Хотите заблокировать распространённые пароли? Извините, это запатентовано



    По западной статистике двухлетней давности, 4,7% пользователей выбирают в качестве пароля слово “password”, 8,5% — “password” или “123456”, 10 самых популярных паролей покрывают 14% всей пользовательской базы (40% — топ-100, 79% — топ-500, 91% — топ-1000).

    При создании сайта было бы вполне логично составить список общеупотребительных паролей и запретить их при регистрации пользователя. Казалось бы, вполне логичная идея, но… к сожалению, процесс аутентификации в ИТ покрывается множеством патентов, пишет консультант по ИТ-безопасности Марк Бернетт (Mark Burnett). Они описывают самые очевидные, общеизвестные и обыденные техники. Похоже, абсолютно все возможные аспекты выбора пароля, процесса аутентификации, хранения и восстановления информации защищены одним или несколькими патентами.


    И это только один аспект использования паролей, а ведь есть ещё восстановление забытых паролей, безопасная переустановка пароля, использование одноразовых паролей, блокировка аккаунта, генерация произносимых паролей, парольные подсказки и даже резервные пароли (бэкдоры от производителя). Вообще, юристы могут сказать даже, что этот патент описывает суть самого пароля вообще, если не считать prior art в искусстве, а именно — в сказке про Али-Бабу («Сезам, откройся»).

    Вообще удивительно, как ловкие предприниматели сумели зарегистрировать такое большое количество патентов на эту тему. Наверное, их вообще не должны были выдавать. Хорошо ещё, если они принадлежат крупным корпорациям вроде IBM, которые наверняка не будут подавать в суд на каждую мелкую фирму. Но что, если за дело примутся патентные тролли?

    Это наглядный пример, как патенты наносят прямой ущерб информационной безопасности компьютерных систем, а значит, всем пользователям.
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 109

      +2
      Не знал, что Google предоставляет отдельный сервис для поиска патентов. Очень круто.
        +5
        И предлагает обсудить патент на stackexchange.com.
        +46
        4,7% пользователей выбирают в качестве пароля слово “password”, 8,5% — “password” или “123456”

        Надолго завис, пока не увидел или.
        P.S. При регистрации на некоторых сайтах и пароль свой использовать как-то не хочется.
          +5
          Учитывая то, что некоторые свои пароли не солят, а некоторые вообще просто в виде текста хранят.
            +1
            а вот порой бывает кейс на возможность вспоминания пароля.
              +15
              «Невозможно использовать введенный пароль, так как этот пароль используется пользователем Sasha. Введите другой пароль»
              +42
              Я два раза по буквам сверял…
              • UFO just landed and posted this here
                  –1
                  А я скопировал и вбил в поиск :)
              +19
              Интересно, эта абсолютно бредовая ситуация с патентами когда нибудь будет нормализоваться?
              Или маразм и дальше будет только крепчать…
                –2
                Надо запатентовать возможность подавать в суд за нарушение патента.
                  0
                  А патентная система запатентована?
                    0
                    Запатентовать иСпользование понятия патента в зале Суда
                        –3
                        Я не предлагал патентовать патентование.
                        0
                        Лучше патентовать патентный троллинг как средство патентного троллинга, так рекурсии больше. Авось тогда все ресурсы закончатся.
                          0
                          –2
                          Тут беда вот чём, как нормализовывать? Отменить патенты? Дык тогда знания будут скрывать как рецепт кока-колы, а если скрыть нельзя, то вкладываться в R&D не будут, новых технологий не появится. Давать патенты только на нетривиальные изобретения? А как решить, какие — нетривиальные?
                            0
                            По крайней мере нужно пересмотреть сроки действия (для разных сфер)
                              +1
                              Это как именно?
                              P.S. Оставлю это здесь.
                              +30
                              Можно продумать ряд мер против маразма. Например:
                              1. Отменять патенты на очевидные технологии массового использования, вроде описанных в статье.
                              2. Отменять патент если фирма не использует его по прямому назначению. Против тролей.
                              3. Отменить все тупые патенты на «прямоугольник с экраном». И впредь такую херню не патентовать.
                              4. Ограничить патенты каким-то разумным сроком, вроде 5-7 лет. Не успел реализовать свой патент? ССЗБ, надо было шевелить помидорами.
                              5. Патентоваться должен только реально работающий прототип или технология. Никаких патентов на идеи еще не существующих технологий.

