В который раз о важности сложных паролей

    В моей прошлой заметке про пароли некоторые пользователи высказали мнение, что пользователь имеет право ставить любой пароль, хоть из одной буквы. Мол, он сам будет отвечать, если его аккаунт взломают.

    На одном местечковом форуме под старенькой phpBB второй версии последнее время участился хитрый спам: спамеры взламывали аккаунты пользователей и редактировали их сообщения многолетней давности, заменяя на SEO-тексты с порноссылками. Редактирование старых сообщений долгое время оставалось незамеченным для администрации, но не для поисковых машин. Парой запросов в базу удалось выяснить, что взламывали аккаунты с паролями двух типов: с паролем «12345» и с паролем, совпадающим с логином. Оказалось, пароль 12345 поставили 13 пользователей, пароль-логин — 16 пользователей, всего порядка 1500 пользователей. То есть каждый 50-й аккаунт мог быть так взломан. Причём, так как спамеры перебирают пользователей, а не пароли, нельзя автоматически заблокировать определённого пользователя, пароль которого пытались подобрать много раз.

    Администраторы, запретите устанавливать простые пароли, если вы ещё этого не сделали. Капча на логин — штука спорная, но может пригодиться. Пользователи, не возмущайтесь, когда вам не дают установить простой пароль :-)
    Share post

    Comments 121

      0
      При всём моём согласии с необходимостью сложных паролей, не пойму, как это пересекается с идеей об ответственности пользователей за сохранность их персональных данных. Заблокировать злосчастные 2% аккаунтов, и всего делов-то.
        0
        Заблокировали, восстановили сообщения из бэкапа, это понятно. Но в следующий раз пойдут в ход пароли «qwerty» или ещё что-нибудь. Кроме того чисто по-человечески неприятно, что пару месяцев на форуме была грязь, а администраторы не замечали.
          0
          Мне кажется, нужно чётко решить — нужны ли на форуме пользователи, не способные установить нормальный пароль. Если нет — безусловно, нужно контролировать пароль при вводе и сообщать пользователям со слабым паролем, что они рискуют быть заблокированы.

