В таких историях обычно не подняты вопросы, которые подростки сами себе боятся задать:
Кто сейчас обеспечивает тебя материально?
Родители?
Будут ли они поддерживать тебя, если ты бросишь ВУЗ?
Или придётся тратить время (больше чем в ВУЗе) на низкоквалифицированную работу?
Или есть шанс устроится стажёром (без образования и опыта) где могут пригодится твои стремления?
Или есть не фантомный шанс монетизировать в ближайшей перспективе то, чем ты сейчас хочешь заниматься?
Возможно в новом году ты посчитаешь что-то другое более важным, вязание например?
Можно ли распланировать свой распорядок, чтобы не жертвовать ВУЗом?
Диплом (даже без знаний) даёт несколько пунктов к будущему трамплину. С другой стороны есть неплохие публичные примеры успешного успеха среди забивших...
Где тут .NET? Вначале кликбейт стиле пабликов vk про небезопасный холодильник. В середине какие-то скрипты с нулевой полезностью. А в конце схема взлома Аэрофлота?
ИТ-технологии плохо защищают от физического вмешательства, будь то силовое воздействие, либо социальная инженерия. Фантазировать можно долго, но если есть опасность, что тебя у подъезда стукнут по голове, или жгучая брюнетка с большими глазами подмешает порошок в баре, то нужно обращаться в правоохранительные органы, а не думать о шифровании, или спец-символе в пароле.
Мария Ивановна же тоже не должна страдать. Раскрутим ситуацию - ей надо купить билет на сайте РЖД, чтобы к внукам съездить...
Система авторизации должна быть одинаково удобна и безопасна для всех пользователей, а не только для гиков, которые способны запоминать 20-ти значные комбинации.
Про ключи SSH. Думаю не стоит в 2025-м году разводить полемику насчёт сравнения безопасности при классическом логин/пароль и ключевом доступе. При использовании ключей как минимум, мы не храним логин/пароль на клиенте, не гоняем его постоянно между клиентом и сервером и т.д.
А пароль также может быть утрачен: забыт, утеряна бумажка, стёрт файл с паролями, похерено хранилище паролей... Поэтому да, можно носить флешку, или облачный ресурс какой-нибудь использовать.
Я же отметил, что для "масс. сервисов" и ниже "П.С." об этом же. Свой уютный локальный SSH к масс.сервисам не относится. Да и если конкретно про SSH говорит, то там безопаснее ключи использовать. Как пример непровославный ГитХаб уже давно от паролей отказался при работе с репозиториями, только ключи.
Мысль то ясна. Но проблема спец. символов - это только крупинка в проблемах паролей. Все эти требования к сложности, сроку действия, уникальности для разных площадок, условно-простой компрометации и т.д. Они в-принципе изжили себя, как удобный и безопасный способ авторизации для масс. сервисов. Поэтому нудеть по поводу требования вводить спец. символы при наличии остальных проблем, ну такое.
Примеры: - как моей соседке-пенсионерке Марии Ивановне запомнить безопасный пароль от госуслуг (n0V&+1*7k-h) и другой пароль от ЛК горэнергосбыта (bnPfdPr0(_~q) и еще с десяток сервисов - никак - как ей объяснить, что там 0, а не О и она неправильно записала пароль у себя в блокноте - сложно, но можно - как донести, что надо менять свой пароль каждые 3 месяца, а не использовать один везде в течении 10 лет - все понимают, но не исполняют - как объяснить, что пароль Маша1952 не безопасный и его не надо использовать на всех площадках - запретить такой пароль на площадке и указать на причины
Поэтому "МарияИвановна1952+" выглядит в любом случае "безопаснее", чем "Маша1952", или "МарияИвановна1952".
По мне надо вообще отказаться от этой истерии с паролями, а перейти на более удобные и надежные средства авторизации. Телеграммы и всякие Максы не просят никаких паролей.
П.С. Не рассматриваем использование паролей для спец. систем (например для доступа к СУБД внутри компании) - там всё таки специалисты (надеемся) работают и что-то слышали о безопасности.
Да, соль конечно же усложняет перебор и значительно... но, как я не раз убеждался... Среднестатистический админ небольшого тематического сайта обычно не знает что такое хэш пароля, не говоря уже про алгоритм, соль, перец и количество итераций используемые для его создания. Заполучив полный доступ к такому сайту на популярной CMS (на wordpress, drupal, django и т.д.), злоумышленник как правило получает всё необходимое для взлома хэшей (алгоритмы известны, соль тут же в БД, перец рядом в файлах).
Что-то не в ту сторону стреляем. Попытаюсь понятно для всех...
Попытка в секунду? Сейчас смысла нет перебирать пароли прямо из формы, т.к. при подозрительной активность мамкиного брутфорсера заблочат почти сразу (актуально для +-популярных платформ).
