Смени пароль, юзернейм

    Всем привет!

    Мы тут подумали и решили, что во избежание неприятных ситуаций, связанных с угоном аккаунтов и прочими возможными проблемами, нам стоит принудительно заставить всех пользователей обновить пароль. Да, это может показаться лишним и обременительным, но — поверьте! — это для вашего же блага.

    Это разовая акция, парни! Спокойно! Никто не будет вас заставлять менять пароли раз в месяц! Раньше на Хабре пароли хранились в базе в виде md5. Мы решили, что этого недостаточно и добавили еще salt к этим паролям. Чтобы все пароли перегенерировались, мы и просим заменить пароль на новый.
    Ввод старого пароля сделали лишь для того, чтобы никому не сменили пароль «добрые коллеги».


    Спасибо за понимание.

    P.S.: в ответ на это можно возмущаться, ругаться, протестовать и даже переставать пользоваться Хабром, однако, как показывает практика, угон по вине самого пользователя аккаунта вызывает в итоге куда больше возмущения, ругани и протестов.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 321

      –60
      До свидания.
        +32
        Все прямо в шоке от дерзости.
          –7
          Дерзость тут не причём. А сейчас вдруг выясняется, что раз в несколько месяцев просить менять уже не будут, и надпись эту с заглушки убрали.
            +20
            вы же уже ушли
              –15
              Я вообще-то и не прощался.
              Я хотел уйти до тех пор, пока не уберут это нововведение (менять пароль раз в несколько месяцев), а сейчас оказывается, что этого и так не будет.
                –3
                а я и не говорила, что вы попрощались :) «до свидания» обычно тоже предполагает уход
                  +1
                  а он ответил через почту ;-)
            –15
            Беспринципное, бескомпромисное и безмозглое решение.
          • UFO just landed and posted this here
              +3
              Тю, поменяй на какой нить новый, а потом зайди в настройки пользователя и поменяй на свой старый и будет тебе счастье)))
                –1
                Я кстати попробовал, почему-то не получилось, надо ещё попозже.
                  +3
                  А у меня получилось )
                    0
                    Ан нет, всё поменялось.
                      0
                      я сразу попробовал, всё получилось. И пароль старый остался и перегенерился по-новой.
                      +5
                      Смысл-то в чём? Если появилось сие беспокойство, возможно, что пароли пользателей есть не только в базе хабра. Вернёте вы пароль, а через неделю аакаунт угонят. Разве у вас один пароль на всё, другие категорически запрещены?
                        +1
                        Гм… если пароли «слиняли» в другое место — так и надо сказать.
                        Здесь люди умные, поймут. Всё бывает.
                        Ведь в таком случае неплохо бы предупредить, чтобы их поменяли и в других местах (если пароль одинаковый).

                        А если никуда они не утелки — так откуда звон?
                        0
                        Мне тоже эта идея сразу пришла в голову :)
                      • UFO just landed and posted this here
                        +23
                        /me вспомнил старый пароль с третьей попытки :)
                          +4
                          Такая же лажа со сменой пароля в универе (только там у админов фантазия воспалена поболее — пароль не должен совпадать с 5 предыдущими). Так вот бесит и напрягает жутко, из за этого частенько забывал пасс, потом в конце тупо 1 символ добавлять стал чтобы помнить, ну или если забыл, перебрать из пятерки возможных :)

                          А с точки зрения повышения безопатсности — если сильно будет нужно все равно своруют, администрация этим только лишние неоправданные неудобства приносит. ИМНО.

                          п.с. Даешь настройку на постоянный пасс в профиль для ленивых :)
                            +7
                            в качестве последнего символа проще использовать номер месяца ;)
                            Научился ан прошлой работе
                              +4
                              Админам на заметку ;)
                                +1
                                Скорее взломщикам, которые это и так знают.

                                Сам в молодости, когда переборщики были слишком медленными, вскрыл по необходимости шестибуквенный rar-пароль друга, вспомнив несколько случайно подсмотренных в результате набора букв. Кроме того, давно подмечено, что слишком сложные механизмы авторизации выливаются в ухудшение безопасности в виде, скажем, приклееных на монитор стикеров с паролем. :)

                                Если уже на хабре пекутся о безопасности пользовательских паролей, сделали бы https или openid авторизацию, что бы не светить пароли в виде нешифрованного текста «на последней миле».
                                  0
                                  Хабру уже пора самому становиться OpenID-провайдером :)

