Comments 107
Некоторые попытались проявить оригинальность и «перепутать» цифры, выбрав 1342.
Это, похоже, автомобилисты.
А как вообще, по мнению программистов, должны работать эти пин-коды и пароли? Ожидается, что люди будут запоминать сотни уникальных комбинаций букв, цифр и специ@льных символов, и какая комбинация какому ресурсу соответствует? Да еще и регулярно их менять?
Менеджеры паролей, например, Keepass.
Лишняя неудобная сущность
При использовании менеджера паролей нет нужды в коротком ПИН-коде, менеджер и полный пароль подставит так же в один клик. ПИН-коды - это как раз для сценария ручного ввода и запоминания.
Но таки да, поскольку запомнить что-то сложнее 1234 или своего/супруги/ребёнка ДР людям тяжеловато, то очень уж слабая защита получается.
Из интересного - турецкие банки так озадачились этой проблемой, что в качестве ПИН-кода просто не принимается никакая дата, недавние годы (которые могут быть годом рождения), а также популярные исторические годы (к которым там относятся годы важных исторических событий и, внезапно, основания футбольных клубов)
Не проще было не принимать 1 или 2 в качестве первой цифры? Или - ну может в бане бы не смогли организовать - использовать 5 цифр?
А так сокращается количество комбинаций. Пин код это компромисс безопасности и лени. Пользователю на безопасность в большинстве случаев или наплевать или она значительно понижает качество используемого сервиса, за счет 2фа, сложных паролей или других неудобных штук. Если пин-код сильно усложнять, пользователи будут искать, как ввод паролей облегчить.
Пин код это компромисс безопасности и лени
Тогда уж слово + несколько цифр
Зачем, если можно сделать 4 цифры.
Слово + 2 цифры проще запоминать. Или просто два слова. Или три.
1111 очень просто запомнить. Но вообще в паролях основная проблема даже не запомнить а вводить. 1111 вводить очень легко. Сложные пароли нужны там где нужны. На домашнем ПК вполне хватит простого пина. На телефоне чуть сложнее пин. На сайтах пароль в менеджере паролей Гугла. Но и там я очень долгое время имел один пароль на все сайты. И не сломали тот пароль ни разу. Даже в утечках паролей его не было. Вот после многих утечек поменял стратегию паролей. Реально важный аккаунт это банк и почта. А на соцсети, например мне наплевать. Ну утянут пароль и что? В крайнем случае новый аккаунт заведу.
Вы относитесь к 0,1% опытных пользователей, но статья и мой комментарий не про них. Остальным нужно одно простое и надежное решение.
Какая разница опытный или нет. Нужно как можно меньше мучать паролями и политиками пользователей. Бесят они всех и на монитор и пароли лепят тоже все.
Нужно продумывать ux так, чтобы не было желания защиту обходить. Например нафига логиниться в Nvidia expirence. Ну это же бред. А вот в банке понятно. Там даже я использую 2фа.
Вот они и используют 4 цифры!
Как известно, сначала планировалось 6, но было решено, что сложнааа... Нипанятнааа...
The ATM machine gained Shepherd-Barron an ever-lasting recognition in the banking world and paved the way for hi-tech banking techniques, online bank accounts and PIN and chip security technology. The four-digit internationally accepted standard PIN was also invented by him. Earlier, he had a six-digit Army serial number in his mind but later his wife suggested for a shorter PIN as it would be easy to remember.
(отсюда: https://www.engineersgarage.com/invention-story-of-atm/)
Пароль от соцсетей это разводы на деньги родственников, друзей и знакомых. Тоже лучше избегать.
Pin-код это компромисс в тех случаях, когда можно ограничить количество попыток перебора (блокировка карточки, токена после 5-10 попыток), либо в ситуации, когда пин-код даёт ограниченный доступ к чему-либо (пин на вход в виндовую учётку на вин10+, который можно применить только локально)
У пина есть одно преимущество: он не меняется при переключении раскладки.
(А всё остальное — недостатки, да.)
@Boomburum@Nomad_77На этом месте был дубль предудщего комментария. Непосредственно перед этим при отправке первого комментария возник красный попап «что‑то пошло не так» (но, как потом оказалось, комментарий всё‑таки дошёл до Хабра). Соответственно, нажатие на «Отправить» отослало дубль.
1453 тоже нельзя, получается...
А 1488 можно?
Зачем вообще этот пин код нужен? В банкомате наличку раз в год снимать надо
Один из наших банков тоже поддерживает политики относительно пин кода. Придумать его было сложно, подозреваю, что список разрешённых довольно короткий.