          Если из-за конкуренции борьба идёт за каждого пользователя, таких придётся терпеть.
          • UFO just landed and posted this here
              +1
              И да, некоторых пользователей приходится именно что терпеть. Ведь из-за спама с их аккаунтов сайт становится не нужен и другим пользователям тоже.
          0
          Когда пользователь знает что о нем заботятся, это вызывает лишнее доверие к сервису. Это всегда "+"
            0
            Знаете, если гугл начнёт обо мне «заботиться» и спрашивать мой логин при каждом поисковом запросе — он меня потеряет как пользователя. Хотя моя безопасности теоретически повысится.
            +2
            не пойму, как это пересекается с идеей об ответственности пользователей за сохранность их персональных данных.
            Что тут непонятного? Идея в том, что аргумент «слабый пароль — это личная проблема самого пользователя и только» несостоятелен. Автор на конкретном примере показал, что слабый пароль в итоге может обернуться не только проблемой пользователя, но и проблемой сайта/ресурса. Поэтому администраторам ресурсов не нужно пускать всё на самотёк и нужно требовать от пользователей соблюдать минимальную сложность пароля при его установке.
              +1
              Интересно, те, кто придумали штрафовать водителя за не пристёгнутый ремень безопасности тоже руководствовались такой логикой? Кому он может нанести ущерб тем, что разобьёт голову о лобовое стекло? Наказывать надо за использование чужих аккаунтов, а не заставлять ставить сложные замки. Ну это в идеале.
                –1
                Интересно, те, кто придумали штрафовать водителя за не пристёгнутый ремень безопасности тоже руководствовались такой логикой? Кому он может нанести ущерб тем, что разобьёт голову о лобовое стекло?
                Вы думаете, что непристёгнутый человек в машине рискует только своей жизнью? Посмотрите эту социальную рекламу о безопасности за рулём:
                www.youtube.com/watch?v=CrqETOyvpnY
                  –6
                  Вы верите рекламе? о_О
                    +2
                    А вы, в данном случае, нет? Это же социалка, а не реклама продающихся отдельно ремней.
                    –4
                    Я еду один в своей машине. Объясните мне хоть одну причину ограничивать мою свободу. Почему меня заставляют пристёгиваться? Как я могу навредить окружающим? Дурной пример, что ли, подаю? Давайте запретим босяком по городу ходить, ведь опасно. Наступишь на гвоздь и от шока можешь ударить прохожего!
                    Короче, теми, кто ограничивают свободу в этих вопросах движет что угодно, но не забота о безопасности. Что движет? Убеждения, привычки, зависть, амбиции, эгоизм, глупость. Что угодно… всё то, что заставляет ошибаться.
                      +4
                      Я еду один в своей машине. Объясните мне хоть одну причину ограничивать мою свободу. Почему меня заставляют пристёгиваться? Как я могу навредить окружающим?
                      Хотите, чтобы я привёл пример? ОК.
                      Человек едет один в своей машине. На что-то наезжает, или лопается колесо, короче машина уходит в занос.
                      Вариант А: Человек пристёгнут, поэтому остаётся на месте, не теряет дорогу из вида, контролирует ситуацию и выводит машину из заноса.
                      Вариант Б: Человек не пристёгнут, его мотает по сторонам, бьёт головой об руль, об дверцу, он теряет контроль над дорогой, не может контролировать машину, может даже от ударов теряет сознание. В итоге неконтролируемый автомобиль вылетает на тротуар и сбивает пешеходов, или машина вылетает на встречку и становится виновником столкновения. В итоге страдает не только водитель, а под угрозой оказываются и жизни окружающих.
                        –3
                        Если человека не выкидывает из кресла, только из-за того, что он пристегнут, то из заноса он ее не выведет: трудно выводить ПЕРЕВЕРНУТОЕ авто.
                        Исключение — блондинка, купившая права, и находящаяся в 10см от руля, которая даже не касается сиденья спиной. Я не блондинка. И почему-то уверен, что тот, кому вы ответили — тоже.
                          –1
                          Ремни безопасности нужны для того, чтобы удержать человека в кресле при столкновении. Избежать столкновения они помочь никак не могут, даже наоборот, скорее помешают, т.к. стесняют движения водителя. Да они и не для этого созданы! Это всё отговорки, причины другие, как я говорил. Большинство не может разобраться в проблеме и лишний раз перестраховываются. Это в полной мере относится и к теме топика.
                    0
                    Вы меня не поняли — я вовсе не против дополнительных мер безопасности. Если у форума есть масса лояльных пользователей, то запросто можно потребовать от них сложные пароли длинной не меньше 10 символов, капчу при каждом логине и тд. Но эти меры будут направлены на защиту форума от спама, а не на защиту персональных данных пользователей.

                    У меня на Ютюбе пароль 1234. Угонят — заведу нового юзера. Никаких персональных данных в профиле нет, так что защита безопасности там — не моя проблема.
                    0
                    как альтернатива запретить устанавливать шаблонные пароли:
                    qwerty
                    12345
                    логин = пароль
                    и т.д.
                    и в форме регистрации сделать генератор случайного пароля.й

                    или же
                    не давать самому при регистрации задавать пароль. а выдавать сгенерированный и только потом давать возможность сменить пароль.
                      0
                      Первое правильно, а второе — нет. В случае сложного пароля пользователь скорее всего поменяет его на простой.
                    –2
                    Если сайт серьёзный, то кол-во людей, которые будут ставить на нём пароли «12345» — очень мало.
                    Например Хабрахабр, чтобы попасть сюда нужен инвайт. И когда человек попадает, то значит он хотел этого, значит он заинтересован в своём акке тут, а значит и пароль будет ставить хороший. Так что всё зависит от ресурса.
                      –2
                      А вот и неправда, вне зависимости от места приложения большинство людей все хочет упростить, в том числе упростить для запоминания, уверен что у большинства один и тот же пароль, используется на многих сайтах, в том числе и на важных и серьезных. Такова психология нормального человека, лень запоминать, лень записывать и лень менять, это нормально для человеческой природы.

                      Кстати, требование устанавливать сложный пароль палка о двух концах :)
                      Да, его труднее подобрать, но его же пользователь может и не вспомнить, и тому, кто устанавливает требования к паролю надо выбирать, что важнее, чтобы не было несанкционированного доступа, или что пользователь, забывший пароль, больше не будет заходить на сайт.
                        0
                        Я всегда записываю важные пароли в notepad и копирю его в несколько мест.
                          0
                          Небезопасно. Есть теория, что неплохо пользоваться специальными софтом, заточенным под решение этой задачи. Например, KeePass.
                            0
                            Меня устраивает блокнот.
                              0
                              … помещенный в криптоконтейнер…
                                –3
                                Заархивированный на флешке.
                                  +1
                                  неее, тут лучше дропбоксы и убутуваны всякие, да и еще по защищенному каналу )
                      • UFO just landed and posted this here
                          0
                          вообще-то подавляющее большинство пользователей использует один пароль на все ресурсы кроме самых критичных. у меня, в интернете, к примеру, 5 логинов, расстаться с которыми мне бы действительно не хотелось, и там пароли стоят сложные, а остальное — только голову зря засорять.

