Pull to refresh

Comments 345

Подключаюсь к вопросу, а также очень интересно по какой причине они ввели понятие «недопустимые символы» в пароле. Зачем? Чтоб брутфорсить было проще?
Как зачем, а вдруг кто-нибудь кавычку поставит в пароли и похакает mail.ru как mysql.com
экранировать не судьба?
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
иногда брутят не конкретное мыло, а сразу список на пароль или пароли из словаря
А ещё в мейле нельзя почему то ставить пароли с символами типа !%$@ =(
Фиг с ними — русские символы нельзя!
Скорее «защита от дурака». Вот попробуете вы где-нить из инет-клуба в Голландии залогиниться со своей кириллицей
Блин, не увидел коммент ниже :(
ИМХО использовать в паролях русские символы не есть гуд т.к. вот окажитесь вы где-нибудь заграницей и надо будет вам в местом интернет-кафе срочно почту проверить, а русской раскладки там не окажется… И что тогда?
Да это понятно, что выход всегда есть. Можно ещё набрать в поиске русский алфавит и скопипастить буковки от туда. Ну или с домашнего компа по RDP авторизоваться. Ну или ламануть админский пароль на компе и поставить русскую раскладку. Но чего ради такие заморочки?
Ради того, что нерусские хакеры (включая всякие там ФБР) тебя не сломают.
google: russian passwords list, не?
А чего так сложно-то? Публикуете на narod.ru, а потом copy-paste где надо.
Можно выбрать химическое название на Вики :)

Например, ЦиклобутанТетраметиленC4H8 )))
Виртуальная клавиатура на яндексе, не? Или на другом сервисе…

P.S. Хотя тоже не использую русские символы в паролях и во многих других случаях, например именовании чего либо, но совсем по другой причине.
Самый трушный способ — вводить коды символов ^^.
Я русские буквы в паролях не использую в первую очередь потому, что не могу быть уверен в том, что они правильно обработаются.
Точно точно. Я так лет 6 назад аську потерял, сменил блин пароль :D
Это говорит о том, что пароли хранятся открыто, а не хешами…
UFO landed and left these words here
А с чего делать ограничения? Хеш сделал от чего угодно и все.
Т. е. хранить пароли в открытом виде длиннее 17 символов опаснее, чем 16?

А ограничения от того, что не проблема в создании хэша, а в том, что пароль вида 321 или abc даже ручным перебором подбирается очень быстро.

Соль вопроса в том, что они ограничили максимальный размер пароля, а не минимальный.
При чем тут это? Комментарий был к "!%$@ =("...)
Если они хешируют пароли, то им совершенно всё-равно, пускай он будет хоть миллион символов, хоть пустой — это будет хеш в 32/40/64/etc символов. А если не хешируют, то сколько выделили места, столько выделили.
Если они хешируют пароли, то им совершенно всё-равно, пускай он будет хоть миллион символов, хоть пустой
Ну вы уж не утрируйте. Между подсчётом хэш-функции от трёхсимвольного пароля и 1млн-символьного всё же будет разница в процессорном времени.
А вот подсчёт хэша от строки в 16 символов и от строки в 256 символов будет уже не так сильно отличаться (т.е. практически незаметно). Поэтому лимит можно было смело поставить в виде какого-то довольно большого но всё же разумного числа символов (64, 128, 256 ...).
UFO landed and left these words here
Даже у гиков есть предел.
Уверен, что ни у кого из местных гиков пароли на интернет-сервисы не превышают 256 символов. Всем же нужен компромисс между надёжностью и эффективностью работы (скоростью ввода пароля при входе).
Сертификат считать паролем? ;)
В комментарии ниже ответил на это. Пароли, разумеется, хранятся в захешированном виде.
Да, регулярно сталкиваюсь. И ведь если ввести при регистрации 17 символьный пароль — они его обрежут до 16 и ничего не скажут, а потом сиди, вспоминай… И ведь не сразу догадаешься, что пароль вводишь правильный, но надо вводить на символ меньше.
В ICQ вроде бы максимум 8 знаков пароль был. Так там резали, все что больше, но и вспоминать ничего не надо. Можно полчаса долбить по клаве пароль, а оно скушало 8 знаков и довольно. Проблем не было.

А конкретно на каких сайтах проблемы с «обрезанием»? :)
В ICQ проблемы не было, а потом появилась, когда резать перестало.
Вот я молодец, справился с темным желанием. Хотел было уже свой сайт впихнуть — мол проблемы с обрезанием! Ощутил бы прелесть хабра-эффекта.
Но вы тоже блин спросили — «А конкретно на каких сайтах...»
Вдох — выдох!
Чего реально на мэйле так???
Т. е. их верстальщикам и программистам параметр maxlength тега input не известен, что ли?
Ну там и стоит maxlength! :)



Другой вопрос, что это и вводит пользователей в заблуждение. Спасибо за замечание.
Одна проблемка: когда вводишь пароль, видишь звездочки. И понятия не имеешь, что, вводя очередной символ после 16-го, ничего не вводится. На экране как было 8 звездочек, так и осталось (если в длину input`a, например, 8 звездочек влазит).
У меня потихоньку собирается приличный такой списочек странных сервисов, которые ставят разные ограничения на пароли. Например, у linkedin — такое же ограничение — до 16 символов. А у pause.perl.org — так вообще — до 8…
Это Вы еще, наверное, Приватбанком не пользовались. Я как-то менял там пароль битый час.

Нигде не было написано про длинну пароля не более 12 (кажется) символов. Я вбивал свой длинный пароль + цифры в конце (Приватбанк требовал, чтобы в пароле были цифры). Т.к. на input`у гениальный программер поставил maxlength=12, мои цифры в конце отрубались и мне выдавалось сообщение: слишком мало цифр в пароле (сколько цифр надо — не сообщалось, при этом страница перезагружалась и пароль надо было вбивать заново).

Я снова вбивал длинный пароль, добавляя все больше цифр в конце, и maxlength их снова обрубал :)

Пока я не догадался включить в Файрбаге отображение пароля, бился головой об стену.

И это в банке, где по идее должны заботиться о хороших и длинных паролях пользователей.
В телебанке ВТБ «для моей безопасности» потребовали заменить пароль на цифровой
Раньше, видимо, у них был аналоговый. :) Это вполне достойно ВТБ
Хе. Бывает и хуже.
Регистрировал я как то ящик на Яндексе. Вбиваю длинный пароль, подтверждаю, все ОК — регистрация прошла успешно. Тут же пытаюсь войти в новый ящик — не пускает — не верный пароль! Еще раз — опять тот жен результат. Что бы видеть символы набрал в Блокноте, скопировал, вставил — опять неверный пароль. Уже думал восстанавливать пароль. Оказалось при превышении допустимого количества символов при регистрации пароль обрезается до нужного количества, а при авторизации пароль берется целиком.
Это всё деццкий лепет, если вы никогда не пробовали настоять в банке, что желаете иметь пароль, заканчивающийся на пробел :P
Прям смакую эту картину.
Вы бы еще в качестве кодового слова — фразу «кодовое слово» попросили бы :)
В качестве кодового слова нужно указывать: «повторите», «что» или «не расслышал».
Это при голосовой аутентификации введёт оператора в бесконечный цикл.
было. приняли без проблем, банк КазКоммерц
А Вы потом проверили, что пароль без пробела и пароль с пробелом — это разные пароли?
Да что там обрезание!