Ну то есть список легких пинкодов снизили в разы )))
Менеджеры паролей
«Брелок сущ. — маленькая штуковина, предоставляющая пользователю возможность потерять все ключи одновременно.» ©
Какие-то пин коды нужно держать только в голове: банковские карты, сим-карты. Рано или поздно начинаешь дублировать.
Почему автомобилисты ?
Вариантов пинкодов множество. Например на банковской карте есть 16 цифр, которые 4 по 4 написаны. Можно, например, взять каждую вторую из четырех групп. И это будет пинкод. Никто не знает, какие именно цифры выбраны. Но пинкод к каждой карте написан на ней же, и владелец карты знает, какие это цифры.
Если это пинкод для веба, например, то это может быть кусок номера телефона. Например можно взять четыре последних цифры номера, или две первых и две последних. Вариантов множество. Никто не догадается, что пинкод - это цифры номера телефона. Да еще и не подряд, а с рандомных мест.
Никто не догадается, что пинкод - это цифры номера телефона.
Вы недооцениваете злоумышленников. Я тоже. За что поплатился лет 15 назад. На листочке было 5 телефонов, 2 из которых фейковых. Догадались
Догадаться то легко, ввести сложно. Потому что попыток - три. То-есть например телефон 0428792487, и пин, это последняя цифра, потом первая, потом третья с конца и третья с начала. То-есть 7042. Вот как вы угадаете это с трех раз?
Запомнить 4 цифры пин-кода vs запомнить расположение и порядок 4-х цифр в записанном ряде цифр
Хммм
Второе в разы проще.
Что вам легче запомнить, маршрут по компасу и километрам, или маршрут формата "до перекрестка, потом направо, и до большого здания"?
Маршрут по ориентирам намного проще запоминается. Так же и здесь.
Совершенно некорректная аналогия. Ориентир на местности - это то, что визуально выделяется среди всего остального. 4-ая цифра в ряде цифр никак и ничем от остальных не отличается.
Что вам легче запомнить, маршрут по компасу и километрам, или маршрут формата "до перекрестка, потом направо, и до большого здания"?
Ни то, ни другое, разумеется. Второй случай ничем как раз таки от пин-кода не отличается. Первый же просто дичь.
проблема такох алгоритмов в том, что если не использовать их постоянно или не использовать во многих местах одновременно, рано или поздно забывается, что и в каком порядке было накручено :)
Если, кратко, то да, предполагается, что пользователь, скажем, карты помнит PIN код, т.е. все PIN коды всех своих карт. Я, например, для примерно половины своих банковских карт помню, остальные в резерве и/или используются только электронно, грубо говоря, ждут переустановки PIN кода в банковском приложении.
Что касается паролей, то тоже да, но, возможно, с учётом внешней памяти (блокнот, бумажка на мониторе, какие-то приложения).
Собственно, ещё кот Матроскин обозначил сию проблему ещё в прошлом веке: "Усы, лапы и хвост — вот мои документы!" 😉
Ага. Остается только запомнить, что фейсбук - это "батарея со скобой", твиттер - это "лампочка с гайкой", линкедин - это "выключатель с шайбой"... и так еще пара сотен позиций.
Проблема в другом - половина сервисов просто не принимают пробелы в качестве символов пароля
невижуникакойпроблемы
Попробуйте ввести этот пароль на клавиатуре без русских букв. Например в Германии. С германским расположением клавиш на клавиатуре, где найти даже латинские буквы - проблема. .
Не собираюсь, и не понимаю почему эта чушь вообще сказана
У вас на клавиатуру нанесены кириллические буквы? Вы на неё ещё и смотрите?
Что у них там с расположением клавиш? Они влияют на кириллическую раскладку?
Я уже не помню, влияют или нет, но снобизм некоторых участников дискуссии удивляет. Я знаю людей с идеальной памятью, которые способны запоминать случайные пароли, и дискуссия о методах запоминания четырёхцифровых пинкодов у них понимания вряд ли вызовет, однако ж вы этим занимаетесь. Это я к тому, что далеко не все помнят кириллическую раскладку и набирают не глядя на клавиатуру.
Конечно не все. Мои вопросы призваны подсветить наличие тех, кто за десятилетия неизбежно освоил слепой набор.
Если у вас нет кириллической раскладки - вы не делаете кириллических паролей, в чём вопрос и смысл вашего комментария, в то время как мой был направлен лишь на то, чтобы показать, что пробелы в паролях просто напросто не нужны? Какое ваша раскладка имеет отношение к пробелам?