                          вот у меня на работе, к примеру, 10 разных паролей, которые меняются раз в две-три недели, в зависимости от полиси. запомнить их НЕВОЗМОЖНО, приходится на бумажку записывать.

                          и отдельный луч ненависти я всегда посылал ресурсам, которые лучше меня знают, какие пароли хороши, а какие — нет. хотя вот теперь я хотя бы понял, почему это делается.

                          и, кстати, я не помню чтобы нужен был какой-то инвайт чтобы зарегиться на хабре ;)
                            0
                            и, кстати, я не помню чтобы нужен был какой-то инвайт чтобы зарегиться на хабре ;)

                            Почаще смотрите новости Хабра…
                          0
                          Имхо, если проект связан с финансами или конфиденциальной информацией — нужно заставлять пользователя вводить нормальный пароль, если он сам этого не понимает.
                          Если же проект пользователь не считает важным защищать свою информацию — пусть использует какой хочет пароль.
                            +9
                            Я ненавижу. Да сильно ненавижу. Я мало что ненавижу, но это особенно. Не ваше это дело(в смысле не ваше конкретно, а веб-мастера) какой у меня пароль. На всяких левых сервисах я регаю простой маленький пароль, у всех одинаковый. Кто мешает — идёт в топку и теряет пользователя. Только если мне очень нужно я сделаю исключение. Особенно ненавижу когда есть требования типа хоть одна буква, хоть одна цифра или без пробелов. У меня есть сильные пароли и все они содержать пробел, некоторым не нравится, например Microsoft Live! Пароль — личное дело и ограничивать его, это примерно тоже самое что запрещать мне в музее смотреть картину под определённым углом. И мне пох что я увижу только рамку, я рамку только и смотрю.

                            Сори, ну очень уж меня данная тема за живое задевает.
                              –1
                              Как говорится не нравится не пользуйтесь. С своим уставом в чужой монастырь не ходят. Если я как разработчик ставлю какие то ограничения (в том числе и пробел), значит я об этом подумал. И чтобы иметь в дальнейшем намного меньше проблем (… тут каждый понял, что лучше бы отдельных пользователей и некогда не было) лучше сразу такого товарища отправить в сад.
                                +2
                                Imho ограничение пользователя — не лучшая политика в чем либо. За сим беседу можно прекратить, свои позиции мы узнали, сходить с них не собираемся.
                                  –2
                                  Лучше бы таких разработчиков, а не пользователей.
                                    +3
                                    Вот про таких пользователей как вы я и говорил.
                                      –1
                                      Удивительно, а я про таких разработчиков, как вы.
                                    0
                                    ограничивать стоить только минимальную длинну пароля, и кроме того, чем это вам не угодили пробелы? или вы не хешируете пароли с солью?
                                      +1
                                      Проблема в том, что таких вот разработчиков — тысячи, и у всех свои приколы.
                                      Выше правильно говорят — одни говорят, непременно чтобы цифры были, другие наоборот, чтобы не было, третьи говорят, не менее 8 символов, а четвёртые — не более восьми символов…

                                      Последние два года юзал пароль из букв и цифр. А на новой работе система требует ещё хотя бы один спецсимвол (не буква и не цифра) для пароля. Вот нафига, а? Особенно если учесть, что половина сайтов не примет такой пароль — им только буквы-цифры подавай.

                                      Я за хорошие пароли. Но давайте уж как-нибудь разумно подходить к делу, без излишнего фанатизма — чтобы не было такого — вам и буквы, и цифры, и спецсимволы, и только в определённом порядке (сначала буквы, потом цифры) подавай.
                                      +2
                                      «Пароль — личное дело! Вот мои пароли содержат пробел. Я так самовыражаюсь.»

                                      Пароли на общественных ресурсах — это не личное дело. Взломанный аккаунт портит качество сайта, нервы администраторов и настроение пользователей. Я за то, чтобы не разрешать словарные пароли вообще, а на серьезных сайтах строго проверять сложность пароля.

