Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 345
Подключаюсь к вопросу, а также очень интересно по какой причине они ввели понятие «недопустимые символы» в пароле. Зачем? Чтоб брутфорсить было проще?
А ещё в мейле нельзя почему то ставить пароли с символами типа !%$@ =(
Фиг с ними — русские символы нельзя!
Смешно.
ИМХО использовать в паролях русские символы не есть гуд т.к. вот окажитесь вы где-нибудь заграницей и надо будет вам в местом интернет-кафе срочно почту проверить, а русской раскладки там не окажется… И что тогда?
Ммм, виртуальная клавиатура?
Виртуальная клавиатура на яндексе, не? Или на другом сервисе…
P.S. Хотя тоже не использую русские символы в паролях и во многих других случаях, например именовании чего либо, но совсем по другой причине.
P.S. Хотя тоже не использую русские символы в паролях и во многих других случаях, например именовании чего либо, но совсем по другой причине.
Самый трушный способ — вводить коды символов ^^.
translate.ru+copy+past
Я русские буквы в паролях не использую в первую очередь потому, что не могу быть уверен в том, что они правильно обработаются.
это фигня, на почта.рф наоборот, только русские и можно.
Это говорит о том, что пароли хранятся открыто, а не хешами…
А с чего делать ограничения? Хеш сделал от чего угодно и все.
Т. е. хранить пароли в открытом виде длиннее 17 символов опаснее, чем 16?
А ограничения от того, что не проблема в создании хэша, а в том, что пароль вида 321 или abc даже ручным перебором подбирается очень быстро.
Соль вопроса в том, что они ограничили максимальный размер пароля, а не минимальный.
А ограничения от того, что не проблема в создании хэша, а в том, что пароль вида 321 или abc даже ручным перебором подбирается очень быстро.
Соль вопроса в том, что они ограничили максимальный размер пароля, а не минимальный.
При чем тут это? Комментарий был к "!%$@ =("...)
Если они хешируют пароли, то им совершенно всё-равно, пускай он будет хоть миллион символов, хоть пустой — это будет хеш в 32/40/64/etc символов. А если не хешируют, то сколько выделили места, столько выделили.
Если они хешируют пароли, то им совершенно всё-равно, пускай он будет хоть миллион символов, хоть пустойНу вы уж не утрируйте. Между подсчётом хэш-функции от трёхсимвольного пароля и 1млн-символьного всё же будет разница в процессорном времени.
А вот подсчёт хэша от строки в 16 символов и от строки в 256 символов будет уже не так сильно отличаться (т.е. практически незаметно). Поэтому лимит можно было смело поставить в виде какого-то довольно большого но всё же разумного числа символов (64, 128, 256 ...).
В комментарии ниже ответил на это. Пароли, разумеется, хранятся в захешированном виде.
Да, регулярно сталкиваюсь. И ведь если ввести при регистрации 17 символьный пароль — они его обрежут до 16 и ничего не скажут, а потом сиди, вспоминай… И ведь не сразу догадаешься, что пароль вводишь правильный, но надо вводить на символ меньше.
В ICQ вроде бы максимум 8 знаков пароль был. Так там резали, все что больше, но и вспоминать ничего не надо. Можно полчаса долбить по клаве пароль, а оно скушало 8 знаков и довольно. Проблем не было.
А конкретно на каких сайтах проблемы с «обрезанием»? :)
А конкретно на каких сайтах проблемы с «обрезанием»? :)
Чего реально на мэйле так???
Т. е. их верстальщикам и программистам параметр maxlength тега input не известен, что ли?
Т. е. их верстальщикам и программистам параметр maxlength тега input не известен, что ли?
Ну там и стоит maxlength! :)
Другой вопрос, что это и вводит пользователей в заблуждение. Спасибо за замечание.
Другой вопрос, что это и вводит пользователей в заблуждение. Спасибо за замечание.
Одна проблемка: когда вводишь пароль, видишь звездочки. И понятия не имеешь, что, вводя очередной символ после 16-го, ничего не вводится. На экране как было 8 звездочек, так и осталось (если в длину input`a, например, 8 звездочек влазит).
У меня потихоньку собирается приличный такой списочек странных сервисов, которые ставят разные ограничения на пароли. Например, у linkedin — такое же ограничение — до 16 символов. А у pause.perl.org — так вообще — до 8…
Это Вы еще, наверное, Приватбанком не пользовались. Я как-то менял там пароль битый час.
Нигде не было написано про длинну пароля не более 12 (кажется) символов. Я вбивал свой длинный пароль + цифры в конце (Приватбанк требовал, чтобы в пароле были цифры). Т.к. на input`у гениальный программер поставил maxlength=12, мои цифры в конце отрубались и мне выдавалось сообщение: слишком мало цифр в пароле (сколько цифр надо — не сообщалось, при этом страница перезагружалась и пароль надо было вбивать заново).
Я снова вбивал длинный пароль, добавляя все больше цифр в конце, и maxlength их снова обрубал :)
Пока я не догадался включить в Файрбаге отображение пароля, бился головой об стену.
И это в банке, где по идее должны заботиться о хороших и длинных паролях пользователей.
Нигде не было написано про длинну пароля не более 12 (кажется) символов. Я вбивал свой длинный пароль + цифры в конце (Приватбанк требовал, чтобы в пароле были цифры). Т.к. на input`у гениальный программер поставил maxlength=12, мои цифры в конце отрубались и мне выдавалось сообщение: слишком мало цифр в пароле (сколько цифр надо — не сообщалось, при этом страница перезагружалась и пароль надо было вбивать заново).
Я снова вбивал длинный пароль, добавляя все больше цифр в конце, и maxlength их снова обрубал :)
Пока я не догадался включить в Файрбаге отображение пароля, бился головой об стену.
И это в банке, где по идее должны заботиться о хороших и длинных паролях пользователей.
В телебанке ВТБ «для моей безопасности» потребовали заменить пароль на цифровой
Хе. Бывает и хуже.
Регистрировал я как то ящик на Яндексе. Вбиваю длинный пароль, подтверждаю, все ОК — регистрация прошла успешно. Тут же пытаюсь войти в новый ящик — не пускает — не верный пароль! Еще раз — опять тот жен результат. Что бы видеть символы набрал в Блокноте, скопировал, вставил — опять неверный пароль. Уже думал восстанавливать пароль. Оказалось при превышении допустимого количества символов при регистрации пароль обрезается до нужного количества, а при авторизации пароль берется целиком.
Регистрировал я как то ящик на Яндексе. Вбиваю длинный пароль, подтверждаю, все ОК — регистрация прошла успешно. Тут же пытаюсь войти в новый ящик — не пускает — не верный пароль! Еще раз — опять тот жен результат. Что бы видеть символы набрал в Блокноте, скопировал, вставил — опять неверный пароль. Уже думал восстанавливать пароль. Оказалось при превышении допустимого количества символов при регистрации пароль обрезается до нужного количества, а при авторизации пароль берется целиком.
Это всё деццкий лепет, если вы никогда не пробовали настоять в банке, что желаете иметь пароль, заканчивающийся на пробел :P
Да что там обрезание!
Пользовался я сервисами, где при смене пароля из него молча удаляются некоторые спецсимволы (типа "&").
Пользовался я сервисами, где при смене пароля из него молча удаляются некоторые спецсимволы (типа "&").
Клиент банк Сбербанка пароль от 6-ти до 8-ми (!!!) символов. Обрезание молча!
Live.com от Microsoft —
Видимо это профилактика, чтобы потом не появлялись топики из серрии — ФБР просит помощи в расшифровке сообщения 1999 года — либо они пароли шифруют алгоритмом, в котором не может быть больше 16 символов — других объяснений не видно.
Вероятнее всего в момент разработки сделали ограничение в 16 символов, а потом не трогали.
По поводу алгоритма. Пароли не шифруют, а обычно хранят лишь хэш. Но, возможно, вы правы. Так как я точно не знаю про поиск коллизий в том же md5, но вполне возможно, что ограничение длины в 16 символов как раз рубит все известные методы получения колизий.
По поводу алгоритма. Пароли не шифруют, а обычно хранят лишь хэш. Но, возможно, вы правы. Так как я точно не знаю про поиск коллизий в том же md5, но вполне возможно, что ограничение длины в 16 символов как раз рубит все известные методы получения колизий.