Пользуюсь фразами как паролями лет 10. Единственная проблема - это цифровые клавиатуры, на обычных клавах уже в привычку вошло не смотреть на клавиши когда ввожу пароль, хотя слепой печатью не владею.
sehekeinProblem 😁
Ожидается, что люди будут запоминать сотни уникальных комбинаций букв, цифр и специ@льных символов, и какая комбинация какому ресурсу соответствует? Да еще и регулярно их менять?
Это люди сами ожидают. Упорно не хотят переходить на беспарольные способы входа. С разными аргументами, начиная с "А что делать, когда я токен доступа потеряю?" и кончая "Не хочу, чтобы государство за мной через эту биометрию следило".
Упорно не хотят переходить на беспарольные способы входа.
А какие беспарольные методы входа нам предлагают? Биометрию, которая по сути тот же пароль, только несменный и видимый всем? Код из СМС, который завязан на исправность сотовой сети и принадлежность сотового номера? Или, может, вход через ВОдноклассники - чем это лучше одинакового пароля для всех сайтов?
А какие беспарольные методы входа нам предлагают?
В настоящее время - аппаратные токены FIDO стандарта. Но разные карты для входа были доступны и раньше. Как и токены более ранних стандартов. Ну да, сами они - тоже PIN-ом закрывались, но это уже дополнительная мера.
Биометрию, которая по сути тот же пароль, только несменный и видимый всем?
Даже если кто-то ухитриться подделать мою биометрию, войти в сайт через те же Passkeys, что ей закрыты, он не сможет. Ему для этого придется еще само устройство с ключиками украсть. Так что правильно применённая биметрия - это не то же самое, что пароль.
В настоящее время - аппаратные токены FIDO стандарта.
Ну и где можно купить такой токен, и какие сайты предлагают его использовать? Или это как в старом советском анекдоте - в магазинах икры нет, потому что никто из покупателей ее не спрашивает?
Ну и где можно купить такой токен
Да много где. Дороговато, да. Чего я сам немного не понимаю. Но есть. Дешевые варианты - в общем, не дороже адекватного физического замка. Но это для совсем параноиков. Так-то можно и софтовым вариантом в телефоне пользоваться.
какие сайты предлагают его использовать?
Где-то так. Все что умеет Passkeys - по конструкции технологии умеет использовать и соответствующие аппаратные ключи.
Или это как в старом советском анекдоте - в магазинах икры нет, потому что никто из покупателей ее не спрашивает?
Именно так. Если на сайте этого способа входа нет - то это потому что пользователи сайта его мало спрашивают.
Я Рутокен MFA (FIDO2) недавно купил в дополнение к Yubikey Security Key. С доставкой до дома 3 тыс. руб. примерно. Можно до 16 ключей на одном токене хранить, вторая версия прошивки позволяет удалить специальным софтом выборочно некоторые ключи, правда у софта проблемы с кракозябрами, но когда во всей Винде переключился на utf-8, русские буквы стали нормально отображаться. Сейчас использую аппаратные ключи в Google, Microsoft, GitHub, NVIDIA, Яндекс ID, VK ID.
Так что правильно применённая биметрия - это не то же самое, что пароль.
Ключевое слово - "правильно". Во всех остальных случаях это хуже любого пароля. Так что нет, исключено.
В настоящее время - аппаратные токены FIDO стандарта.
Его ещё поди купи, а потом поди найди сервис, который с ним работает. Сам для гуглоакка как-то использовал в качестве второго фактора, но потом переключился на программный аутентификатор.
Я правильно понимаю, что это ещё один способ потерять сразу всё?
Нет. Потому что резервные способы входа не отменял. А том числе резервный такой же токен. Что не равно копии - там ключики внутри разные.
Пример в документах Гугла. Внимательно смотрим на картинки - там видно.
Ну и потом:
Unlike traditional passwords, a user can create multiple passkeys on different devices for a single account. If you are unable to locate a user's passkey on a given device and the user signs in using a fallback sign-in method, even though they have created one in the past, consider prompting the user to create a new one. This action will either update the information in their credential manager or establish a new passkey on their current device.
Тут вопрос что такое вообще биометрия. Например, у меня после дня слесарных работ меняются отпечатки пальцев и телефон переходит на запрос пинкода. А сетчатку пока считывать не умеют. Лицо вообще не биометрия, телефон считает моих дочерей одинаковыми. При том что они даже не похожи друг на друга.