                              Т.е. это я так, «на вскидку» написал. Понятно что каждый пункт очень спорный, но ведь я и не говорю что эти пункты истина в последней инстанции.
                              Формулировки надо продумывать хорошо. Например сроки ограничивать по типам патентуемого объекта.
                              Но в целом всегда можно включить голову и улучшить ситуацию. Самое главное это смотреть на результат и править законы согласно им.

                              А то ведь сделают хорошо, дадут новаторам защитить свои разработки, и всегда найдутся паразитирующие козлы, которые запатентуют «прямоугольник с экраном» или «пароль».
                                +4
                                1. Нужен формальный критерий «очевидности». Предлагайте формулировки. И кстати, тот, кто первым придумал пароль на заре компьютерной эры — действительно совершил изобретение. Также хеширование, соль, звёздочки, счётчики попыток, противодействие timing attacks и куча других усоверщенствований — также нетривиальные изобретения.
                                2. Не получится. Тролли будут делать устройство в одном экземпляре и продавать его другому троллю.
                                3. См. п.1
                                4. Не будет серьёзных исследований, будут только круглые края
                                5. См. п.2

                                  0
                                  Вы наверно не дочитали мой камент до конца…

                                  >Т.е. это я так, «на вскидку» написал. Понятно что каждый пункт очень спорный, но ведь я и не говорю что эти пункты истина в последней инстанции. Формулировки надо продумывать хорошо.

                                  На всякий случай поясню еще раз. Это не предложения для конкретных действий и не законопроекты какие-то.
                                  Это всего лишь мысли, призванные показать общие идеи.

                                  В общем-то всем должно быть понятно, что реальные действия надо будет продумывать гораздо более досконально и тщательно.
                                    0
                                    Дочитал. Попробуйте «продумать досконально» и увидете, что почти невозможно придумать выход, который бы всех удовлетворил.
                                      0
                                      Так ведь этой проблеме ни один десяток веков уже.
                                      Собственно как и решению.
                                      Думали-думали умные головы как сделать список правил на все времена и случаи жизни, да и придумали, что в к крутому списку правил (законов) должен прилагаться человек (судья, патентный эксперт и т.п.) который будет их интерпретировать. И человек должен быть «надежный», такой чтобы ему все доверяли (в некоторых законодательных системах судьи избираемая должность), и даже механизмы апелляций и кассаций придумали (кстати не только в суде, но и в различных экспертизах и т.п. обычно предусматриваются механизмы апелляций).
                                    –1
                                    Простите, но по первому пункту не соглашусь. Это никак не изобретение а использование вековой традиции секретных слов, откуда собственно слово «пароль» и пошло. Так что prior art.
                                      –1
                                      Хеширование паролей, соль, звёздочки — тоже prior art?
                                    –1
                                    Arm
                                    +6
                                    ИМХО, пусть уж лучше скрывают, так хоть своим умом переоткрыть можно, чем будет вот такая ситуация — всё открыто, но пользоваться ни хрена нельзя.
                                    А что не будут вкладываться в R&D — это не доказано. В СССР, как пример, технологии развивались довольно активно, да и Китай сейчас старается как можно меньше с патентами заморачиваться.
                                      0
                                      В СССР развивались космос, оружие (да и то, атомную бомбу тоже «подсмотрели»). А вот автомобили, микропроцессоры и операционные системы — копировались. Про Китай, насколько я знаю, всё аналогично.
                                        +3
                                        Процессоры копировались отнюдь не всегда… Просто в один момент наши генсеки решили что это выгоднее, нежели тратить народные деньги на исслледования… вот только не учли что эта отрасль развивается «немного» быстрее, чем технологии производства галош. И то что инженеры для этого все равно нужны.
                                          +2
                                          В СССР были еще авторские свидетельства, за которые изобретатели получали от государства неплохие деньги, а технология за это становилась общедоступной. А большие корпорации и без патентов спокойно протянут. Они нужны как раз изобретателям одиночкам.
                                          +1
                                          Совершенно верно. Особенно если учесть, что патенты специально составляются так, чтобы: 1) по описанию чрезвычайно сложно было повторить эту технологию; 2) по возможности, скрываются существенные детали.
                                          +1
                                          Например, простую систему аннулирования патентов, если предъявить реализацию, созданную раньше подачи патента.
                                            +1
                                            Дык есть. Проблема в том, что от расстановки ловушек для отстающих на шаг конкурентов это спасать не будет.
                                          –2
                                          В таком случае, нужно составить закрытый перечень (без всяких и т.д.) того, что патентовать нельзя. Думаю, такой перечень составить не получится. Да, мы так и будем патентовать смайлики и закругленные края телефонов.
                                            0
                                            Не знаю как в других странах, но в америках патентная система устроена так, что патентуют все подряд, что угодно и на что угодно. Хоть на колесо.
                                            Самый смак в том, что в здравости этих патентов разбираются не на стадии патентования(как в России, например), а постфактум в судебных разбирательствах, и таким образом создается огромная кормежка для всех судебных и околосудебных кругов. Вобщем Америка — страна созданая юристами для юристов.
                                            0
                                            Если выдать пользователю сообщение «Ваш пароль слишком простой, измените его… {варианты как}»
                                            Как можно на этом основании подать в суд?