                                  На счёт SSL в качестве адекватной меры повышения безопасности — согласен.
                                +1
                                Особенно когда просят сменить раз в 2 недели :)
                                Там ниже уже ответили что не придется делать это каждый мес, надеюсь так и будет :)
                                0
                                Для ленивых и смелых :)
                                • UFO just landed and posted this here
                                  • UFO just landed and posted this here
                                      0
                                      Черт, я оказывается счастливчик ;)
                                        –1
                                        что за контора такая, позвольте спросить?)
                                        +2
                                        Password%yy%%mm%% ;)
                                          0
                                          осталось только запомнить дату последней смены)
                                            0
                                            Так раз в месяц же :) Да и подобрать несложно, если что :)
                                          +6
                                          админа уже побили?
                                          0
                                          Надо будет запомнить, значит пароль не должен совпадать с предыдущими.
                                            0
                                            У нас нельзя последние 32 использовать )))
                                            –4
                                            хаха тоже ели вспомнил)))
                                              0
                                              аналогично :)
                                              правда сначала попытался «вспомнить», пройдя по соответствующей ссылке
                                              однако в ответ опять вывалилась страница с предложением поменять пароль и вводом старого О_о хорошо хоть смог подобрать :) а если бы нет?..
                                              0
                                              Сменил :)
                                                +1
                                                Я сгенерировал 256-битный. Ну, на всякий случай.
                                                +12
                                                Капчи мало?
                                                  0
                                                  А каким боком тут капча?
                                                  • UFO just landed and posted this here
                                                      +1
                                                      Не вижу связи. Капча — защита от ботов. Смена пароля — защита от злоумышленников, которые потенциально могли своровать ваш пароль. Так причем тут капча-то?
                                                      0
                                                      такая же глупость…
                                                        0
                                                        То, что капча — глупость это да, но вот смена пароля… не факт. Мало ли какая ситуация произошла?
                                                          0
                                                          глупость — не сама смена, а объяснение её причины…
                                                    +24
                                                    За что?
                                                      +44
                                                      Обычно такое делают, когда у сайта «угоняют» базу с паролями. Так что не исключено что был взлом Хабра…
                                                        +3
                                                        Да, поддерживаю, это первое про что я подумал. Логика такая:

                                                        1) «Пароли надо менять — а то так сильно опасно».
                                                        2) НО! «Это разовая акция, парни! Спокойно! Никто не будет вас заставлять менять пароли раз в месяц!». =>
                                                        3) ХабрАдмины понимают, что народ будет бунтовать/злиться/плакать и т.п. и делать такого бы никогда не стали… но сделали =>
                                                        4) С нашими старыми паролями чё-то явно не так случилось.

                                                        С другой стороны, было бы разумнее привязать ввод новых паролей к емейлам, т.к. если базу и правда угнали, сменить все пароли могли бы и сами угонщики.

                                                        Тобишь особо бояться вроде нечего — и можно спокойно неврозиться из-за доставленных неудобств :)
                                                          0
                                                          Ну, вот обновили первый пост — всё стало на свои места :)

                                                          PS: Я не смог сменить пароль под текущим логином — пришлось выйти и снова войти в аккаунт, только тогда всё сработало как надо.
                                                            –2
                                                            И получить из старой базы паролей новую можно просто, как md5( salt + oldPassHash )
                                                            Поэтому заново вводить пароль не было смысла …
                                                              +1
                                                              Нет, это неправильно. Соль прибавляется к чистому паролю, а потом хешируется.
                                                                0
                                                                Это ещё один алгоритм. Объясните, почему он неправильный, и в чем принципиальное отличие от предложенного вами?
                                                                  0
                                                                  Хм. Прошу прощения, реализацию хеширования пароля подсмотрел в django — там просто md5(salt + raw_password).

                                                                  Погуглил — действительно вариаций масса: соль добавляется к/после пароля, соль добавляется к/после хеша от пароля с солью, и некоторые другие пертурбации тоже возможны.

                                                                  Что более криптостойкое сказать не могу, не специалист.
                                                                    +1
                                                                    Повышенная вероятность хэш-коллизий в результате двойного применения md5.
                                                                      0
                                                                      Откуда дровишки?
                                                                        0
                                                                        Доказывать не буду, т. к. строго доказать не получится, а неграмотными рассуждениями засорять Хабр не хочу.

                                                                        Это всего лишь предположение, хоть и не безосновательное.
                                                                          0
                                                                          Ответьте на самый главный вопрос — чем же принципиально отличается как входной аргумент какой-то произвольный пользовательский пароль от 32-символьного хэша MD5?

                                                                          И, в целом, я лично не рискнул бы высказываться о том, в чём не уверен и не могу обосновать. И так уже достаточно людей, которые на собеседовании говорят «MD5 ненадёжен», а максимум что могут привести в качестве аргументов — «так на хабре писали».
                                                                            0
                                                                            Принципиальное отличие 32-символьного хэша — в том, что его можно получить из более, чем одного пользовательского пароля.
                                                                            Оттуда и дровишки.
                                                                              0
                                                                              Нет, я спрашивал про то, чем он отличается в качестве входного аргумента хэширующей функции MD5, а не про то, из чего он может быть получен. Вы заявили, что вероятность хэш-коллизии (получения на выходе MD5 двух одинаковых значений) выше, если на вход подавать не пароли в чистом виде, а хэш от них. Таки где же в алгоритме MD5 «дыра», из-за которой от входного значения зависит дисперсность получаемых результатов? Огласите миру своё открытие в области криптоанализа, не стесняйтесь!
                                                              +1
                                                              или обнима уволили
                                                                0
                                                                Действительно похоже. Если дело в посолить, то посолить можно было и существующие хеши.
                                                                +39
                                                                Меня звали?
                                                                +12
                                                                Довольно жестоко. Надеюсь в следующий раз можно будет обратно прошлый пароль поставить? А то на вас так паролей на напасешься! :)
                                                                  +5
                                                                  Пароль не должен совпадать с предыдущими 16-ю вариантами :)
                                                                    +23
                                                                    … и паролями других пользователей.
                                                                      +49
                                                                      Пусть тогда при совпадении пишет:
                                                                      пароль неверен, он уже установлен у %username1%, %username2%, %username3%
                                                                        +10
                                                                        Как это у тебя получается, что %username2% и %username3% поставили себе пароль %username1%?! Читеры?
                                                                          +1
                                                                          Они могли установить себе пароли до этого нововведения
                                                                • UFO just landed and posted this here
                                                                    0
                                                                    действительно, за что?
                                                                      +8
                                                                      все будут менять лишь последнею цифру
                                                                      1,2,3,4,5,6,7,8,9…
                                                                        +1
                                                                        Забыли теперь только пароль озвучить :)
                                                                          0
                                                                          в англ. расскладке
                                                                          январь