Пользовался я сервисами, где при смене пароля из него молча удаляются некоторые спецсимволы (типа "&").
Клиент банк Сбербанка пароль от 6-ти до 8-ми (!!!) символов. Обрезание молча!
Обрезание молча! не дорого.
Где не обрежут — там откусят.
Собинбанк. Онлайн-банк пароль 4(ЧЕТЫРЕ) символа, ЦИФРАМИ.
Ох зря вы это здесь написали…
Ох, какой же офигенный, оказывается, мой Альфа-клик. А я про него плохо так думал…
— до 16 символов, а вы про Mail.ru говорите…

зы: черт! всё что после знака меньше отрезало! сиди теперь жди пока 5 минут пройдет!
Видимо это профилактика, чтобы потом не появлялись топики из серрии — ФБР просит помощи в расшифровке сообщения 1999 года — либо они пароли шифруют алгоритмом, в котором не может быть больше 16 символов — других объяснений не видно.
Вероятнее всего в момент разработки сделали ограничение в 16 символов, а потом не трогали.
По поводу алгоритма. Пароли не шифруют, а обычно хранят лишь хэш. Но, возможно, вы правы. Так как я точно не знаю про поиск коллизий в том же md5, но вполне возможно, что ограничение длины в 16 символов как раз рубит все известные методы получения колизий.
А чем плохо, если они смогут найти коллизию? Наоборот, злоумышленник с меньшей вероятностью правильно восстановит мой исходный пароль по хэшу.
А злоумышленнику и не надо исходный пароль получать, но зато (получив хэш вашего пароля) он сможет сгенерировать свой собственный пароль, который будет иметь такой же хэш. А значит этот пароль будет так же подходить к вашей учетной записи.
Это понятно, но я могу использовать один пароль для разных сайтов.
Да, но только на этом конкретном сайте, а не на всех сайтах, где у меня используется тот же пароль.
А в данном случае, злоумышленнику ничего не прийдется генерировать, ибо получит он не хеш, а 16-символьный пароль.
А ему и не нужен будет ваш настоящий пароль, если у него есть коллизия.
в алгоритме md5 нет таких артефактов.
Если вы под артефактами имеете ввиду коллизии, то в md5 они есть.
В любом алгоритме хеширования есть вероятность коллизии, зависящая от его битности, лавинного эффекта (avalanche effect) и фактора расхождения набора хешируемых данных (fanout factor).

Я говорю про артефакты, связанные с — цитирую — «ограничение длины в 16 символов».
Значит я неверно вас понял, спасибо за разъяснения.
Если пароль солить, в md5 пойдёт не 16 символов.
Хеш может и есть, но скорее всего пароли хранят заXORенными в спец поле CHAR(16) для дальнейшей передачи правоохренительным органам (слежение за почтой пользователя во время разыскных мероприятий).
Да в принципе совсем не понятно зачем такие ограничения, при том не только на этом вашем mail.ru :). Точнее, допустим, там где требовались символы только английской раскладки ясно было, почему так — кодировка, все дела (сейчас правда это устарело уже). То когда допускаются только буквы и цифры в пароле — это вообще что-то странное.
UFO landed and left these words here
Возможно, они используют какой-то «банглагорский» обратимый алгоритм, который выдает тем длиннее хеш, чем длиннее введенный пароль :) У меня на работе в одном проекте такой «банглагорский» алгоритм унаследован от предыдущих разработчиков индусов :(
Я смотрю, знания по русскому языку в области географии у вас у самого «банглагорские» =)
спасибо, спасибо (кланяется) :)
UFO landed and left these words here
И давно md5 стал алгоритмом шифрования?
С точки зрения разработчика было бы более нелогично использовать 17 в качестве ограничения по длине, двоичную систему счисления попробуй забудь :)
UFO landed and left these words here
Видимо, они считают, что их пользователи не в состоянии запомнить более длинный пароль, всё для пользователя!
[irony]«К сожалению действительно на наших серверах закончилось место, так как мы выпустили кучу ненужных никому сервисов, игр, спутников, чатов, и всяких моих миров, поэтому на безопасность аккаунтов наших пользователей нам пока не хватает средств»[/irony]
Вы хотели сказать — «нам никогда не хватало»? =) Вроде как такое ограничение там чуть ли не с самого начала.
Только надо уточнить, что речь идет о безопасности 1% параноиков, так как >90% паролей меньше 8 символов.
Не параноики с длинными паролями. К тому же, написано про «>90%»
сказал человек, который работает в «ФСБ РФ»
В yandex тоже этим грешат, ну не могу я запомнить пароль без спецсимволов.
Как раз в Яндексе поменял без проблем.
ну не могу я запомнить пароль без спецсимволов.

Спецсимволы стимулируют вашу память? :)
У Яндекса со спецсимволами всё отлично. Другой вопрос, что ограничение на длину пароля там таки есть.
Какие знакомые и разные шрифты на двух скринах )
1Password не спрашивает, какие символы можно генерировать. Недавно заводил N-ное количество учёток в Яндекс.Почте для домена, пришлось ручками заменять спецсимволы на допустимые.
Теперь да, однако еще совсем недавно я не мог сменить пароль, так как в новом пароле присутствовала точка (на то время недопустимый символ). Хотя в другом профиле, который был заведен два года назад, точно такой же пароль работал. На мой запрос в тех. поддержку, мне кажется ответили, что на данный момент использование некоторых символов в пароле не доступно. Видимо они когда-то добавили точку в список недопустимых символов, а теперь ее оттуда убрали. И хорошо!
После пункта «Строчные и прописные пункты не различаются» дальше можно не читать.
Никогда не понимал, зачем вообще ограничивать в чем-то. Почему кто-то должен решать, какой у меня будет пароль? Особенно с этим полный капец у Microsoft — им давай и цифры, и спец-символы и черт пойми что еще в пароль (насколько я помню свой опыт с LiveID). Вот просто любой пароль и все тут — «неее, не пойдет». Можно же советовать, но не навязывать (максимум, что можно — ограничить минимальную длину пароля, ну, допустим, 5 или 6 символами).
У Apple'а когда-то можно было вводить простые пароли, а теперь тоже — подавай им буквы, цифры, и одну заглавную букву минимум
Потому что когда что-нибудь случается, негодующий пользователь прибегает в первую очередь к хозяину ресурса и начинает требовать компенсаций и покаяний за украденный у него пароль. с тупыми пользователями так и надо — вводить их в жесткие рамки и даже не обсуждать это дело с ними.