А чем плохо, если они смогут найти коллизию? Наоборот, злоумышленник с меньшей вероятностью правильно восстановит мой исходный пароль по хэшу.
А злоумышленнику и не надо исходный пароль получать, но зато (получив хэш вашего пароля) он сможет сгенерировать свой собственный пароль, который будет иметь такой же хэш. А значит этот пароль будет так же подходить к вашей учетной записи.
А ему и не нужен будет ваш настоящий пароль, если у него есть коллизия.
в алгоритме md5 нет таких артефактов.
Если вы под артефактами имеете ввиду коллизии, то в md5 они есть.
Если пароль солить, в md5 пойдёт не 16 символов.
Хеш может и есть, но скорее всего пароли хранят заXORенными в спец поле CHAR(16) для дальнейшей передачи правоохренительным органам (слежение за почтой пользователя во время разыскных мероприятий).
Для этого знать пароль пользователя вовсе не обязательно. И хранятся пароли в виде хэшей: habrahabr.ru/blogs/infosecurity/116483/#comment_3779309
Да в принципе совсем не понятно зачем такие ограничения, при том не только на этом вашем mail.ru :). Точнее, допустим, там где требовались символы только английской раскладки ясно было, почему так — кодировка, все дела (сейчас правда это устарело уже). То когда допускаются только буквы и цифры в пароле — это вообще что-то странное.
Возможно, они используют какой-то «банглагорский» обратимый алгоритм, который выдает тем длиннее хеш, чем длиннее введенный пароль :) У меня на работе в одном проекте такой «банглагорский» алгоритм унаследован от предыдущих разработчиков индусов :(
Я смотрю, знания по русскому языку в области географии у вас у самого «банглагорские» =)
Поздравляю, вы изобрели новое слово
трафик экономят
И давно md5 стал алгоритмом шифрования?
С точки зрения разработчика было бы более нелогично использовать 17 в качестве ограничения по длине, двоичную систему счисления попробуй забудь :)
Видимо, они считают, что их пользователи не в состоянии запомнить более длинный пароль, всё для пользователя!
[irony]«К сожалению действительно на наших серверах закончилось место, так как мы выпустили кучу ненужных никому сервисов, игр, спутников, чатов, и всяких моих миров, поэтому на безопасность аккаунтов наших пользователей нам пока не хватает средств»[/irony]
В yandex тоже этим грешат, ну не могу я запомнить пароль без спецсимволов.
Как раз в Яндексе поменял без проблем.
ну не могу я запомнить пароль без спецсимволов.
Спецсимволы стимулируют вашу память? :)
У Яндекса со спецсимволами всё отлично. Другой вопрос, что ограничение на длину пароля там таки есть.
продолжать?
Вам этих символов мало?
Спасибо, что опередили.
Какие знакомые и разные шрифты на двух скринах )
1Password не спрашивает, какие символы можно генерировать. Недавно заводил N-ное количество учёток в Яндекс.Почте для домена, пришлось ручками заменять спецсимволы на допустимые.
Вам просто генерировать, что ли? Пользуйтесь=)
Теперь да, однако еще совсем недавно я не мог сменить пароль, так как в новом пароле присутствовала точка (на то время недопустимый символ). Хотя в другом профиле, который был заведен два года назад, точно такой же пароль работал. На мой запрос в тех. поддержку, мне кажется ответили, что на данный момент использование некоторых символов в пароле не доступно. Видимо они когда-то добавили точку в список недопустимых символов, а теперь ее оттуда убрали. И хорошо!
То ли дело:
Никогда не понимал, зачем вообще ограничивать в чем-то. Почему кто-то должен решать, какой у меня будет пароль? Особенно с этим полный капец у Microsoft — им давай и цифры, и спец-символы и черт пойми что еще в пароль (насколько я помню свой опыт с LiveID). Вот просто любой пароль и все тут — «неее, не пойдет». Можно же советовать, но не навязывать (максимум, что можно — ограничить минимальную длину пароля, ну, допустим, 5 или 6 символами).
У Apple'а когда-то можно было вводить простые пароли, а теперь тоже — подавай им буквы, цифры, и одну заглавную букву минимум
Потому что когда что-нибудь случается, негодующий пользователь прибегает в первую очередь к хозяину ресурса и начинает требовать компенсаций и покаяний за украденный у него пароль. с тупыми пользователями так и надо — вводить их в жесткие рамки и даже не обсуждать это дело с ними.
Большинство пользователей клиент-банков считает, что пароль 123 — это достаточная мера защиты. :)
Большинство пользователей клиент-банков считает, что пароль 123 — это достаточная мера защиты. :)
Хех, только вчера отправили жалобу в БПС-банк (Минск) на то, что 10 символов в пароле для банкинга — это не серьезно. Пока молчат.
Кстати, насколько знаю — Сбербанк их крупнейший акционер — потому тот же вопрос — WTF?
У нас в национальном банке разрешен 1 символ… и на 80% карточек код — «1». Вот где надо искать «несерьезность» :)
4 цифры в PIN-коде от карточки — не смущают? %)
Неа, карточка после третьей неудачно попытки ввода пин-кода блокируется.
А почему вы решили, что у мэйл.ру нет такой же защиты от брутфорса в виде блокировки при нескольких неверных попытках ввода?
Да мне как-то пофигу, есть она у них или нет.
Я просто твёрдо уверен, что никакой _технической_ причины не принимать пароли длиннее 16 символов у них нет. У разработчиков банковских карт она, очевидно, была.
Я просто твёрдо уверен, что никакой _технической_ причины не принимать пароли длиннее 16 символов у них нет. У разработчиков банковских карт она, очевидно, была.
Всё верно. К пин коду нужно еще физическую карту иметь, поэтому и защита условная.
Я не защищаю mail.ru, я просто выступаю за логику в аргументах, безотносительно к конкретным объектам дискуссии.
Чтобы не было так:
— короткие пароли у mail.ru — это плохо!
— а короткие пароли для банковских карт?
— у банковских это нормально, ведь там вход блокируется при третьей неудачной попытке.
— а вы уверены, что у mail.ru не блокируется?
— ээээ… Мне пофигу.
Чтобы не было так:
— короткие пароли у mail.ru — это плохо!
— а короткие пароли для банковских карт?
— у банковских это нормально, ведь там вход блокируется при третьей неудачной попытке.
— а вы уверены, что у mail.ru не блокируется?
— ээээ… Мне пофигу.
И все таки вы путаете. Если б в mail.ru вместо логина была бы карточка (или, скажем, USB ключ), то и пароль можно было бы ввести условный, хоть из 4 цифр.
А блокировки логина у сайта (с логином) не может быть, по той причине, что каждый шутник сможет блокировать известные ему логины.
А блокировки логина у сайта (с логином) не может быть, по той причине, что каждый шутник сможет блокировать известные ему логины.
Я ничего не путаю. Пересмотрите диалог выше ещё раз.
Если бы мой оппонент в защиту коротких ПИНов у банковских карт привёл именно этот аргумент про носитель/карточку, тогда да.
Но он же сослался только на защиту от брутфорса, которая якобы отличает карточки от почтового логина. Что нелогично.
Если бы мой оппонент в защиту коротких ПИНов у банковских карт привёл именно этот аргумент про носитель/карточку, тогда да.
Но он же сослался только на защиту от брутфорса, которая якобы отличает карточки от почтового логина. Что нелогично.
Обычно нормальная защита от брутофорса работает хитрей — адаптивно. С одной стороны снижая возможности по перебору паролей, с другой — давая пользователю пару попыток.
В любом случае, (a-Az-Z) 52^16 — это очень много комбинаций, 91 бит. С цифрами там будут еще больше, уже достигается значение числа вариантов для md5, «в котором» пароли, скорей всего, и хранятся.
В любом случае, (a-Az-Z) 52^16 — это очень много комбинаций, 91 бит. С цифрами там будут еще больше, уже достигается значение числа вариантов для md5, «в котором» пароли, скорей всего, и хранятся.
Она есть, если что ;)
Я могу брутить ваш пароль и заблокировать вас?:)
1. В той же Италии (кстати) часто банками используется 6-и значный ПИНкод.