                                                                          май

                                                                          декабрь
                                                                          • UFO just landed and posted this here
                                                                            +5
                                                                            Чтобы было не так легко разгадать: 4,8,15…
                                                                              0
                                                                              16, 23, 42
                                                                                0
                                                                                А дальше? ;)
                                                                                  –1
                                                                                  SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE!
                                                                              0
                                                                              Черт, так и сделал
                                                                                0
                                                                                Я первую сменил…
                                                                                +1
                                                                                на моей работе служба безопасности заставляет пороль менять каждую неделю, так что без проблем:))
                                                                                  +5
                                                                                  На моей тоже ввели такую политику. И он не должен совпадать с предыдущими 6-ю. С тех пор возле компов начали появляться бумажки с непонятными наборами символов.
                                                                                    +4
                                                                                    А тех, кто не менял пороли, нещадно пороли? =)
                                                                                      0
                                                                                      ха-ха
                                                                                    +4
                                                                                    Благими намерениями устелена дорога в ад!
                                                                                      +12
                                                                                      так можно нефиговую базу паролей собрать (=
                                                                                        –1
                                                                                        Ты опоздал. *Взламываю МД5*
                                                                                        0
                                                                                        А почему на главной странице не показывается блок с именем пользователя в правом верхем углу? Страница отображается так, как если бы я не залогинен.
                                                                                          0
                                                                                          У меня все есть.
                                                                                            0
                                                                                            У меня тоже появилось. Наврное был разовый баг какой-то.
                                                                                          –3
                                                                                          В первый раз сталкиваюсь с ресурсом, где просят менять пароль каждый месяц. Не понимаю, как это усилит безопасность моего аккаунта.
                                                                                            0
                                                                                            Никто не будет просить вас менять его каждый месяц. Но очень хочется избавиться от паролей типа 123456, qwerty и подобных. Если у вас «хороший» пароль, вас, возможно, не будут просить его менять больше никогда.
                                                                                              +5
                                                                                              Да и с нормальным паролем (и по длине, и по степени сложности) заставляют поменять… так что никаких возможно :(
                                                                                                +4
                                                                                                У меня было что-то вроде этого «ia;uv@6|oIp`.`6rgOWR» и всё равно попросили :)
                                                                                                  –11
                                                                                                  Первый раз просим всех. Мы же не знаем какой у вас был пароль
                                                                                                    +11
                                                                                                    >>> Первый раз просим всех. Мы же не знаем какой у вас был пароль

                                                                                                    >>> Никто не будет просить вас менять его каждый месяц. Но очень хочется избавиться от паролей типа 123456, qwerty и подобных. Если у вас «хороший» пароль, вас, возможно, не будут просить его менять больше никогда.

                                                                                                    тоесть теперь знаете?
                                                                                                      0
                                                                                                      нет, теперь тоже не знаем
                                                                                                        +3
                                                                                                        >Но очень хочется избавиться от паролей типа 123456, qwerty и подобных.
                                                                                                        тогда как вы отсеете?

                                                                                                        базу чтоль слили?
                                                                                                          +2
                                                                                                          Можно хранить пароли, например как md5 хеши (и тогда разработчики их не знают), и делать поиск по хешам наиболее известных и простых паролей.
                                                                                                          И фильтровать пароли на сложность на входе.
                                                                                                            +1
                                                                                                            угу, я в курсе, а так же можно спокойно сделать выборку из базы тех пользователей у кого слабые пароли и персонально попросить сменить пароли дабы избежать кипиша который тут поднялся.
                                                                                                              0
                                                                                                              Если пароли в md5, то как узнать у кого слабые?

                                                                                                              А вообще, чтобы не было возможности использовать базы слабых паролей в md5, можно шифровать с солью, например можно хранить результат md5(login + pass).
                                                                                                                +1
                                                                                                                А вообще Вы молодец, что про соль напомнили ) по-моему как раз это и сделали, Вы топик прочли?
                                                                                                                  +1
                                                                                                                  Каюсь, не успел прочитать, после смены пароля сразу кинулся комментарии читать. Вообще была мысль что это был взлом хабра, и я повелся и передал свой пароль хакерам.

                                                                                                                  Можно было это сделать незаметно, сбросить авторизацию у всех, и при следующей авторизации заменять md5 без соли на такой же с солью, с удалением прежнего.
                                                                                                                  +1
                                                                                                                  >Если пароли в md5, то как узнать у кого слабые?

                                                                                                                  скажем есть набор «слабых» паролей типа
                                                                                                                  123456 qwerty и тп.
                                                                                                                  генерируешь хэши от них и смотришь у кого в бд такие пароли, если найдены значит пароль слабый, ну эт самый простой вариант.
                                                                                                            +1
                                                                                                            Складывается такое ощущение что раньше не знали, а теперь знаете.
                                                                                                            +2
                                                                                                            тоесть они не хотят говорить что вчера ночью слили около 5000 паролей юзеров.
                                                                                                            да, да база с юзернеймами, паролями, ай-пи и ещё некоторыми интересными статистическими данными была слита.
                                                                                                            ещё хочу добавить что стоимость этой статистики по рыночным меркам довольно неплохая и гораздо больше чем пароли.