Большинство пользователей клиент-банков считает, что пароль 123 — это достаточная мера защиты. :)
Хех, только вчера отправили жалобу в БПС-банк (Минск) на то, что 10 символов в пароле для банкинга — это не серьезно. Пока молчат.
Кстати, насколько знаю — Сбербанк их крупнейший акционер — потому тот же вопрос — WTF?
У нас в национальном банке разрешен 1 символ… и на 80% карточек код — «1». Вот где надо искать «несерьезность» :)
Данунах! Имя банка в студию — чтобы даже случайно не попасть туда.
Это не в России и не в Украине :). Так что можете не волноваться :)
Ну судя по всему Вы из узбекистана… Угадал?
Дайте мне название банка, и кажется я знаю, какой скрипт я буду писать следующим…
Не понял немного, под кодом понимается PIN или что-то для интернет-банкинга? Про CVV не спрашиваю, он всегда 3 цифры, у AmEx — 4, насколько я помню.
4 цифры в PIN-коде от карточки — не смущают? %)
Неа, карточка после третьей неудачно попытки ввода пин-кода блокируется.
А почему вы решили, что у мэйл.ру нет такой же защиты от брутфорса в виде блокировки при нескольких неверных попытках ввода?
Да мне как-то пофигу, есть она у них или нет.
Я просто твёрдо уверен, что никакой _технической_ причины не принимать пароли длиннее 16 символов у них нет. У разработчиков банковских карт она, очевидно, была.
Всё верно. К пин коду нужно еще физическую карту иметь, поэтому и защита условная.
Я не защищаю mail.ru, я просто выступаю за логику в аргументах, безотносительно к конкретным объектам дискуссии.

Чтобы не было так:
— короткие пароли у mail.ru — это плохо!
— а короткие пароли для банковских карт?
— у банковских это нормально, ведь там вход блокируется при третьей неудачной попытке.
— а вы уверены, что у mail.ru не блокируется?
— ээээ… Мне пофигу.
И все таки вы путаете. Если б в mail.ru вместо логина была бы карточка (или, скажем, USB ключ), то и пароль можно было бы ввести условный, хоть из 4 цифр.

А блокировки логина у сайта (с логином) не может быть, по той причине, что каждый шутник сможет блокировать известные ему логины.
Я ничего не путаю. Пересмотрите диалог выше ещё раз.
Если бы мой оппонент в защиту коротких ПИНов у банковских карт привёл именно этот аргумент про носитель/карточку, тогда да.
Но он же сослался только на защиту от брутфорса, которая якобы отличает карточки от почтового логина. Что нелогично.
UFO landed and left these words here
Обычно нормальная защита от брутофорса работает хитрей — адаптивно. С одной стороны снижая возможности по перебору паролей, с другой — давая пользователю пару попыток.
В любом случае, (a-Az-Z) 52^16 — это очень много комбинаций, 91 бит. С цифрами там будут еще больше, уже достигается значение числа вариантов для md5, «в котором» пароли, скорей всего, и хранятся.
Она есть, если что ;)
Я могу брутить ваш пароль и заблокировать вас?:)
Не можете. У меня нет ящика на mail.ru :)
1. В той же Италии (кстати) часто банками используется 6-и значный ПИНкод.

2. ПИН не храниться на банковской карте (на магнитной полосе) ни в каком виде (хотя многие почему то до сих пор уверены в этом мифе). Соответственно его нельзя «прочесть» какими либо электронными устройствами. Однако есть так называемый «Алгоритм Луна»… )))

3. Блокируется карта или нет (после энного количества неправильно ввеленного ПИНа) зависит прежде всего от настроек банка экваера (владельца банкомата). К сожалению (несмотря на требования МПСов) в некоторых странах мира не всё так радужно как хотелось бы (в плане безопасности). И это большая проблема.

4. Есть ещё одна большая дыра в безопасности. К сожалению алгоритм проверки ПИН-кода (на банковских картах) неоднозначен. Существуют ещё 3 комбмнации четырехзначного ПИНа, которые будут восприняты как «Верно введенный ПИН-код». Соответственно делайте выводы… )))
А можно пруфлинк про пункт 4? Интересно было бы почитать.
Смущают, но не так сильно — таки всего три попытки резко уменьшает шансы на успех.
попросите еще pin в 16 знаков и cvv в 12 :)
Киньте-ка сюда атрибуты своей карты без CVV, и мы попробуем посмотреть, через сколько времени вы заговорите о его длинне и криптоустойчивости…
У Авангадра есть хотя бы еще и карточка для интернет платежей :)

там еще хотя бы 6 символов…
буквы и цифры
Всё до банальности просто — лень программистов, не более. Спец символы же экранировать надо и всё такое.
Интересно, если уберут ограничение, символы после 16го будут учитываться?
А вопрос порадовал :)
$password = $_POST['password'];
$hashed_password = md5($password. $salt);

И экранировать ничего не надо.
это на каком ЯП написано? ^_^
если во второй строке заменить "." на ",", то будет PHP.
Зачем заменять? Конкатенация строк же.
А если заменить — получится второй аргумент функции, который там в таком виде не нужен — судя по названию переменной.
точка в php — это конкатенация строк.
PHP Там все правильно написано. Соль добавляется при генерации в качестве защиты от подбора, дабы создать уникальный для сайта хэш. Оператор "." в PHP это конкатенация строк.
Раз никто еще не написал… "." — конкатенация строк
md5 в любом языке работает одинаково.
Вы, видимо, не работали с Питоном.
Вы правы, но разве в питоне нельзя захешировать любую строку без её подготовки?
Оу, ну судя по вашему ответу мы друг друга просто не понимаем. Я говорил не о результате работы md5, а о том, что подготавливать (экранировать и т. д.) строку перед хешированием ненужно, она и так станет безопасной для использования.

