AT&T запретил нецензурные пароли

    На сайте американского оператора сотовой связи AT&T опубликованы довольно забавные требования к пользовательским паролям. Как ни странно, это вовсе не первоапрельская шутка.



    Максимальное ограничение в 24 символа — это ещё можно понять, такое часто встречается, хотя подобные ограничения вызывают критику со стороны специалистов по информационной безопасности как не имеющие технического объяснения. Более интересен последний пункт — запрет на нецензурную лексику.

    Необычные требования к паролям AT&T заметил пару дней назад инженер по безопасности и инфраструктуре компании Twitter.
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 43

      +7
      А в каких случаях свой пароль нужно диктовать по телефону сотруднику тех поддержки?
        +3
        Буквально десять дней назад оформил онлайн новый контракт на мобильный телефон, зарегистрировался на сайте оператора, пароль получилось задать раза с пятого — то слишком короткий, то все буквы строчные, то цифр нет. Так это меня достало, что в конце концов задал таки нецензурный пароль (русское слово латиницей) — всё равно же его никто кроме меня не увидит.
        В итоге мне его прислали открытым текстом отпечатанным в договоре, который я подписал и отослал оператору, и за неделю мне пришлось трижды назвать свой пароль службе поддержки по телефону, и один раз я видел его опять таки открытым текстом на экране компьютера в филиале оператора. Завтра ещё раз пойду в филиал оформлять перенос старого номера но новый контракт — работник опять откроет моё «дело» со всеми данными и моим паролем. Хорошо хоть я пока не попадал на русскоговорящих сотрудников :-/
          0
          Ну у нас в стране это кажется вдоль и поперек нарушает закон «О персональных данных» (тот которых 152 ФЗ), причем не только паролем, я так понимаю они там ко всем ПДн так относятся — это не дело, надо бы конечно встряхивать такие «организации», но это время, нервы и морока =) Ну и само собой фраза «Хорошо хоть я пока не попадал на русскоговорящих сотрудников :-/» заставляет задуматься, что у Вас «там» могут быть совсееем другие законы =)

          А вообще по поводу нецензурщины бред конечно же какой-то =) мутный смысл у предпоследнего пункта (но тут можно сделать скидку на то, что это достаточно распространённые слова и они первые в словарях брутфорсера =) )
            0
            У нас очень фиговый закон о персональных данных. Главный его недостаток — нечеткость определения что является персональными данными, а что нет. Но даже этот закон сообщение своего пароля поддержке своего оператора отдельно не нарушает — он его и так знает (или может знать).
              0
              Ну как фиговый, в '11 году он был почти полностью изменён и сейчас там уже более или менее просматриваются конкретные моменты, но всё же позволю себе заметить, что я имел ввиду не конкретно только пароль, а то что там могут быть и другие данные по-мимо пароля, данные о документе удостоверяющем личность, адреса, телефоны и так далее…

              Ну а насчёт нечеткости ясное дело у нас так почти во всех законах, а в 152ом есть косяк, кстати, с Паспортом гражданина РФ, так и не понятно является ли он прямым ПДн либо косвенным =)
                0
                Определение персональных данных не менялось, а это основное.
                  0
                  Снова позволю себе не согласиться, Вы говорите об определении термина «Персональные данные»?

                  152 ФЗ от 2006 года
                  персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация


                  152 ФЗ редакция 2011 года
                  персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)


                  В новой редакции имеется упоминание о «косвенных» данных, так что разница ощутима, да и охват шире, но не отрицаю неточности =)
                  На сим предлагаю закончить обсуждение ибо это уже оффтоп какой-то пошел =)
                    0
                    Я имел в виду, что по существу оно не изменилось. Ни одного нового критерия по сути не прибавилось, ни одного старого не убавилось.
        +16
        Russkim v amerike na eto p0hu1! ^_^
          +1
          А у нас даже были [eqdfv. Весело кому-то диктовать или передавать.
          0
          Чуть не купился ))) Зачетный праздник 1 апреля
            0
            А вот мне неочевидно, что это шутка. Может, там действительно надо свой пароль по телефону диктовать.
              0
              Парольная фраза, вводимая человеком или говоримая должна быть произвольной! Что если мой генератор паролей на генерит случайно 2014fuCk001 прикажите отказаться? )
                0
                По-хорошему — да. Включая односимвольные пароли (разумеется, стоит предупреждать юзера и потенциальных проблемах).
                Но кого это волнует? Поставили требования — пользователям придётся соблюдать.
                  0
                  >>Но кого это волнует? Поставили требования — пользователям придётся соблюдать.
                  Я очень крепко задумаюсь над необходимостью использовать ресурс, если вдруг у него будет такое требование.
                  +2
                  — Назовешь пароль и пустят, — решает Илья. — Только он очень секретный, учти.
                  — Правда? Я никому не скажу.
                  — Сердце и Любовь! — торжественно произносит Илья.

