Comments 55
UFO just landed and posted this here
>Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся
Еще обидней будет тем, у кого пароли не уникальные.
Еще обидней будет тем, у кого пароли не уникальные.
UFO just landed and posted this here
вместо пароля лучше присылать одноразовую ссылку для входа, где юзер сам введёт пароль который ему удобен
параноики негодуе
А какой смысл присылать мне на почту пароль, который я сам только что ввел вручную дважды? Чтобы за 20 секунд я его внезапно не забыл?
Чтобы потом можно было найти пароль на почте когда когда забыл его.
Храню пассы в черновиках на сообщение «вы зарегистрировались у нас, пароль не покажем». Так как логин на форум каких-нибудь любителей мучать линукс особых мер безопасности не заслуживает.
когда мой ящик сломали, там как раз такое письмо лежало с паролем открытым текстом. ах как я радовался-то :)
Сравните:
1. пароль лежит в почте в открытом виде на протяжении нескольких месяцев/лет на случай «если вдруг забуду»
2. пароль восстанавливается только если был забыт путём присылания на почту одноразовой ссылки для смены пароля
Какой вариант вам больше нравится?
1. пароль лежит в почте в открытом виде на протяжении нескольких месяцев/лет на случай «если вдруг забуду»
2. пароль восстанавливается только если был забыт путём присылания на почту одноразовой ссылки для смены пароля
Какой вариант вам больше нравится?
Да. некоторые не дважды спрашивают — защита от опечатки, а некоторые вообще сами генерят и высылают.
У меня небольшая история по этому поводу. Нетривиальная, но какой-нибудь 1% случаев, когда нужно посмотреть на пароль, что ввёл во время регистрации, покрывает.
Вчера искал решение для простого удалённого управления компьютером. Среди прочего наткнулся на gotomypc.com. Ткнул в 30дневный триал, во время регистрации столкнулся с дурацким требованием — необходимостью использовать сложный пароль. Набрал дребедень всякую и скопировал в буфер обмена, с последующей целью перенести её в менеджер паролей. Но вот на следующем этапе регистрации попросили данные кредитки. Подумал и послал их нафиг.
Часом позже заглянул в почту — увидел от них письмо с предложением попробовать триал без ввода данных кредитки, согласился. По ссылке из письма сразу меня автоматически авторизировало. Но вот пароля к этому моменту я уже не помнил и не отказался бы от того, что-бы в следующем письме они мне его показали.
А теперь придётся использовать всякие «восстановления пароля», если ещё захочу их сервис попробовать ещё раз.
Вчера искал решение для простого удалённого управления компьютером. Среди прочего наткнулся на gotomypc.com. Ткнул в 30дневный триал, во время регистрации столкнулся с дурацким требованием — необходимостью использовать сложный пароль. Набрал дребедень всякую и скопировал в буфер обмена, с последующей целью перенести её в менеджер паролей. Но вот на следующем этапе регистрации попросили данные кредитки. Подумал и послал их нафиг.
Часом позже заглянул в почту — увидел от них письмо с предложением попробовать триал без ввода данных кредитки, согласился. По ссылке из письма сразу меня автоматически авторизировало. Но вот пароля к этому моменту я уже не помнил и не отказался бы от того, что-бы в следующем письме они мне его показали.
А теперь придётся использовать всякие «восстановления пароля», если ещё захочу их сервис попробовать ещё раз.
Я обычно генерю пароль, вставляю его в письмо вместе с логином-паролем и ссылкой на сайт. Хеширую и солю пароль. Отправляю письмо. Пароль в открытом виде сбрасывается, хранится соленый хеш и соль.
Чем это удобно:
— У пользователя будет письмо с напоминанием что он у нас зарегистрировался.
— Пользователь может копипастить регистрационную информацию в KeePass
— Есть возможность распечатать и отдать секретарю
— Пользователь может хранить письмо в папке «Регистрации» (не безопасно но так делают)
Чем это удобно:
— У пользователя будет письмо с напоминанием что он у нас зарегистрировался.
