й
или же
не давать самому при регистрации задавать пароль. а выдавать сгенерированный и только потом давать возможность сменить пароль.
Если сайт серьёзный, то кол-во людей, которые будут ставить на нём пароли «12345» — очень мало.
Например Хабрахабр, чтобы попасть сюда нужен инвайт. И когда человек попадает, то значит он хотел этого, значит он заинтересован в своём акке тут, а значит и пароль будет ставить хороший. Так что всё зависит от ресурса.
Например Хабрахабр, чтобы попасть сюда нужен инвайт. И когда человек попадает, то значит он хотел этого, значит он заинтересован в своём акке тут, а значит и пароль будет ставить хороший. Так что всё зависит от ресурса.
вообще-то подавляющее большинство пользователей использует один пароль на все ресурсы кроме самых критичных. у меня, в интернете, к примеру, 5 логинов, расстаться с которыми мне бы действительно не хотелось, и там пароли стоят сложные, а остальное — только голову зря засорять.
вот у меня на работе, к примеру, 10 разных паролей, которые меняются раз в две-три недели, в зависимости от полиси. запомнить их НЕВОЗМОЖНО, приходится на бумажку записывать.
и отдельный луч ненависти я всегда посылал ресурсам, которые лучше меня знают, какие пароли хороши, а какие — нет. хотя вот теперь я хотя бы понял, почему это делается.
и, кстати, я не помню чтобы нужен был какой-то инвайт чтобы зарегиться на хабре ;)
вот у меня на работе, к примеру, 10 разных паролей, которые меняются раз в две-три недели, в зависимости от полиси. запомнить их НЕВОЗМОЖНО, приходится на бумажку записывать.
и отдельный луч ненависти я всегда посылал ресурсам, которые лучше меня знают, какие пароли хороши, а какие — нет. хотя вот теперь я хотя бы понял, почему это делается.
и, кстати, я не помню чтобы нужен был какой-то инвайт чтобы зарегиться на хабре ;)
Имхо, если проект связан с финансами или конфиденциальной информацией — нужно заставлять пользователя вводить нормальный пароль, если он сам этого не понимает.
Если же проект пользователь не считает важным защищать свою информацию — пусть использует какой хочет пароль.
Если же проект пользователь не считает важным защищать свою информацию — пусть использует какой хочет пароль.
Я ненавижу. Да сильно ненавижу. Я мало что ненавижу, но это особенно. Не ваше это дело(в смысле не ваше конкретно, а веб-мастера) какой у меня пароль. На всяких левых сервисах я регаю простой маленький пароль, у всех одинаковый. Кто мешает — идёт в топку и теряет пользователя. Только если мне очень нужно я сделаю исключение. Особенно ненавижу когда есть требования типа хоть одна буква, хоть одна цифра или без пробелов. У меня есть сильные пароли и все они содержать пробел, некоторым не нравится, например Microsoft Live! Пароль — личное дело и ограничивать его, это примерно тоже самое что запрещать мне в музее смотреть картину под определённым углом. И мне пох что я увижу только рамку, я рамку только и смотрю.
Сори, ну очень уж меня данная тема за живое задевает.
Сори, ну очень уж меня данная тема за живое задевает.
Как говорится не нравится не пользуйтесь. С своим уставом в чужой монастырь не ходят. Если я как разработчик ставлю какие то ограничения (в том числе и пробел), значит я об этом подумал. И чтобы иметь в дальнейшем намного меньше проблем (… тут каждый понял, что лучше бы отдельных пользователей и некогда не было) лучше сразу такого товарища отправить в сад.
Imho ограничение пользователя — не лучшая политика в чем либо. За сим беседу можно прекратить, свои позиции мы узнали, сходить с них не собираемся.
Лучше бы таких разработчиков, а не пользователей.
ограничивать стоить только минимальную длинну пароля, и кроме того, чем это вам не угодили пробелы? или вы не хешируете пароли с солью?
Проблема в том, что таких вот разработчиков — тысячи, и у всех свои приколы.
Выше правильно говорят — одни говорят, непременно чтобы цифры были, другие наоборот, чтобы не было, третьи говорят, не менее 8 символов, а четвёртые — не более восьми символов…
Последние два года юзал пароль из букв и цифр. А на новой работе система требует ещё хотя бы один спецсимвол (не буква и не цифра) для пароля. Вот нафига, а? Особенно если учесть, что половина сайтов не примет такой пароль — им только буквы-цифры подавай.
