Хранение паролей considered harmful

    Наверняка многие из вас заметили историю с паролями на bestpersons.ru. Приглашаю их, а также прочих авторов веб-сервисов к дискуссии.

    Вопрос в том, нужно ли было Bestpersons вообще иметь пароль для входа на сайт (который, в общем-то, и увели)? Ведь как ни старайся, всё равно хранить пароли правильно вряд ли получится.

    Каждый раз, когда вы предлагаете пользователю сохранить пароль (новый ли, для входа на ваш сайт, или пароли от сторонних сервисов) — вы берёте на себя очень серьёзные обязательства по обеспечению безопасности этого пароля. Некоторые относятся к этому безалаберно, некоторые серьёзнее — но проблемы всё равно возможны, что и случилось с обсуждаемым ресурсом.

    Вся эта возня с паролями напоминает какое-то дремучее желание хранить дома мешки с (чужой) наличностью. И ведь знают же, что независимо от того, какая дверь — деревянная ли, железная ли; даже если дробовик дома хранить — всё равно придут и ограбят. Не надёжнее ли всё же хранить их в банках, которые гарантируют возврат денег в любом случае?


    Есть масса вариантов, аналогичных «безналичности», которые позволяют избежать хранения мешков с чужими деньгами паролей. Это: OpenID, Clickpass, OAuth (хотя задуман он для другого), API логинов Yahoo!, Google, Facebook, Hotmail и других провайдеров. Из российских сервисов для этих целей использоваться могут Livejournal и «Мой круг», которые поддерживают OpenID.

    Большинство людей физически не может помнить больше десятка паролей, а многие не хотят помнить более одного. А зарегистрированы люди бывают на сотнях или тысячах сайтов. Почти везде — с паролем. Принцип Дирихле, в общем, применим здесь по полной мере.

    К сожалению, пока невозможно ограничить себя тем, чтобы пользоваться лишь сервисами, которые не требуют создания пароля для регистрации — таких слишком мало. Но, вообще говоря, уже давно пришло время, когда для роста количества таких сервисов всё уже есть. Что же заставляет людей в очередной раз вставлять известные грабли в свои продукты?
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 47

      0
      Банки ломаются, сервисы тоже.
        0
        безусловно. Но как банк может защищать ваши деньги лучше, чем ваша собственная железная дверь, так и большой опытный сервис может защищать их лучше, чем получается у маленького стартапа.
        +1
        Или топик какой незаконченный или автор предлагает пользоваться только сервисами с OpenID
          0
          Нет, к сожалению, таких сервисов мало - потому ограничиваться ими сложно. Но я уже предпочитаю сервисы, которые предоставляют беспарольную регистрацию, всем остальным.

          Топик направлен скорее на дискуссию с авторами сервисов, которые по непонятным мне причинам продолжают настаивать на хранении паролей. Добавил абзац в конце.
          0
          Так ведь почти каждый, кто делает свой сайт, надеется встать в один ряд с Facebook, Yahoo и т.п. :) И чем Вам поможет OpenID если хакнут Вашего провайдера OpenID, у которого все сделано не по уму?
            0
            Сагалаев высказывался на эту тему, советуя ограничиться частным OpenID для себя и предостерегая от соблазна сделать публичный и (возможно) не очень надёжный OpenID-сервис.
            0
            Представляю себе сайт, где для того чтобы написать сообщение, надо зарегистрироваться на Google,LiveJournal и т.д.
            Мягко говоря - странно
              0
              ничего странного

              какая вам, как пользователю, что у вас в адресной строке написано, когда вы регистрационную форму заполняете? google.com там или moisupersait.com — какая разница?

              регистрироваться-то в любом случае придётся, если у вас нет аккаунта :)

              но в случае google.com у многих этот аккаунт уже есть
                0
                *какая вам разница, имелось ввиду
                0
                ну, можно хотя бы /предоставить возможность/. Учитывая, что у под 90% (а из аудитории бестперсонс - так наверное 99%) есть аккаунт на одном из таких сервисов, предоставить им возможность логиниться без пароля. А всем остальным, новичкам интернета, дать возможность завести пароль.