                  Давлю смех. Пароль, имеющий хоть малейший смысл, уже не пароль. Однажды, когда военный генератор пароля случайно выдал осмысленную фразу, подтверждая древний тезис об обезьяне, которая способна сочинить «Войну и мир», паника поднялась на весь бывший СССР...
                  +4
                  И что? Продиктовал по буквам, и нет проблем.
                  Если оператор их в слова сложил и стал смысл искать — его проблемы :)
                  0
                  Не первоапрельская шутка. В кэше Гугла есть версия страницы от 20 марта, где есть та же фраза.
                  +7
                  Вспомнилось
                  — Зато никому и никогда этот ключ не подобрать!
                  — Конечно! Такие уроды, как ты, рождаются раз в столетне!
                    0
                    Лабиринты! Классика )))
                      +1
                      Ага. До сих пор интересно, что там было такое у Падлы, что трех (или все же двух) взрослых мужиков в ступор загнало.
                        –2
                        Сорок тысяч обезьян в жопу сунули банан
                          +9
                          Это пароль, кажеся, Чингиза. Пароль Падлы до сих пор остается неизвестным. Хороший пароль.
                            +1
                            Каждый раз на обсуждении этого пароля, у меня стойкое ощущение дежавю… Кажется, что именно такую цепочку комментариев я уже где-то видел (включая ошибку, связанную с обезьянами).
                              0
                              Повторяйте за мной; «Глубина, глубина, я не твой». Вы, наверное, уже реальности путаете от долгого пребывания в скафандре:)
                                0
                                Не, на самом деле не в первый раз :)
                                  0
                                  Ох, боюсь не поможет :)
                                  0
                                  Потому что в каждом треде будет спрашивающий о пароле падлы, и умник, который ему ответит.
                        +2
                        Вы не можете войти на данный ресурс — Ваш пароль содержит осмысленные фразы, оскорбляющие чувства администраторов и технической поддержки.
                          +3
                          При чем тут поддержка? Это офицера госбеза они оскорбляют.
                            +1
                            Если его способен шокировать мой пароль — дальше ему лучше даже не заходить. Чтобы не травмировать психику.
                          –1
                          Давным-давно, лет 10 назад, завел себе у провайдера аккаунт, почему-то с абсолютно нецензурным не только паролем, но и логином. И вот как-то возникла у меня проблема, ситуацию спасло только то, что в техподдержке работали знакомые ребята, а то пришлось бы объяснять, что третья буква вместо русской «й» латинская «y», «игрек». Больше так не баловался :)
                            0
                            А какой кластер они используют для хранения нецензурных слов? Или просто термсы?
                              0
                              Нецензурщина — фигня. В конце концов, это ограничение из той же серии, что и запрет на 12345 и password — слишком легко подбирается. А вот запрет на использование не-букв-или-цифр — весьма сурово и совершенно дебильно. Причем я с этим запретом столкнулся как минимум у двух провайдеров: AT&T и Verizon.
                                +1
                                Возможно, вам придётся диктовать свой пароль по телефону индусу из техподдержки, и как вы будете объяснять непечатаемые символы и прочие ¥) '▪¿★₩?
                                  0
                                  Ну уж простые-то вещи типа $@#*! можно было бы разрешить. Кроме того, я много раз обращался в поддержку, но никогда не говорил им свой пароль — у них есть свой доступ к данным. Проверяют адрес, дату рождения, SSN, но не пароль.
                                    0
                                    Проверяют адрес, дату рождения, SSN, но не пароль.
                                    Из названных вами данных только пароль может быть произвольно придуманным, а остальное — неизменяемая публичная информация (ну, переехать вы иногда можете :).
                                    Правила у операторов разные — мой последний оператор спрашивал адрес и день рождения, иногда данные банковского счёта, а Vodafone, о котором я написал в ветке выше, спрашивает как раз пользовательский пароль.
                                      0
                                      Во-первых, эта информация не такая уж неизменяемая — адрес может меняться довольно часто. Во-вторых, SSN, например, отнюдь не публичен. Да и другую инфу не так уж просто добыть для конкретного человека. В-третьих, для решения серьезных вопросов могут быть дополнительные проверки (например, сумма последнего счета за телефон). Ну и в-четвертых, пароль — это как раз слишком личная информация, чтобы сообщать ее оператору. Банки же не просят клиентов сообщить пин от карточки. Да, кстати, я сталкивался и с ситуациями, когда пользователь заводит как бы два пароля: для себя и для общения с поддержкой. Как правило, второй — это просто цифровой пин-код, а не полноценный пароль. Там мне пофигу ограничения.
                                        0
                                        Вы пароль сообщаете оператору по любому. Хотя бы когда его задаете. И какой-то особой ответственности за неразглашение пароля оператор не несет. В любом случае не большую чем за разглашение ваших ФИО, а то и меньшую.
                                          0
                                          Тот пароль, который используется для входа на сайт (см. картинку наверху и тему топика), никакому оператору я не сообщаю. Вы что-то путаете.
                                            0
                                            Как это не сообщаете? А как он тогда узнает, что пароль ваш, если вы ему его не сообщили?
                                              0
                                              Вы под оператором имеете в виду AT&T, а не конкретного человека на телефоне? Тогда, конечно. Но речь совсем не об этом.
                                                0
                                                Именно. Но в общем случае этот пароль может быть известен любому сотруднику оператора и без того, что вы его по телефону сообщили. Давали вы согласие на обработку ПДн юридическому лицу. Оно вправе привлекать любого своего сотрудника от руководителя до уборщицы.

                              Only users with full accounts can post comments. Log in, please.