Comments 31
Слушайте, а как красиво можно пополнять словарь для брутфорса
+1
Парсить stdout?
0
Вводимый пароль не обязан быть правильным. Просто любой пароль, введенный N раз (вне зависимости от правильности или от учетной записи), считается убитым.
-2
я так понял, не N раз, а N-ым количеством пользователей. Если, например, пароль ytrewq ввели 10 человек, то 11 не сможет его использовать. Как-то так.
+3
Идея в том, чтобы запретить «похожие» пароли. Похожесть может вычисляться разными способами: расстоянием Левенштейна, Хэмминга, etc.
Поэтому одинакового или похожего пароля не будет ни у одной пары пользователей. Разумеется, тогда ввод одного и того же пароля несколько раз для одного или многих пользователей и будет означать атаку.
Поэтому одинакового или похожего пароля не будет ни у одной пары пользователей. Разумеется, тогда ввод одного и того же пароля несколько раз для одного или многих пользователей и будет означать атаку.
-1
Да, новость — в стиле 1-апрельской шутки. Т.е. легко найти хотя бы 1 популярный пароль, при котором происходит отказ при попытке регистрации, чтобы затем перепробовать его на всех остальных пользователях и найти тех самых N, которые его используют.
+1
все 11 не смогут
-1
а что произойдет? Их принудят сменить пароль? Глупость. Предложенный метод призван не допустить массовых популярных паролей на ресурсе. Скажем, если при аудитории 100К одинаковый простой пароль выберут всего 1% — это уже 1000 человек, а если взглянуть на сервисы типа фейсбука, то это 5М пользователей с одинаковым паролем. С применением сабжевого метода — 10 пользователей. Ну и хрен с ними, как говорится, не будет таких массовых угонов, как сейчас.
0
и начнется беда как с логинами: «Данный логин занят». Зачастую простой пароль выбирается обдуманно, когда перспектива потерять аккаунт не пугает.
+7
«Этот пароль уже использует пользователь Миша. Пожалуйста используйте другой пароль.» (с) Bash
+13
Да, действительно, если система отказывается принимать какой-либо пароль, значит он точно используется кем-то другим. По-моему, это все-таки баг, а не фича. :)
+1
UFO just landed and posted this here
В прошлом году неоднократно сообщалось об утере базы паролей некоторыми социальными сетями.
Можно пример? Что-то мне не верится, что какая-то серьезная социальная сеть хранит пароли в открытом виде.
-1
это не проблема, есть база хешей, из такой базы паролей можно найти пользователей, хэши паролей которых известны, и их будет ооочень много…
-1
А солить хэши? Вроде же, стандартная практика.
+1
UFO just landed and posted this here
новая схема проверяет, чтобы один и тот же пароль был не более чем у нескольких пользователей системы одновременно, при этом пропадает необходимость использовать сложные пароли без ущерба для общей безопасности системы.Это как из первого следует второе? Если у меня будет пароль god и его больше ни у кого не будет, меня что, не смогут взломать?
0
UFO just landed and posted this here
Почему не улушится? Никто не говорит об отмене 10 попыток на перебор — соответственно, взломщики смогут использовать базу лишь из 10 слов, что даст им возможность взломать всего пару десятков аккаунтов (т.к. лишь у пары десятков пользователей будут эти пароли, остальным система запретит их использовать и придется придумывать пароли похитрее), но никак не тысячи или миллионы.
0
Вас — смогут. Но так как ни у кого больше такого пароля не будет, то остальных взломать станет чуть сложнее (наверное).
0
для общей безопасности системы
Если Ваш аккаунт взломают, но только его, то от безопасности системы в целом не сильно убудет.
0
Угу и на всех более менее популярных сервисах пользователям все равно придется придумывать сложные пароли, потому что все простые будут уже заняты, а сложные пароли трудно запомнить. Как там в статье было? Круг замкнулся?
+1
Только что подумал, что всё равно это будет ухудшение и безопасности, и удобства.
В стандартной схеме у всех людей длинные сложные пароли, но некоторые простые и одинаковые (например, AaBbCc123!@#). В предложенной МС схеме у некоторых людей будут совсем простые пароли, у некоторых — чуть сложнее, а остальные будут ломать себе головы над выбором нового длинного сложного пароля, которого, к тому же, ни у кого ещё и нет.
По понятной причине пароли проще будут у тех пользователей, кто менял их (или регистрировался) раньше, и, если как-нибудь отследить эту информацию, то можно выделить множество аккаунтов с, вероятно, простыми паролями. А остальные будут плеваться и выдумывать себе пароли по полдня.
В стандартной схеме у всех людей длинные сложные пароли, но некоторые простые и одинаковые (например, AaBbCc123!@#). В предложенной МС схеме у некоторых людей будут совсем простые пароли, у некоторых — чуть сложнее, а остальные будут ломать себе головы над выбором нового длинного сложного пароля, которого, к тому же, ни у кого ещё и нет.
По понятной причине пароли проще будут у тех пользователей, кто менял их (или регистрировался) раньше, и, если как-нибудь отследить эту информацию, то можно выделить множество аккаунтов с, вероятно, простыми паролями. А остальные будут плеваться и выдумывать себе пароли по полдня.
0
никто не знает почему когд набираешь пароль символы анонимизируются? ))
хотя бы сделали эту фичу опциальной.
У меня на работе нужно аж 6 паролей вводить
как мне уже надоели все они)
хотя бы сделали эту фичу опциальной.
У меня на работе нужно аж 6 паролей вводить
как мне уже надоели все они)
0
То что парольная защита является анахронизмом никого не волнует?
0
Sign up to leave a comment.
Microsoft предложила альтернативу сложным паролям