2. ПИН не храниться на банковской карте (на магнитной полосе) ни в каком виде (хотя многие почему то до сих пор уверены в этом мифе). Соответственно его нельзя «прочесть» какими либо электронными устройствами. Однако есть так называемый «Алгоритм Луна»… )))
3. Блокируется карта или нет (после энного количества неправильно ввеленного ПИНа) зависит прежде всего от настроек банка экваера (владельца банкомата). К сожалению (несмотря на требования МПСов) в некоторых странах мира не всё так радужно как хотелось бы (в плане безопасности). И это большая проблема.
4. Есть ещё одна большая дыра в безопасности. К сожалению алгоритм проверки ПИН-кода (на банковских картах) неоднозначен. Существуют ещё 3 комбмнации четырехзначного ПИНа, которые будут восприняты как «Верно введенный ПИН-код». Соответственно делайте выводы… )))
2. ПИН не храниться на банковской карте (на магнитной полосе) ни в каком виде (хотя многие почему то до сих пор уверены в этом мифе). Соответственно его нельзя «прочесть» какими либо электронными устройствами. Однако есть так называемый «Алгоритм Луна»… )))
3. Блокируется карта или нет (после энного количества неправильно ввеленного ПИНа) зависит прежде всего от настроек банка экваера (владельца банкомата). К сожалению (несмотря на требования МПСов) в некоторых странах мира не всё так радужно как хотелось бы (в плане безопасности). И это большая проблема.
4. Есть ещё одна большая дыра в безопасности. К сожалению алгоритм проверки ПИН-кода (на банковских картах) неоднозначен. Существуют ещё 3 комбмнации четырехзначного ПИНа, которые будут восприняты как «Верно введенный ПИН-код». Соответственно делайте выводы… )))
Смущают, но не так сильно — таки всего три попытки резко уменьшает шансы на успех.
попросите еще pin в 16 знаков и cvv в 12 :)
Всё до банальности просто — лень программистов, не более. Спец символы же экранировать надо и всё такое.
Интересно, если уберут ограничение, символы после 16го будут учитываться?
А вопрос порадовал :)
Интересно, если уберут ограничение, символы после 16го будут учитываться?
А вопрос порадовал :)
$password = $_POST['password'];
$hashed_password = md5($password. $salt);
И экранировать ничего не надо.
$hashed_password = md5($password. $salt);
И экранировать ничего не надо.
это на каком ЯП написано? ^_^
если во второй строке заменить "." на ",", то будет PHP.
Эээ, зачем?
Зачем заменять? Конкатенация строк же.
А если заменить — получится второй аргумент функции, который там в таком виде не нужен — судя по названию переменной.
А если заменить — получится второй аргумент функции, который там в таком виде не нужен — судя по названию переменной.
точка в php — это конкатенация строк.
PHP Там все правильно написано. Соль добавляется при генерации в качестве защиты от подбора, дабы создать уникальный для сайта хэш. Оператор "." в PHP это конкатенация строк.
Раз никто еще не написал… "." — конкатенация строк
md5 в любом языке работает одинаково.
Вы, видимо, не работали с Питоном.
Вы правы, но разве в питоне нельзя захешировать любую строку без её подготовки?
Можно, только hashlib.md5 возвращает вовсе не строку, а hash-объект
docs.python.org/release/2.7/library/hashlib.html
docs.python.org/release/2.7/library/hashlib.html
Оу, ну судя по вашему ответу мы друг друга просто не понимаем. Я говорил не о результате работы md5, а о том, что подготавливать (экранировать и т. д.) строку перед хешированием ненужно, она и так станет безопасной для использования.
Прочтите ветку начиная с первого комментария.
Прочтите ветку начиная с первого комментария.
m = hashlib.md5("Hello, world!").hexdigest()Чем тогда можно объяснить ограничение на спецсимволы?
Они что их руками экранируют каждый раз, что им сложно?
ох, не хотел бы зарегистрироваться на сайте, где перед вычислением хеша мой пароль экранируют
Хаха… надо же :). Действительно странно — маловато. Но это еще ничего. На некоторых сервисах логин не может быть длиннее 8 символов. Вот это реально убойно :)
А про ICQ? Там помойму вообще пароль должен быть РОВНО 8 символов (могу ошибаться что ровно, но точно не больше), причем они также не говорят об этом, а просто отклоняют длинные пароли!
Скорее всего, чем длинее пароль тем больше вероятность колизий. Иначе гвооря, чем длинее строка (пароль) тем вероятнее что найдеться другая строка у которой будет такойже хеш.
Это где такие грибы продают, уважаемый?
Уважаемый, вы прежде чем ссылки кидать, прочитайте внимательно, что там написано, а не только заголовки.
Я не по-наслышке знаю, что такое коллизии хэшей, но в рамках именно парольной защиты с учетом современных архитектур авторизации вы несете откровенный бред. Извините.
Я не по-наслышке знаю, что такое коллизии хэшей, но в рамках именно парольной защиты с учетом современных архитектур авторизации вы несете откровенный бред. Извините.
И где там написано, про зависимость количества коллизий от длины пароля?
В строке с длиной 17 символов, есть n всевозможных комбинаций. В строке длиной более чем 17- n будет больше. Ограничивая длину строки 17- мя символами мы обрезаем возможные колизии которые будут попадаться в строках с длиной 17+.
И, опятьже, я написал «скорее всего» это как 1 из возможных вариантов, а не твердо утверждал это.
И, опятьже, я написал «скорее всего» это как 1 из возможных вариантов, а не твердо утверждал это.
Хочу навести на мысль: вот если у нас будет пароль также из 17ти символов, но мы запретим использовать латинскую букву 'a', коллизий будет больше или меньше? «Всевозможных комбинаций» будет меньше, следуя вашей логике и коллизий должно быть меньше. Или все таки зависит от хэш-функции?
Не зная алгоритма «хэш-функции» ответить однозначно не могу. Опять же, а если влияет то увеличиться.
Иначе зачем ограничение?
Очень слабо вериться что в банковской сфере работают специалисты который просто так придумали бы это ограничение, наверное же, были какие то причины которые повлияли на это ограничение. Вот я и предположил что данное ограничение вызваное спецификой алгоритма хеширования.
Иначе зачем ограничение?
Очень слабо вериться что в банковской сфере работают специалисты который просто так придумали бы это ограничение, наверное же, были какие то причины которые повлияли на это ограничение. Вот я и предположил что данное ограничение вызваное спецификой алгоритма хеширования.
Вот же ж блин. А вы понимаете, насколько с каждой буквой уменьшается и без того наноскопическая вероятность попасть в такую коллизию? Т.е., это настолько невероятно далеко от практики, что и сказать нечего.
Мне кажется что для md5 вероятность того что, например, 30-символьная строка будет иметь коллизию с другой, в которой <30 символов практически нулевая. Тем более когда список символов ограничен (штук 60 всего).
Ну и что с того что вероятность коллизий увеличивается?
И?..
Нет. Вот если мы рассматриваем множество ВСЕХ строк длины n из заданного алфавита из M букв, то да. Для n > bits*log_M(2) обязательно появятся коллизии. И начнут расти буквально в геометрической прогрессии. (для md5, например bits = 128).
Но у нас есть грубо говоря фиксированное число юзеров, количество коллизий практически не изменится после того как мы разрешим им создавать сколь угодно длинные пароли
Но у нас есть грубо говоря фиксированное число юзеров, количество коллизий практически не изменится после того как мы разрешим им создавать сколь угодно длинные пароли
Конечно, пароль из 17 символов будет брутфорситься на пару сотен лет дольше, чем из 16 )
Серьёзно, зачем на веб-сервис ставить пароль больше 8 символов? Кроме сложности ввода это ничего не меняет же.
Серьёзно, зачем на веб-сервис ставить пароль больше 8 символов? Кроме сложности ввода это ничего не меняет же.
Вот видимо и они так же как вы рассуждают. А между прочим люди часто используют мастер-пароли. Например для сайтов с важными данными выбирают один и тот же пароль (иногда с изменениями в паре букв для каждого сервиса). Если же разработчик ограничивает пользователя, то вероятность забыть пароль в этом случае равна 100%, т.к. пользователь вынужден нарушать свою же политику безопасности, а потом помнить, где он ее нарушил.
На мой вопрос о пользе (с точки зрения безопасности) использования для веб-сервиса пароля длиннее 8 символов вы не ответили. Аутентификация с помощью пароля изначально не подразумевает использования дополнительных программных средств. Что касается политики безопасности, то её устанавливает именно администратор сервера, а не пользователь.