                                      Кто не согласен (с правилами сайта) — идет в топку и теряет возможность им воспользоваться.
                                        +1
                                        Я понимаю и чувствую вашу боль, но с такой политикой в топку пойдет сам сайт.
                                          0
                                          Ради хорошего сайта люди готовы фотографироваться с флажками в… э…
                                          Все же помнят эту историю :-)
                                            –6
                                            … в вагине, влагалище, пипиське? Экий вы скромник. :)
                                        –1
                                        Пароль — личное дело и ограничивать его, это примерно тоже самое что запрещать мне в музее смотреть картину под определённым углом. И мне пох что я увижу только рамку, я рамку только и смотрю.
                                        Как вы увидите картину — это ваше личное дело. Но если очень слабый пароль может доставить серьёзные проблемы самому ресурсу и другим его участникам, то этот вопрос не нужно оставлять без внимания администрации, т.е. некоторые парольные политики в этом случае оправданы.

                                        Конечно, фанатизма в парольных ограничениях не нужно (например ограничения «минимум 10 символов» или «строго от 6 до 10 символов» или «нельзя использовать пробелы спец.символы» — они идиотские), но минимальные ограничения всё же нужны.
                                        Например:
                                        — пароль не менее 4-5 символов;
                                        — запрещено совпадение пароля с логином;
                                        — запрещено использовать в пароле все одинаковые символы (aaaaa, 77777 и т.п.);
                                        — запрещен десяток самых распространенных паролей (типа qwerty, 12345, 123456, zxcv, love и др.).
                                          0
                                          … а также secret, sex и god :)

                                          да, это разумные правила. а сервисы с более жесткими требованиями уже не канают.
                                        +7
                                        А почему бы не запретить редактирование записей на форуме спустя n-ое время?
                                          0
                                          Вот именно, либо ввести доп. авторизацию вплоть до конфирма по мылу. Главное, не усложнять жизнь своим же юзерам, ради которых проекты создаём.
                                            0
                                            Это в процессе обсуждения. Вероятно, придётся допиливать энджин, так как он староват, а всем страшно лень :-)
                                              –1
                                              А почему бы не запретить редактирование записей на форуме спустя n-ое время?
                                              А вот на Хабре наоборот не мешало бы добавить возможность отредактировать/удалить свой комментарий хотя бы в течение 10 секунд после его публикации.
                                                0
                                                Вот с этим согласен, бажные комментарии не только отвлекают, но еще и минусов можно нахвататься.
                                              +1
                                              >> пароль 12345 поставили 13 пользователей, пароль-логин — 16 пользователей, всего порядка 1500 пользователей.
                                              извините, не понял этой математики
                                                –1
                                                То есть примерно 2% от всех пользователей пострадали от такой атаки спамеров.
                                                  0
                                                  Сейчас сделали что-то типа:
                                                  SELECT user_password,count(*) c FROM phpbb_users WHERE (user_rank!=3 OR user_rank IS NULL) GROUP BY user_password HAVING c>2 ORDER BY c DESC;
                                                  Оказалось, 29 паролей использованы 3 раза или более. Практически все из использованных много раз находятся по md5-хэшам в гугле. Среди них «123456», «111111», «123», «qwerty» и т. д. В сумме подобные пароли примерно у 10% юзеров.
                                                    +1
                                                    По личной статистике, пароль «12345» далеко не самый популярный, куда более популярен «123456» (уже как минимум 2%) так-же не редко встречается просто «123» и «qwerty»
                                                      0
                                                      а такие вот:

                                                      1q2w3e4r
                                                      1qaz2wsx

                                                      ?

                                                      насколько популярны?
                                                      В прошлом сталкивался с тем, что варианты второй последовательности программа не пропускала, а первую — пожалуйста)
                                                        0
                                                        Топ 10 популярных паролей на базе ~150 000 пользователей