                                            Как 1 из вариантов может он уже запатентованный.
                                            Просканировать свою базу паролей выявить совпадения.
                                            Если совпадений больше 5-10, написать в личку пользователю, о том что неплохо бы сменить пароль.

                                            Но чувствую и такой метод уже запатентован :)
                                              +1
                                              Так в базе же хеши хранят, а не сами пароли.
                                                0
                                                Спасибо за поправку!
                                                Хеши одинаковые будут.
                                                  +1
                                                  Так там же ещё рандомно сгенерированную соль добавляют, как раз, чтоб хеш у одинаковых паролей разный был.
                                                    0
                                                    А как рандомно подставляют соль при проверке?
                                                      +1
                                                      Её вроде рядом хранят.
                                                        0
                                                        Ну а как такой вариант, хранить прямо пароли да даже в открытом виде но без какой либо привязки.
                                                        По этой таблицы мы все равно сможем получить статистический срез. И сравнить с тем что недавно ввел пользователь.
                                                        К тому же мы можем в явном виде при вводе пароля указать ТОП-10 паролей которые нежелательно\нельзя использовать.

                                                        Алгоритм требует доработки.
                                                          0
                                                          Надо автодополнение выводить. С информацией о том, сколько уже таких паролей есть. Против дураков все равно не защитишься, а умный — задумается.
                                                            +19
                                                            Лучше как в том баяне:

                                                            «Невозможно использовать пароль 'XXXX', поскольку его уже использует пользователь vasya@example.org»
                                                            +5
                                                            О, да. ТОП-10 паролей в нашей системе! Отличная идея :D
                                                              0
                                                              Ну топ-10 можно вывести когда все уже его сменят! Через кнут\пряник.

                                                              Хотя кому надо поломать и так найдут информацию о ТОПовых паролях.

                                                              Я предлагаю ввести список первичных паролей и отдельно откорректированных пользователем.(обе таблицы в открытом виде без какой либо привязки к пользователю, только для статистического анализа)

                                                              Алгоритм требует доработки.
                                                            –1
                                                            А раз хранят рядом, то что мешает сравнить по алгоритму верификации???
                                                            Подставляем соль юзера 1, хэшируем, сравниваем с хэшем пароля юзера 1, и т.д.?!
                                                              +1
                                                              Представьте такое проделывать на какой-нибудь фейсбуке с миллиардом аккаунтов…
                                                    +1
                                                    Кстати надо брать не 5-10 совпадений. Т.е. абсолютную величину а процент или 5-10 совпадений (ну когда база еще маленькая)!
                                                      0
                                                      Так как при использовании соли хеши будут разными, то можно обезличено хранить список всех паролей — или хешей от них, посоленых отдельно. И при установке пароля получать хеш, смотреть в табличке был ли такой раньше, и если использовался много раз то блокировать. Если не много таких — увеличивать счетчик на 1.)) Тогда можно вести статистику паролей без нарушений безопасности клиентов
                                                        0
                                                        По поводу лички: если при этом логины видны пользователям, это всё равно, что сказать: «попробуй найди те пять логинов, у которых такой же пароль!».

