Comments 54
Вывод: методы пропаганды не работают!
Да сколько можно напоминать то? Если аккаунт имеет хоть какую-то ценность для его владельца — он сам позаботится о сложном пароле. А если у него логин и пароль совпадают, тут уж сам виноват.
+3
Выходит, что взлом — лучшая пропаганда :)
+2
Имхо, если повторить эксперимент через месяц, то количество уязвимых аккаунтов не сильно уменьшится. К сожалению.
+1
Ну это потому, что ничего плохого от имени этих аккаунтов не сделано.
На самом деле, имхо, это удар по твиттеру — ведь у них есть большой список запрещенных для регистрации паролей. Теперь придется добавить строчку, не разрешающую пароль==логин.
На самом деле, имхо, это удар по твиттеру — ведь у них есть большой список запрещенных для регистрации паролей. Теперь придется добавить строчку, не разрешающую пароль==логин.
+1
» Если аккаунт имеет хоть какую-то ценность
Обычно человек регистрируется из любопытства, а ценность возникает в процессе пользования. Поскольку всё уже привычно работает, о пароле не вспоминаешь. Так и получается.
Вопрос надо не привязывать к „имеет ценность“, а к в принципе привычке любой пароль делать нормальным, а не 123 или логином.
Обычно человек регистрируется из любопытства, а ценность возникает в процессе пользования. Поскольку всё уже привычно работает, о пароле не вспоминаешь. Так и получается.
Вопрос надо не привязывать к „имеет ценность“, а к в принципе привычке любой пароль делать нормальным, а не 123 или логином.
+2
Честное слово — у меня и мысли в голову не могли придти, что кто мог пароль равный логину.
+5
*кто-то мог установить
+1
значит хреновый из Вас взломщик
0
Меня удивило, что твиттер вообще позволяет регистрировать такие аккаунты.
+3
+1, надо не давать.
Щитаю, виноват твиттер.
Щитаю, виноват твиттер.
+5
А какой портал не разрешит подобный пароль? В лучшем случае просто единожды предупредит, что пароль простой и замолчит навсегда.
0
Я так делаю на левых сайтах, типа: qweqwe:qweqwe, asdzxc:asdzxc и т.д.
0
Очень удобно для неважных, но требующих регистрации сайтов.
Вводите везде OpenID, и проблема слабых паролей уйдёт в прошлое.
Вводите везде OpenID, и проблема слабых паролей уйдёт в прошлое.
0
на всеми нами любимом твиттере
Говорите за себя…
+8
Это фигура речи, я полагаю.
Кто любит твиттер — мысленно согласится, а кто не любит — почувствует сарказм.
Кто любит твиттер — мысленно согласится, а кто не любит — почувствует сарказм.
+13
Посты в тематический блог Твиттера публикуются раз в 3-5 дней и собирают намало комментов.
Фразу «всеми любимый» Вы можете понять как «любимая тема для обсуждения на Хабре». В этом есть что-то плохое? Многие здесь либо уже есть на твиттере, либо активно против него. Да и где, как не на Хабре, в среде программистов и гиков обсуждать такое явление, как Тви?
Фразу «всеми любимый» Вы можете понять как «любимая тема для обсуждения на Хабре». В этом есть что-то плохое? Многие здесь либо уже есть на твиттере, либо активно против него. Да и где, как не на Хабре, в среде программистов и гиков обсуждать такое явление, как Тви?
0
Даже не верится что владельцы твиттера не удосужились при регистрации/смене пароля добавить дополнительную проверку на то чтобы логин и пароль не совпадали друг с другом.
Должна же быть защита от дураков, тем более от таких :).
Должна же быть защита от дураков, тем более от таких :).
+3
Вывод: методы пропаганды не работают!
Почему-то мне кажется, что основная часть русскоязычного твиттер-сообщества, вообще не подозревает о существовании хабра.
+1
Пропаганда идет не только на Хабре. На многих сайтах и форумах запрещают простые пароли, крупно пишут об этом. Меняют политику паролей и заставляют менять их пользователей, у которых простой пароль был поставлен давно. Я думаю, что многие, кто хотя бы немного «живёт в Сети», уже сталкивался и замечал эту тенденцию.
0
кто-то учится на своих ошибках, кто-то на чужих, а кто-то после пинка.
0
Как говорится, спасение утопающих -дело рук самих утопающих. Надо было владельцам таких паролей думать головой, случаи таких «взломов» нередки.
0
>большинство пользователей даже такого сервиса как Твиттер
омг. почему _даже_?
омг. почему _даже_?
-3
В качестве эксперемента на одном своем домашнем торренте в городской локалке, запустил брут по хешам md5, результаты были для меня удивительны:
Количество пар логин-пароль: 3500,
Подобраны исходя из того что пароль из цифр: 40%,
Подобраны по словарю в 3000 слов: 15%,
Подобраны за счет изменений по заданным правилам слов в словаре 3000 слов: 5%,
Подобраны за счет комбинации словарей 1500 слов и 3000 слов: 5%
Итого 65% за полчаса, причем у администрации как оказались тоже пароли неахти, пример конечно не сравним с твитером, но тенденция очевидна. Как решить проблему неясно…
Количество пар логин-пароль: 3500,
Подобраны исходя из того что пароль из цифр: 40%,
Подобраны по словарю в 3000 слов: 15%,
Подобраны за счет изменений по заданным правилам слов в словаре 3000 слов: 5%,
Подобраны за счет комбинации словарей 1500 слов и 3000 слов: 5%
Итого 65% за полчаса, причем у администрации как оказались тоже пароли неахти, пример конечно не сравним с твитером, но тенденция очевидна. Как решить проблему неясно…
+5
то есть, помимо совпадающих пар, были пароли, которые относительно легко подбирались по заданным критериям?