Я за хорошие пароли. Но давайте уж как-нибудь разумно подходить к делу, без излишнего фанатизма — чтобы не было такого — вам и буквы, и цифры, и спецсимволы, и только в определённом порядке (сначала буквы, потом цифры) подавай.
Выше правильно говорят — одни говорят, непременно чтобы цифры были, другие наоборот, чтобы не было, третьи говорят, не менее 8 символов, а четвёртые — не более восьми символов…
Последние два года юзал пароль из букв и цифр. А на новой работе система требует ещё хотя бы один спецсимвол (не буква и не цифра) для пароля. Вот нафига, а? Особенно если учесть, что половина сайтов не примет такой пароль — им только буквы-цифры подавай.
Я за хорошие пароли. Но давайте уж как-нибудь разумно подходить к делу, без излишнего фанатизма — чтобы не было такого — вам и буквы, и цифры, и спецсимволы, и только в определённом порядке (сначала буквы, потом цифры) подавай.
«Пароль — личное дело! Вот мои пароли содержат пробел. Я так самовыражаюсь.»
Пароли на общественных ресурсах — это не личное дело. Взломанный аккаунт портит качество сайта, нервы администраторов и настроение пользователей. Я за то, чтобы не разрешать словарные пароли вообще, а на серьезных сайтах строго проверять сложность пароля.
Кто не согласен (с правилами сайта) — идет в топку и теряет возможность им воспользоваться.
Пароли на общественных ресурсах — это не личное дело. Взломанный аккаунт портит качество сайта, нервы администраторов и настроение пользователей. Я за то, чтобы не разрешать словарные пароли вообще, а на серьезных сайтах строго проверять сложность пароля.
Кто не согласен (с правилами сайта) — идет в топку и теряет возможность им воспользоваться.
Пароль — личное дело и ограничивать его, это примерно тоже самое что запрещать мне в музее смотреть картину под определённым углом. И мне пох что я увижу только рамку, я рамку только и смотрю.Как вы увидите картину — это ваше личное дело. Но если очень слабый пароль может доставить серьёзные проблемы самому ресурсу и другим его участникам, то этот вопрос не нужно оставлять без внимания администрации, т.е. некоторые парольные политики в этом случае оправданы.
Конечно, фанатизма в парольных ограничениях не нужно (например ограничения «минимум 10 символов» или «строго от 6 до 10 символов» или «нельзя использовать пробелы спец.символы» — они идиотские), но минимальные ограничения всё же нужны.
Например:
— пароль не менее 4-5 символов;
— запрещено совпадение пароля с логином;
— запрещено использовать в пароле все одинаковые символы (aaaaa, 77777 и т.п.);
— запрещен десяток самых распространенных паролей (типа qwerty, 12345, 123456, zxcv, love и др.).
А почему бы не запретить редактирование записей на форуме спустя n-ое время?
Вот именно, либо ввести доп. авторизацию вплоть до конфирма по мылу. Главное, не усложнять жизнь своим же юзерам, ради которых проекты создаём.
Это в процессе обсуждения. Вероятно, придётся допиливать энджин, так как он староват, а всем страшно лень :-)
А почему бы не запретить редактирование записей на форуме спустя n-ое время?А вот на Хабре наоборот не мешало бы добавить возможность отредактировать/удалить свой комментарий хотя бы в течение 10 секунд после его публикации.
>> пароль 12345 поставили 13 пользователей, пароль-логин — 16 пользователей, всего порядка 1500 пользователей.
извините, не понял этой математики
извините, не понял этой математики
То есть примерно 2% от всех пользователей пострадали от такой атаки спамеров.
Сейчас сделали что-то типа:
Оказалось, 29 паролей использованы 3 раза или более. Практически все из использованных много раз находятся по md5-хэшам в гугле. Среди них «123456», «111111», «123», «qwerty» и т. д. В сумме подобные пароли примерно у 10% юзеров.
SELECT user_password,count(*) c FROM phpbb_users WHERE (user_rank!=3 OR user_rank IS NULL) GROUP BY user_password HAVING c>2 ORDER BY c DESC;Оказалось, 29 паролей использованы 3 раза или более. Практически все из использованных много раз находятся по md5-хэшам в гугле. Среди них «123456», «111111», «123», «qwerty» и т. д. В сумме подобные пароли примерно у 10% юзеров.