                Существенное качественное изменение - люди, у которых уже какие-то важные данные (вроде почты) защищены паролем, его вводить на этот сайт не будут. Введут лишь те, у кого нету других сервисов (потому если уведут пароль - не страшно), или стремящиеся к повышенной анонимности (их пароль если и увести, то применить не будешь знать куда).
                0
                В заголовке надо бы написать …is considered ;-)

                Могу предложить следующий способ генерации запоминаемых паролей: перейти на какую-нибудь страницу сайта, скажем, «о проекте», взять, например, третье предложение и пробежаться по первым буквам. Например,
                Само по себе название «Хабрахабр» ничего не означает и никак не переводится.
                …волшебным образом превращается в что-нибудь типа spsn_Hh_!o&&!p. Конечно, к некоторым местам этот способ придётся адаптировать.
                  +1
                  >> В заголовке надо бы написать …is considered ;-)

                  это вы мемов не знаете

                  http://en.wikipedia.org/wiki/Considered_…
                    0
                    по первому - извините, но нет. :) Go To Statement Considered Harmful. Английский не так прост..
                      +1
                      Да, да, я уже понял, что неглубоко цеплялся :)
                      0
                      этот метод очень сильно удлиняет процедуру входа на сайт.
                        0
                        Если логиниться часто, пароль невольно запомнится. А если редко, то один раз подсмотреть и вспомнить не должно быть большой проблемой.
                          +1
                          ...а потом на сайте немножко изменят текст и нечаянно потеряют половину аудитории :)
                            0
                            Не все же будут цепляться за одну и ту же строчку :)

                            Если в функции «Забыл пароль» будет показываться не «ну и дебил», то не потеряют.
                      0
                      А почему бы не использовать локальную программу для хранения/генерации паролей?
                      KeePass, например.
                      • UFO just landed and posted this here
                          0
                          каких программ? у меня разве что джаббер-клиент на десктопе просит пароль. все остальные пароли нужны для веб-сервисов. А в них я имею тенденцию заходить с очень разных компов, на которых, естественно, хранить свои пароли локально нет ни возможности, ни желания.
                          • UFO just landed and posted this here
                              0
                              Практически все такие программы (хранители паролей) умеют работать с флешки.
                          0
                          Не верю в проблему безопасного хранения паролей: солёный хеш её вполне решает.
                          Запоминание многих паролей - это да.
                            0
                            Интересно, как можно залогиниться на какой-нибудь неаффилированный сайт, зная только значение хеша пароля, но не сам пароль. Под «хранением» тут понимается именно это.
                              0
                              Под хранением где?
                                0
                                На сервисах вроде BestPersons, чтобы можно было писать сообщения в блоги/твиттер/etc, не отходя от кассы.
                                  0
                                  А, в этом смысле. За это, конечно, эцих с гвоздями.
                                  В LinkedIn и в Pulse тоже предлагают контакты из GMail/Yahoo/etc проимпортировать.
                                    0
                                    Pulse использует API, а не спрашивает пароль, если я не ошибаюсь.
                                      0
                                      Спрашивает.
                                        0
                                        да, ошибся. Они прошли лишь пол-пути - разрешают зайти на их сайт не вводя пароля.
                          • UFO just landed and posted this here
                            • UFO just landed and posted this here
                                0
                                всеравно надежных сервисов нет, нужно просто помнить свои пароли..... я вот даже в браузере пароли не сохраняю))))
                                  0
                                  +1
                                    0
                                    Ну вот есть 20-30 разных сайтов, на которых от меня требуют пароли. Я использую везде разные, не интересно как-то их все запоминать :)
                                    0
                                    Нет конкретики.

                                    Если сервис предполагает использование сохранённого пароля, хранить его в хэше нету смысла. Только если шифровать своим алгоритмом, или же открытым ключем.
                                      0
                                      Хранить пароль в открытом виде - единственный выход, не требующих технических излишков. Или шифровать всё это дело открытым ключем, или собственным алгоритмом.

                                      Другое дело - пароли авторизации сайта. Их можно в хэш кидать и забыть про них, но и тут могут возникнуть проблемы.

                                      Всё-равно проблема в безопасном доступе к этим паролям, а не в принципе их хранения.
                                      • UFO just landed and posted this here
                                          0
                                          от хабра.
                                          0
                                          В одном интернет-магазине, есть такая фича, что если во время чекаута пользователю не удается правильно заполнить данные кредитки (ну мало ли — тупой), он может выставить галочку вроде «пускай администрация мне поможет». В последствии такой заказ помечается как проблемный, и администрация связывается с покупателем по телефону и помогает ему выполнить заказ. А может и сама проводит его, если удается. Для этой цели введенный номер кредитки сохраняется в БД магазина (хоть шифруют, и то хорошо).

                                          Такая вот жертва безопасностью в угоду удобству клиентов.
                                            0
                                            в вот ещё один http://www.security2day.ru
                                            :)))
                                              0
                                              мягко говоря, подозрительно они смотрятся. нигде не объяснено подробно, как обеспечивается безопасность паролей, так что я бы им не доверил.
                                                  0
                                                  о ужас.

                                                  «Осуществление процесса шифрации и дешифрации всей информации на стороне клиента»

                                                  это просто писец. «шифрация» и «дешифрация». дальше можно не читать.
                                                    0
                                                    а как правильно?
                                                      0
                                                      «зашифрование» и «расшифрование»; и то и другое вместе — «шифрование».

                                            Only users with full accounts can post comments. Log in, please.