— Пользователь может копипастить регистрационную информацию в KeePass
— Есть возможность распечатать и отдать секретарю
— Пользователь может хранить письмо в папке «Регистрации» (не безопасно но так делают)
Да, а если, как и сказано в топике, они хранят не только хэш пароля, но и архив отправленной почты?
700млрд эт фигня ) Последний рекорд на BarsWF — 12трлн MD5 в секунду, а абсолютный рекорд — 45.1 трлн :-)
3.14.by/forum/viewtopic.php?f=8&t=1371
3.14.by/forum/viewtopic.php?f=8&t=1371
Статья жутко однобока. Ах, мой пароль сохранили в плейнтексте… ужас, да. Вдруг недобросовестный сотрудник хостера базу дампнет.
Админ сайта с посещаемостью более 500 человек/день имеет доступ ко всем моим данным, включая личную переписку, только потому что может модифицировать любой файл.
При этом, каждому собеседнику на сайте приходится обьяснять на пальцах, почему я требую подписывать сообщения и в идеале переходить на секурный (с теми же подписями) джаббер.
Админ сайта с посещаемостью более 500 человек/день имеет доступ ко всем моим данным, включая личную переписку, только потому что может модифицировать любой файл.
При этом, каждому собеседнику на сайте приходится обьяснять на пальцах, почему я требую подписывать сообщения и в идеале переходить на секурный (с теми же подписями) джаббер.
Ну вот нашли о чем беспокоиться — здравствуй паранойя.
Есть конечно реально важные ресурсы, как google mail или аккаунт к яндексу. Но на многих ресурсах регистрируюсь и захожу один, два раза, только по тому, что мне нужна там ссылка, нужно что то прочитать и т.д., а это без регистрации невозможно. В этой ситуации я вообще не беспокоюсь о пароле на этих ресурсах и мне проще было бы если бы пароль приходил на мыло. Безопасность не должна превращаться в параною. Да а так я конечно использую робоформ.
А есть второстепенные ресурсы, которые могут повредить важным.
Например Fring хранит и высылает пароль в открытом виде, а поменять его можно только через саппорт.
При этом для использования программы в неё можно вводить google, yahoo, msn, twitter пароли. Если они основной пароль не защищают, то наверняка и остальные под угрозой.
Например Fring хранит и высылает пароль в открытом виде, а поменять его можно только через саппорт.
При этом для использования программы в неё можно вводить google, yahoo, msn, twitter пароли. Если они основной пароль не защищают, то наверняка и остальные под угрозой.
>Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся.
Продвинутым пользователям пофиг как они хранятся, у них все пароли разные и случайные. Юзайте менеджеры паролей.
Продвинутым пользователям пофиг как они хранятся, у них все пароли разные и случайные. Юзайте менеджеры паролей.
UFO just landed and posted this here
Обратите внимание на формулировку из топика:
Возможно??? А если какой-то из сайтов занесен туда случайно. Хранит он пароли в защищенном виде, но по каким-то причинам попал в блеклист. В случае общественного порицания это грозит сайту, быть может, потерей репутации и посетителей.
Если уж кто-то из составителей такого списка собрался кого-то осуждать, то, простите за французский, «за базар должен отвечать» ))
К слову на сайте plaintextoffenders есть фраза:
Собственно, не очень корректно это. Хотя, быть может, что в этом есть )
На этом ресурсе ежедневно публикуются сайты, которые, возможно, хранят пароли в открытом виде.
Возможно??? А если какой-то из сайтов занесен туда случайно. Хранит он пароли в защищенном виде, но по каким-то причинам попал в блеклист. В случае общественного порицания это грозит сайту, быть может, потерей репутации и посетителей.
Если уж кто-то из составителей такого списка собрался кого-то осуждать, то, простите за французский, «за базар должен отвечать» ))
К слову на сайте plaintextoffenders есть фраза:
Here we put websites we believe to be practicing this to shame.
Собственно, не очень корректно это. Хотя, быть может, что в этом есть )
А где список сайтов?
