Comments 57
g_czechout — это что такое вообще?
Похоже это пароль какого-то бота по накрутке )))
Это как Брэкзит, только Чехаут. Только про первый из каждого утюга слышно (было), а на чехов всем наплевать.
А zinch? У меня почему-то именно он сразу вызвал подобный вопрос. Я пытался гуглить что это, но ничего кроме компании помогающей студентам найти колледж не нашёл, но неужели этого достаточно, чтобы выйти на 7 место по популярности?
Ну ещё:
Это из вики по вахе. Но это точно не то.)
Ну ещё:
Т'зинч — Бог Хаоса, олицетворяющий жажду перемен и изменений.
Это из вики по вахе. Но это точно не то.)
Может этот пароль задавали в системе той компании и потом базу слили?
Я тоже сперва подумал — может это какой-то стандартный пароль в этой Zinch, базу которой слили. Но опять же, что это за сервис такой со стандартным паролем, что это за монстры такие? Если это не стандартный пароль выдаваемый web-интерфейсом сервиса, то допустим народ, который там регается просто использует название сервиса в качестве пароля, чтобы не париться. И опять же почему другие сливы не приводят к появлению паролей с названием сервиса в списке популярных паролей, а этот вдруг привёл? Короче, непонятно.
Czechout contains thoughtful and focused articles ranging in level from beginner to expert on all aspects of Czechoslovak philately.
а password-то просел в популярности
А где пароль всех времён и народов «admin»?
Справедливости ради, надо заметить, что не только пользователи тупят, но и владельцы сервисов не сильно заботятся о безопасности.
На одном единственном сайте когда-то видел интересную систему авторизации. Там система просила ввести не пароль целиком, а только определенную его часть, причем каждый раз разные. Например «Введите 2 первых и 2 последних символа пароля». Ну и при ошибке до следующей попытки ждать 1 минуту. Не особо сложное решение, но сколько проблем решает.
На одном единственном сайте когда-то видел интересную систему авторизации. Там система просила ввести не пароль целиком, а только определенную его часть, причем каждый раз разные. Например «Введите 2 первых и 2 последних символа пароля». Ну и при ошибке до следующей попытки ждать 1 минуту. Не особо сложное решение, но сколько проблем решает.
Интересно, это возможно, если хранить только хэш пароля по какому-то алгоритму? Или пароль должен обязательно храниться в открытом виде? Есть же какие-то вычисления в базах данных над зашифрованными данными…
Не знаю как это работало, давно видел. Ну в данном случае пароль хотя бы не вводится и не пересылается целиком. Брутфорсить и подглядывать бесполезно. А то «Введите пин-код вашей кредитки» на сайте банка — это уже за гранью…
Можно нарезать на n ломтиков и хранить n хешей. Но это изврат и по определению снижает энтропию и безопасность.
Ну гипотетический можно хранить хеш+соль каждой такой части. Но вот есть ли смысл в таком
Не слышал о таких алгоритмах. Предполагаю с большой вероятностью, что там пароль в открытом виде.
Кстати, можно проверить хранение пароля в открытом виде. Запрашиваем восстановление. Если присылают пароль целиком — на 100% все плохо. Если возможно только заменить на новый, то хорошо на 95%.
Кстати, можно проверить хранение пароля в открытом виде. Запрашиваем восстановление. Если присылают пароль целиком — на 100% все плохо. Если возможно только заменить на новый, то хорошо на 95%.
Хэш — вряд ли, но по идее можно хранить зашифрованный пароль пользователя в БД, и использовать ключ для дешифровки каким-то симметричным/асимметричным алгоритмом. Но тогда встает вопрос о возможности компрометации ключа. Не силен в криптографии, но как-то раз приходилось работать с PGP
А сколько создает? Это мне, вместо того, чтобы просто скопипастить пароль из Keepass-а и вставить в форму, придется сидеть и высчитывать нужные символы и еще и минуту ждать, если ошибешься. Проще забыть такой сайт, как страшный сон.
Ну это всегда компромисс между удобством и безопасностью. Вам вот, например, важнее удобство, а кому-то безопасность.
UFO just landed and posted this here
Ни удобства, ни безопасности. Пароль хранится в открытом виде, при любой компрометации сайта он уйдет в эфир.
Удобства никакого, вот в вашем 30 значном пароле 17-я буква какая? Выписать пароль в блокнот, подсчитать символы, ввести букву в поле. Вот зачем?
Идея оригинальная, не спорю. Но вот уважаемый Брюс Шнаер писал что всякие само-выдуманные алгоритмы шифрования обычно оказываются очень нестойкими.
Удобства никакого, вот в вашем 30 значном пароле 17-я буква какая? Выписать пароль в блокнот, подсчитать символы, ввести букву в поле. Вот зачем?
Идея оригинальная, не спорю. Но вот уважаемый Брюс Шнаер писал что всякие само-выдуманные алгоритмы шифрования обычно оказываются очень нестойкими.
Ну, например, в том, что KeyLogger бесполезен. А это один из основных инструментов хакеров.
интересно, какой процент пользователей решали не ждать, а сразу переходить к конкурентам?