Прочтите ветку начиная с первого комментария.
Чем тогда можно объяснить ограничение на спецсимволы?
Они что их руками экранируют каждый раз, что им сложно?
ох, не хотел бы зарегистрироваться на сайте, где перед вычислением хеша мой пароль экранируют
Хаха… надо же :). Действительно странно — маловато. Но это еще ничего. На некоторых сервисах логин не может быть длиннее 8 символов. Вот это реально убойно :)
Ага, или менее 6… это убивает.
А про ICQ? Там помойму вообще пароль должен быть РОВНО 8 символов (могу ошибаться что ровно, но точно не больше), причем они также не говорят об этом, а просто отклоняют длинные пароли!
Во всех известных мне клиентах, длинные пароли не откланяются, а режутся до 8ми символов.
Скорее всего, чем длинее пароль тем больше вероятность колизий. Иначе гвооря, чем длинее строка (пароль) тем вероятнее что найдеться другая строка у которой будет такойже хеш.
Это где такие грибы продают, уважаемый?
Уважаемый, вы прежде чем ссылки кидать, прочитайте внимательно, что там написано, а не только заголовки.
Я не по-наслышке знаю, что такое коллизии хэшей, но в рамках именно парольной защиты с учетом современных архитектур авторизации вы несете откровенный бред. Извините.
И где там написано, про зависимость количества коллизий от длины пароля?
В строке с длиной 17 символов, есть n всевозможных комбинаций. В строке длиной более чем 17- n будет больше. Ограничивая длину строки 17- мя символами мы обрезаем возможные колизии которые будут попадаться в строках с длиной 17+.

И, опятьже, я написал «скорее всего» это как 1 из возможных вариантов, а не твердо утверждал это.
Хочу навести на мысль: вот если у нас будет пароль также из 17ти символов, но мы запретим использовать латинскую букву 'a', коллизий будет больше или меньше? «Всевозможных комбинаций» будет меньше, следуя вашей логике и коллизий должно быть меньше. Или все таки зависит от хэш-функции?
Не зная алгоритма «хэш-функции» ответить однозначно не могу. Опять же, а если влияет то увеличиться.
Иначе зачем ограничение?
Очень слабо вериться что в банковской сфере работают специалисты который просто так придумали бы это ограничение, наверное же, были какие то причины которые повлияли на это ограничение. Вот я и предположил что данное ограничение вызваное спецификой алгоритма хеширования.
Вы только «ться» заметили? Хорошо вам…
Виноват, будем усправляться.
ИСПРАВЛЯТЬСЯ, конечно же… Сегодня явно не мой день…
UFO landed and left these words here
Я не говорю про какой то конкретный алгоритм хеширования, а хотел сделать акцент на то что мы не знаем какой алгоритм там используют и возможно длина пароля на что то влияет. Чуть выше ответил
Минусуют как троля, а вроде и не тролил…
Вот же ж блин. А вы понимаете, насколько с каждой буквой уменьшается и без того наноскопическая вероятность попасть в такую коллизию? Т.е., это настолько невероятно далеко от практики, что и сказать нечего.
Мне кажется что для md5 вероятность того что, например, 30-символьная строка будет иметь коллизию с другой, в которой <30 символов практически нулевая. Тем более когда список символов ограничен (штук 60 всего).
Ну и что с того что вероятность коллизий увеличивается?
Наверное, это обратно пропорцеонально затраченому времени на подбор. Видь не объязательно подобрать именно Ваш пароль.
т.е. один пароль — один хэш. Полюс никто не знает длину конкретно вашего пароля.
Нет. Вот если мы рассматриваем множество ВСЕХ строк длины n из заданного алфавита из M букв, то да. Для n > bits*log_M(2) обязательно появятся коллизии. И начнут расти буквально в геометрической прогрессии. (для md5, например bits = 128).
Но у нас есть грубо говоря фиксированное число юзеров, количество коллизий практически не изменится после того как мы разрешим им создавать сколь угодно длинные пароли
Конечно, пароль из 17 символов будет брутфорситься на пару сотен лет дольше, чем из 16 )
Серьёзно, зачем на веб-сервис ставить пароль больше 8 символов? Кроме сложности ввода это ничего не меняет же.
Вот видимо и они так же как вы рассуждают. А между прочим люди часто используют мастер-пароли. Например для сайтов с важными данными выбирают один и тот же пароль (иногда с изменениями в паре букв для каждого сервиса). Если же разработчик ограничивает пользователя, то вероятность забыть пароль в этом случае равна 100%, т.к. пользователь вынужден нарушать свою же политику безопасности, а потом помнить, где он ее нарушил.
На мой вопрос о пользе (с точки зрения безопасности) использования для веб-сервиса пароля длиннее 8 символов вы не ответили. Аутентификация с помощью пароля изначально не подразумевает использования дополнительных программных средств. Что касается политики безопасности, то её устанавливает именно администратор сервера, а не пользователь.
Вы видимо вообще не слушали binariti.
Могу по собственному опыту сказать: пароли из случайного набора букв длинной в 8 символов ломают! У меня так ломали пароль.
Про дополнительные программные средства никто не говорит.
Но другой вопрос, что у меня есть пароль, который я использую на ряде сайтов. Пароль достаточно сложный, содержит спецсимволы. Но сайт, мне говорит, что он слишком длинный, а еще ему спецсимволы не подходят, а давай ему цифры. А так же на одном сайте я столкнулся с тем, что он отказывался принимать символы в верхнем регистре! Нормально? Т. е. разработчики или администраторы ресурса меня ограничивают в том, какой пароль использовать (не говоря о не безопасности пароля), заставляют ставить иной пароль, который скорее всего я забуду.
Могу сказать по опыту: если есть альтернатива такому ресурсу, то я уйду на другой ресурс, где меня так сильно по паролю не ограничивают.
Могу по собственному опыту сказать: пароли из случайного набора букв длинной в 8 символов ломают! У меня так ломали пароль.

268 ≈ 2·1011 вариантов? Это уже проблемы веб-сервиса, что они пропускают такие жёсткие попытки брутофорса.
Как вариант хэш пароля может быть украден.
Что тоже проблема веб-сервиса. Т.е. сложность пароля у пользователя тут влияет значительно слабей. Хотя, конечно, 12 более-менее произвольных символов дадут неподбираемое число вариантов, а 8-символьные из одних букв перебираются за пару часов даже на одном ядре.
У меня самый простой пароль, который я использую много где [a-z0-9]{8}, это ≈3·1012, и то, если такой аккаунт уведут, будет не жалко.
У меня самый простой пароль, который я использую много где [a-z0-9]{8}, это ≈3·1012
аналогично
Я тоже против ограничения диапазона допустимых символов. Но ещё я против излишне длинных паролей и ненужных программ для их запоминания.
Rainbow Tables
Меньше 12 символов уже давно не достаточно, даже для веб-сервисов. А сложность ввода одинаковая — пароли вводит какой-нибудь робот а-ля LastPass, он же их и генерирует.
Радужные таблицы работают только при хешировании без соли. Да и сами хеши ещё нужно получить.
С точки зрения сервера, пароли всегда вводятся пользователем. Обычно ручками, в крайнем случае вставляются из хранилища браузера. Всё остальное — решение несуществующей проблемы.
Сами же пишут, что бы пользователи относились с максимальной бдительностью к паролю, делали сложные пароли. А сами не могут оргнизовать даже символы… Россия…
Меня пару лет назад порадовала RealVnc (кроссплатформенная система для удаленного управления компьютером). Поставил, ввел относительно несложный, но длинный пароль, что-то вроде abc4436121234 для тестирования. Проверил, заходит, все ок. Через некоторое время случайно ввел просто abc и меня пустило, оно просто какого-то черт плюс к основному паролю игноририло цифры.
Протокол VNC вообще очень небезопасен. По спецификации данные передаются в открытом виде, блокировки в случае подбора вроде как тоже не имеется в серверном ПО (хотя, здесь могу ошибиться, все не использовал). Кошмар, короче говоря.
На фоне всеобщего юзерства программеры забывают про хабросообщество которое надо визуально уведомлять не о слишком коротком, а о слишком длинном пароле )
Маразм с паролями в этом банке меня всегда поражал. А также радует, то, что очень часто время сессии для авторизации истекает до того, как придет SMS код.
Ни разу такого не было. Но там где-то было написано, что если вы закажите СМС и не воспользуетесь кодом в ней, то деньги за неё будут сняты с вашего счёта! :)