1) берешь название сервиса
2) дописываешь к нему базовое кодовое слово
3) дописываешь к нему год
4) считаешь хэш от полученного
5) вводишь свой пин - красота)))
6) перестаешь все это делать, потому что долго. Просто запоминаешь пины
7) забываешь базовое слово или год, или название сервиса сменилось три года назад - в общем, факторы теряются со временем
базовое слово трудно забыть, оно ж используется вообще во всех паролях
название сервиса как правило явно указано на его сайте/приложении
год - пробуешь 2025, если не подошло - 2024, если подошло, после входа меняешь пароль на 2025
а вот как хэш высчитать в голове это вот загадка )
Правда, тогда становится не очень понятно, чем оно отличается по использованию просто от пароль-менеджера.
Вот именно, поэтому и надо в голове. Я не знаю где мне придется вводить пароль, с компа, с телефона, с чужого устройства, на работе, в деревне, в другой стране.... подходящего приложения может и не оказаться под рукой. А в онлайн сервисы хеширования оправлять свою заготовку пароля, чтобы получить потом хеш=реальный пароль как-то несекьюрно.
Я это говорю, потому что заводил кучу алгоритмов и все успешно забыл. А ты заводишь несколько, потому что всегда кажется, что можно что-то улучшить или упростить. Не забыл только один, зато потом в спешке менял все пароли, когда базовое слово утекло :)
От хэша в свое время остановило даже не то, что его нужно считать (значит передавать в калькулятор полный пароль), а то, что хэши состоят из цифр и букв нижнего регистра. Что очень слабо и сейчас мало где принимается.
Ахах, это жигулисты, на нормальных моторах 1-2-4-3 )
10 ** 4 это никак не 29 миллионов.
Так там и не сказано, что это число возможных комбинаций. Это они собрали столько строк данных, а потом из них считали повторения.
Так это всего утекших пинкодов в БД, там они к учёткам привязаны. Понятно что уникальных четырехзначных пинов 10к всего) Смысл статьи в том что и из этих 10к возможных используются не очень много комбинаций, в основном.
Неужели кто-то вводил 1234 или 0000, чтобы узнать, что такой пароль никогда не набирали? Это скорее тестирование поля ввода или ещё какой тест, но не попытка человека проверить утечку?
Еле вспомнил свой пинкод.Аж в пот бросило 🙂
Так ms запретила к сожалению пинкоды из одинаковых цифр. 1234 не очень и удобно. Я раньше 1111 использовал.
С учётом того, что большинство устройств блокается после трёх неудачных попыток, совершенно фиолетово какой пин код использовать.
Был фильм какой-то, там карманники кредитки в баре наворовали, а потом все по дате основания местного футбольного клуба проверили, четверть сработала. Почему то кажется что это фильм "на игле", но точно не уверен. Или там в неонацистском баре украли, тоже очевидные числа
Вспомнил - фильм "на игле 2", пин-код - по дате битвы между католиками и протестантами
Поставил пин-кодом геометрический паттерн. В банкомате ввожу без ошибок, а когда дома пытаюсь вспомнить, то насколько минут сижу и сомневаюсь, как же я его ввожу...
Есть такое, свои пины ввожу больше механически, теряюсь, когда нет нум пада
Для добивания юзера еще и нумпады на компе и банкомате взаимно вверх тормашками
Недавно в одной стране попался пинпад на терминале с такой раскладкой
1 5 8
2 6 9
3 7 0
4
Я прям растерялся ))))
Попался как-то терминал, где при каждом наборе порядок клавиш был перемешан. Пришлось открыть клавиатуру набора номера в телефоне, чтобы вспомнить пин-код.
девять десятых моих паролей - это пароли ко всяким абсолютно незначимым для меня вебсервисам. Но которые хотят, ух, обязательно пароль, да еще сложный. Ну на тебе сложный пароль, дорогая нвидия, от которой мне надо только обновить драйвера для видеокарточки раз в несколько месяцев, и которая отчего-то хочет для этого заведения аккаунта у себя на сайте. Но не надейся, что я придумывать для тебя какой-то особенный и лично для тебя.
Поправьте, если в чём ошибаюсь, но мне казалось, что, вроде, например, пароль - это то, что может передаваться по каналам связи, пусть и шифрованным, а PIN-код - за пределы устройства никогда не должен уходить. Если этот подход не нарушался разработчиками, речь тогда идёт о том, что огромное количество устройств скомпрометировано и безопасность пользователей никакая.
4-х значных пинкодов 10^4... Понятно что если посмотреть выборку в 29 миллиардов там будут повторения, и будет много тех, кто использует один-два на все устройства.
Исследование: почти каждый десятый человек использует один и тот же четырёхзначный PIN-код