                                                        По поводу сравнения хэша с хэшами плохих паролей: воображаю себе лицо человека, который вбил сумасшедшей сложности пароль, хэш которого
                                                        случайно совпал с 12345, и которому сказали, что его пароль слишком простой. Весело, угу)
                                                        +1
                                                        Интересно, а кто-нибудь пытался объяснить феномен именно шести цифр 123456? Почему, не 1234567 или 12345678. Я сам, когда регистрировался на левых форумах, часто использовал именно шесть цифр. Это особенности психологии?
                                                          +12
                                                          «Введите пароль, минимальная длина 6 знаков».
                                                            +5
                                                            В пользу этой гипотезы говорит и то, что пароль «fuckme» оказался популярнее «fuckyou» ;-)
                                                            +1
                                                            Часто 6 цифр — минимальная длина пароля.
                                                              0
                                                              Было распространено ограничение «минимум 6 символов», ну и набирать на нумпаде удобно.
                                                                +1
                                                                Два ряда на нум-локе.
                                                                  –5
                                                                  Может я и неправ, но если у человека хватает ума пользоваться нампадом, то хватит и для норм пароля)
                                                                    +3
                                                                    Тут же вроде обратная зависимость.
                                                                      +1
                                                                      Для меня открытие, что адекватный человек не пользуется напмпадом. Как без этого вслепую печатать :)
                                                                0
                                                                Если при регистрации была указана почта. Можно предложить сменить пароль в течении n-минут\часов\дней.
                                                                Если пользователь его сам не сменит, выслать новый пароль на почту!

                                                                Правда это не дружелюбно будет.
                                                                  0
                                                                  Пароль на почту в открытом виде. Гениальная идея!
                                                                    0
                                                                    Есть вариант лучше?
                                                                    Выдать всплывающее сообщения на 3 сек. Ваш новый пароль: ~787@^gfkdHjd
                                                                    Шутка.

                                                                    А то мне интересно, может вы лучшее решение проблемы предложите. Если оно будет лучше я выберу ваше. (Если не запатентуете конечно)
                                                                      0
                                                                      Окей, высылаем хешированный пароль -))
                                                                        0
                                                                        А что не так?
                                                                        Генерируем новый пароль, высылаем на почту пользователю.
                                                                        Генерируем новую соль, считаем хэш, сохраняем в базу эту новую соль и хэш.
                                                                        Я лично видел много сервисов высылающих логины/пароли при регистрации на почту. И мне это удобно для не критичных сайтов.
                                                                        А если у пользователя взломали почту, то вероятнее всего и пароль вашего сервиса сменить смогут, если не было привязки к телефону и т.п.
                                                                          +3
                                                                          Пароль нельзя передавать в открытом виде. Воообще никогда. Никак. Это аксиома просто.
                                                                            0
                                                                            Что именно вы хотите сказать:
                                                                            1. Все сервисы посылающие пароль на почту не безопасны.
                                                                            или
                                                                            2. Сервисы посылающие пароль на почту пользуются дополнительными ухищрениями для безопасности (и тут становится итересно какими).
                                                                              0
                                                                              Напиши об этом, например, в яндекс. Там, видимо, об этом ничего не знают.
                                                                                +2
                                                                                При отправке заменять звездочками!
                                                                                  +2
                                                                                  Аутентификация на любом сервисе, не использующем https — это уже передача пароля открытым текстом в виде POST-запроса. Небезопасно, да. Но так делают, увы, почти везде.
                                                                            +13
                                                                            Патенты убивают прогресс.
                                                                              +3
                                                                              Во, а мужики-то не знают!

                                                                              sourceforge.net/projects/cracklib/
                                                                                0
                                                                                А если этот дебилизм вылезет из IT-сферы и перекинется на обычную жизнь?
                                                                                И будет: «Дышать — запатентовано, потреблять пищу, смотреть, говорить, двигаться, слушать, рожать — тоже.»
                                                                                Что тогда?!
                                                                                  +3
                                                                                  «Этот дебилизм» из обычной жизни влез в IT, вообще-то. Просто изначально патенты использовались во имя добра, мира и всеобщей справедливости: как выше говорят, чтоб технологии были открыты, а не прятались за семью печатями как коммерческая тайна. А теперь, когда патентуют кучки пикселей с закруглёнными углами, это стало просто бредом.
                                                                                  +2
                                                                                  все что не проходит критерий «не должно противоречить здравому смыслу» — идет далеко и на 3 буквы)