                                                                                                            если что то я никакого отношения к взлому не имею, я просто слышала информацию из узких кругов.
                                                                                                              0
                                                                                                              будущий троль?:)
                                                                                                              а я вот в узких кругах слышал, что некоторые люди от свиней произошли, иногда даже доказательства проскакивают ;)
                                                                                                                +3
                                                                                                                а ты видишь другие причины для столько внезапного и малологичного действия?
                                                                                                                  0
                                                                                                                  одно дело подозрение, другое дело «знание», подозрение можно высказать, высказать «знание» можно только если предоставляешь доказательство, иначе это просто подозрение.
                                                                                                                    0
                                                                                                                    ок ок :) в любом случае об это знает только узкий круг людй :) хаброадмины и те кто слил, если слили.
                                                                                                                      0
                                                                                                                      *просто сплетни…

                                                                                                                      (а ваще забавно, те кто карму минусуют, распространение сплетен считают, нормальным положением вещей?)
                                                                                                                        0
                                                                                                                        мобыть, мобыть… опять же пятница, новая тема для обсуждения, сплетни добавляют «остроты» в топик
                                                                                                              0
                                                                                                              ахахах, то есть, раньше вы хранили пароль в базе в виде hash+salt, а теперь решили хранить в открытом виде, и поэтому заставляете всех сменить пароли?
                                                                                                              • UFO just landed and posted this here
                                                                                                                  0
                                                                                                                  При смене рассчитать «сложность» и записать в базу не составляет труда. Как вам такой «хитрый» ход?
                                                                                                                    +2
                                                                                                                    А что сложного? Сгенерили хеши нужных паролей и сделали поиск по базе.
                                                                                                                    • UFO just landed and posted this here
                                                                                                                        0
                                                                                                                        Это если хранили хеши только паролей, что снижает безопасность в случае слива базы данных.
                                                                                                                  0
                                                                                                                  Интересно, что об этом не написано было.
                                                                                                                  Поэтому я поменял как раз на такой, чтобы зайти.
                                                                                                                    +1
                                                                                                                    Ну получили 1234567 и qwertyu :)
                                                                                                                    +14
                                                                                                                    Каждый месяц?? Первый раз за три года просим.
                                                                                                                      +8
                                                                                                                      При предложении сменить пароль было про каждый месяц написано.
                                                                                                                      • UFO just landed and posted this here
                                                                                                                          +1
                                                                                                                          Заглушка вообще кривая: никак не просемафорила, что я ввёл неверный старый пароль. Т.е. после нажатия на кнопу «Сохранить» визуально ничего не произошло, только поля ввода паролей очистились. Только после второй неудачной попытки я заметил, что раскладка не та =\
                                                                                                                      +11
                                                                                                                      Это не выход. У людей как были простые пароли, так они ими и останутся (с добавлением цифры, как сказано выше).
                                                                                                                      Ну и пользователей растеряете по двум причинам: одни забудут свой старый пароль, а вторые просто обидятся на вас за то, что вы на них плюёте.
                                                                                                                        +15
                                                                                                                        Сух, ну это бред полный. Киньте от меня помидором в того, кто это придумал.

                                                                                                                        У меня пароль, который я точно помню. Теперь, если через месяц будет логаут, то я
                                                                                                                        1) Вряд ли вспомню, что менял пароль.
                                                                                                                        2) Через десять попыток ввода своих паролей, придется «напоминать пароль» и всё-равно я поставлю свой старый.
                                                                                                                          –1
                                                                                                                          Некоторые люди хранят пароли, которые у них совсем рандомные в одной зашифрованой базе, что дает несколько приемуществ:
                                                                                                                          1) нужно знать лишь один (желательно сложный) пароль;
                                                                                                                          2) безопасность паролей на сервисах хороша ибо можна генерить пароли любой сложности
                                                                                                                          3) смена пароля совсем не напрягает.

                                                                                                                          Cheers ;)
                                                                                                                            +1
                                                                                                                            Не у всех есть желание таскать с собой базу данных паролей, и невозможность залогиниться с чужого компьютера из-за отсутствия программы хранения паролей.
                                                                                                                              0
                                                                                                                              Да, но это ведь не сложно. Все, что нужно — флешка и какая-нибудь портабл софтина с базой туда скинутая. Например keepass.
                                                                                                                          +4
                                                                                                                          даёщь идентификацию по сертификатам!!!
                                                                                                                          юмор
                                                                                                                            +2
                                                                                                                            В каждой шутке, как известно… :)
                                                                                                                              +12
                                                                                                                              ну у нас же гиковский ресурс отсеем тех кто не сможет настроить аутентификацию по серту
                                                                                                                                +1
                                                                                                                                Точняк. Заодно и любителей хрома тоже в печь :)
                                                                                                                              0
                                                                                                                              а я, кстати, только за такую возможность =) Только кто их подписывать будет?
                                                                                                                              +3
                                                                                                                              Не верю.
                                                                                                                              Пользователи с простыми паролями будут менять простой пароль на еще более простой (надо же запомнить, через месяц менять). А для тех, кто ценит свой аккаунт на хабре и использует длинный неподбираемый уникальный пароль (тут таких гиков большинство, уверен), только добавили геморроя.