а, в смысле 29 из 1500. тупанул чутка.
я не против более-менее сложных паролей, но сильно не нравится другое: когда пароли хранят в открытом виде, такие сервисы при восстановлении пароля часто присылают твой старый пароль, следовательно они его хранят в открытом виде, либо могут его дешифровать. Получается любой админ может взять мой пароль и попробовать его на других сайтах, где я зарегистрирован. Для особо критичных сайтов, я естественно ставлю уникальный пароль.
Мне, как человеку близкому к веб-разработке понятны ваши проблемы.
А как простому пользователю сайтов, мне на них наплевать.
А как простому пользователю сайтов, мне на них наплевать.
Дело в том, что каждый веб разработчик считает свой говноресурс и говносервис уникальным-оригинальным-супермега… и т.п. а значит и долгом своим защитить его по полной программе, но если мне как пользователю надо посмотреть-ознакомится-попробовать-понять и т.д. с сервисом, который вобщем может и не оказаться говноресурсом(сервисом) меня не инетерсует их локальная политика безопасности. И когда я в очередной раз нарываюсь на супермега неюзабельную систему регистрации — я злюсь. А зачем нам столько зла? Дайте юзерам самим выбирать, если их заинтересует Ваш проект для дальнейшего использования, и пароль сменят, и ходить будут, а если проект — отстой, то только лишние лучи гнева Вам будут посылать. Зачем?
мне больше нравится, когда можно вписать свой вопрос, и естественно, никакой life-hacker не подберет ни первое, ни второе.
What is a meaning of the life?
What is a meaning of the life?
What is a meaning of the life?Ответ 42?
не ваше дело, какой у меня пароль… Если мне нужен ваш сайт всего для одного раза, чтоб что-то посмотреть, что-то написать или что-то скачать…
Делайте нормальные и ценные сайты, тогда возможно и пароли будут нормальные… Или прикручивайте опенID… У многих на ящиках Гугл, яндекс стоят нормальные пароли, потому что это нужные сайты…
А для сайтов однодневок мой пароль всегда 123456
Делайте нормальные и ценные сайты, тогда возможно и пароли будут нормальные… Или прикручивайте опенID… У многих на ящиках Гугл, яндекс стоят нормальные пароли, потому что это нужные сайты…
А для сайтов однодневок мой пароль всегда 123456
Я поражаюсь, что вы просто так взяли и рассказали о вашем обычном пароле для сайтов-однодневок.
Решил проверить для интереса, и конечно же:
Решил проверить для интереса, и конечно же:
напомнило «Слушай, а может мы с тобой родственники? Как девичья фамилия твоей матери?… О! У тебя 8 новых писем!»
Да меня вообще удивляет сколько народу тут орёт об ограничении «свободы», когда заставляют целых 8 символов вмсто6 ввести и т.п. Прям ущемление конституционных прав, не меньше. И возможнось поиметь проблемы в будущем, что и было продемонстрировано.
Тем более, что тут аудитория ещё более или менее ИТ-образованная, а средний юзер интренета совсем нет. Лепят простые пароли везде, и потом мы имеем кучу взломанных асек, одноклассников и контактов.
Тем более, что тут аудитория ещё более или менее ИТ-образованная, а средний юзер интренета совсем нет. Лепят простые пароли везде, и потом мы имеем кучу взломанных асек, одноклассников и контактов.
Ну человек же сказал, что ему пофиг на эти сайты. Не думаю, что его сильно расстроит ваш заход на такой сайт под его именем.
А напиши в личку что за сайт…
Не стоит забывать про такой популярный сервис, как Твиттер, который запретил использование около 370 слов в качестве паролей.
Если сайт подразумевает, что пользователя могут взломать и сделать что-то нехорошее, то стоит требовать сложные пароли.
Если же это простой новостной сайт, где регистрация требуется для того, чтобы оставлять комменты — я бы не стал требовать длину не менее 8 символов и обязательных циферок или спецсимволов.
Если сайт подразумевает, что пользователя могут взломать и сделать что-то нехорошее, то стоит требовать сложные пароли.
Если же это простой новостной сайт, где регистрация требуется для того, чтобы оставлять комменты — я бы не стал требовать длину не менее 8 символов и обязательных циферок или спецсимволов.
У меня 3 пароля: один из небольшого числа цифр, второй из бОльшего числа цифр. Третий из букв, цифр и спецсимволов.