                                                                                  я лучше в суде буду доказывать свою возможность пользоваться своими алгоритмами, чем заниматься физофреническими само ограничениями вызванными подобным бредом)
                                                                                    –1
                                                                                    Здравый смысл — понятие относительное, сформулировать «соответствие здравому смыслу» невозможно.
                                                                                      –1
                                                                                      согласен в чем-то с вами, довольно размытое понятие, но его возможно «фальсифицировать», т.е. придумать ситуации, которые не удовлетворяют этому критерию — пример «запатентовать понятие „цикл“ for или foreach — и объявить всех кто его использует „вне закона“, — это противоречит здравому смыслу… так, что посылать на три буквы все что ему противоречит, не так уж и сложно.
                                                                                    +1
                                                                                    Подскажите, какие сроки патентов в США? Мне помнится, что 20 лет, но вдруг ошибаюсь.
                                                                                    Многие из патентов по ссылкам выданы в 1990—1994 годах, это значит, что они либо уже истекли, либо скоро истекут. А тот, который на саму суть пароля, ещё из 1970-х. Вы уверены, что для того времени это не было действительно новой идеей?

                                                                                    Относительно патентов 2000—2005 года: да, они будут действовать ещё долго, но вы уверены, что в статье ссылки на все патенты? Мне кажется, что большинство идей, которые мы считаем очевидными, есть и в других (более ранних) патентах.

                                                                                    PS: На самом деле, идея патентов сама по себе довольно хороша, просто она не пересматривалась со времён, когда два десятилетия ещё были адекватным сроком.
                                                                                      –1
                                                                                      Это наглядный пример, как патенты наносят прямой ущерб информационной безопасности компьютерных систем, а значит, всем пользователям.

                                                                                      Это наглядный пример передергивания: накопать какие-то патенты, которые никогда не использовались и сделать из этого далеко идущие выводы: «патенты наносят прямой ущерб». Какой прямой ущерб, блин? На кого-то подали с этими патентами в суд? Нет. Кто-то использовал говеные решения из-за этих патентов? Нет! Кто-то из пользователей перестал выбирать или записывать пароли из-за этих патентов? Нет! Зато любой может с ними ознакомиться и почерпнуть интересные идеи для своей системы безопасности.
                                                                                        +3
                                                                                        Начать с того, что после того как вы ознакомились с патентом и «почерпнули оттуда идею» — у вас больше нет морального права реализовывать её без разрешения владельца патента. То есть, в идеале, если вы хотите сделать на своем сайте аутентификацию по паролю — нужно найти владельца соответствующего патента и получить от него разрешение. Разумеется в случае подобных общепринятых решений это бред, что только подчеркивает идиотизм ситуации. Это примерно также, как если бы Форд запатентовал замок зажигания — что мы тогда увидели бы в автомобильной отрасли?

                                                                                        То что эти патенты никогда не использовались ничего не меняет — сегодня не использовались, завтра будут. Некоторые патенты Sun тоже «никогда не использовались» пока их владельцем не стала Oracle.
                                                                                          –2
                                                                                          Идеи не патентуются, патентуются реализации, разве нет? Можно сделать иную реализацию. Но это все не отменяет того, что приведенная мной цитата — полный бред. Вот если вдруг попадут кому-то эти патенты, он решит их использовать для наезда, успешно посудится, и эти функции перестанут массово использоваться — вот тогда и поговорим об ущербе, да и то не прямом и не для всех (те, кто не надеется на проверки на сайте, а сам выбирает смльные пароли — вообще не заметит), да и вообще может сказаться в лучшую сторону — придется придумывать методики как сделать пользователю хорошо, безопасно и патент не нарушить, и придумают, будьте уверены, а значит будет прямая выгода.

                                                                                          Наглядный пример — патент на slide to unlock привел к появлению десятка самых разных методов раблокировки, еще и более удобных и функциональных, чем у apple.
                                                                                            0
                                                                                            Во-первых в статье идет речь о том что запатентована не только проверка силы пароля, но и сам способ аутентификации с помощью пароля, способы восстановления пароля и множество других связанных с этим вещей.

                                                                                            Во-вторых, по крайней мере в Америке патентуются идеи. А даже если реализации — попробуйте сделать существенно другую реализацию входа на основе логина и пароля чем «два текстовых поля и кнопка входа» чтобы это было удобно и интуитивно понятно пользователю.