Вы видимо вообще не слушали binariti.
Могу по собственному опыту сказать: пароли из случайного набора букв длинной в 8 символов ломают! У меня так ломали пароль.
Про дополнительные программные средства никто не говорит.
Но другой вопрос, что у меня есть пароль, который я использую на ряде сайтов. Пароль достаточно сложный, содержит спецсимволы. Но сайт, мне говорит, что он слишком длинный, а еще ему спецсимволы не подходят, а давай ему цифры. А так же на одном сайте я столкнулся с тем, что он отказывался принимать символы в верхнем регистре! Нормально? Т. е. разработчики или администраторы ресурса меня ограничивают в том, какой пароль использовать (не говоря о не безопасности пароля), заставляют ставить иной пароль, который скорее всего я забуду.
Могу сказать по опыту: если есть альтернатива такому ресурсу, то я уйду на другой ресурс, где меня так сильно по паролю не ограничивают.
Могу по собственному опыту сказать: пароли из случайного набора букв длинной в 8 символов ломают! У меня так ломали пароль.
Про дополнительные программные средства никто не говорит.
Но другой вопрос, что у меня есть пароль, который я использую на ряде сайтов. Пароль достаточно сложный, содержит спецсимволы. Но сайт, мне говорит, что он слишком длинный, а еще ему спецсимволы не подходят, а давай ему цифры. А так же на одном сайте я столкнулся с тем, что он отказывался принимать символы в верхнем регистре! Нормально? Т. е. разработчики или администраторы ресурса меня ограничивают в том, какой пароль использовать (не говоря о не безопасности пароля), заставляют ставить иной пароль, который скорее всего я забуду.
Могу сказать по опыту: если есть альтернатива такому ресурсу, то я уйду на другой ресурс, где меня так сильно по паролю не ограничивают.
Могу по собственному опыту сказать: пароли из случайного набора букв длинной в 8 символов ломают! У меня так ломали пароль.
268 ≈ 2·1011 вариантов? Это уже проблемы веб-сервиса, что они пропускают такие жёсткие попытки брутофорса.
Как вариант хэш пароля может быть украден.
Что тоже проблема веб-сервиса. Т.е. сложность пароля у пользователя тут влияет значительно слабей. Хотя, конечно, 12 более-менее произвольных символов дадут неподбираемое число вариантов, а 8-символьные из одних букв перебираются за пару часов даже на одном ядре.
У меня самый простой пароль, который я использую много где [a-z0-9]{8}, это ≈3·1012, и то, если такой аккаунт уведут, будет не жалко.
У меня самый простой пароль, который я использую много где [a-z0-9]{8}, это ≈3·1012, и то, если такой аккаунт уведут, будет не жалко.
Я тоже против ограничения диапазона допустимых символов. Но ещё я против излишне длинных паролей и ненужных программ для их запоминания.
Rainbow Tables
Меньше 12 символов уже давно не достаточно, даже для веб-сервисов. А сложность ввода одинаковая — пароли вводит какой-нибудь робот а-ля LastPass, он же их и генерирует.
Меньше 12 символов уже давно не достаточно, даже для веб-сервисов. А сложность ввода одинаковая — пароли вводит какой-нибудь робот а-ля LastPass, он же их и генерирует.
Сами же пишут, что бы пользователи относились с максимальной бдительностью к паролю, делали сложные пароли. А сами не могут оргнизовать даже символы… Россия…
Меня пару лет назад порадовала RealVnc (кроссплатформенная система для удаленного управления компьютером). Поставил, ввел относительно несложный, но длинный пароль, что-то вроде abc4436121234 для тестирования. Проверил, заходит, все ок. Через некоторое время случайно ввел просто abc и меня пустило, оно просто какого-то черт плюс к основному паролю игноририло цифры.
На фоне всеобщего юзерства программеры забывают про хабросообщество которое надо визуально уведомлять не о слишком коротком, а о слишком длинном пароле )
И это крупный банк.
Маразм с паролями в этом банке меня всегда поражал. А также радует, то, что очень часто время сессии для авторизации истекает до того, как придет SMS код.
Ни разу такого не было. Но там где-то было написано, что если вы закажите СМС и не воспользуетесь кодом в ней, то деньги за неё будут сняты с вашего счёта! :)
А чего стоит расширение лимита на карте с вариантами выбора: «БЕСПЛАТНО», «платно». При этом без явного объяснения как разница (оказалось бесплатно только за лайк на фейсбуке делают).
Про суппорт вообще молчу, на более-менее сложный вопрос не отвечают вообще или просят написать на следующий день (видимо чтобы гемор другому достался).
И интерфейс…
А чего стоит расширение лимита на карте с вариантами выбора: «БЕСПЛАТНО», «платно». При этом без явного объяснения как разница (оказалось бесплатно только за лайк на фейсбуке делают).
Про суппорт вообще молчу, на более-менее сложный вопрос не отвечают вообще или просят написать на следующий день (видимо чтобы гемор другому достался).
И интерфейс…
Что вы хотите от суппорта, если там хот-лайн работает так, что я в шоке.
Простите за длинную историю, но всё же расскажу.
Осенью прошлого года моя мама пыталась заблокировать карточку, которую украли. Через 2-3 минуты после кражы она позвонила по «горячей линии» и попросила заблокировать, объяснив ситуацию. Ей сказали идти в ближайшее отделение и написать заявление (отлично, правда? это только начало!). Через 10 минут мама была в отделении. По-несчастью карта была в сумке, в которой также находился паспорт, соответственно он также был украден. В отделении банка девочка-сотрудница потребовала паспорт, чтобы принять заявление. На все попытки объяснить, что паспорт украден вместе с картой девочка отвечала, что ничем не может помочь. на этот момент прошло около 20 минут с момента кражи.
Через 27 минут после кражи (точное время известно благодаря распечаткам полученным вдальнейшем) благодаря тому, что пин-код от карты был на бумажке лежащей в паспорте, с карты было слито 15000 гривен. 2 захода по 3000 гривен за раз в одном банкомате и через 10 минут 3 захода по 3000 грн — в другом, за углом. На момент последнего снятия с момента кражи прошло около 35-40 минут.
Как оказалось в дальнейшем (после заявления в милицию) на тех банкоматах где снимали деньги камер не было! И это банкоматы возле центрального автовокзала города!
Как результате маминого ротозейства (тут и недоглядела за сумкой и хранение пин-кода рядом с картой) мы попали на кредит в 15000.
Но и это еще не все!
После заявления в милицию мы пошли в банк, внесли 15000 и хотели закрыть кредит. Но как оказалось без паспорта закрыть кредит нельзя. Тогда мы потребовали, чтобы все карты и счета оформленные на данный паспорт были заблокированы и нельзя было делать никаких операций — чтобы снова не слили 15000, которые мы заплатили. Как оказалось без паспорта это тоже нельзя было сделать, хотя у мамы был документ, в котором была её фотография и ФИО, а также была ксерокопия украденного паспорта.
В резльтате общения со службой безопасности и мотивируя выпиской из милиции, мы добились-таки внесения паспорта в «черный список» банка, а также блокировки карт и счетов по этому паспорту.
Прошло 4 дня. И позвонив на горячую линию мы поинтересовались положением дел — это был тихий шок: из 4 счетов и 3 карт была заблокирована только 1 карта. И всё!
Закончилось всё тем, что мама, получив новый паспорт, закрыла все счета и карты и расторгла все договора с этим банком.
А вы говорите суппорт… :) Там вся система гнилая.
Теперь мама довольный клиент Альфа-Банка. В украденной сумке была карта Альфа, по звонку после каржы она была заблокирована в течении 1 минуты — этот факт подтверждает то, что с этой карты воры попытались слить деньги и банкомат её слопал. Позже карту вернули маме.
Простите за длинную историю, но всё же расскажу.
Осенью прошлого года моя мама пыталась заблокировать карточку, которую украли. Через 2-3 минуты после кражы она позвонила по «горячей линии» и попросила заблокировать, объяснив ситуацию. Ей сказали идти в ближайшее отделение и написать заявление (отлично, правда? это только начало!). Через 10 минут мама была в отделении. По-несчастью карта была в сумке, в которой также находился паспорт, соответственно он также был украден. В отделении банка девочка-сотрудница потребовала паспорт, чтобы принять заявление. На все попытки объяснить, что паспорт украден вместе с картой девочка отвечала, что ничем не может помочь. на этот момент прошло около 20 минут с момента кражи.