А чего стоит расширение лимита на карте с вариантами выбора: «БЕСПЛАТНО», «платно». При этом без явного объяснения как разница (оказалось бесплатно только за лайк на фейсбуке делают).

Про суппорт вообще молчу, на более-менее сложный вопрос не отвечают вообще или просят написать на следующий день (видимо чтобы гемор другому достался).

И интерфейс…
Что вы хотите от суппорта, если там хот-лайн работает так, что я в шоке.

Простите за длинную историю, но всё же расскажу.
Осенью прошлого года моя мама пыталась заблокировать карточку, которую украли. Через 2-3 минуты после кражы она позвонила по «горячей линии» и попросила заблокировать, объяснив ситуацию. Ей сказали идти в ближайшее отделение и написать заявление (отлично, правда? это только начало!). Через 10 минут мама была в отделении. По-несчастью карта была в сумке, в которой также находился паспорт, соответственно он также был украден. В отделении банка девочка-сотрудница потребовала паспорт, чтобы принять заявление. На все попытки объяснить, что паспорт украден вместе с картой девочка отвечала, что ничем не может помочь. на этот момент прошло около 20 минут с момента кражи.
Через 27 минут после кражи (точное время известно благодаря распечаткам полученным вдальнейшем) благодаря тому, что пин-код от карты был на бумажке лежащей в паспорте, с карты было слито 15000 гривен. 2 захода по 3000 гривен за раз в одном банкомате и через 10 минут 3 захода по 3000 грн — в другом, за углом. На момент последнего снятия с момента кражи прошло около 35-40 минут.
Как оказалось в дальнейшем (после заявления в милицию) на тех банкоматах где снимали деньги камер не было! И это банкоматы возле центрального автовокзала города!
Как результате маминого ротозейства (тут и недоглядела за сумкой и хранение пин-кода рядом с картой) мы попали на кредит в 15000.
Но и это еще не все!
После заявления в милицию мы пошли в банк, внесли 15000 и хотели закрыть кредит. Но как оказалось без паспорта закрыть кредит нельзя. Тогда мы потребовали, чтобы все карты и счета оформленные на данный паспорт были заблокированы и нельзя было делать никаких операций — чтобы снова не слили 15000, которые мы заплатили. Как оказалось без паспорта это тоже нельзя было сделать, хотя у мамы был документ, в котором была её фотография и ФИО, а также была ксерокопия украденного паспорта.
В резльтате общения со службой безопасности и мотивируя выпиской из милиции, мы добились-таки внесения паспорта в «черный список» банка, а также блокировки карт и счетов по этому паспорту.
Прошло 4 дня. И позвонив на горячую линию мы поинтересовались положением дел — это был тихий шок: из 4 счетов и 3 карт была заблокирована только 1 карта. И всё!
Закончилось всё тем, что мама, получив новый паспорт, закрыла все счета и карты и расторгла все договора с этим банком.

А вы говорите суппорт… :) Там вся система гнилая.

Теперь мама довольный клиент Альфа-Банка. В украденной сумке была карта Альфа, по звонку после каржы она была заблокирована в течении 1 минуты — этот факт подтверждает то, что с этой карты воры попытались слить деньги и банкомат её слопал. Позже карту вернули маме.

Через 2-3 минуты после кражы она позвонила по «горячей линии» и попросила заблокировать, объяснив ситуацию. Ей сказали идти в ближайшее отделение и написать заявление
Кстати, если бы у вашей мамы была карточка платёжных систем Visa или MasterCard уровня Gold или Platinum, то в случае утери карты, если не удалось дозвониться до своего банка (или операторы своего банка стали тупить подобным образом), можно сразу звонить в глобальную службу поддержки платёжной системы. Держателям своих карт уровня Gold/Platinum они позволяют экстренно блокировать утерянную карту в любой точке мира.
У них есть круглосуточный международный телефон + бесплатные телефоны в каждой стране присутствия.
www.visa.com.ru/wv/platinum/lostAndStolen.jsp
Но для этого, разумеется, нужно заранее выписать куда-то себе в записную книжку/мобильник/ноутбук номера их глобальной службы поддержки и номера и прочие параметры своих карточек, которые понадобится сообщить для блокировки.
И даже это ей бы не помогло. Украли сумку. А там и телефон и документы и карты и т.д…
телефон хот-лайна случайно у подруги был записан, которая вместе с ней была…
Моя мама — это моя мама. :))
> Моя мама — это моя мама. :))

Да я как бы и не претендую…
Если бы была карточка платинум, то позвонить либо своему персональному банкиру можно было бы, либо в консьерж сервис, и сразу бы решили вопрос.
Но инетерсно другое. В привате для того, чтобы заблокировать карточку всегда достаточно было позвонить к ним, назваться, сказать что карточку украли и сказать слово-пароль. Никаких заявлений писать не нужно ибо это бред. А если карточку украли за границей? Нужно срочно в Украину ехать тогда?
Скорее всего попался некомпетентный сотрудник банка.
И там выше написали про максимальную длину (надпись о которой убрали).
русские украинские и специальные символы не нужны
image

После 50, наверно, будет вероятность коллизии.
> Ваш пароль для Moneybookers должен быть уникальным…

К сожалению, введённый вами пароль совпадает с паролем пользователя Marina95. Введите другой (уникальный) пароль.
Ну, если они не «солят» пароль (что странно для платёжной системы), то это легко реализуется прописыванием поля в таблице для хэша пароля требование уникальности.
Могу предположить, что дело в алгоритмах, которыми шифруется пароль.
Согласно небольшой брошурке по криптоустойчивости паролей (http://www.elcomsoft.ru/press/zi_inside_012009.pdf), существуют алгоритмы, которые не дают выигрыша в криптоустойчивости при паролях, длиннее, скажем 8 символов. Создать можно и длиной в 20, да только вот пользы будет столько же, сколько от пароля, состоящего из первых 8 от этих 20 символов. Это полезно учитывать и информировать пользователя, дабы он не считал себя за каменной стеной, установив 100500 символов в пароле.
«Стойкость системы определяется стойкостью самого слабого звена» (слабое звено в данном случае — обработчик пароля на сервисе)
Это полезно учитывать и информировать пользователя, дабы он не считал себя за каменной стеной, установив 100500 символов в пароле.