                                                                                            Так что как минимум потенциальный ущерб от подобных патентов есть. То что все на это забивают (а владецы патентов не подают в суд) оправданием порочности подобной ситуации не является.
                                                                                        0
                                                                                        Брехня, многие используют проверку по словарю при регистрации, например, Twitter и VMware (в некоторых продуктах).
                                                                                          0
                                                                                          А вот и эти ребята компании, которые с которых можно доить роялти.
                                                                                          0
                                                                                          >> 4,7% пользователей выбирают в качестве пароля слово “password”, 8,5% — “password” или “123456”

                                                                                          Не пользователей, а аккаунтов, разница есть. Когда мне нужно зарегистрироваться на полминуты, чтобы что-то посмотреть, пароль ставлю любой простейший. Какая разница, если к созданному аккаунту никогда не вернусь. Их статистика именно такие тестовые/временные регистрации и отражает.
                                                                                            +17
                                                                                            Меня бесит, что каждый говноресурс считает себя самым важным и необходимым.
                                                                                            К примеру, гугль ну никак не хотел принимать пароль qwerty — пришлось вбить что-то вроде kjhsdgfkjhsgjkhdfieruy, который я сразу же и забыл.
                                                                                            Но я регистрировал аккаунт для гугломаркета, поэтому пароль остался где-то в недрах планшета, все равно про его существование я уже не помню.
                                                                                            Некоторые любят долбить напоминаниями вида «вы не меняли пароль полгода». ДА Я ХОЖУ К ВАМ РЕЖЕ!
                                                                                            «Вы забыли привязать свой телефон» — да хрен ты его от меня когда-нибудь вообще получишь, не собираюсь я разному говну телефон свой давать.
                                                                                            Итог: я даже не знаю своего пароля в гугле, хотя там могло бы быть qwerty и это было бы в моем случае лучше.

                                                                                            Хочу процитировать Каганова:
                                                                                            Хваленый Ubuntu оказался жутким дерьмом. Да, он конечно красивый, и умный, и понимает всякое оборудование (по-моему это не его заслуга), но первый звоночек прозвенел, когда Ubuntu не позволил выставить пароль пользователя меньше 6 символов. Не выдал предупреждение о безопасности, а просто сказал: нет, никак не меньше 6 символов! Не можешь придумать сам — я тебе придумаю набор букв чтоб ты мозг сломал. А не нравится — вообще гуляй отсюда, меньше ставить не позволю! Да какое твое дело, чурка африканская, какой длины у меня пароль? Думаешь, «Q7wEz» подобрать легко, а вот «abc123» — уже все, неподбираемо? Да кто ты вообще такой, указывать мне, какие мне ставить пароли на моем собственном домашнем компьютере? Что ты понимаешь обо мне, моей внутренней сети и моих задачах? А может я полярник один во всей Антарктиде на ноутбуке с отключенным интернетом в негнущихся варежках на пингвиньем пуху, и для меня каждый лишний символ — пытка? Ты думаешь, что ты такой умный, а я такой тупой пользователь, что ты лучше меня знаешь, что мне надо? И у тебя есть право мне жестко навязывать свое мнение? Да ты тогда не Линукс ни разу, ты просто Виндоус! Потому что Виндоус — это не наличие/отсутствие ядра от Торвальдса, а вот эта самая тоталитарная идеология: за тебя все решено, слушай, Пахомыч, свои «валенки-валенки» и не гони, а только деньги плати