Через 27 минут после кражи (точное время известно благодаря распечаткам полученным вдальнейшем) благодаря тому, что пин-код от карты был на бумажке лежащей в паспорте, с карты было слито 15000 гривен. 2 захода по 3000 гривен за раз в одном банкомате и через 10 минут 3 захода по 3000 грн — в другом, за углом. На момент последнего снятия с момента кражи прошло около 35-40 минут.
Как оказалось в дальнейшем (после заявления в милицию) на тех банкоматах где снимали деньги камер не было! И это банкоматы возле центрального автовокзала города!
Как результате маминого ротозейства (тут и недоглядела за сумкой и хранение пин-кода рядом с картой) мы попали на кредит в 15000.
Но и это еще не все!
После заявления в милицию мы пошли в банк, внесли 15000 и хотели закрыть кредит. Но как оказалось без паспорта закрыть кредит нельзя. Тогда мы потребовали, чтобы все карты и счета оформленные на данный паспорт были заблокированы и нельзя было делать никаких операций — чтобы снова не слили 15000, которые мы заплатили. Как оказалось без паспорта это тоже нельзя было сделать, хотя у мамы был документ, в котором была её фотография и ФИО, а также была ксерокопия украденного паспорта.
В резльтате общения со службой безопасности и мотивируя выпиской из милиции, мы добились-таки внесения паспорта в «черный список» банка, а также блокировки карт и счетов по этому паспорту.
Прошло 4 дня. И позвонив на горячую линию мы поинтересовались положением дел — это был тихий шок: из 4 счетов и 3 карт была заблокирована только 1 карта. И всё!
Закончилось всё тем, что мама, получив новый паспорт, закрыла все счета и карты и расторгла все договора с этим банком.
А вы говорите суппорт… :) Там вся система гнилая.
Теперь мама довольный клиент Альфа-Банка. В украденной сумке была карта Альфа, по звонку после каржы она была заблокирована в течении 1 минуты — этот факт подтверждает то, что с этой карты воры попытались слить деньги и банкомат её слопал. Позже карту вернули маме.
Через 2-3 минуты после кражы она позвонила по «горячей линии» и попросила заблокировать, объяснив ситуацию. Ей сказали идти в ближайшее отделение и написать заявлениеКстати, если бы у вашей мамы была карточка платёжных систем Visa или MasterCard уровня Gold или Platinum, то в случае утери карты, если не удалось дозвониться до своего банка (или операторы своего банка стали тупить подобным образом), можно сразу звонить в глобальную службу поддержки платёжной системы. Держателям своих карт уровня Gold/Platinum они позволяют экстренно блокировать утерянную карту в любой точке мира.
У них есть круглосуточный международный телефон + бесплатные телефоны в каждой стране присутствия.
www.visa.com.ru/wv/platinum/lostAndStolen.jsp
Но для этого, разумеется, нужно заранее выписать куда-то себе в записную книжку/мобильник/ноутбук номера их глобальной службы поддержки и номера и прочие параметры своих карточек, которые понадобится сообщить для блокировки.
И даже это ей бы не помогло. Украли сумку. А там и телефон и документы и карты и т.д…
телефон хот-лайна случайно у подруги был записан, которая вместе с ней была…
Моя мама — это моя мама. :))
телефон хот-лайна случайно у подруги был записан, которая вместе с ней была…
Моя мама — это моя мама. :))
Если бы была карточка платинум, то позвонить либо своему персональному банкиру можно было бы, либо в консьерж сервис, и сразу бы решили вопрос.
Но инетерсно другое. В привате для того, чтобы заблокировать карточку всегда достаточно было позвонить к ним, назваться, сказать что карточку украли и сказать слово-пароль. Никаких заявлений писать не нужно ибо это бред. А если карточку украли за границей? Нужно срочно в Украину ехать тогда?
Скорее всего попался некомпетентный сотрудник банка.
Но инетерсно другое. В привате для того, чтобы заблокировать карточку всегда достаточно было позвонить к ним, назваться, сказать что карточку украли и сказать слово-пароль. Никаких заявлений писать не нужно ибо это бред. А если карточку украли за границей? Нужно срочно в Украину ехать тогда?
Скорее всего попался некомпетентный сотрудник банка.
И там выше написали про максимальную длину (надпись о которой убрали).
русские украинские и специальные символы не нужны
После 50, наверно, будет вероятность коллизии.
Могу предположить, что дело в алгоритмах, которыми шифруется пароль.
Согласно небольшой брошурке по криптоустойчивости паролей (http://www.elcomsoft.ru/press/zi_inside_012009.pdf), существуют алгоритмы, которые не дают выигрыша в криптоустойчивости при паролях, длиннее, скажем 8 символов. Создать можно и длиной в 20, да только вот пользы будет столько же, сколько от пароля, состоящего из первых 8 от этих 20 символов. Это полезно учитывать и информировать пользователя, дабы он не считал себя за каменной стеной, установив 100500 символов в пароле.
«Стойкость системы определяется стойкостью самого слабого звена» (слабое звено в данном случае — обработчик пароля на сервисе)
Согласно небольшой брошурке по криптоустойчивости паролей (http://www.elcomsoft.ru/press/zi_inside_012009.pdf), существуют алгоритмы, которые не дают выигрыша в криптоустойчивости при паролях, длиннее, скажем 8 символов. Создать можно и длиной в 20, да только вот пользы будет столько же, сколько от пароля, состоящего из первых 8 от этих 20 символов. Это полезно учитывать и информировать пользователя, дабы он не считал себя за каменной стеной, установив 100500 символов в пароле.
«Стойкость системы определяется стойкостью самого слабого звена» (слабое звено в данном случае — обработчик пароля на сервисе)
Это полезно учитывать и информировать пользователя, дабы он не считал себя за каменной стеной, установив 100500 символов в пароле.
Это полезно учитывать и не использовать такие алгоритмы.
Порой намного проще сказать «не использовать», нежели действительно иметь возможность не использовать… Я думаю, если у крупной компании «стоит на вооружение» подобный алгоритм — то у них есть веские на то причины, будь то финансовые стороны вопроса, не объективность использования более сложных алгоритмов, и без того большие нагрузки на сервер (которые от смены алгоритма в сторону повышения качества — увеличатся).
забор метровой высоты не спасет от злоумышленников, но на дачных участках чаще всего именно такие заборы, ибо ставить огромные стены и нанимать охрану — нет смысла.
забор метровой высоты не спасет от злоумышленников, но на дачных участках чаще всего именно такие заборы, ибо ставить огромные стены и нанимать охрану — нет смысла.
Да дофига таких сервисов, где идет ограничение по вводу пароля и прочее.
Сила «10 лет назад завёл себе почту и сейчас к ней привязана туча аккаунтов» не подходит?
Это тёмная сторона силы. Переходите на светлую!
10 лет вполне достаточно для почти полного phase out.
Сбор почты в Gmail через POP решает все проблемы mail.ru.
Только одна мелочь раздражает — аккаунт на мейлру могут удалить :)
Только одна мелочь раздражает — аккаунт на мейлру могут удалить :)
Проблемы с криптостойкостью — никак не решает. Тот, кто сломает мою почту, получит доступ к большому количеству моих аккаунтов.
Как вариант, можно настроить не сбор почты в gmail-ящике, а в mail-ящике переадресацию на gmail-ящик.
вариант через поп — неочень, порою долго ждать того когда оно там соизволить сходить посмотреть на мэйл почту. то ли дело — пересылка. работает мгновенно :)
А gmail, кстати, при длительном неиспользовании уже не удаляется?
Не готов ответить.
Но предположу, что если я в течении пары лет продолжу пользоваться гугло ридером и не разу зайду на ГМейл, то с почтой ничего страшного не произойдет.
Но предположу, что если я в течении пары лет продолжу пользоваться гугло ридером и не разу зайду на ГМейл, то с почтой ничего страшного не произойдет.
Говорят, на gmail раз в 9 месяцев надо заходить в почту.
Не заходил на один аккаунт с 2006 по 2011 год, удалён не был.