ввести не пароль целиком, а только определенную его часть, причем каждый раз разные. Например «Введите 2 первых и 2 последних символа пароля»
нну, не знаю, мне не помогло, пришлось сменить пароль с 1111 на год канонизации св.Доминика Григорием IX.
И, знаете — опять не помогло! Взломали. Как они догадались, ума не приложу.
А бывает и так.
привет из Польши. мой банк использует такой способ ввода пароля. и меня это бесит, потому что мне приходится не копировать пароль из Кипаса или использовать автоввод, а отображать его и перепечатывать считая порядковые номера знаков
Рассказал коллегам. Сидят теперь, меняют пароли.
меняют пароли.Не надо! Есть более практичный вариант:
— подбираешь 1 (один) пароль. Длинный , но такой, чтобы не забыть при любых обстоятельствах.
— ставишь программу хранения паролей вроде keepass
— создаёшь в ней файл-базу данных паролей, мастер-пароль тот самый, любимый
— файл с паролями хранишь в облаке.
Всё. Выгоды:
— ничего не забудешь
— набрать мастер-пароль легко, потому что хорошо тебе известен и вводится в стопятисотый раз
— программа доступна и на десктопе и на мобиле
— файл из облака у тебя локально есть
— добавленный пароль после сохранения в файл автоматически становится доступным на всех твоих устройствах
— везде, где потребуется, задаёшь устойчивые пароли, везде разные и не требующие запоминания
— заносить пароль в форму становится проще и быстрее. Клик в хранилку паролей, вставка в поле пароля.
— хранилки паролей имеют опцию блокироваться через заданный период неактивности. Так что вероятность того, что ты оставил открытую, и кто-то подсмотрел, близка к нулю.
UFO just landed and posted this here
То есть, Вы про себя уверены, что органы сумеют выдавить из Вас один пароль, но не сумеют получить десять? Завидую такому оптимизму.
UFO just landed and posted this here
нет, Вы всё-таки оптимист… и параноик, да? :-D
Серьёзно — когда заботишься тем, что тебя будут трясти спецслужбы, нужно начинать совсем другой образ жизни, и проблема количества паролей будет далеко не первой.
Серьёзно — когда заботишься тем, что тебя будут трясти спецслужбы, нужно начинать совсем другой образ жизни, и проблема количества паролей будет далеко не первой.
UFO just landed and posted this here
окажется, что вк/бедуин — тоже вашну, точно параноическое :-D Извините.
Или условный кейпасс умеет в несколько вариантов шифрованных списков под разными паролями?ессно
Пользователи продолжают все чаще использовать простые и даже одинаковые пароли по нескольким причинам. Во-первых, такие пароли легко запомнить или быстро записать на бумажку. Во-вторых, многие пользователи думают, что им нечего скрывать, поэтому и защищать свои личные данные особо не стараются. В-третьих, количество сервисов растет с каждым годом, а ведь для каждого из них нужен свой пароль, поэтому пользователи просто не задумываются, что все эти пароли должны быть сложными и разными и часто используют один и тот же.Нет варианта: Ваще начхать на эту учетку, создано ровно один раз, что бы просмотреть инфу скрытую под «это видят только зарегистрированные пользователи», либо что бы какой нить гифт забрать с хламосервиса.
менять пароли минимум раз в полгода, используя сложные и уникальные комбинации, которые невозможно предугадать, причем пароли должны отличаться для каждого сервиса и аккаунта;
Если пароль в 30 символов сгенерирован случайно и хранится в менеджере паролей, зачем его менять каждые полгода? Это придётся выделять целый день и проходить весь список сайтов, где регистрировался.
На важных учетках (основная почта, финансы, гос.сайты) меняю регулярно, с записью в менеджер паролей класса "бумажный блокнот"
Менее нужное — в ластпассе.
Ненужное — один на все. Вот совсем пофиг, если угонят учетку на местечковом форуме.
Еще один прем с точки зрения сервиса — отложенный ввод пароля. Например, у одного банка сначала просят логин, потом подтверждение кода по смс и только потом пароль. Казалось бы, поменять местами два шага, но уже лучше.
Говорю как параноик, автор неадекват.
Цытата:
менять пароли минимум раз в полгода, используя сложные и уникальные комбинации, которые невозможно предугадать, причем пароли должны отличаться для каждого сервиса и аккаунта;
Зачем менять каждые пол года пароли если они уникальные и не утекшие? Не порите чушь. Раз в пол года садится и перебивать весь KeePass с 500+ паролями по новой?) Даже Microsoft поняли что expiring пароля бесполезен. И это в enterprises...
7ое место Zinch эвоно как много еретиков, в качестве пароля юзают имя хаоситского божества изменения, у которого всегда всё идёт по плану имя коему Тзинч. Забавно
samsung есть, а apple нету. android побеждает.
love sex god снова безопасны! Аллилуйя!
Что-то я уважением к девушкам с именем Виктория проникся…
Наш сисадмин ставил всем пароль «раз-раз-раз», по его опыту это единственны пароль, который нельзя забыть! Конечно тут бы нам не помешало вход по отпечатку пальца, который уже есть на смартах!
Sign up to leave a comment.
Эксперты по кибербезопасности опубликовали список из двухсот самых используемых паролей 2019 года