                                                                                            Полностью присоединяюсь к Каганову и всячески поддерживаю подобные патенты (хотя патенты и зло). Пользователю виднее, какой пароль он хочет. И если не здравый смысл, то хоть патенты одних идиотов будут сдерживать других идиотов.
                                                                                              +3
                                                                                              После взлома аккаунта пользователь сам же и начнет жаловаться, «а почему меня не предупредили, что у меня пароль — гавно?», «а я вам доверял», «засужу» и т.п.
                                                                                                +7
                                                                                                Предупреждать и не позволять — разные вещи.
                                                                                                  +2
                                                                                                  Это политика (безопасности). если нельзя, но очень хочется, то можно делать рутом.
                                                                                                  sudo make me a sandwich
                                                                                                +1
                                                                                                К сожалению, не знаю кто такой Каганов, но столько текста из-за такой ерунды.
                                                                                                  +4
                                                                                                  Это не ерунда. Например, у меня на домашнем компьютере пароль всего 5 символов да еще (о ужас!) совпадающий с логином. Небезопаснее некуда. Но это неважно, потому что его назначение — защита не от хакера, а от двухлетнего ребенка и мое удобство мне важнее какой-то «безопасности», которая в данном случае обеспечивается другими средствами.
                                                                                                    –4
                                                                                                    Таки ерунда.
                                                                                                    Если пользователь достаточно компетентен, чтоб игнорировать предупреждения системы, то он нагуглит решение (sudo passwd username).
                                                                                                    И нет, предупреждения, которое можно просто проигнорировать, нажав Ok не достаточно — такие ни кто не читает.
                                                                                                      +3
                                                                                                      Тут дело в идеологии. Система мне нужна, для того, чтобы помогать работать, а не мешать. Зачем мне ОС, с которой я должен бороться, обходить ограничения, вместо того, чтобы решать свои проблемы. Может быть в первый раз в жизни это и весело: «Yeah, I hacked it!», но вообще-то это не нужно.

                                                                                                      У нас на работе когда-то заставляли менять пароли примерно раз в месяц. Когда у меня закончились стандартные варианты, я спросил одного человека: «Как вы придумываете пароли?» — «Пиши название месяца.» Действительно, это отличная идея. Потому что ничего, кроме раздражения, такая политика не приносит. Это просто не работает.
                                                                                                        0
                                                                                                        Именно в идеологии.
                                                                                                        Есть огромное количество подходов к подобным вопросам.
                                                                                                        Как система должна быть сконфигурирована по умолчанию? В духе «пользователь — сисадмин» или в духе «мы подумали за вас»?
                                                                                                        А не известно. И разные системы придерживаются разных идеологий.
                                                                                                        Я могу такие «ужасно неудобные» моменты рассказать про все системы, с которыми работал. Но меня они не раздражали, так как вписывались в идеологию системы.

                                                                                                        И да, убунту позиционируется как система для домохозяек. Это именно идеология «мы подумали за вас». Но это известно еще до установки. Почему кто-то ждет от нее другой идеологии?
                                                                                                        Есть дистрибутивы с другими идеологиями.

                                                                                                        Кстати, вспоминая Каганова. Почему от него не было столь же длинного и эмоционального опуса про то, что винда при установке не позволяет имя машины задать совпадающим с именем пользователя? Может потому, что синдром утенка?
                                                                                                          0
                                                                                                          Если бы они подумали за нас, то вообще не показывали этот диалог запроса пароля. Зачем этот пароль домохозаяйке? Он нужен системе в основном для sudo. А запрос этого пароля происходит при установке пакетов или чего-то в этом роде. Но вот в той же Windows система как-то справляется с запросом повышения привилегий без запроса пароля.

                                                                                                          Почему от него не было столь же длинного и эмоционального опуса про то, что винда при установке не позволяет имя машины задать совпадающим с именем пользователя?
                                                                                                          Потому что не устанавливал винду? Ну или потому что не ассоциирует себя с компьютером (я, например, никогда не хотел называть комп по имени пользователя)
                                                                                                            –1
                                                                                                            В винде долгая история работы под админскими правами, что они исправили запросом на повышение привилегий. Молодцы, кстати. Но от детей и просто случайных людей за компом это не спасает. Насколько это критично — спорный вопрос.
                                                                                                            В линуксе — долгая история sudo, продолжаемая, как вы правильно заметили, GUI запросами пароля при административных действиях.

                                                                                                            я, например, никогда не хотел называть комп по имени пользователя

                                                                                                            А я ни когда не хотел поставить на компьютер не сложный пароль. Но речь-то не о нас.
                                                                                                +1
                                                                                                Сейчас каждый говносервис мнит себя путом земли, заставляя придумывать зажопистые пароли и разгадывать адовые капчи, только для того чтобы 1 раз зарегистрироваться и больше никогда туда не возвращаться.

                                                                                                Какая разница какой у меня пароль 123456 или HUI4#234%s? Взломают? Ну дык пусть ломают, все равно от взлома 99% процентов ресурсов, толку никакого не будет.