Общество без доверие — лишь голодная стая волков, только мяса пока всем хватает.
Сейчас добавлю паранои… Многие жаббер-ресурсы просто вынуждены хранить пароли открытым текстом. В xmpp есть очень популярный и довольно безопасный межанизм авторизации, который для своей реализации требует, чтобы сервер знал чистый пароль. Клиент может у себя сохранять хеш, но серверу требуется знать пароль.
Объясните, пожалуйста, почему в статье про bcrypt по ссылке говорится о бесполезности соли? Ведь если хацкер спер md5 хеш, расшифровал его, то он же не сможет войти на сайт, ведь он расшифровал соленый, а при аутентификации он будет посолен еще раз и хеши не совпадут?
/что то есть захотелось../
/что то есть захотелось../
Как я понял, там подразумевается, что раз уперли базу хэшей, то и коду, где зашита соль доступ тоже имеется.
Ну это совсем не факт: получение доступа к БД не означает доступ и к коду (хотя такие ситуации возможны). Кроме того, да, bcrypt — это круто, но, как верно говорит vkramskikh, не однозначно хорошо.
Кстати, а можно соление перенести в логику БД, в хранимые процедуры? И дать скрипту доступ на чтение таблиц (видов), но не давать на просмотр и редактирование процедур.
Кстати, а можно соление перенести в логику БД, в хранимые процедуры? И дать скрипту доступ на чтение таблиц (видов), но не давать на просмотр и редактирование процедур.
Для надёжной защиты паролей рекомендуется использовать только bcrypt.
Using a work factor of 12, bcrypt hashes the password yaaa in about 0.3 seconds on my laptop. MD5, on the other hand, takes less than a microsecond.
Используйте bcrypt, и организация DoS-атаки на ваш сервис будет легка и непринужденна
30% хранят в открытом, еще неверно с 30% хранят в хешированом с ключом забитым в коде и при полном взломе от этого хеширования толку мало.
Помню пару лет назад была всеобщая обеспокоенность тем, что, кажется, mail.ru после «Забыл пароль» присылал пароль на почту, то есть даже не меняя его, что весьма печально.
Сам храню комплексным хешированием с sha1.
Помню пару лет назад была всеобщая обеспокоенность тем, что, кажется, mail.ru после «Забыл пароль» присылал пароль на почту, то есть даже не меняя его, что весьма печально.
Сам храню комплексным хешированием с sha1.
«Франция делает хешированные пароли незаконными».
yro.slashdot.org/story/11/04/07/0212222/France-Outlaws-Hashed-Passwords
yro.slashdot.org/story/11/04/07/0212222/France-Outlaws-Hashed-Passwords
Они требуют год хранить инфу о каждом пользователе, включая пароль, и предоставлять по требованию государственных учрежденний, включая налоговую инспекцию. Кроме как «французы — идиоты» тут сказать нечего.
В чем проблема шифровать пароль асимметричным ключиком и скидывать куда-душе-угодно?
А для авторизации использовать соль-хеш.
Это, конечно, добавит теоретическую возможность для атаки с учетом коллизий в случае, если будут утянуты обе базы и взломом займутся криптологи-математики, причем толпами, но…
А для авторизации использовать соль-хеш.
Это, конечно, добавит теоретическую возможность для атаки с учетом коллизий в случае, если будут утянуты обе базы и взломом займутся криптологи-математики, причем толпами, но…
Странно что никто не вспомнил сайт vkontakte.ru
150 млн паролей пользователей хранимых в открытом виде (возможно зашифрованном но с вомзможностью получения исходного пароля, но не хэшированном)
навскидку у 70% пользователей пароль совпадает с паролем почты.
150 млн паролей пользователей хранимых в открытом виде (возможно зашифрованном но с вомзможностью получения исходного пароля, но не хэшированном)
навскидку у 70% пользователей пароль совпадает с паролем почты.
Еще один проект в копилку был недавно анонсирован в Full Disclosure и также повлек за собой обсуждение проблемы.
Sign up to leave a comment.
Список сайтов, которые хранят пароли открытым текстом