Это полезно учитывать и не использовать такие алгоритмы.
Порой намного проще сказать «не использовать», нежели действительно иметь возможность не использовать… Я думаю, если у крупной компании «стоит на вооружение» подобный алгоритм — то у них есть веские на то причины, будь то финансовые стороны вопроса, не объективность использования более сложных алгоритмов, и без того большие нагрузки на сервер (которые от смены алгоритма в сторону повышения качества — увеличатся).

забор метровой высоты не спасет от злоумышленников, но на дачных участках чаще всего именно такие заборы, ибо ставить огромные стены и нанимать охрану — нет смысла.
Продукцию отечественного автопрома тоже рекомендуют не использовать, но ведь используют))
Да бросьте, какие такие большие нагрузки от хэширующей функции. Это даже не смешно.
Да дофига таких сервисов, где идет ограничение по вводу пароля и прочее.
Ну надо же выехать на всеобщей ненависти к мэйлру…
UFO landed and left these words here
Сила «10 лет назад завёл себе почту и сейчас к ней привязана туча аккаунтов» не подходит?
Это тёмная сторона силы. Переходите на светлую!
Я-то давно перешёл. Осталось заставить перейти на светлую сторону тех владельцев сайтов, которые не дают сменить введенный при регистрации e-mail или не дают его удалить.
10 лет вполне достаточно для почти полного phase out.
Сбор почты в Gmail через POP решает все проблемы mail.ru.
Только одна мелочь раздражает — аккаунт на мейлру могут удалить :)
Проблемы с криптостойкостью — никак не решает. Тот, кто сломает мою почту, получит доступ к большому количеству моих аккаунтов.
Как вариант, можно настроить не сбор почты в gmail-ящике, а в mail-ящике переадресацию на gmail-ящик.
у этого варианта, кстати, есть очевидное преимущество: скорость, с которой письма попадают в ваш гуглоящик — заметно выше
вариант через поп — неочень, порою долго ждать того когда оно там соизволить сходить посмотреть на мэйл почту. то ли дело — пересылка. работает мгновенно :)
Вариант через ПОП самый надежный. Я не был уверен, что в mail.ry есть пересылка :)
мне тоже понадобилось время, чтобы её найти в этих жутких настройках =))
А gmail, кстати, при длительном неиспользовании уже не удаляется?
Не готов ответить.
Но предположу, что если я в течении пары лет продолжу пользоваться гугло ридером и не разу зайду на ГМейл, то с почтой ничего страшного не произойдет.
Говорят, на gmail раз в 9 месяцев надо заходить в почту.
Не заходил на один аккаунт с 2006 по 2011 год, удалён не был.
Только папка «Спам» почему-то была пустой, стоило только зайти — спам пошёл :)
Говорят, mail.ru уже с трудом выдерживает бота-сборщика почты Яндекса )
— Он тупой как дрова
— У него есть SMS-уведомления о письмах
— у него нет SSL на SMTP (что позволяет легко его использовать для любой автоматической фигни)
Я бы попросил :) У Mail.Ru с прошлого года есть SSL (и TLS) на SMTP и на POP3. Просто он не обязательный, а опциональный.

Вообще, я очень рекомендую всем сознательным пользователям (кто сидит через POP3) включить безопасное соедининение — иначе ваш пароль гуляет по сети в открытом виде.
Я это и имел ввиду. Возможность работать с SMTP без SSL очень облегчает жизнь с sendmail
Я про «работу без SSL» в том аспекте, чтобы послать письмо, например, с Arduino, по SMTP можно, а вот SSL туда прикрутить… ууу…
В основном ящики там использую для отправки данных с различных серваков\девайсов\лабуды. Ящики вида 0234Jdjdfklsd@list.ru, то есть никакой ценности не представляют и в случае чего их не жалко совсем.
может быть, ты ещё предложищь пользоваться почтой гугла?
Не стройте догадки, наслаждайтесь тем, что реально предложили.
ну и поглядывайте иногда, как пишется слово «предложишь»
А вы знаете, что длина PIN-кода банковских карт чисто технически может быть до 12 десятичных цифр? Однако, обычно банки искусственно ограничивают длину PIN-кодов своих карт всего до 4-х цифр. Причина банальна — при длинных PIN-кодах клиенты их очень часто забывают или постоянно ошибаются при вводе, поэтому резко возрастает число блокировок карт, претензий, обращений в поддержку и прочих скандалов, недовольств и обид клиентов банка.
А можно ссылку на полный пруф, хочу в мемориз добавить.
>А вы знаете, что длина PIN-кода банковских карт чисто технически может быть до 12 десятичных цифр?

Знаем. У меня на одной карте 6 символов, на другой 8 ;)
Как добились? Что за банк? Проблем с банкоматами не возникает? (у некоторых вообще прямо в интерфейсе поле ввода 4х символов прорисовано)
Никак не добивался — сразу было. Royal Bank of Canada.
В российских банкоматах не приходилось деньги снимать?
Пока нет. Жду этого момента с нетерпением %)
Отпишитесь, когда, наконец, случится, если не сложно.
Постараюсь не забыть.
Добавлю ваш комментарий в избранное, чтобы потом было легче найти (но в этом году я в Россию ехать пока что не планировал).
> но в этом году я в Россию ехать пока что не планировал

Не беда.
Присылайте по почте вашу карточку и ПИН-код, а уж мы-то тут протестируем ;)
Лучше присылайте сюда банкомат — я протестирую сам :)
Учитывая количество потерянных/украденных карт маловероятно, что ПИН вскроют, ну а ежели карточка украдена, то пока ворюга будет прятать лицо от банкомата проделывать с ней *** манипуляции можно спокойно позвонить в банк и заблокировать карточку.
Только меня одного (или я пропустил комментарий) смутила совет, что пароль может совпадать с логином (почтой).
Люди же так и будут писать логин mail@mail.ru и пароль mail@mail.ru
Там просто текст справа на картинке обрезан — там написано, «пароль не может...» и далее по тексту.
Фух, а то я уж было подумал.
Вспомнилось:
У меня пароль простой — 8 звёздочек :-)
Названия звёздочек хоть из нашей галактики?
Дубхе-Мерак-Фекда-Мегрец-Алиот-Мицар-Алькор-Алькаид?
Да, а такой пароль уже будет довольно криптостойким :-)
>… Алькаид

Ваш пароль не пропущен всемирным антитеррористическим фильтром. За вами уже выехали.
Ну, удачной поездки до Большой Медведицы :)
Кстати, на самом деле, когда мы сокурснику на день рождения решили подарить домен, мы его разыграли, на открытке были написаны данные для входа в административную панель регистратора примерно вот так:
Username: %username%
Password: ********

Он долго думал ;)
Отвечаю как представитель компании (как говорят на roem.ru — комментарий представителя ньюсмейкера). В том числе на вопросы, поставленные в комментариях:

1. Да, есть ограничение на длину пароля. Оно существует исторически (и есть мысли о том, чтобы этот лимит увеличить).