Только папка «Спам» почему-то была пустой, стоило только зайти — спам пошёл :)
Только папка «Спам» почему-то была пустой, стоило только зайти — спам пошёл :)
Говорят, mail.ru уже с трудом выдерживает бота-сборщика почты Яндекса )
— Он тупой как дрова
— У него есть SMS-уведомления о письмах
— у него нет SSL на SMTP (что позволяет легко его использовать для любой автоматической фигни)
— У него есть SMS-уведомления о письмах
— у него нет SSL на SMTP (что позволяет легко его использовать для любой автоматической фигни)
Я бы попросил :) У Mail.Ru с прошлого года есть SSL (и TLS) на SMTP и на POP3. Просто он не обязательный, а опциональный.
Вообще, я очень рекомендую всем сознательным пользователям (кто сидит через POP3) включить безопасное соедининение — иначе ваш пароль гуляет по сети в открытом виде.
Вообще, я очень рекомендую всем сознательным пользователям (кто сидит через POP3) включить безопасное соедининение — иначе ваш пароль гуляет по сети в открытом виде.
Я это и имел ввиду. Возможность работать с SMTP без SSL очень облегчает жизнь с sendmail
Я про «работу без SSL» в том аспекте, чтобы послать письмо, например, с Arduino, по SMTP можно, а вот SSL туда прикрутить… ууу…
В основном ящики там использую для отправки данных с различных серваков\девайсов\лабуды. Ящики вида 0234Jdjdfklsd@list.ru, то есть никакой ценности не представляют и в случае чего их не жалко совсем.
В основном ящики там использую для отправки данных с различных серваков\девайсов\лабуды. Ящики вида 0234Jdjdfklsd@list.ru, то есть никакой ценности не представляют и в случае чего их не жалко совсем.
может быть, ты ещё предложищь пользоваться почтой гугла?
А вы знаете, что длина PIN-кода банковских карт чисто технически может быть до 12 десятичных цифр? Однако, обычно банки искусственно ограничивают длину PIN-кодов своих карт всего до 4-х цифр. Причина банальна — при длинных PIN-кодах клиенты их очень часто забывают или постоянно ошибаются при вводе, поэтому резко возрастает число блокировок карт, претензий, обращений в поддержку и прочих скандалов, недовольств и обид клиентов банка.
А можно ссылку на полный пруф, хочу в мемориз добавить.
en.wikipedia.org/wiki/Personal_identification_number
ISO 9564-1, the international standard for PIN management and security, allows for PINs from 4 up to 12 digits, but also notes that «For usability reasons, an assigned numeric PIN should not exceed six digits in length»
>А вы знаете, что длина PIN-кода банковских карт чисто технически может быть до 12 десятичных цифр?
Знаем. У меня на одной карте 6 символов, на другой 8 ;)
Знаем. У меня на одной карте 6 символов, на другой 8 ;)
Как добились? Что за банк? Проблем с банкоматами не возникает? (у некоторых вообще прямо в интерфейсе поле ввода 4х символов прорисовано)
Никак не добивался — сразу было. Royal Bank of Canada.
Учитывая количество потерянных/украденных карт маловероятно, что ПИН вскроют, ну а ежели карточка украдена, то пока ворюга будет прятать лицо от банкомата проделывать с ней *** манипуляции можно спокойно позвонить в банк и заблокировать карточку.
Только меня одного (или я пропустил комментарий) смутила совет, что пароль может совпадать с логином (почтой).
Люди же так и будут писать логин mail@mail.ru и пароль mail@mail.ru
Люди же так и будут писать логин mail@mail.ru и пароль mail@mail.ru
Вспомнилось:
У меня пароль простой — 8 звёздочек :-)
У меня пароль простой — 8 звёздочек :-)
Названия звёздочек хоть из нашей галактики?
Дубхе-Мерак-Фекда-Мегрец-Алиот-Мицар-Алькор-Алькаид?
Кстати, на самом деле, когда мы сокурснику на день рождения решили подарить домен, мы его разыграли, на открытке были написаны данные для входа в административную панель регистратора примерно вот так:
Username: %username%
Password: ********
Он долго думал ;)
Username: %username%
Password: ********
Он долго думал ;)
Отвечаю как представитель компании (как говорят на roem.ru — комментарий представителя ньюсмейкера). В том числе на вопросы, поставленные в комментариях:
1. Да, есть ограничение на длину пароля. Оно существует исторически (и есть мысли о том, чтобы этот лимит увеличить).
2. Ограничение на использование спецсимволов и особенно русских букв введено специально — чтобы пользователи не вводили пароль в неправильной раскладке, битой кодировке и т.п.
3. Нет, пароли в базе Mail.Ru не хранятся в открытом виде. Да, разумеется хэшируется. Нет, это не md5, точнее не совсем md5.
В целом это вопрос не столько безопасности, сколько заботы о «нерадивых» пользователях. Согласитесь, защита, которую обеспечивает пароль из 16 алфавитно-цифровых символов — достаточна для электронной почты. Дело в том, что разрешив любые символы в паролях мы увеличим, допустим, на 0.01% безопасность — но тут же получим тысячи жалоб на то что «пароль не работает» — хотя проблема будет только в раскладке.
А вот безопасность «обычных», не продвинутых пользователей — ее надо повышать. И мы кое-что делаем в этом направлении. Год назад на Mail.Ru можно было (опять же, исторически) зарегистрироваться с паролем 1234 или 0000. Сейчас лимиты более жесткие: минимальная длина 6 символов, запрещены пароли из только цифр, из одной и той же буквы и еще ряд проверок на слишком простые варианты.
1. Да, есть ограничение на длину пароля. Оно существует исторически (и есть мысли о том, чтобы этот лимит увеличить).
2. Ограничение на использование спецсимволов и особенно русских букв введено специально — чтобы пользователи не вводили пароль в неправильной раскладке, битой кодировке и т.п.
3. Нет, пароли в базе Mail.Ru не хранятся в открытом виде. Да, разумеется хэшируется. Нет, это не md5, точнее не совсем md5.
В целом это вопрос не столько безопасности, сколько заботы о «нерадивых» пользователях. Согласитесь, защита, которую обеспечивает пароль из 16 алфавитно-цифровых символов — достаточна для электронной почты. Дело в том, что разрешив любые символы в паролях мы увеличим, допустим, на 0.01% безопасность — но тут же получим тысячи жалоб на то что «пароль не работает» — хотя проблема будет только в раскладке.
А вот безопасность «обычных», не продвинутых пользователей — ее надо повышать. И мы кое-что делаем в этом направлении. Год назад на Mail.Ru можно было (опять же, исторически) зарегистрироваться с паролем 1234 или 0000. Сейчас лимиты более жесткие: минимальная длина 6 символов, запрещены пароли из только цифр, из одной и той же буквы и еще ряд проверок на слишком простые варианты.
> Дело в том, что разрешив любые символы в паролях мы увеличим, допустим, на 0.01% безопасность — но тут же получим тысячи жалоб на то что «пароль не работает» — хотя проблема будет только в раскладке.
А разрешив пароли из 17 символов?
А разрешив пароли из 17 символов?
Здравое зерно в этом есть.
> Дело в том, что разрешив любые символы в паролях мы увеличим, допустим, на 0.01% безопасность — но тут же получим тысячи жалоб на то что «пароль не работает» — хотя проблема будет только в раскладке.
Хорошо, с русскими символами всё понятно. Но почему тогда запрещены спецсимволы (!@#$% итд) они во всех раскладках и кодировках имеют отдин и тот же ascii-код, а вот наличие их в пароле повышает безопасность далеко не на 0.01%.
Хорошо, с русскими символами всё понятно. Но почему тогда запрещены спецсимволы (!@#$% итд) они во всех раскладках и кодировках имеют отдин и тот же ascii-код, а вот наличие их в пароле повышает безопасность далеко не на 0.01%.
Если (как вы говорите) пароли хранятся в виде хэшей (т.е. именно для хранения длина не играет никакой роли), то «увеличить лимит» сводится к изменению циферки на форме логина (ну, плюс-минус). Почему же из этого раздувается такая проблема? «Исторически», да «есть мысли увеличить»…
Если мысли есть (причём, как я понимаю, уже давно), то почему до сих пор не предпринято никаких шагов? Тем более что технических препятствий — минимум (никаких изменений в БД не требуется — только на фронт-энде). Потому что ....?
Если мысли есть (причём, как я понимаю, уже давно), то почему до сих пор не предпринято никаких шагов? Тем более что технических препятствий — минимум (никаких изменений в БД не требуется — только на фронт-энде). Потому что ....?