А требования к сложность - это защита от получения паролей из хешей, если злоумышленник получил к ним доступ. Скорость ограничена только количеством доступного железа/электроэнергии. А если твой пароль где-то засветился и попал в базу, то его по хешу восстановят за миллисекунды.
Спец. символы действительно значительно усложняют перебор, т.к. все известные алгоритмы сначала проверяют простые буквенный комбинации, поэтому мат.формулой сложность перебора не посчитать (только сложность самого пароля).
С текущим уровнем мощностей пароли впринцепе изжили себя, никто не будет набирать пароль в 20 символов.
У Discord целевая аудитория в первую очередь геймеры. А этим ребятам не нужны длинные тексты - в ходу сокращения, смайлы и гифки. Отсюда и структура чатов мелькающе-раздражающия (до сайтов из 90х не дотягивают еще конечно). GL
До этого просто почитывал. Но уже всё, накипело, - пора начать борьбу с АИ "экспертами". Каждая публикация - это портянка результат кривого промта, которую даже сам автор не дочитал до конца.
Если бы в статье разложили реальный кейс - показал кривые запросы, кривой типовой код, сравнил замеры производительности с другими CMS в аналогичных кейсах... Но зачем, и так схавают...
Тот же вопрос к Вам. Судя по ситуации вы даже не разбирались, что там с кодовой базой.
Вместо того чтобы найти причину и устранять её, начали зачем-то "тюнить" СУБД. Причем что там "тюнилось" тоже большой вопрос (тупо конфиг поправили под рекомендации?). Анализ запросов начался уже после. Не исключаю ситуацию, что в результате "тюнинга" увеличили генерацию карточки товаров на условные 15%, при этом уронили корзину на 100.
Это какой-то не здоровый кейс. Т.е. почта утеряна, а аккаунт на битрикс надо восстановить? Может начать с восстановления почты? Я думаю с такими запросами любая адекватная система посылает в долгое пешее путешествие минимум до тех. поддержки.
Есть и более приземлённые примеры.
Разъяснили же, что не 4 года. Будучи в универе ты можешь продолжать заниматься своими проектами, в армии - нет.
Попахивает АИ-генерацией...
В таких историях обычно не подняты вопросы, которые подростки сами себе боятся задать:
Кто сейчас обеспечивает тебя материально?
Родители?
Будут ли они поддерживать тебя, если ты бросишь ВУЗ?
Или придётся тратить время (больше чем в ВУЗе) на низкоквалифицированную работу?
Или есть шанс устроится стажёром (без образования и опыта) где могут пригодится твои стремления?
Или есть не фантомный шанс монетизировать в ближайшей перспективе то, чем ты сейчас хочешь заниматься?
Возможно в новом году ты посчитаешь что-то другое более важным, вязание например?
Можно ли распланировать свой распорядок, чтобы не жертвовать ВУЗом?
Диплом (даже без знаний) даёт несколько пунктов к будущему трамплину. С другой стороны есть неплохие публичные примеры успешного успеха среди забивших...
ИИ-эксперд детектед. Очередные впустую потраченные 5 минут...
Где тут .NET?
Вначале кликбейт стиле пабликов vk про небезопасный холодильник.
В середине какие-то скрипты с нулевой полезностью.
А в конце схема взлома Аэрофлота?
Статьи которые мы заслужили.
Скорее всего на физ.лицо зарегистрированы, на организацию там совсем "другие" тарифы (как с интернетом).
ИТ-технологии плохо защищают от физического вмешательства, будь то силовое воздействие, либо социальная инженерия. Фантазировать можно долго, но если есть опасность, что тебя у подъезда стукнут по голове, или жгучая брюнетка с большими глазами подмешает порошок в баре, то нужно обращаться в правоохранительные органы, а не думать о шифровании, или спец-символе в пароле.
Мария Ивановна же тоже не должна страдать. Раскрутим ситуацию - ей надо купить билет на сайте РЖД, чтобы к внукам съездить...
Система авторизации должна быть одинаково удобна и безопасна для всех пользователей, а не только для гиков, которые способны запоминать 20-ти значные комбинации.
Про ключи SSH. Думаю не стоит в 2025-м году разводить полемику насчёт сравнения безопасности при классическом логин/пароль и ключевом доступе. При использовании ключей как минимум, мы не храним логин/пароль на клиенте, не гоняем его постоянно между клиентом и сервером и т.д.
А пароль также может быть утрачен: забыт, утеряна бумажка, стёрт файл с паролями, похерено хранилище паролей... Поэтому да, можно носить флешку, или облачный ресурс какой-нибудь использовать.
Я же отметил, что для "масс. сервисов" и ниже "П.С." об этом же. Свой уютный локальный SSH к масс.сервисам не относится.
Да и если конкретно про SSH говорит, то там безопаснее ключи использовать. Как пример непровославный ГитХаб уже давно от паролей отказался при работе с репозиториями, только ключи.