                                                        пароль\количество
                                                        123456 3501
                                                        qwerty 1243
                                                        111111 1099
                                                        123456789 673
                                                        666666 626
                                                        12345678 563
                                                        12345 551
                                                        7777777 547
                                                        123321 514
                                                        000000 501
                                                      0
                                                      а, в смысле 29 из 1500. тупанул чутка.
                                                  • UFO just landed and posted this here
                                                      +8
                                                      Пользователь имеет ровно столько прав, сколько ему определил администратор, остальное неверно.
                                                        –3
                                                        У вас синдром вахтёра.
                                                          +1
                                                          а вы просто недокормленный тролль :))))
                                                            –3
                                                            Правда высказанная в одном предложении не троллинг.
                                                              0
                                                              Черномырдин негодуэ.
                                                                –2
                                                                Раскусили.
                                                      +1
                                                      я не против более-менее сложных паролей, но сильно не нравится другое: когда пароли хранят в открытом виде, такие сервисы при восстановлении пароля часто присылают твой старый пароль, следовательно они его хранят в открытом виде, либо могут его дешифровать. Получается любой админ может взять мой пароль и попробовать его на других сайтах, где я зарегистрирован. Для особо критичных сайтов, я естественно ставлю уникальный пароль.
                                                        0
                                                        захочет программист, будет хранить и две версии паролей. Тут доверяешь — не доверяешь.
                                                          0
                                                          Используйте сервис по генерации паролей на основе мастер пароля и доменного имени сайта.
                                                          0
                                                          Мне, как человеку близкому к веб-разработке понятны ваши проблемы.
                                                          А как простому пользователю сайтов, мне на них наплевать.
                                                          • UFO just landed and posted this here
                                                              0
                                                              Дело в том, что каждый веб разработчик считает свой говноресурс и говносервис уникальным-оригинальным-супермега… и т.п. а значит и долгом своим защитить его по полной программе, но если мне как пользователю надо посмотреть-ознакомится-попробовать-понять и т.д. с сервисом, который вобщем может и не оказаться говноресурсом(сервисом) меня не инетерсует их локальная политика безопасности. И когда я в очередной раз нарываюсь на супермега неюзабельную систему регистрации — я злюсь. А зачем нам столько зла? Дайте юзерам самим выбирать, если их заинтересует Ваш проект для дальнейшего использования, и пароль сменят, и ходить будут, а если проект — отстой, то только лишние лучи гнева Вам будут посылать. Зачем?
                                                                0
                                                                мне больше нравится, когда можно вписать свой вопрос, и естественно, никакой life-hacker не подберет ни первое, ни второе.

                                                                What is a meaning of the life?
                                                                  –1
                                                                  What is a meaning of the life?
                                                                  Ответ 42?
                                                                    0
                                                                    нет)
                                                                +1
                                                                не ваше дело, какой у меня пароль… Если мне нужен ваш сайт всего для одного раза, чтоб что-то посмотреть, что-то написать или что-то скачать…
                                                                Делайте нормальные и ценные сайты, тогда возможно и пароли будут нормальные… Или прикручивайте опенID… У многих на ящиках Гугл, яндекс стоят нормальные пароли, потому что это нужные сайты…
                                                                А для сайтов однодневок мой пароль всегда 123456
                                                                  +16
                                                                  Я поражаюсь, что вы просто так взяли и рассказали о вашем обычном пароле для сайтов-однодневок.

                                                                  Решил проверить для интереса, и конечно же:

                                                                    +3
                                                                    напомнило «Слушай, а может мы с тобой родственники? Как девичья фамилия твоей матери?… О! У тебя 8 новых писем!»
                                                                      –1
                                                                      Да меня вообще удивляет сколько народу тут орёт об ограничении «свободы», когда заставляют целых 8 символов вмсто6 ввести и т.п. Прям ущемление конституционных прав, не меньше. И возможнось поиметь проблемы в будущем, что и было продемонстрировано.

                                                                      Тем более, что тут аудитория ещё более или менее ИТ-образованная, а средний юзер интренета совсем нет. Лепят простые пароли везде, и потом мы имеем кучу взломанных асек, одноклассников и контактов.
                                                                        0
                                                                        Ну человек же сказал, что ему пофиг на эти сайты. Не думаю, что его сильно расстроит ваш заход на такой сайт под его именем.
                                                                          0
                                                                          А напиши в личку что за сайт…
                                                                        +1
                                                                        Не стоит забывать про такой популярный сервис, как Твиттер, который запретил использование около 370 слов в качестве паролей.

                                                                        Если сайт подразумевает, что пользователя могут взломать и сделать что-то нехорошее, то стоит требовать сложные пароли.