Подобраны за счет изменений по заданным правилам слов в словаре 3000 словЭто как, можно по-подробнее?
0
Например можно задать шаблоны:
: Ничего не делать с исходным словом
l Перевести в нижний регистр
u Перевести в верхний регистр
c Перевести первый символ в верхний регистр,
остальные — в нижний
C Перевести первый символ в нижний регистр,
остальные — в верхний
t Инвертировать регистр всех символов в слове
TN Инвертировать регистр символа в позиции N
Примечание: N = 0...9 для позиции от 0 до 9,
N = A...Z для позиции от 10 до 35
r Обратить: «Fred» -> «derF»
d Дублировать: «Fred» -> «FredFred»
f Отразить: «Fred» -> «FredderF»
{ Сдвинуть слово влево на 1 символ: «jsmith» -> «smithj»
} Сдвинуть слово вправо на 1 символ: «smithj» -> «jsmith»
$X Добавить в конце слова символ X
^X Добавить в начале слова символ X
: Ничего не делать с исходным словом
l Перевести в нижний регистр
u Перевести в верхний регистр
c Перевести первый символ в верхний регистр,
остальные — в нижний
C Перевести первый символ в нижний регистр,
остальные — в верхний
t Инвертировать регистр всех символов в слове
TN Инвертировать регистр символа в позиции N
Примечание: N = 0...9 для позиции от 0 до 9,
N = A...Z для позиции от 10 до 35
r Обратить: «Fred» -> «derF»
d Дублировать: «Fred» -> «FredFred»
f Отразить: «Fred» -> «FredderF»
{ Сдвинуть слово влево на 1 символ: «jsmith» -> «smithj»
} Сдвинуть слово вправо на 1 символ: «smithj» -> «jsmith»
$X Добавить в конце слова символ X
^X Добавить в начале слова символ X
+1
UFO just landed and posted this here
Блин, кто-то за меня статьи на хабре все это время писал… методы пропаганды действительно не работают )
+2
Не удивлюсь, если найдутся такие пользователи, которые пойдут менять… логин :)
+2
UFO just landed and posted this here
самый лучший метод — увод аккаунта=)
-1
All your base are belong to #Dharok — хыхыххы человек с юмором
+2
есть многие патчи для программ и систем безопастности, существуют правила и алгоритмы…
только на человеческую тупость патча не придумали
только на человеческую тупость патча не придумали
+2
большинство пользователей даже такого сервиса как Твиттер, не прислушиваются к советам и не соблюдают элементарную политику безопасности.
Насколько понимаю, в твиттере полно музыкантов, домохозяек и прочих личностей, которые понятия не имеют о безопасности. Так что удивляться! Или я не прав?
+1
Первым делом при взломе нужно проверить пароль, такой же как логин. Это же прописная истина!
Когда-то во время учебы в колледже, именно таким образом мы получили доступ к учетной записи одной немного станной учительницы по информатике.
Когда-то во время учебы в колледже, именно таким образом мы получили доступ к учетной записи одной немного станной учительницы по информатике.
+2
Тут недавно с другом думали как защитить хорошим паролем. Мысль была либо поставить слишком легкий либо слишком сложный. Легкий как правило обычно отсеивается если человек серьезен и продвинут. Ну а сложный хотели например пароль и его в MD5) Запомнить правда сложно, но в случае если забудешь то восстановишь просто зная исходный пароль а защита хороша — подбором не подберешь)
-1
«И проверьте свой пароль на Хабре ;-)»
Вы думаете у хабравчан пароли совпадают с логинами?
Вы думаете у хабравчан пароли совпадают с логинами?
-2
Скорее всего пользователи, которые в качестве пароля используют свой логин или часть логина могут подумать: «да кому надо взламывать мою учетку?» вот и не заморачиваются
+1
Вообще, запретить равенство логина и пароля можно в скриптах твиттера. И это сделать проще простого.
Если твиттер ориентируется на массовую аудиторию — то это их недочет, имхо.
Если твиттер ориентируется на массовую аудиторию — то это их недочет, имхо.
0
Зашёл и проверил, при попытке сделать пароль, равный логину, твиттер выплёвывает Too obvious и не даёт регистрироваться. Так что про скрипты твиттера и про проблемы в безопасности, вы это зря :)
Думаю, что защиту от подобного просто сделали не очень давно (включая список простых паролей), а т.к. посчитали что смотреть на пароли пользователей немного неприлично, старых пользователей не пинали. Вот и получилось, так как получилось.
Думаю, что защиту от подобного просто сделали не очень давно (включая список простых паролей), а т.к. посчитали что смотреть на пароли пользователей немного неприлично, старых пользователей не пинали. Вот и получилось, так как получилось.
0
Знал бы ты, как мама ругается, когда я ставлю ей сложные пароли. :)
0
Sign up to leave a comment.
Articles
Change theme settings
#Dharok или Не стоит ставить пароль равный логину