Мысль то ясна. Но проблема спец. символов - это только крупинка в проблемах паролей.
Все эти требования к сложности, сроку действия, уникальности для разных площадок, условно-простой компрометации и т.д.
Они в-принципе изжили себя, как удобный и безопасный способ авторизации для масс. сервисов.
Поэтому нудеть по поводу требования вводить спец. символы при наличии остальных проблем, ну такое.
Примеры:
- как моей соседке-пенсионерке Марии Ивановне запомнить безопасный пароль от госуслуг (n0V&+1*7k-h) и другой пароль от ЛК горэнергосбыта (bnPfdPr0(_~q) и еще с десяток сервисов - никак
- как ей объяснить, что там 0, а не О и она неправильно записала пароль у себя в блокноте - сложно, но можно
- как донести, что надо менять свой пароль каждые 3 месяца, а не использовать один везде в течении 10 лет - все понимают, но не исполняют
- как объяснить, что пароль Маша1952 не безопасный и его не надо использовать на всех площадках - запретить такой пароль на площадке и указать на причины
Поэтому "МарияИвановна1952+" выглядит в любом случае "безопаснее", чем "Маша1952", или "МарияИвановна1952".
По мне надо вообще отказаться от этой истерии с паролями, а перейти на более удобные и надежные средства авторизации. Телеграммы и всякие Максы не просят никаких паролей.
П.С. Не рассматриваем использование паролей для спец. систем (например для доступа к СУБД внутри компании) - там всё таки специалисты (надеемся) работают и что-то слышали о безопасности.
Буду краток:
1. Забей в поисковик "утечка базы LastPass"
2. Забей в поисковик "кейлоггеры"
П.С. Не удобно же каждый раз вбивать? А на мобилке?
Да, соль конечно же усложняет перебор и значительно... но, как я не раз убеждался...
Среднестатистический админ небольшого тематического сайта обычно не знает что такое хэш пароля, не говоря уже про алгоритм, соль, перец и количество итераций используемые для его создания.
Заполучив полный доступ к такому сайту на популярной CMS (на wordpress, drupal, django и т.д.), злоумышленник как правило получает всё необходимое для взлома хэшей (алгоритмы известны, соль тут же в БД, перец рядом в файлах).
Что-то не в ту сторону стреляем. Попытаюсь понятно для всех...
Попытка в секунду? Сейчас смысла нет перебирать пароли прямо из формы, т.к. при подозрительной активность мамкиного брутфорсера заблочат почти сразу (актуально для +-популярных платформ).
А требования к сложность - это защита от получения паролей из хешей, если злоумышленник получил к ним доступ. Скорость ограничена только количеством доступного железа/электроэнергии. А если твой пароль где-то засветился и попал в базу, то его по хешу восстановят за миллисекунды.
Спец. символы действительно значительно усложняют перебор, т.к. все известные алгоритмы сначала проверяют простые буквенный комбинации, поэтому мат.формулой сложность перебора не посчитать (только сложность самого пароля).
С текущим уровнем мощностей пароли впринцепе изжили себя, никто не будет набирать пароль в 20 символов.
Используем второй фактор везде....
Больше похоже на план действий, а не чек-лист.
У Discord целевая аудитория в первую очередь геймеры. А этим ребятам не нужны длинные тексты - в ходу сокращения, смайлы и гифки. Отсюда и структура чатов мелькающе-раздражающия (до сайтов из 90х не дотягивают еще конечно).
GL
А произведения например изобразительного искусства куда отнести, или тоже сжечь? Чужие фантазии как никак.
Замените статью на этот комментарий....
Может просто разработчики Паруса медленно соображали. Или доподлинно известно, что кто-то мешал им дружить с кем надо?
С Битриксом я никак не связан, если намёк на это.
До этого просто почитывал. Но уже всё, накипело, - пора начать борьбу с АИ "экспертами".
Каждая публикация - это портянка результат кривого промта, которую даже сам автор не дочитал до конца.
Если бы в статье разложили реальный кейс - показал кривые запросы, кривой типовой код, сравнил замеры производительности с другими CMS в аналогичных кейсах...
Но зачем, и так схавают...
Тот же вопрос к Вам. Судя по ситуации вы даже не разбирались, что там с кодовой базой.
Вместо того чтобы найти причину и устранять её, начали зачем-то "тюнить" СУБД. Причем что там "тюнилось" тоже большой вопрос (тупо конфиг поправили под рекомендации?). Анализ запросов начался уже после. Не исключаю ситуацию, что в результате "тюнинга" увеличили генерацию карточки товаров на условные 15%, при этом уронили корзину на 100.
Это какой-то не здоровый кейс. Т.е. почта утеряна, а аккаунт на битрикс надо восстановить? Может начать с восстановления почты?
Я думаю с такими запросами любая адекватная система посылает в долгое пешее путешествие минимум до тех. поддержки.