Проблема бывает такая — меня простя ввести сложный пароль, я ввожу свой сложный, а мне в ответ — «нельзя использовать специальные символы, пароль должен состоять из цифр и букв». Я, конечно, понимаю что мой косяк что два пароля только из цифр, но это сложилось исторически, я не специально придумал два пароля на одну манеру, поэтому я придумал 3ий. Теперь еще и 4ый наверно нужен.
Другими словами я за:
— если просить ввести сложный пароль то дать все возможности, чтобы его ввести.
— использовать зашумление паролей в БД.(бывает, что хранят в чистом виде)
А еще не понимаю для чего секретный вопрос обязательный. Ответ для него подобрать проще через словарь. А пользователю нужно и ответ и пароль помнить.
Проблема бывает такая — меня простя ввести сложный пароль, я ввожу свой сложный, а мне в ответ — «нельзя использовать специальные символы, пароль должен состоять из цифр и букв». Я, конечно, понимаю что мой косяк что два пароля только из цифр, но это сложилось исторически, я не специально придумал два пароля на одну манеру, поэтому я придумал 3ий. Теперь еще и 4ый наверно нужен.
Другими словами я за:
— если просить ввести сложный пароль то дать все возможности, чтобы его ввести.
— использовать зашумление паролей в БД.(бывает, что хранят в чистом виде)
А еще не понимаю для чего секретный вопрос обязательный. Ответ для него подобрать проще через словарь. А пользователю нужно и ответ и пароль помнить.
Я хотел бы задать вопрос борцам за права человека, утверждающим, что это их право — ставить любые пароли (в том числе одноциферные или вообще пустые).
А Вы можете пойти и купить квартиру или машину, в которых по дефолту не будет вообще никаких замков? Ну вот совсем. Не можете. Потому, что таких не продают. Вы даже не можете пойти и купить замок, который будет открываться любой отверткой. Вернее, Вы конечно, можете пойти и купить болт на 38, сказать, что это Ваш замок и закрывать своё имущество на него, зная, что любой человек его может открыть. Но Вы правда будете (хотите\можете) так делать?
Дальше вопрос. Вас не смущает, что Вы по определению не можете в жизни сделать кое-какие глупые и опасные вещи? Ну там прыгнуть с самолета без парашюта, сказав инструктору «не ваше дело есть у меня парашют или нет, я считаю, что мне можно и так» или ездить на автомобиле без прав, говоря автоинспектору «не ваше дело есть у меня права или нет, я считаю, что мне можно и так» и т.д. У Вас есть права и есть обязанности. В случае с веб-сайтами, они оговорены владельцем ресурса. Соглашайтесь, или идите на другой сайт — их миллионы.
Почему Вас смущает, что форум требует от вас пароль в 8 символов? Вы же не один в пустыне живете. Вы живете в обществе. Вы пользуетесь форумом. Он даёт Вам информацию и общение, знакомства и возможность самовыражения. Почему Вы считаете, что не должны ему ничего, даже такой мелочи, как забота о его защите от спамеров, коей Вы можете помочь, поставив хороший пароль?
А Вы можете пойти и купить квартиру или машину, в которых по дефолту не будет вообще никаких замков? Ну вот совсем. Не можете. Потому, что таких не продают. Вы даже не можете пойти и купить замок, который будет открываться любой отверткой. Вернее, Вы конечно, можете пойти и купить болт на 38, сказать, что это Ваш замок и закрывать своё имущество на него, зная, что любой человек его может открыть. Но Вы правда будете (хотите\можете) так делать?
Дальше вопрос. Вас не смущает, что Вы по определению не можете в жизни сделать кое-какие глупые и опасные вещи? Ну там прыгнуть с самолета без парашюта, сказав инструктору «не ваше дело есть у меня парашют или нет, я считаю, что мне можно и так» или ездить на автомобиле без прав, говоря автоинспектору «не ваше дело есть у меня права или нет, я считаю, что мне можно и так» и т.д. У Вас есть права и есть обязанности. В случае с веб-сайтами, они оговорены владельцем ресурса. Соглашайтесь, или идите на другой сайт — их миллионы.
Почему Вас смущает, что форум требует от вас пароль в 8 символов? Вы же не один в пустыне живете. Вы живете в обществе. Вы пользуетесь форумом. Он даёт Вам информацию и общение, знакомства и возможность самовыражения. Почему Вы считаете, что не должны ему ничего, даже такой мелочи, как забота о его защите от спамеров, коей Вы можете помочь, поставив хороший пароль?