                                                                                                                              Сбрасывание куки раз в две недели решит все проблемы, особенно если они надуманные.
                                                                                                                                +1
                                                                                                                                Так если каждый месяц заставлять менять пароли, у меня скоро вообще паролей не останется. Придется придумывать новые, а новые пароли обычно плохо запоминаются и медленно набираются.
                                                                                                                                Менять пароли хорошо, только пожалуйста, не раз в месяц!

                                                                                                                                А кстати можно завести два пароля и менять их друг на друга?
                                                                                                                                  +1
                                                                                                                                  Мда, неожиданно. Хоть это, конечно, и хорошо менять пароли, но может быть все-таки это оставить на совести пользователя? А в профиль вынести опцию, управляющую автоматическим запросом нового пароля через н-ое кол-во времени.
                                                                                                                                  Плюс ко всему, постоянные смены паролей в итоге приведут к тому, что все их будут забывать, т.к. основные используемые уже употребили на Хабре.
                                                                                                                                    +3
                                                                                                                                    А что с микрохабром? Теперь разные пароли будут?
                                                                                                                                      0
                                                                                                                                      Да, хороший вопрос. Если забудете свой старый пароль, то на микрохабр уже не сможете залогиниться. И восстановить тоже.
                                                                                                                                      +16
                                                                                                                                      Социализм на Хабре. Забота о пользователях «для их же блага», но без учета их мнения.
                                                                                                                                        +1
                                                                                                                                        Не помешала бы кнопочка «Напомнить пароль».
                                                                                                                                          +10
                                                                                                                                          Хорошо хоть предупредили, а то я уже начал подозревать банальный фишинг.
                                                                                                                                            +4
                                                                                                                                            Зашел через анонимайзер, увидел новость на главной и только тогда сменил… Хотя почему было не разлогинить и не дать почитать главную, я всё-таки не понимаю.
                                                                                                                                            0
                                                                                                                                            Мне кажется со временем пароли будут все проще и проще. Что-то меня не улыбает придумывать каждый месяц весьма четкие непробиваемые комбинации. Сомнительная затея.
                                                                                                                                              0
                                                                                                                                              Никто не будет просить менять пароль каждый месяц. Даже каждые два месяца не будем просить. И через полгода мы тоже не попросим вас его менять, не переживайте, придумывать пароли в промышленных масштабах не нужно.
                                                                                                                                                +4
                                                                                                                                                ну так написали б
                                                                                                                                                связи с подозрением на утечку базы паролей просим всех срочно сменить пароли
                                                                                                                                                  +5
                                                                                                                                                  было б меньше возмущений
                                                                                                                                                  0
                                                                                                                                                  >>… отныне раз в несколько месяцев каждый пользователь обязательно должен менять свой пароль для доступа к Хабрахабру.

                                                                                                                                                  Так сколько это — несколько?
                                                                                                                                                    0
                                                                                                                                                    Уже исправили этот текст. Больше нет про месяцы ни слова.
                                                                                                                                                      0
                                                                                                                                                      Т.е. официально признаете что поспешили с такими нововведениями?
                                                                                                                                                        +13
                                                                                                                                                        Официально признаем, что словосочетание «раз в несколько месяцев» многие читают как «раз в месяц».
                                                                                                                                                    +1
                                                                                                                                                    >>… отныне раз в несколько месяцев каждый пользователь обязательно должен менять свой пароль для доступа к Хабрахабру.

                                                                                                                                                    Так сколько это — несколько?
                                                                                                                                                      +1
                                                                                                                                                      До этого у меня была система, позволяющая мне запоминать сложные пароли. Теперь она сломалась.
                                                                                                                                                      Могу я быть уверенным, что, поменяв пароль обратно на мой предыдущий сложный, вы не заставите меня снова менять мою систему, и изобретать новую?
                                                                                                                                                        0
                                                                                                                                                        а месяц назад вы то же самое говорили? а два месяца? а полгода?

                                                                                                                                                        не зарекайтесь, может через три месяца вам таки предложат купить базу паролей хабра, и что вы будете делать? :)
                                                                                                                                                      +16
                                                                                                                                                      Хинт: чтоб оставить старый пароль, можно сначала поменять на новый, а потом обратно на старый.
                                                                                                                                                        0
                                                                                                                                                        Просто, как всё гениальное :)
                                                                                                                                                          –2
                                                                                                                                                          можно сразу «менять» на старый, т.е. ввести старый 3 раза подряд
                                                                                                                                                          –10
                                                                                                                                                          Ӕто вы правильно сделали.
                                                                                                                                                          Люди не будут каждый месяц придумывать новые пароли. Ӕто очевидно. В итоге хабра сможет насобирать классную базу персональных паролей.
                                                                                                                                                            0
                                                                                                                                                            Это единственный способ заставить сменить меня пароль (банально лень). Спасибо.
                                                                                                                                                              +18
                                                                                                                                                              В следующем месяце, обязательную смену пароля нужно сделать платной. :)
                                                                                                                                                                +4
                                                                                                                                                                Вышли смс и узнай пароль френдов.
                                                                                                                                                                  0
                                                                                                                                                                  Вышли смс со старым и новым паролями на эти номера
                                                                                                                                                                +1
                                                                                                                                                                Тогда подскажите, пожалуйста, как сменить почту для восстановления пароля? А то с момента обновления хабр перестал принимать е-мэйлы с символом подчеркивания и теперь серое поле вместо почты заполнено «old_email_is_invalid_...».
                                                                                                                                                                  +1
                                                                                                                                                                  Пиши в саппорт, support@habrahabr.ru
                                                                                                                                                                    +1
                                                                                                                                                                    Написать в суппорт. Сменим за 5 минут.
                                                                                                                                                                    –2
                                                                                                                                                                    Как по мне так ничего страшного в смене пароля раз в месяц нету, так даже лучше. Спасибо
                                                                                                                                                                      +1
                                                                                                                                                                      Ну так и меняйте на здоровье, система же позволяет, просто зачем обязывать это делать тех кому это не нужно? :)
                                                                                                                                                                      +6
                                                                                                                                                                      Неужели у хабры «угнали» базу паролей?