                                                                        Если же это простой новостной сайт, где регистрация требуется для того, чтобы оставлять комменты — я бы не стал требовать длину не менее 8 символов и обязательных циферок или спецсимволов.
                                                                          0
                                                                          У меня 3 пароля: один из небольшого числа цифр, второй из бОльшего числа цифр. Третий из букв, цифр и спецсимволов.
                                                                          Проблема бывает такая — меня простя ввести сложный пароль, я ввожу свой сложный, а мне в ответ — «нельзя использовать специальные символы, пароль должен состоять из цифр и букв». Я, конечно, понимаю что мой косяк что два пароля только из цифр, но это сложилось исторически, я не специально придумал два пароля на одну манеру, поэтому я придумал 3ий. Теперь еще и 4ый наверно нужен.

                                                                          Другими словами я за:
                                                                          — если просить ввести сложный пароль то дать все возможности, чтобы его ввести.
                                                                          — использовать зашумление паролей в БД.(бывает, что хранят в чистом виде)

                                                                          А еще не понимаю для чего секретный вопрос обязательный. Ответ для него подобрать проще через словарь. А пользователю нужно и ответ и пароль помнить.
                                                                            0
                                                                            Используйте менеджеры паролей: как оффлайновые — Keepass, Roboform, так и онлайновые — Lastpass, Clipperz.

                                                                            Существует две проблемы с оффлайновыми менеджерами — синхронизация паролей, если вы работаете не за одним компом, и надоедание копирования паролей из менеджера.

                                                                            Использование онлайновых менеджеров ограничивается вашим доверием к ним. Они сразу же решают проблему синхронизации, а также автоматически заполняют формы.

                                                                            Есть промежуточный вариант — поднять собственный сервер Mozilla Weave, который синхронизирует профили Firefox'a с паролями включительно.

                                                                              +4
                                                                              Я хотел бы задать вопрос борцам за права человека, утверждающим, что это их право — ставить любые пароли (в том числе одноциферные или вообще пустые).
                                                                              А Вы можете пойти и купить квартиру или машину, в которых по дефолту не будет вообще никаких замков? Ну вот совсем. Не можете. Потому, что таких не продают. Вы даже не можете пойти и купить замок, который будет открываться любой отверткой. Вернее, Вы конечно, можете пойти и купить болт на 38, сказать, что это Ваш замок и закрывать своё имущество на него, зная, что любой человек его может открыть. Но Вы правда будете (хотите\можете) так делать?

                                                                              Дальше вопрос. Вас не смущает, что Вы по определению не можете в жизни сделать кое-какие глупые и опасные вещи? Ну там прыгнуть с самолета без парашюта, сказав инструктору «не ваше дело есть у меня парашют или нет, я считаю, что мне можно и так» или ездить на автомобиле без прав, говоря автоинспектору «не ваше дело есть у меня права или нет, я считаю, что мне можно и так» и т.д. У Вас есть права и есть обязанности. В случае с веб-сайтами, они оговорены владельцем ресурса. Соглашайтесь, или идите на другой сайт — их миллионы.

                                                                              Почему Вас смущает, что форум требует от вас пароль в 8 символов? Вы же не один в пустыне живете. Вы живете в обществе. Вы пользуетесь форумом. Он даёт Вам информацию и общение, знакомства и возможность самовыражения. Почему Вы считаете, что не должны ему ничего, даже такой мелочи, как забота о его защите от спамеров, коей Вы можете помочь, поставив хороший пароль?
                                                                                +1
                                                                                Я езжу в лес. Мой вездеход сознательно не имеет замка. Двигатель заводится выключателем. Это моё право и я им пользуюсь. Прошлый снегоход тоже ключа не содержал, новый содержит, и ключ привязан крепкой верёвкой прямо к рулю. Это важно, в любой ситуации не потерять возможность завести технику. И мне не важно то, что её могут угнать в городе, для меня её ценность ниже чем ценность моего здоровья в лесу. Потому нет замков. Точно так же я хочу простой пароль на некоторых сайтах, чтобы гарантированно вспомнить. Потому я покину сайт если он мне не жизненно необходим и накладывает ограничения на мою свободу действий сейчас в обмен на гипотетические проблемы администратора потом
                                                                                  +1
                                                                                  Ну вы и сравниваете: квартиру, машину, прыжок с парашюта и захудалую некую веб-борду на окраине рунета, на которую люди с паролями 123456 после дня регистрации больше никогда и не возвращаются :)
                                                                                  +1
                                                                                  человек — сам творец и, простите меня, пи… ц своего счастья. придумывание пароля целиком и полностью должно возлагаться на пользователя, а сервис может дать только рекомендации.
                                                                                    0
                                                                                    Это называется «защита от дурака», она много где есть, не только в паролестроении.
                                                                                    +2
                                                                                    Оказалось, пароль 12345 поставили 13 пользователей, пароль-логин — 16 пользователей, всего порядка 1500 пользователей.