Я езжу в лес. Мой вездеход сознательно не имеет замка. Двигатель заводится выключателем. Это моё право и я им пользуюсь. Прошлый снегоход тоже ключа не содержал, новый содержит, и ключ привязан крепкой верёвкой прямо к рулю. Это важно, в любой ситуации не потерять возможность завести технику. И мне не важно то, что её могут угнать в городе, для меня её ценность ниже чем ценность моего здоровья в лесу. Потому нет замков. Точно так же я хочу простой пароль на некоторых сайтах, чтобы гарантированно вспомнить. Потому я покину сайт если он мне не жизненно необходим и накладывает ограничения на мою свободу действий сейчас в обмен на гипотетические проблемы администратора потом
Ну вы и сравниваете: квартиру, машину, прыжок с парашюта и захудалую некую веб-борду на окраине рунета, на которую люди с паролями 123456 после дня регистрации больше никогда и не возвращаются :)
человек — сам творец и, простите меня, пи… ц своего счастья. придумывание пароля целиком и полностью должно возлагаться на пользователя, а сервис может дать только рекомендации.
Оказалось, пароль 12345 поставили 13 пользователей, пароль-логин — 16 пользователей, всего порядка 1500 пользователей.
Долго втыкал, как это 13 + 16 получилось 1500 =)
во-первых редактирование старых записей надо запрещать по времени либо по ответу, иначе бардак в дискуссии возникает.
во-вторых, ловить надо те IP, кто пытается подобрать пароль, а не пользователей, которых перебирают. А еще отслеживать с каких сетей входят и больше 3-х на одном пользователей — косяк. И так далее.
А пароли… их иногда публикуют на форумах и что?
PS. Я когда-то админил порно сайт, который имел по 3-5 перебиральщиков каждый божий день. И никто не думал советовать пользователю какой пароль ставить. Просто присылали извещение на мыло о блокировке со урлом для смены пароля, если его ломали.
во-вторых, ловить надо те IP, кто пытается подобрать пароль, а не пользователей, которых перебирают. А еще отслеживать с каких сетей входят и больше 3-х на одном пользователей — косяк. И так далее.
А пароли… их иногда публикуют на форумах и что?
PS. Я когда-то админил порно сайт, который имел по 3-5 перебиральщиков каждый божий день. И никто не думал советовать пользователю какой пароль ставить. Просто присылали извещение на мыло о блокировке со урлом для смены пароля, если его ломали.
Можно вместо логина использовать скрытый адрес электронной почты. Или не показывать логин.
А вы храните пароли для доступа на форум в открытом виде?
Разумеется, MD5.
и тот факт, что по Rainbow-таблицам любой MD5-хеш >=десятизначных паролей ищется мговенно, как и тот факт, что любому MD5-хешу можно найти коллизию в течение минуты Вас нисколько не тревожит?
MD5 в качестве системы безопасности нельзя юзать уже лет 5 как.
MD5 в качестве системы безопасности нельзя юзать уже лет 5 как.
От того, могу или нет я, имея прямой доступ к базе, реверснуть пароли по хэшам, не зависит, будут ли спамеры взламывать аккаунты :-) А про 10 символов и про коллизию для любого хэша вы загнули. Или давайте на слабо я вам хэшей подкину, а вы найдёте коллизий =)
Читайте википедию или eprint.iacr.org/2006/105. Минута на любой хеш на обычном компьютере.
А вы использовать пробовали или только читали википедию? Я вот как-то скачивал и ковырял. Какова вероятность, что у вас хотя бы ASCIIZ-строка получится в результате? Вы ведь в курсе, что при хэшировании строки финальный \0 тоже учитывается, а \0 в середине строки недопустим? :-) А уж если символы пароля хоть как-то фильтруются или длина ограничивается?
Тут много говорят о том что хорошо или плохо накладывать ограничение на пароль. Только это ничего не изменит. Было есть и будет что все ограничение на пароль и на ресурс в целом устанавливает администратор ресурса. А пользователь может только недовольно ворчать и говорить, что никогда больше не будет пользоваться этим паршивым сайтом. Уважаемые пользователи, вы можете сколько угодно жаловаться здесь и в других местах, ваши слова унесет ветер. Ваши слова не совершат революцию. Администратор сам решает что ему лучше 1% недовольных пользователей или 10% потенциальных спамеров и/или взломанный аккаунтов, или подрыв репутации (типа сайт такой то взломали).
