Comments 31
Слушайте, а как красиво можно пополнять словарь для брутфорса
Парсить stdout?
Вводимый пароль не обязан быть правильным. Просто любой пароль, введенный N раз (вне зависимости от правильности или от учетной записи), считается убитым.
я так понял, не N раз, а N-ым количеством пользователей. Если, например, пароль ytrewq ввели 10 человек, то 11 не сможет его использовать. Как-то так.
Идея в том, чтобы запретить «похожие» пароли. Похожесть может вычисляться разными способами: расстоянием Левенштейна, Хэмминга, etc.
Поэтому одинакового или похожего пароля не будет ни у одной пары пользователей. Разумеется, тогда ввод одного и того же пароля несколько раз для одного или многих пользователей и будет означать атаку.
Поэтому одинакового или похожего пароля не будет ни у одной пары пользователей. Разумеется, тогда ввод одного и того же пароля несколько раз для одного или многих пользователей и будет означать атаку.
Да, новость — в стиле 1-апрельской шутки. Т.е. легко найти хотя бы 1 популярный пароль, при котором происходит отказ при попытке регистрации, чтобы затем перепробовать его на всех остальных пользователях и найти тех самых N, которые его используют.
все 11 не смогут
а что произойдет? Их принудят сменить пароль? Глупость. Предложенный метод призван не допустить массовых популярных паролей на ресурсе. Скажем, если при аудитории 100К одинаковый простой пароль выберут всего 1% — это уже 1000 человек, а если взглянуть на сервисы типа фейсбука, то это 5М пользователей с одинаковым паролем. С применением сабжевого метода — 10 пользователей. Ну и хрен с ними, как говорится, не будет таких массовых угонов, как сейчас.
и начнется беда как с логинами: «Данный логин занят». Зачастую простой пароль выбирается обдуманно, когда перспектива потерять аккаунт не пугает.
«Этот пароль уже использует пользователь Миша. Пожалуйста используйте другой пароль.» (с) Bash
UFO just landed and posted this here
В прошлом году неоднократно сообщалось об утере базы паролей некоторыми социальными сетями.
Можно пример? Что-то мне не верится, что какая-то серьезная социальная сеть хранит пароли в открытом виде.
это не проблема, есть база хешей, из такой базы паролей можно найти пользователей, хэши паролей которых известны, и их будет ооочень много…
А солить хэши? Вроде же, стандартная практика.
UFO just landed and posted this here
новая схема проверяет, чтобы один и тот же пароль был не более чем у нескольких пользователей системы одновременно, при этом пропадает необходимость использовать сложные пароли без ущерба для общей безопасности системы.Это как из первого следует второе? Если у меня будет пароль god и его больше ни у кого не будет, меня что, не смогут взломать?
UFO just landed and posted this here
homm имел ввиду, что если поставить простой пароль, который больше никто не использует — безопасность не улучшится.
Имеет смысл комбинировать — оставлять старые проверки на сложность самого пароля, и новые — на непопулярность. Хотя я пока тоже не вижу особого улучшения в этом нововведении.
Имеет смысл комбинировать — оставлять старые проверки на сложность самого пароля, и новые — на непопулярность. Хотя я пока тоже не вижу особого улучшения в этом нововведении.
Почему не улушится? Никто не говорит об отмене 10 попыток на перебор — соответственно, взломщики смогут использовать базу лишь из 10 слов, что даст им возможность взломать всего пару десятков аккаунтов (т.к. лишь у пары десятков пользователей будут эти пароли, остальным система запретит их использовать и придется придумывать пароли похитрее), но никак не тысячи или миллионы.
Вас — смогут. Но так как ни у кого больше такого пароля не будет, то остальных взломать станет чуть сложнее (наверное).
для общей безопасности системы
Если Ваш аккаунт взломают, но только его, то от безопасности системы в целом не сильно убудет.
Угу и на всех более менее популярных сервисах пользователям все равно придется придумывать сложные пароли, потому что все простые будут уже заняты, а сложные пароли трудно запомнить. Как там в статье было? Круг замкнулся?
Только что подумал, что всё равно это будет ухудшение и безопасности, и удобства.
В стандартной схеме у всех людей длинные сложные пароли, но некоторые простые и одинаковые (например, AaBbCc123!@#). В предложенной МС схеме у некоторых людей будут совсем простые пароли, у некоторых — чуть сложнее, а остальные будут ломать себе головы над выбором нового длинного сложного пароля, которого, к тому же, ни у кого ещё и нет.
По понятной причине пароли проще будут у тех пользователей, кто менял их (или регистрировался) раньше, и, если как-нибудь отследить эту информацию, то можно выделить множество аккаунтов с, вероятно, простыми паролями. А остальные будут плеваться и выдумывать себе пароли по полдня.
В стандартной схеме у всех людей длинные сложные пароли, но некоторые простые и одинаковые (например, AaBbCc123!@#). В предложенной МС схеме у некоторых людей будут совсем простые пароли, у некоторых — чуть сложнее, а остальные будут ломать себе головы над выбором нового длинного сложного пароля, которого, к тому же, ни у кого ещё и нет.
По понятной причине пароли проще будут у тех пользователей, кто менял их (или регистрировался) раньше, и, если как-нибудь отследить эту информацию, то можно выделить множество аккаунтов с, вероятно, простыми паролями. А остальные будут плеваться и выдумывать себе пароли по полдня.
никто не знает почему когд набираешь пароль символы анонимизируются? ))
хотя бы сделали эту фичу опциальной.
У меня на работе нужно аж 6 паролей вводить
как мне уже надоели все они)
хотя бы сделали эту фичу опциальной.
У меня на работе нужно аж 6 паролей вводить
как мне уже надоели все они)
То что парольная защита является анахронизмом никого не волнует?
Sign up to leave a comment.
Microsoft предложила альтернативу сложным паролям