В теории оно так, но на практике оказывается несколько сложнее. Изменить цифирку надо во всех формах логина и регистрации, точнее даже во всех способах логина и регистрации. А их много — основной веб-интерфейс, Mail.Ru Агент (а он существует для windows, mac os, java, symbian, ios, android), исторически существующие интерфейсы на сайтах партнеров, api.mail.ru и так далее. Но мы работаем в этом направлении, поверьте ;)
И кто же это научил сих великолепных программистов хардкодить длину пароля прямо в десктопные и мобильные клиенты?
Причём поди ещё не единой константой, а прям цифрами в десяти разных местах ;)
Я же не говорил, что оно захардкожено в клиенты. Я сказал, что это изменение затрагивает много систем — и это действительно так — так что это не одна цифирка в одном месте. И уж по крайней мере протестировать работу всех этих клиентов на всех возможных платформах точно надо.
Да, в идеальном мире это конечно была бы одна константа в одном файле, которую можно было бы поменять и пересобрать все серверы и клиенты командой типа «make mailru». Но не знаю как вы, а мы живем не в идеальном мире.
Да, в идеальном мире это конечно была бы одна константа в одном файле, которую можно было бы поменять и пересобрать все серверы и клиенты командой типа «make mailru». Но не знаю как вы, а мы живем не в идеальном мире.
8-10 символов уже более чем достаточно, из хеша вряд ли кто-либо будет восстанавливать пароли длинной более 5 символов, содержащие и буквы и цифры.
Ну а если сервис ограничивает размер пароля или просит не использовать спец. символы, то скорее всего ваши пароли где-либо сохраняются без хеша. Либо разработчики идиоты. Может я не прав, конечно, подскажите где. Но какой смысл ограничивать размер и символьную составляющую пароля, если из него всё равно будет вычислен хеш.
Ну а если сервис ограничивает размер пароля или просит не использовать спец. символы, то скорее всего ваши пароли где-либо сохраняются без хеша. Либо разработчики идиоты. Может я не прав, конечно, подскажите где. Но какой смысл ограничивать размер и символьную составляющую пароля, если из него всё равно будет вычислен хеш.
у них просто пароли хранятся в открытом виде
так как в md5 (etc) разные пароли занимают одинаковое место
так как в md5 (etc) разные пароли занимают одинаковое место
На самом деле бывают случаи и печальнее. Например когда существует ограничение на длину логина, как у одного известного российского доменного регистратора. Еще хуже, когда это ограничение, на этом сервисе, обходится отключением JavaScript или прямым POST запросом к скрипту.
это ограничение, на этом сервисе, обходится отключением JavaScript или прямым POST запросом к скрипту.Ну вы уже поняли, что им туда нужно ввести вместо логина с отключённым JS или послать прямым POST-запросом…
xkcd.com/327/
Вопрос — а какой длинны надо делать пароли? Даже при ограничении в 100 найдется пользователь скажущий, что ему мало. Делать возможность хранить в качестве пароля томик «войны и мира» вещь абсолютно не нужная. Есть поле ввода (любое), в нормальной системе на него должен быть регламент.
16 символов хорошая такая регламентированная длина.
16 символов хорошая такая регламентированная длина.
А почему вам недостаточно 16 символов? Ведь на подбор такого пароля тоже уйдёт очень много времени.
Пример продолжительности подбора паролей
Пример продолжительности подбора паролей
скорость перебора составляет 100 000 паролей в секунду.
Если хеш на руках, то с использованием современного компьютера эта цифра существенно возрастёт. Давно не вникал в вопрос, но там уже что-то около миллиарда хешей за секунду можно генерировать.
Ok. Возьмём 16-значный пароль, состоящий из латинских букв в обоих регистрах + цифры. На подбор такого пароля уйдёт примерно 1.51067951634e+12 лет. А если хэш-функция более стойкая к подбору, чем MD5, то и того больше. Вот интересная табличка: www.insidepro.com/rus/egb.shtml#100
Поэтому мне не совсем понятны негодования автора.
Поэтому мне не совсем понятны негодования автора.
А что непонятного?
Меня возмущает ограничение в 16 символов не потому, что я считаю пароли в 16 символов недостаточно надёжными.
А потому, что это ограничение абсолютно бессмысленно, не продиктовано никакими техническими ограничениями и заставляет меня придумывать какой-то новый пароль, чтобы его обойти.
Меня возмущает ограничение в 16 символов не потому, что я считаю пароли в 16 символов недостаточно надёжными.
А потому, что это ограничение абсолютно бессмысленно, не продиктовано никакими техническими ограничениями и заставляет меня придумывать какой-то новый пароль, чтобы его обойти.
Вы абсолютно правы и, как сказал комментатор выше, дело не в стойкости пароля. Я лишь указал на ошибку в вычислениях на википедии.
Интересно, чем вызвана самая высокая стойкость к перебору у «MD5(Wordpress)» в выше приведенной табличке?
Честно говоря, я тоже не понимаю этой очередной истерики. Если пароль подбирается через веб-интерфейс или через протоколы imap и pop3, то тут большой скорости подбора не добьешься. При таком подборе 100-200 паролей в секунду — это очень круто. Кроме того здесь стоит ограничение на количество неправильных вводов пароля с одного IP, так что надо иметь какой-то невиданный запас прокси. То есть при таком раскладе и 8 символов за глаза хватит.
А если получен доступ к базе, то зачем огород городить — можно же просто сделать выборку из базы писем определенного ящика, а также любых других данных (например, контрольный вопрос-ответ). Или же вообще сбить на время старый пароль командой UPDATE, а потом поставить его обратно, так что юзер даже и не заподозрит ничего. В общем при живом-то доступе к базе брутить пароль порой и не надо.
А если получен доступ к базе, то зачем огород городить — можно же просто сделать выборку из базы писем определенного ящика, а также любых других данных (например, контрольный вопрос-ответ). Или же вообще сбить на время старый пароль командой UPDATE, а потом поставить его обратно, так что юзер даже и не заподозрит ничего. В общем при живом-то доступе к базе брутить пароль порой и не надо.
Ну, качественные и быстрые долгоживущие соксы/прокси стоят дешево, если учесть то, что $25 можно отдать за суточную аренду сотни бекконнект-серверов, на которых каждые 10 минут в течение этих суток меняется подключение к другому неиспользованному соксу, то это вообще не проблема. Если нахаляву — то welcome to proxyfire.net, там вполне себе годные списки. Для скорости 100-200 паролей в секунду это вполне нормально. Ну и многопоточный подбор никто не отменял же.
Да, кстати, вы мой бывший земляк, оказывается :)
Легче лёгкого ставится ограничение — после каждой неудачной попытки аккаунт блокируется на N минут.
Да, но это никто не делает (кроме vBulletin, вроде), ибо легальный пользователь также не сможет войти в свой аккаунт. А это уже сродни DoS'у для конкретного логина — раз уж он в течение всей продолжительности подбора не сможет войти. А подбор иной раз не один день длится, словарики то объемные бывают.
Тогда вешается дисклеймер для реального пользователя, что пока не надо входить, а IP тех, кто его проигнорировал (ботов), собираются и скопом банятся.
Алсо капча — она может быть динамически усложняемой.
Алсо капча — она может быть динамически усложняемой.
Ну мы же про POP3/IMAP говорим, а не про вебинтерфейс для почтовика.
А даже если подбор ведется через вебинтерфейс, то на капчу есть antigate, а на бан IP ботов — новые соксы. Но тема эта вечная, ведь на каждую хитрую … есть … с резьбой, как говорится :)
А даже если подбор ведется через вебинтерфейс, то на капчу есть antigate, а на бан IP ботов — новые соксы. Но тема эта вечная, ведь на каждую хитрую … есть … с резьбой, как говорится :)
Ну мы же про POP3/IMAP говорим, а не про вебинтерфейс для почтовика.
Честно говоря, я тоже не понимаю этой очередной истерики. Если пароль подбирается через веб-интерфейс или через протоколы ...=)
Ну, как я сказал, все зависит от количества потоков, ширины исходящего канала и отсутствии блока для аккаунта на уровне POP3, а не веба. Разница в подборе через интерфейс и протокол — огромнейшая, на самом деле. Потому что фильтрация идет на уровне веб интерфейса, а от нее уровень понижается.