                                                                                    Долго втыкал, как это 13 + 16 получилось 1500 =)
                                                                                      0
                                                                                      во-первых редактирование старых записей надо запрещать по времени либо по ответу, иначе бардак в дискуссии возникает.

                                                                                      во-вторых, ловить надо те IP, кто пытается подобрать пароль, а не пользователей, которых перебирают. А еще отслеживать с каких сетей входят и больше 3-х на одном пользователей — косяк. И так далее.

                                                                                      А пароли… их иногда публикуют на форумах и что?

                                                                                      PS. Я когда-то админил порно сайт, который имел по 3-5 перебиральщиков каждый божий день. И никто не думал советовать пользователю какой пароль ставить. Просто присылали извещение на мыло о блокировке со урлом для смены пароля, если его ломали.
                                                                                      • UFO just landed and posted this here
                                                                                          0
                                                                                          вы забыли ключевой слово — разный
                                                                                          • UFO just landed and posted this here
                                                                                            0
                                                                                            а в браузере пароль не храните?
                                                                                            • UFO just landed and posted this here
                                                                                          • UFO just landed and posted this here
                                                                                              0
                                                                                              Можно вместо логина использовать скрытый адрес электронной почты. Или не показывать логин.
                                                                                                +1
                                                                                                хорошим решением есть отличие между отображаемым именем и непосредственно логином.
                                                                                                0
                                                                                                можно, не зная, пароль заменить его, если подобрать простой ответ на простой «секретный вопрос» ;)
                                                                                                  0
                                                                                                  речь имхо идет об автоматических методах взлома. вручную на секретные вопросы отвечать никому не интересно
                                                                                                    0
                                                                                                    боты регистрируются на сайтах и форумах, что мешает автоматически заполнять формы напоминания пароля? =)
                                                                                                  0
                                                                                                  А вы храните пароли для доступа на форум в открытом виде?
                                                                                                    0
                                                                                                    Разумеется, MD5.
                                                                                                      +1
                                                                                                      и тот факт, что по Rainbow-таблицам любой MD5-хеш >=десятизначных паролей ищется мговенно, как и тот факт, что любому MD5-хешу можно найти коллизию в течение минуты Вас нисколько не тревожит?

                                                                                                      MD5 в качестве системы безопасности нельзя юзать уже лет 5 как.
                                                                                                      • UFO just landed and posted this here
                                                                                                          0
                                                                                                          Если товарищ прав насчёт коллизии в течение минуты по _любому_ хэшу, то соль тут не поможет…
                                                                                                          0
                                                                                                          От того, могу или нет я, имея прямой доступ к базе, реверснуть пароли по хэшам, не зависит, будут ли спамеры взламывать аккаунты :-) А про 10 символов и про коллизию для любого хэша вы загнули. Или давайте на слабо я вам хэшей подкину, а вы найдёте коллизий =)
                                                                                                            0
                                                                                                            Читайте википедию или eprint.iacr.org/2006/105. Минута на любой хеш на обычном компьютере.
                                                                                                              0
                                                                                                              А вы использовать пробовали или только читали википедию? Я вот как-то скачивал и ковырял. Какова вероятность, что у вас хотя бы ASCIIZ-строка получится в результате? Вы ведь в курсе, что при хэшировании строки финальный \0 тоже учитывается, а \0 в середине строки недопустим? :-) А уж если символы пароля хоть как-то фильтруются или длина ограничивается?
                                                                                                                0
                                                                                                                Т.е. от того, что лично у Вас применить вот конкретно этот пример не вышло — сразу становится спокойно и безопасно? Тот факт, что есть математически доказанное решение задачи, а значит, у кого-то есть и работающий алгоритм — не внушает опасений?
                                                                                                      +3
                                                                                                      Тут много говорят о том что хорошо или плохо накладывать ограничение на пароль. Только это ничего не изменит. Было есть и будет что все ограничение на пароль и на ресурс в целом устанавливает администратор ресурса. А пользователь может только недовольно ворчать и говорить, что никогда больше не будет пользоваться этим паршивым сайтом. Уважаемые пользователи, вы можете сколько угодно жаловаться здесь и в других местах, ваши слова унесет ветер. Ваши слова не совершат революцию. Администратор сам решает что ему лучше 1% недовольных пользователей или 10% потенциальных спамеров и/или взломанный аккаунтов, или подрыв репутации (типа сайт такой то взломали).