                                                                                                                                                                      тогда смысл сей акции понятен.
                                                                                                                                                                        0
                                                                                                                                                                        Вряд ли бы это помогло в таком случае, ибо сменить пароль может любой, кто знает старый. ;)
                                                                                                                                                                          +1
                                                                                                                                                                          Только те, кто угнал, вряд ли будут заходить под всеми аккаунтами и менять.
                                                                                                                                                                        +2
                                                                                                                                                                        Блин :(
                                                                                                                                                                        • UFO just landed and posted this here
                                                                                                                                                                            +2
                                                                                                                                                                            Знаки близкого Хабраапокалипсиса :)
                                                                                                                                                                            +17
                                                                                                                                                                            Не надо заботится о моем благе. Я сам о нем позабочусь. Если уведут мой акк, то это я сам лох. Тут вроде не лирушечка, тут люди думающие и понимающие что к чему.

                                                                                                                                                                            Или у вас кто-то увел базу с паролями юзеров и вы решили перестраховаться? ;)
                                                                                                                                                                              0
                                                                                                                                                                              Сменил пароль на временный, зашел в профиль и вернул старый.
                                                                                                                                                                                +3
                                                                                                                                                                                Тьфу, уже написали выше, каюсь!
                                                                                                                                                                                +1
                                                                                                                                                                                Старый пароль вспомнить не удалось, пришлось восстанавливать.
                                                                                                                                                                                Прошел по ссылке для восстановления. Ввел новый пароль, точно не совпадающий с тем, который был ранее.
                                                                                                                                                                                Авторизируюсь и у меня выскакивает опять эта форма принудительной смены пароля, зачем? если только что его сменил через reminder.
                                                                                                                                                                                  +9
                                                                                                                                                                                  Идиотизм.
                                                                                                                                                                                    –3
                                                                                                                                                                                    логичным продолжением будет то что пароли при реге будут генериться самим хабром и высылаться на почту :)
                                                                                                                                                                                      –3
                                                                                                                                                                                      За что минус? По моему это хорошая практика, избавляющая вас от головомучений
                                                                                                                                                                                      +16
                                                                                                                                                                                      даешь openID!!!
                                                                                                                                                                                        0
                                                                                                                                                                                        Не срабатывала смена пароля в мозилле (FF3) — скрипт отрабатывал, но безрезультатно. Пришлось логиниться под ие, чтобы перейти на следующий уровень.
                                                                                                                                                                                          +1
                                                                                                                                                                                          FF3 — всё нормально
                                                                                                                                                                                            0
                                                                                                                                                                                            Видимо не в браузере была проблема, а, как упомянуто в комментарии ниже, просто не с первого раза сработал скрипт
                                                                                                                                                                                          +14
                                                                                                                                                                                          Трижды перепроверял — точно-ли это именно админы сайта меня заставляют менять пароль, а не фишерство. А то ведь очень удобный и простой способ получился-бы :)
                                                                                                                                                                                            +1
                                                                                                                                                                                            Форма для смены какая-то глюченная, пароль поменялся только с четвёртого раза.
                                                                                                                                                                                              +3
                                                                                                                                                                                              хабраэффект на хабре
                                                                                                                                                                                              +1
                                                                                                                                                                                              Даешь опенИД раз, а два, такая политика ничего не изменит, а может и добавит простых паролей.

                                                                                                                                                                                              Шух, предлагаю внести в топик ссылки на отличные статьи про пароли, которые были на хабре. Про легкое придумывание непростых паролей, использование спецсофта и т.д. Тогда эта акция могла бы иметь смысл.
                                                                                                                                                                                                +3
                                                                                                                                                                                                Если увели базу хешей паролей, какой смысл сейчас менять?)
                                                                                                                                                                                                  0
                                                                                                                                                                                                  Очень правильный вопрос, присоединяюсь :)
                                                                                                                                                                                                  +28
                                                                                                                                                                                                  Авторизация на хабре через год:
                                                                                                                                                                                                  1. Введите капчу
                                                                                                                                                                                                  2. Введите старый пароль
                                                                                                                                                                                                  3. Введите новый пароль
                                                                                                                                                                                                  4. Введённый пароль слишком простой, введите новый пароль ещё раз.
                                                                                                                                                                                                  5. Введите дату вашего рождения.
                                                                                                                                                                                                  6. Вы младше 25 лет, введите дату рождения ещё раз.
                                                                                                                                                                                                  7. В каком городе вы живёте?
                                                                                                                                                                                                  8. Неправда, ваш IP из другого города, введите ваш город ещё раз.
                                                                                                                                                                                                  9. Всё введено првильно. Продолжить?
                                                                                                                                                                                                  10 Упс. У вас низкая карма, вам запрещено входить.
                                                                                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                                                                                    +2
                                                                                                                                                                                                    Заметьте:

                                                                                                                                                                                                    1: «во избежание неприятных ситуаций, связанных с угоном аккаунтов и прочими возможными проблемами, нам стоит время от времени принудительно заставлять всех пользователей обновить пароль»

                                                                                                                                                                                                    2: «Это разовая акция, парни! Спокойно! Никто не будет вас заставлять менять пароли раз в месяц!»