2. Ограничение на использование спецсимволов и особенно русских букв введено специально — чтобы пользователи не вводили пароль в неправильной раскладке, битой кодировке и т.п.

3. Нет, пароли в базе Mail.Ru не хранятся в открытом виде. Да, разумеется хэшируется. Нет, это не md5, точнее не совсем md5.

В целом это вопрос не столько безопасности, сколько заботы о «нерадивых» пользователях. Согласитесь, защита, которую обеспечивает пароль из 16 алфавитно-цифровых символов — достаточна для электронной почты. Дело в том, что разрешив любые символы в паролях мы увеличим, допустим, на 0.01% безопасность — но тут же получим тысячи жалоб на то что «пароль не работает» — хотя проблема будет только в раскладке.

А вот безопасность «обычных», не продвинутых пользователей — ее надо повышать. И мы кое-что делаем в этом направлении. Год назад на Mail.Ru можно было (опять же, исторически) зарегистрироваться с паролем 1234 или 0000. Сейчас лимиты более жесткие: минимальная длина 6 символов, запрещены пароли из только цифр, из одной и той же буквы и еще ряд проверок на слишком простые варианты.
> Дело в том, что разрешив любые символы в паролях мы увеличим, допустим, на 0.01% безопасность — но тут же получим тысячи жалоб на то что «пароль не работает» — хотя проблема будет только в раскладке.

А разрешив пароли из 17 символов?
> Дело в том, что разрешив любые символы в паролях мы увеличим, допустим, на 0.01% безопасность — но тут же получим тысячи жалоб на то что «пароль не работает» — хотя проблема будет только в раскладке.

Хорошо, с русскими символами всё понятно. Но почему тогда запрещены спецсимволы (!@#$% итд) они во всех раскладках и кодировках имеют отдин и тот же ascii-код, а вот наличие их в пароле повышает безопасность далеко не на 0.01%.
А мужики-то не знают.
ru !"№;%:?*()
en !@#$%^&*()
Если (как вы говорите) пароли хранятся в виде хэшей (т.е. именно для хранения длина не играет никакой роли), то «увеличить лимит» сводится к изменению циферки на форме логина (ну, плюс-минус). Почему же из этого раздувается такая проблема? «Исторически», да «есть мысли увеличить»…
Если мысли есть (причём, как я понимаю, уже давно), то почему до сих пор не предпринято никаких шагов? Тем более что технических препятствий — минимум (никаких изменений в БД не требуется — только на фронт-энде). Потому что ....?
В теории оно так, но на практике оказывается несколько сложнее. Изменить цифирку надо во всех формах логина и регистрации, точнее даже во всех способах логина и регистрации. А их много — основной веб-интерфейс, Mail.Ru Агент (а он существует для windows, mac os, java, symbian, ios, android), исторически существующие интерфейсы на сайтах партнеров, api.mail.ru и так далее. Но мы работаем в этом направлении, поверьте ;)
И кто же это научил сих великолепных программистов хардкодить длину пароля прямо в десктопные и мобильные клиенты?
Причём поди ещё не единой константой, а прям цифрами в десяти разных местах ;)
Я же не говорил, что оно захардкожено в клиенты. Я сказал, что это изменение затрагивает много систем — и это действительно так — так что это не одна цифирка в одном месте. И уж по крайней мере протестировать работу всех этих клиентов на всех возможных платформах точно надо.

Да, в идеальном мире это конечно была бы одна константа в одном файле, которую можно было бы поменять и пересобрать все серверы и клиенты командой типа «make mailru». Но не знаю как вы, а мы живем не в идеальном мире.
Я вообще не понимаю, почему клиент завязан на длину пароля, а не получает эту информацию от сервера. То что мы живем не в идеальном мире — не оправдывает криворукости программистов.
8-10 символов уже более чем достаточно, из хеша вряд ли кто-либо будет восстанавливать пароли длинной более 5 символов, содержащие и буквы и цифры.
Ну а если сервис ограничивает размер пароля или просит не использовать спец. символы, то скорее всего ваши пароли где-либо сохраняются без хеша. Либо разработчики идиоты. Может я не прав, конечно, подскажите где. Но какой смысл ограничивать размер и символьную составляющую пароля, если из него всё равно будет вычислен хеш.
у них просто пароли хранятся в открытом виде

так как в md5 (etc) разные пароли занимают одинаковое место
А как вам такое?

image

Сайт казахстанского БТА банка. Был топик на хабре.
Они его в типе number в базе данных хранят. Для упрощения перебора в цикле, наверное.
Скорее всего это из-за «мобильного банкинга», где пароль надо вводить общаясь с автоматической системой будучи «на линии» или «после #». Там только цифры допустимы.
На самом деле бывают случаи и печальнее. Например когда существует ограничение на длину логина, как у одного известного российского доменного регистратора. Еще хуже, когда это ограничение, на этом сервисе, обходится отключением JavaScript или прямым POST запросом к скрипту.
это ограничение, на этом сервисе, обходится отключением JavaScript или прямым POST запросом к скрипту.
Ну вы уже поняли, что им туда нужно ввести вместо логина с отключённым JS или послать прямым POST-запросом…
xkcd.com/327/
Вопрос — а какой длинны надо делать пароли? Даже при ограничении в 100 найдется пользователь скажущий, что ему мало. Делать возможность хранить в качестве пароля томик «войны и мира» вещь абсолютно не нужная. Есть поле ввода (любое), в нормальной системе на него должен быть регламент.
16 символов хорошая такая регламентированная длина.
В том-то и дело, что хранить пароль не нужно, как занимает его хэш, скажем, 20 байт, так и занимает, будь там один символ или томик «Войны и мира».
можно подумать, что браузер сразу хэш передает. Пароль передается в чистом виде, и где-то на сервере как-то обрабытвается.
И? Думаете увеличение нагрузки от увеличения размера пароля с 16 символов до, например, килобайта сильно увеличит нагрузку?
скорость перебора составляет 100 000 паролей в секунду.

