Comments 26
Браузер сообщит пользователю, если его данные оказались в утёкших базах.
… а уникальный пароль пополнит их базы? Ну, допустим хеш уникального пароля, но все же.
если пароль где-то хранится, значит кто-то его может посмотреть
UFO just landed and posted this here
А существует только одна разновидность хэша? А соль?
Безусловно с солью, но все же… Браузер же не будет скачивать локально базу украденных паролей? Ладно, хешей украденных паролей.
Более правильный вариант, имхо — это делать локальную базу хешей используемых паролей, солить (еще и привязывать к uid) и просто кричать алерт «Этот пароль вы уже использовали». Остальное от лукавого.
Если Google так уже делает, то это нормально. А если Microsoft, то это уже подозрительно?
То, что сделали в Firefox 100500 лет назад
Chrome давно так умеет
скрин
А откуда у Майкрософта информация о том, какие пароли утекли?)
Небось сами и воруют их))
Небось сами и воруют их))
«Для нужд нашей организации мы создали новый разум, в основе которого лежат электронные технологии. Только не подумайте, что я путаю физику с метафизикой или заговариваюсь, насмотревшись футурологокибернетических зрелищ StarTrek. Нет, я говорю о вещах реальных и важных, просто они новы и, может быть, поэтому непривычны. Для успешной работы в электронную эру Мы специально разработали новую электронную инфраструктуру. Она похожа на нервную систему человека. Реальная нервная система приводит в действие ваши рефлексы… и блокирует поступление несущественной информации… » Билл Гейтс «Бизнес со скоростью мысли»
Скорей всего, используется некий дамп памяти, куда кладутся все пароли. А какой-то «спящий процесс» проверяет пути обращения к стеку (типа — локальный и сетевой). Так что в принципе, Microsoft изначально знает адрес ко всем паролям. Учитывая выше сказанное, «ИИ» M$ может сверять свои базы с общедоступными данными, типа haveibeenpwned…
Скорей всего, используется некий дамп памяти, куда кладутся все пароли. А какой-то «спящий процесс» проверяет пути обращения к стеку (типа — локальный и сетевой). Так что в принципе, Microsoft изначально знает адрес ко всем паролям. Учитывая выше сказанное, «ИИ» M$ может сверять свои базы с общедоступными данными, типа haveibeenpwned…
Интересно только, оно будет работать нормально, или как у Хрома? А то прямо цирк был, как он меня пытался убедить, что месяц назад утекли мои учётные данные от нескольких тестовых серверов, половина из которых уже год-два как отключены, а вторая половина вообще была на локалхосте, и единственное место, где в принципе хранились эти пароли — это сам Хром.
что месяц назад утекли мои учётные данные от нескольких тестовых серверовПочему именно ваши? Словарь с паролями ведь общий на весь мир.
Ну все в целом правильно — как только в хром ввел пароль — хопа он и утек автоматом :)
Так он же не знает про эти сервера: он видит, что у него пароль утекший сохранен, ну и сигнализирует, так сказать.
Chrome пишет, что утёк конкретный пароль, а не то, что он утёк с локалхоста.
Ну да, только утекать ему больше неоткуда. А с учётом, что виртуалки уже 2 года как нет, то и вообще неоткуда.
Chrome скорее всего проверяет не по хешу от пары логин-пароль, а по хешу только от пароля. И получается, если в очередной утёкшей базе на 100 млн. записей хоть у кого-то пароль совпал с одним из ваших, вам будут настойчиво напоминать, что ВАШ пароль скомпрометирован и его надо срочно поменять.
Chrome скорее всего проверяет не по хешу от пары логин-пароль, а по хешу только от пароля. И получается, если в очередной утёкшей базе на 100 млн. записей хоть у кого-то пароль совпал с одним из ваших, вам будут настойчиво напоминать, что ВАШ пароль скомпрометирован и его надо срочно поменять.
Конечно, он только пароль проверяет. Я об этом как раз.
Если я сделал себе пароль «password123», то это не делает пароль уникальным. Если с какого-то там vk.com утекли аккаунты, на которых был такой пароль, то этот пароль будет утёкшим.
Не обязательно он ушёл с локалхоста, он мог уйти у кого угодно. Пароли ведь не уникальны.
Это используется для перебора паролей по словарю, что сильно сокращает поиск. Об этом Chrome и предупреждает. Нет смысла проверять связку логин-пароль, лучше проверять только пароль.
Если я сделал себе пароль «password123», то это не делает пароль уникальным. Если с какого-то там vk.com утекли аккаунты, на которых был такой пароль, то этот пароль будет утёкшим.
Не обязательно он ушёл с локалхоста, он мог уйти у кого угодно. Пароли ведь не уникальны.
Это используется для перебора паролей по словарю, что сильно сокращает поиск. Об этом Chrome и предупреждает. Нет смысла проверять связку логин-пароль, лучше проверять только пароль.
ну, перебор по словарю нормальные люди тоже пресекают — пять раз неправильно ввеел — решай капчу, десять — иди гуляй полчаса.
Хоть упереберайся…
А вот то, что при этом твой пароль куда-то уехал при проверке(причем совершенно, в случае эджа, непонятно в каком виде) — вот это уже печально.
Хоть упереберайся…
А вот то, что при этом твой пароль куда-то уехал при проверке(причем совершенно, в случае эджа, непонятно в каком виде) — вот это уже печально.
В таких случаях капчу хорошо использовать для блокировки чужих аккаунтов. Не все так делают по этой причине.
Уехал хеш, а не сам пароль. В Chrome ведь уезжает и проблем ни у кого нет.
Уехал хеш, а не сам пароль. В Chrome ведь уезжает и проблем ни у кого нет.
каким алгоритмом хэш? кто может поручится, что в каких логах он не хранится? Edge — пропиетарный браузер, кто поручится что там уезжает таки хэш, а не какой ксор, потому что джун так понял задачу продукт манагера?
Очень много вопросов, особенно у людей, которые, например, используют уникальные рандомные пароли на каждый сервис.
Хотя чего это я…
Очень много вопросов, особенно у людей, которые, например, используют уникальные рандомные пароли на каждый сервис.
Хотя чего это я…
Наш пароль.
Браузер сообщит пользователю, если его данные оказались в утёкших базах.— Как это понимать? Откуда и какие «утёкшие базы» могут быть у браузера или Microsoft?
Sign up to leave a comment.
В Microsoft Edge 88 внедрят предупреждения об «утёкших» паролях