                                                                                                      Я админ keymemo.com и мне эта тема очень близка. У меня ограничение на пароль мин 10 символов, буквы+цифры обязательны. В отзывах я постоянно получаю ворчание пользователей на это, но я всех отправляю куда подальше на эти замечания. Потому что пользователи реально не ведают что творят. Ладно они просрут свои пароли. Но мне совсем не не хочется чтоб по их вине кто то написал что keymemo.com использует не стойкое шифрование. Я потом ни кому не докажу, что взломали методом подбора простого пароля по словарю, и пользователь сам виноват. Гнать я буду поганой метлой таких несознательных пользователей поганой метлой от своего сервиса подальше, ибо отморозки встречаются еще те.

                                                                                                      Все, кто говорит здесь о свободе пользователя. Вы пишите, а значит залогинены на на Хабре, а тут вход вообще с капчей. Это многих раздражает, потому что неудобно. Но все пользуются потому что ресурс того стоит. Это еще раз подтверждает что в конце концов решает админ.
                                                                                                        0
                                                                                                        имхо пароль с капчей лучше, чем дикие требования к самому паролю.

                                                                                                        потому что как вводить капчу пользователь вряд-ли забудет, а вот дикий пароль из 10 символов в разных регистрах с цифрами и другими знаками — легко, особенно если его пришлось выдумать специально для этого сайта.
                                                                                                        0
                                                                                                        главное ограничивая пароли пишите об этом в форме регистрации сразу. а то бесят сайты, в которых навводят ограничений на длину пароля или его сложность и сидишь, как дурак вводишь 5 вариантов, пока все требования не выполнишь, о которых узнаешь только после попытки регистрации.
                                                                                                          0
                                                                                                          Нужно законодательно запретить простые пароли. Тех кто делает в своём (любом) ПО возможности ипользования простых паролей — штрафовать, деньги направлять в фонд защиты от спама. Думаю, такая мера сократит число спама, куков и троянских коней (и всяких подбиральщиков поролей на ssh, ftp, sql, ect, cte, etc...). А кому влом вводить свои новообретённые пароли — пусть пользуется LiveID, OpenID и т.п., заодно это подстигнёт интеграцию этих сервисов.
                                                                                                            0
                                                                                                            Вообще данный конфликт показывает некоторую несостоятельность идеи «логин-пароль» для аутентификации. От пользователей сейчас требуют регистрироваться на очень многих сайтах. Все хотят надежного пароля. Использовать один и тот же пароль — небезопасно, а иногда и невозможно (так как разные администраторы вводят несовместимые между собой требования к паролю). Использовать разные — тоже невозможно, их просто не запомнить. Всякие password manager'ы — ограниченно применимое решение. Во-первых оно хранится только на локальном компьютере, во-вторых я не уверен, насколько они надежны в случае кражи базы (хотя может быть master password решает проблему — просто не изучал вопрос)

                                                                                                            Правда, удачных альтернатив пока не видно. Microsoft Passport провалился, OpenID не слишком популярен. Может быть из U-prove что-то получится? Хотя для надежности эта система должна крутиться на независимом устройстве со своим экраном и кнопкой «подтвердить передачу данных». Тоже непросто.
                                                                                                            • UFO just landed and posted this here
                                                                                                                0
                                                                                                                Спасибо, посмотрю. Вопрос, конечно, насколько надежно все хранить на чужом сервере. Но это уже вопрос криптографии и доверия к программе. Точно также можно не доверять USB-токену или браузеру в конце концов.
                                                                                                                • UFO just landed and posted this here
                                                                                                                    0
                                                                                                                    Ну да, шифрование надежно, а софт не сливает пароли «налево» прямо с локального компьютера :) А если доходить до крайностей, то на сайты ходить не надо вообще, компьютер выкинуть, жить в землянке на подножном корму. Ну так, на всякий случай.
                                                                                                                    • UFO just landed and posted this here
                                                                                                                        0
                                                                                                                        Ну да, пожалуй, внушает доверие
                                                                                                              0
                                                                                                              bugmenot для одноразовых сайтов.

                                                                                                              Only users with full accounts can post comments. Log in, please.