Если хеш на руках, то с использованием современного компьютера эта цифра существенно возрастёт. Давно не вникал в вопрос, но там уже что-то около миллиарда хешей за секунду можно генерировать.
Ok. Возьмём 16-значный пароль, состоящий из латинских букв в обоих регистрах + цифры. На подбор такого пароля уйдёт примерно 1.51067951634e+12 лет. А если хэш-функция более стойкая к подбору, чем MD5, то и того больше. Вот интересная табличка: www.insidepro.com/rus/egb.shtml#100

Поэтому мне не совсем понятны негодования автора.
А что непонятного?

Меня возмущает ограничение в 16 символов не потому, что я считаю пароли в 16 символов недостаточно надёжными.

А потому, что это ограничение абсолютно бессмысленно, не продиктовано никакими техническими ограничениями и заставляет меня придумывать какой-то новый пароль, чтобы его обойти.
Извиняюсь, не правильно понял.
Вы абсолютно правы и, как сказал комментатор выше, дело не в стойкости пароля. Я лишь указал на ошибку в вычислениях на википедии.
Интересно, чем вызвана самая высокая стойкость к перебору у «MD5(Wordpress)» в выше приведенной табличке?
Если не ошибаюсь, это вызвано тем, что при генерации такого хэша вызывается большое количество итераций обычного MD5. Например, у MD5(Unix) вызывается 1000 итераций стандартного MD5.
Честно говоря, я тоже не понимаю этой очередной истерики. Если пароль подбирается через веб-интерфейс или через протоколы imap и pop3, то тут большой скорости подбора не добьешься. При таком подборе 100-200 паролей в секунду — это очень круто. Кроме того здесь стоит ограничение на количество неправильных вводов пароля с одного IP, так что надо иметь какой-то невиданный запас прокси. То есть при таком раскладе и 8 символов за глаза хватит.

А если получен доступ к базе, то зачем огород городить — можно же просто сделать выборку из базы писем определенного ящика, а также любых других данных (например, контрольный вопрос-ответ). Или же вообще сбить на время старый пароль командой UPDATE, а потом поставить его обратно, так что юзер даже и не заподозрит ничего. В общем при живом-то доступе к базе брутить пароль порой и не надо.
Ну, качественные и быстрые долгоживущие соксы/прокси стоят дешево, если учесть то, что $25 можно отдать за суточную аренду сотни бекконнект-серверов, на которых каждые 10 минут в течение этих суток меняется подключение к другому неиспользованному соксу, то это вообще не проблема. Если нахаляву — то welcome to proxyfire.net, там вполне себе годные списки. Для скорости 100-200 паролей в секунду это вполне нормально. Ну и многопоточный подбор никто не отменял же.
Да, кстати, вы мой бывший земляк, оказывается :)
Легче лёгкого ставится ограничение — после каждой неудачной попытки аккаунт блокируется на N минут.
Да, но это никто не делает (кроме vBulletin, вроде), ибо легальный пользователь также не сможет войти в свой аккаунт. А это уже сродни DoS'у для конкретного логина — раз уж он в течение всей продолжительности подбора не сможет войти. А подбор иной раз не один день длится, словарики то объемные бывают.
Тогда вешается дисклеймер для реального пользователя, что пока не надо входить, а IP тех, кто его проигнорировал (ботов), собираются и скопом банятся.
Алсо капча — она может быть динамически усложняемой.
Ну мы же про POP3/IMAP говорим, а не про вебинтерфейс для почтовика.
А даже если подбор ведется через вебинтерфейс, то на капчу есть antigate, а на бан IP ботов — новые соксы. Но тема эта вечная, ведь на каждую хитрую … есть … с резьбой, как говорится :)
Ну мы же про POP3/IMAP говорим, а не про вебинтерфейс для почтовика.
Честно говоря, я тоже не понимаю этой очередной истерики. Если пароль подбирается через веб-интерфейс или через протоколы ...
=)
Ну, как я сказал, все зависит от количества потоков, ширины исходящего канала и отсутствии блока для аккаунта на уровне POP3, а не веба. Разница в подборе через интерфейс и протокол — огромнейшая, на самом деле. Потому что фильтрация идет на уровне веб интерфейса, а от нее уровень понижается.
Ну, с почтовыми протоколами я меньше знаком, но, может, и там можно что-нибудь сделать. Например, устроить ложную авторизацию при неверных паролях.
Разве что править исходники, но кому это надо :) Зачастую на таком протокольном уровне это не делается, да и не будет делаться — ведь пользователь сам может ошибиться, и возникнет совершенная непонятка. Конечно, голь на выдумки хитра, и можно многое что сделать, но большинство методик не реализуется именно из-за возможного неудобства пользователя. А это таки упрощает действия злоумышленника.
Ну, я бы (если бы этим занимался) делал так — при авторизации с неверным паролем делал бы ложную авторизацию и сообщал о письме во входящих с темой «Вы ввели неверный пароль». Или принимал бы пароль только если он 2 раза подряд отослан верно с одного и того же ip.
Или ещё что-нибудь.
Причина, согласен, банальна.
дело не в длине

не знаю логики автора, но у меня своя система паролей для всех сайтов (чтоб они были разные, но и чтоб я не мог их забыть)
и если где-то я не могу применить мою систему из-за ограничения длины, то это как-то напрягает

хотя, конечно, 17 — это совсем много :)
UFO landed and left these words here
Ну раз 1Password так считает, то это, конечно же, решающий аргумент.
Мужики, расходимся.
UFO landed and left these words here
> поставили в базе, не думая, 16 символов и всё.

Подтверждаю, из опыта, именно так «исторически» и складывается. Вначале он в открытом виде хранится (а времена еще те, когда 16 символов — за глаза), потом «ох блин, пора заняться безопасностью», добавляем поле password_md5, поле password не убираем, потому что «это ж базу переколбасить, код переписать, перетестировать… ну на фиг, нет времени сейчас». А потом уже и база 24/7, и в коде где-то оно читается, но не используется, и т.д.
Universal Bank, я когда последние правило прочитал то уже первые забыл :-D

Пароль повинен містити мінімум 8 символів.
Пароль повинен містити максимум 35 символів.
Пароль може містити маленькі літери.
Пароль може містити великі літери.
Пароль може містити цифри.
Пароль може містити спеціальні символи.
Пароль може починатися з маленькі літери.
Пароль може починатися з великі літери.
Пароль може починатися з цифри.
Пароль повинен містити не менше 3 маленькі літери.
Пароль повинен містити не менше 1 цифри.
Пароль повинен містити не менше 1 спеціальні символи (* + — ? %; $! і т.п.).