                                                                                                                                                                                                    Походу у хабра базу стырили… Бывает…
                                                                                                                                                                                                      0
                                                                                                                                                                                                      тоже мысля такая посетила. =))))
                                                                                                                                                                                                        +2
                                                                                                                                                                                                        И ни одного коментария чтобы подтвердить или развеять это от администрации, очень странно.
                                                                                                                                                                                                          +1
                                                                                                                                                                                                          Да само молчание уже красноречиво, по моему.
                                                                                                                                                                                                            –1
                                                                                                                                                                                                            Что бы ни написали, те, кто уверен в сливе базы, будут лишь более уверены.
                                                                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                                                                          +9
                                                                                                                                                                                                          как?
                                                                                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                                                                                          0
                                                                                                                                                                                                          «просьба» (по факту, требование) о смене паролей наталкивает разве что на мысль о взломе и потерей той самой базы с паролями.
                                                                                                                                                                                                          интересно, как бы отреагировали пользователи, попросив Google сменить пароли. я бы сразу о самом плохом бы подумал.
                                                                                                                                                                                                            +1
                                                                                                                                                                                                            У гугла настолько большая база, что слить её практически нереально.
                                                                                                                                                                                                              0
                                                                                                                                                                                                              Зачем все? Нужно всего-то чуть-чуть: SELECT login, password FROM users :)
                                                                                                                                                                                                                +1
                                                                                                                                                                                                                угу SELECT login, password FROM users WHERE login = 'admin' :)))
                                                                                                                                                                                                                  0
                                                                                                                                                                                                                  рспонс будет «двиньте вперед, быстро, решительно»
                                                                                                                                                                                                                    +1
                                                                                                                                                                                                                    И приходит трёхсотмегабайтный хеш.
                                                                                                                                                                                                              +1
                                                                                                                                                                                                              сколько нытиков собралось.
                                                                                                                                                                                                              Ну сменили и сменили, лишнее телодвижения сделать уже лень.
                                                                                                                                                                                                                0
                                                                                                                                                                                                                Мы не ноем, мы думаем аналитически — ищем мотивы. :)
                                                                                                                                                                                                                  0
                                                                                                                                                                                                                  Ну и если даже слили базу, то в силах ли мы что-то изменить? )). Молодцы значит, быстро работают на упереждение.
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    Это верно только в том случае, если вы знаете когда ее слили. А то может один из админов увидел ее в продаже, какое уж тут опережение :)
                                                                                                                                                                                                                +3
                                                                                                                                                                                                                А никто не заметил, что перед этим было «мы скоренько»? )
                                                                                                                                                                                                                  0
                                                                                                                                                                                                                  Было. но по моему это может так же значит что они эту фичу внедряли.
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    Что там внедрять? Десять строчек кода…
                                                                                                                                                                                                                      0
                                                                                                                                                                                                                      Кривота их рук мне не известна.
                                                                                                                                                                                                                      0
                                                                                                                                                                                                                      Фичи всегда ночью встраивают, когда посетителей не так много…
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    Бесит конечно, что за тебя решают. Типа как в кипе. Может это эксперимент на лояльность аудитории?
                                                                                                                                                                                                                      +1
                                                                                                                                                                                                                      В форме написано, что новый пароль должен быть не менее 4-х символов. Ввёл пароль из пяти символов — ругается, что пароль короткий.
                                                                                                                                                                                                                        +15
                                                                                                                                                                                                                        Ситуация — 2а браузера, на обоих залогинен на хабре. Защел через браузер А, попросили поменять пароль, что я и сделал. Затем зашел через браузер Б и… меня абсолютно спокойно, без лишних телодвижений, как то ввод нового пароля, впустило (автовходом по кукам). Вы еще что-то говорите о безопасности?)
                                                                                                                                                                                                                          0
                                                                                                                                                                                                                          и что тут странного. для вас же сделано.
                                                                                                                                                                                                                            +5
                                                                                                                                                                                                                            Странность заключается в том, что ID сессии не изменился, а получить его не труднее, чем получить пароль жертвы :)
                                                                                                                                                                                                                          0
                                                                                                                                                                                                                          раз в полгода менять пароли — нормальная практика, чему тут удивляться?
                                                                                                                                                                                                                            +6
                                                                                                                                                                                                                            как то похер, сменил и забыл. Надо значит надо.
                                                                                                                                                                                                                              +2
                                                                                                                                                                                                                              Придерживаюсь такого же мнения, но практика показывает, что после подобных событий обязательно появится топик с парой сотен комментариев ;)
                                                                                                                                                                                                                                +1
                                                                                                                                                                                                                                > сменил и забыл
                                                                                                                                                                                                                                Ну у вас и конспирация…
                                                                                                                                                                                                                                +2
                                                                                                                                                                                                                                «напомнить пароль» как-то странно работает. рекурсивненько
                                                                                                                                                                                                                                  0
                                                                                                                                                                                                                                  Я так и не смог напомнить себе пароль — что должна делать эта ссылка, не понятно. Пароль пришлось вспоминать.
                                                                                                                                                                                                                                    +3
                                                                                                                                                                                                                                    Нажимаешь, а потом вспоминаешь. Всё просто.
                                                                                                                                                                                                                                    0
                                                                                                                                                                                                                                    Ура! Вспомнил!