                                                                                                У нас на работе так: на всех компьютерах стоят пароли. У лиц не имеющих доступа к закрытой информации пароли 123, у тех кто имеет списки паролей вида hu37hGDE8F лежат в распечатках на рабочих столах для всех компьютеров рабочей зоны.

                                                                                                И если так не сделать, то люди будут забывать свои пароли. Будут расти промежутки вынужденного простоя, когда срочно нужно скопировать файл с компьютера Васи, который уехал в командировку, а главный админ заболел\ушел на обед. Все это помноженное на политику смены паролей каждые 90 дней приведёт к аду.

                                                                                                На кой хер на сервисах нужны сложные пароли, если их все равно ломают и расшифровывают? Посмотрите новости на хабре — десятки историй взломов с полной расшифровкой паролей вида huhn438c3p4nsaAD.

                                                                                                Так что ну нафиг. Пароль вида bb77bb наше все.
                                                                                                  0
                                                                                                  Хм, ну даже лица не имеющие доступ к критичной информации все равно скорее всего находятся в вашей локальной сети. А это значит — оттуда будет легче провести атаку ( к примеру какие-то сетевые правила будут отсекать попытки зайти по ssh на ключевые серверы из внешнего мира, но разрешать для внутренней сети, и так далее.
                                                                                                  Имхо в случае когда люди забывают пароли можно использовать хардварные токены.
                                                                                                  0
                                                                                                  Слишком часто ставят ограничение на 6 знаков и оно входит в привычку, а сколько комедийных фильмов, где пароль «пароль», добавить желание людей идти по пути наименьшего сопротивления и тогда становиться ясно:
                                                                                                  >> 4,7% пользователей выбирают в качестве пароля слово “password”, 8,5% — “password” или “123456”
                                                                                                    0
                                                                                                    Почему все пытаются усложнять пароли? (Хотя VISA перешла с 10-циверного на 4-циверный) Почему не вводят более защищённые меры? (публичные и закрытые ключи, ограничение на колличество ввода пароля, мониторинг доступа к базам паролей, и другие)
                                                                                                      0
                                                                                                      Наверное потому что использование сертификатов (например) намного сложнее чем ввод пароля. Домохозяйке, жаждущей воспользоваться «контактом» не осилить. А в корпоративном мире так и делают — по крайней мере у меня на работе авторизация в большинстве корпоративных ресурсов по SSL-сертификату.
                                                                                                      0
                                                                                                      Не забудьте также про двухфакторную авторизацию. Это нынче модно…
                                                                                                        +3
                                                                                                        Когда у IBM дела пойдут плохо, тогда узнаете какие патенты они еще имеют
                                                                                                        Это бомба замедленного действия
                                                                                                          +1
                                                                                                          У меня вообще большиство аккаунтов с паролем 123456. Ну и чего? Да мне правда похер, угонят их или нет. Есть такой пароль к почте, на которую регистрируется всякая лажа, есть такие пароли на аккаунты во всякой ненужной или почти ненужной хрени или от того, что я юзаю потестить. Была бы возможность, использовал бы вообще один символ. А так это все превращается в лишний нереальный геморрой. Предупреждение — ок, но зачем навязывать?

                                                                                                          P.S. От рута на сервере у меня нормальный 18-значный пароль (слегка параноидально, знаю).
                                                                                                            0
                                                                                                            А что если делать вообще вход по одной почте?
                                                                                                            Регистрируешься введя почту. На неё же приходит сообщение, что Вы можете поставить себе пароль, если хотите.
                                                                                                            В окне логина всё также два поля. Но заполняем только одно.

                                                                                                            По сути название ящика уже является паролем. Особенно, если с этого ящика не ведётся переписка,
                                                                                                            а настроена только переадресация сообщений на основную почту.
                                                                                                            0
                                                                                                            Дайте ссылки пожалуйста на топы паролей. топ 100, топ 500 и топ 1000
                                                                                                              0
                                                                                                              не правильно было бы запрещать пользователю регистрировать аккаунт с тем паролем каким он хочет. Во-первых, его это раздражает, ваш сайт может послать к чертям. Во-вторых, этот способ является одним из препятствующих к регистрации. Правильно было бы напомнить человеку, что он использует слабый пароль, который может быть взломан и он потеряет контроль над своей учётной записью. А дальше человек сам должен решать, как ему поступать, мы не должны его принуждать.

                                                                                                              Only users with full accounts can post comments. Log in, please.