Я админ keymemo.com и мне эта тема очень близка. У меня ограничение на пароль мин 10 символов, буквы+цифры обязательны. В отзывах я постоянно получаю ворчание пользователей на это, но я всех отправляю куда подальше на эти замечания. Потому что пользователи реально не ведают что творят. Ладно они просрут свои пароли. Но мне совсем не не хочется чтоб по их вине кто то написал что keymemo.com использует не стойкое шифрование. Я потом ни кому не докажу, что взломали методом подбора простого пароля по словарю, и пользователь сам виноват. Гнать я буду поганой метлой таких несознательных пользователей поганой метлой от своего сервиса подальше, ибо отморозки встречаются еще те.
Все, кто говорит здесь о свободе пользователя. Вы пишите, а значит залогинены на на Хабре, а тут вход вообще с капчей. Это многих раздражает, потому что неудобно. Но все пользуются потому что ресурс того стоит. Это еще раз подтверждает что в конце концов решает админ.
Я админ keymemo.com и мне эта тема очень близка. У меня ограничение на пароль мин 10 символов, буквы+цифры обязательны. В отзывах я постоянно получаю ворчание пользователей на это, но я всех отправляю куда подальше на эти замечания. Потому что пользователи реально не ведают что творят. Ладно они просрут свои пароли. Но мне совсем не не хочется чтоб по их вине кто то написал что keymemo.com использует не стойкое шифрование. Я потом ни кому не докажу, что взломали методом подбора простого пароля по словарю, и пользователь сам виноват. Гнать я буду поганой метлой таких несознательных пользователей поганой метлой от своего сервиса подальше, ибо отморозки встречаются еще те.
Все, кто говорит здесь о свободе пользователя. Вы пишите, а значит залогинены на на Хабре, а тут вход вообще с капчей. Это многих раздражает, потому что неудобно. Но все пользуются потому что ресурс того стоит. Это еще раз подтверждает что в конце концов решает админ.
главное ограничивая пароли пишите об этом в форме регистрации сразу. а то бесят сайты, в которых навводят ограничений на длину пароля или его сложность и сидишь, как дурак вводишь 5 вариантов, пока все требования не выполнишь, о которых узнаешь только после попытки регистрации.
Нужно законодательно запретить простые пароли. Тех кто делает в своём (любом) ПО возможности ипользования простых паролей — штрафовать, деньги направлять в фонд защиты от спама. Думаю, такая мера сократит число спама, куков и троянских коней (и всяких подбиральщиков поролей на ssh, ftp, sql, ect, cte, etc...). А кому влом вводить свои новообретённые пароли — пусть пользуется LiveID, OpenID и т.п., заодно это подстигнёт интеграцию этих сервисов.
Вообще данный конфликт показывает некоторую несостоятельность идеи «логин-пароль» для аутентификации. От пользователей сейчас требуют регистрироваться на очень многих сайтах. Все хотят надежного пароля. Использовать один и тот же пароль — небезопасно, а иногда и невозможно (так как разные администраторы вводят несовместимые между собой требования к паролю). Использовать разные — тоже невозможно, их просто не запомнить. Всякие password manager'ы — ограниченно применимое решение. Во-первых оно хранится только на локальном компьютере, во-вторых я не уверен, насколько они надежны в случае кражи базы (хотя может быть master password решает проблему — просто не изучал вопрос)
Правда, удачных альтернатив пока не видно. Microsoft Passport провалился, OpenID не слишком популярен. Может быть из U-prove что-то получится? Хотя для надежности эта система должна крутиться на независимом устройстве со своим экраном и кнопкой «подтвердить передачу данных». Тоже непросто.
Правда, удачных альтернатив пока не видно. Microsoft Passport провалился, OpenID не слишком популярен. Может быть из U-prove что-то получится? Хотя для надежности эта система должна крутиться на независимом устройстве со своим экраном и кнопкой «подтвердить передачу данных». Тоже непросто.
Спасибо, посмотрю. Вопрос, конечно, насколько надежно все хранить на чужом сервере. Но это уже вопрос криптографии и доверия к программе. Точно также можно не доверять USB-токену или браузеру в конце концов.
bugmenot для одноразовых сайтов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В который раз о важности сложных паролей