                                                                                                                                                                                                                                    Жестокая шутка с напоминалкой и с проверкой старого пароля. Я уже заволновался за работоспособность Хабра: жму кнопку «сохранить» — реакции нет. Жму «напомнить» — та же страница!
                                                                                                                                                                                                                                    +2
                                                                                                                                                                                                                                    представляю удивленные лица при просьбе сменить пароль=)
                                                                                                                                                                                                                                    А по сути: что плохого в действии на опережение? Улучшить шифрование пароля — не во вред. Зато теперь если стырят вдруг даже базу — то пару лет пусть возятся.
                                                                                                                                                                                                                                      0
                                                                                                                                                                                                                                      как стырят, еще раз сменить попросят…
                                                                                                                                                                                                                                      +3
                                                                                                                                                                                                                                      Я уж подумал что троян, заглянул в hosts.
                                                                                                                                                                                                                                      Вы заранее предупреждайте…
                                                                                                                                                                                                                                        –1
                                                                                                                                                                                                                                        Сменил на тот-же — всех нае… :)
                                                                                                                                                                                                                                        • UFO just landed and posted this here
                                                                                                                                                                                                                                            +1
                                                                                                                                                                                                                                            А в чём проблема сменить пароль? Попросили — сменили. Менять пароли вообще полезно, и не тольео на хабре.
                                                                                                                                                                                                                                              0
                                                                                                                                                                                                                                              Для введения salt можно было и мягче все это сделать, например при логине по-тихому засолить новый пароль.
                                                                                                                                                                                                                                              Уверен, что базу угнали.
                                                                                                                                                                                                                                              0
                                                                                                                                                                                                                                              Хорошо бы предупредить, хоть на емайл или топиком на главной, мол, ребята, завтра меняем все пароли. Хотя… тут сразу могут воспользоваться негодники. Спорный вопрос.
                                                                                                                                                                                                                                                0
                                                                                                                                                                                                                                                Мы все умрём!
                                                                                                                                                                                                                                                  +7
                                                                                                                                                                                                                                                  А давайте зададим прямой вопрос администрации про угон базы?
                                                                                                                                                                                                                                                  Администрация, прошу дать разъяснения по вопросу угона базы пользователей. Правда? Неправда? Возможно? Если, как вы говорите, просто надо перехешировать пароли — можно было бы просто всех разлогаутить по кукам и при входе пользователя сравнить со старым хешем и если всё хорошо — построить новый хеш. Хотелось бы всё-таки получить чёткий ответ про угон. Спасибо.
                                                                                                                                                                                                                                                    0
                                                                                                                                                                                                                                                    о, сначала написал то же самое, а потом прочитал ваш коммент
                                                                                                                                                                                                                                                      0
                                                                                                                                                                                                                                                      Тем более, что в новых записях есть мусор, писал который некий Max6

                                                                                                                                                                                                                                                      Зарегистрирован:
                                                                                                                                                                                                                                                      29 мая 2009 в 14:27 по приглашению НЛО

                                                                                                                                                                                                                                                      те буквально сегодня явно или был слом или что-то увели. А нам вешают лапшу на уши…
                                                                                                                                                                                                                                                      +2
                                                                                                                                                                                                                                                      не могу оторваться от чтения комментариев! ))) Сегодня праздник какой-то!
                                                                                                                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                                                                                                                          +8
                                                                                                                                                                                                                                                          > Раньше на Хабре пароли хранились в базе в виде md5. Мы решили, что этого недостаточно и добавили еще salt к этим паролям. Чтобы все пароли перегенерировались, мы и просим заменить пароль на новый.

                                                                                                                                                                                                                                                          Чтобы все пароли перегенерировались, достаточно попросить пользователя войти заново и, в случае удачи, применить к введенному паролю «еще salt»
                                                                                                                                                                                                                                                            0
                                                                                                                                                                                                                                                            одобрямс
                                                                                                                                                                                                                                                              +2
                                                                                                                                                                                                                                                              Я подумал, что можно и ник сменить =(
                                                                                                                                                                                                                                                                +1
                                                                                                                                                                                                                                                                Что бы сменить пароль надо 20 секунд максимум.
                                                                                                                                                                                                                                                                За 2 часа к этому топику больше полутросотни коментариев, среди которых единственного чего нет — это только «ну все, пойду повешусь». Я даже не заметил как пролетела эта формочка — ну надо сменить пароль — сменил. Всё.

                                                                                                                                                                                                                                                                Еще раз. Что бы сменить пароль надо 20 секунд максимум. Обычно хватает 5-ти.
                                                                                                                                                                                                                                                                  +1
                                                                                                                                                                                                                                                                  Вопрос в мотивах администрации, которая, не к добру молчит.
                                                                                                                                                                                                                                                                    +1
                                                                                                                                                                                                                                                                    А не все ли равно? Даже (в чем я сильно сомневаюсь) если и угнали базу (что с очень малой вероятностью может и возможно), то как бы вы поступили на месте «заклятой» администрации, а?

                                                                                                                                                                                                                                                                    Когда занимаешься большими проектами, то понимаешь что такие меры часто бывают необходимы сами по себе.
                                                                                                                                                                                                                                                                    0
                                                                                                                                                                                                                                                                    А и правда ведь, надо и на других сайтах поменять бы, а их щас наверное и не вспомню все.
                                                                                                                                                                                                                                                                    ну все, пойду повешусь ;)