Ну, с почтовыми протоколами я меньше знаком, но, может, и там можно что-нибудь сделать. Например, устроить ложную авторизацию при неверных паролях.
Разве что править исходники, но кому это надо :) Зачастую на таком протокольном уровне это не делается, да и не будет делаться — ведь пользователь сам может ошибиться, и возникнет совершенная непонятка. Конечно, голь на выдумки хитра, и можно многое что сделать, но большинство методик не реализуется именно из-за возможного неудобства пользователя. А это таки упрощает действия злоумышленника.
Ну, я бы (если бы этим занимался) делал так — при авторизации с неверным паролем делал бы ложную авторизацию и сообщал о письме во входящих с темой «Вы ввели неверный пароль». Или принимал бы пароль только если он 2 раза подряд отослан верно с одного и того же ip.
Или ещё что-нибудь.
Причина, согласен, банальна.
Или ещё что-нибудь.
Причина, согласен, банальна.
дело не в длине
не знаю логики автора, но у меня своя система паролей для всех сайтов (чтоб они были разные, но и чтоб я не мог их забыть)
и если где-то я не могу применить мою систему из-за ограничения длины, то это как-то напрягает
хотя, конечно, 17 — это совсем много :)
не знаю логики автора, но у меня своя система паролей для всех сайтов (чтоб они были разные, но и чтоб я не мог их забыть)
и если где-то я не могу применить мою систему из-за ограничения длины, то это как-то напрягает
хотя, конечно, 17 — это совсем много :)
Ну раз 1Password так считает, то это, конечно же, решающий аргумент.
Мужики, расходимся.
Мужики, расходимся.
> поставили в базе, не думая, 16 символов и всё.
Подтверждаю, из опыта, именно так «исторически» и складывается. Вначале он в открытом виде хранится (а времена еще те, когда 16 символов — за глаза), потом «ох блин, пора заняться безопасностью», добавляем поле password_md5, поле password не убираем, потому что «это ж базу переколбасить, код переписать, перетестировать… ну на фиг, нет времени сейчас». А потом уже и база 24/7, и в коде где-то оно читается, но не используется, и т.д.
Подтверждаю, из опыта, именно так «исторически» и складывается. Вначале он в открытом виде хранится (а времена еще те, когда 16 символов — за глаза), потом «ох блин, пора заняться безопасностью», добавляем поле password_md5, поле password не убираем, потому что «это ж базу переколбасить, код переписать, перетестировать… ну на фиг, нет времени сейчас». А потом уже и база 24/7, и в коде где-то оно читается, но не используется, и т.д.
Universal Bank, я когда последние правило прочитал то уже первые забыл :-D
Пароль повинен містити мінімум 8 символів.
Пароль повинен містити максимум 35 символів.
Пароль може містити маленькі літери.
Пароль може містити великі літери.
Пароль може містити цифри.
Пароль може містити спеціальні символи.
Пароль може починатися з маленькі літери.
Пароль може починатися з великі літери.
Пароль може починатися з цифри.
Пароль повинен містити не менше 3 маленькі літери.
Пароль повинен містити не менше 1 цифри.
Пароль повинен містити не менше 1 спеціальні символи (* + — ? %; $! і т.п.).
Пароль повинен містити мінімум 8 символів.
Пароль повинен містити максимум 35 символів.
Пароль може містити маленькі літери.
Пароль може містити великі літери.
Пароль може містити цифри.
Пароль може містити спеціальні символи.
Пароль може починатися з маленькі літери.
Пароль може починатися з великі літери.
Пароль може починатися з цифри.
Пароль повинен містити не менше 3 маленькі літери.
Пароль повинен містити не менше 1 цифри.
Пароль повинен містити не менше 1 спеціальні символи (* + — ? %; $! і т.п.).
Ну вот, а вы всё разработчиков обвиняете…
А тут ясно написано, что во всём повинен пароль!
А тут ясно написано, что во всём повинен пароль!
никогда не понимал, зачем заставлять пользователей придумывать такие сложные пароли. сгенерировали бы его сами по своим правилам и дали пользователю записать. всё равно осмысленый пароль с таким количеством ограничений нормальный человек не придумает
C qip infium была проблема. С компа, на котором регал номер, в аську заходило замечательно. Стоило зайти с другого компьютера или с телефона пишет писал пароль неверный. Оказалось там было ограничение на количество символов в пароле. У меня было на 1 символ больше. Сменил пароль и стало все замечательно. Бред.
Повторюсь.
americanexpress.com — разрешает ставить пароль 6-8 (строго, ни больше ни меньше), должно содержать как минимум одну букву и одну цифру, спецсимволы не разрешены. При этом разрешает вводить больше 8 символов (как при регистрации так и при логине), а после нажатия submit при регистрации — выдает ошибку. Вот и сиди гадай где ошибку сделал.
att.com — минимум 6 символов, только буквы и цифры, не должно содержать части от вашего дня рождения, имени, номера телефона, мейла, более двух одинаковых символов подряд (аа — прокатит, ааа — не прокатит), также недолжно содержать больше трех подряд идущих символов (123, abc — прокатит, 1234, abcd — не прокатит)
discover.com — допустимый логин от 6-16 символов, пароль от 5 до 10 символов. Больше полагающихся символов система при регистрации или логине не дает ввести. Без спецсимволов.
bankofamerica.com — их система мне нравится больше всего. Пароль от 8 до 20 символов, должно содержать как минимум одну букву в верхнем регистре, одну в нижнем и одну цифру. Может содержать в себе: @#%*()+={}/\?~;":'.-_| Не может содержать в себе: пробел, <>&^![]. К тому же между вводом логина и пароля есть специальная система анти фишинга.
americanexpress.com — разрешает ставить пароль 6-8 (строго, ни больше ни меньше), должно содержать как минимум одну букву и одну цифру, спецсимволы не разрешены. При этом разрешает вводить больше 8 символов (как при регистрации так и при логине), а после нажатия submit при регистрации — выдает ошибку. Вот и сиди гадай где ошибку сделал.
att.com — минимум 6 символов, только буквы и цифры, не должно содержать части от вашего дня рождения, имени, номера телефона, мейла, более двух одинаковых символов подряд (аа — прокатит, ааа — не прокатит), также недолжно содержать больше трех подряд идущих символов (123, abc — прокатит, 1234, abcd — не прокатит)
discover.com — допустимый логин от 6-16 символов, пароль от 5 до 10 символов. Больше полагающихся символов система при регистрации или логине не дает ввести. Без спецсимволов.
bankofamerica.com — их система мне нравится больше всего. Пароль от 8 до 20 символов, должно содержать как минимум одну букву в верхнем регистре, одну в нижнем и одну цифру. Может содержать в себе: @#%*()+={}/\?~;":'.-_| Не может содержать в себе: пробел, <>&^![]. К тому же между вводом логина и пароля есть специальная система анти фишинга.
Там, наверное, сидит специальный человек, который считает MD5 вручную. Пожалейте человека!
Mail.ru ужасен, практически во всех своих проявлениях.
Не понимаю, чему вы удивляетесь.
Не понимаю, чему вы удивляетесь.
Да R.I.P.
Видимо я единственный тут когда-то регистрировался на одноклассниках. Так там еще тот пипец. Мало того, что там точно пароли скорее всего хранятся в открытом виде и там тоже есть свои ограничения на пароль, так они помнят все мои старые пароли (хотя я их ставил «десять лет» назад) и не позволяют поставить «БУшный» пароль!
В итоге у меня «закончились» весь мой набор используемых паролей, которые я помню и мне пришлось поставить туда простой, короткий пароль только из цифр. Вот это я понимаю безопасность о своих пользователях!
В итоге у меня «закончились» весь мой набор используемых паролей, которые я помню и мне пришлось поставить туда простой, короткий пароль только из цифр. Вот это я понимаю безопасность о своих пользователях!
И зачем ради одного символа создавать целую тему?
Сложилось впечатление, что правило проверять и ограничивать все данные, введенные пользователем, уже отменили.
Вы спрашиваете, почему не 17? А почему не 18? 19? Почему не 500 Мб?
Ограничение должно быть в любом случае, и, на мой взгляд, у mail.ru оно довольно разумное.
Вы спрашиваете, почему не 17? А почему не 18? 19? Почему не 500 Мб?
Ограничение должно быть в любом случае, и, на мой взгляд, у mail.ru оно довольно разумное.
По поводу «запрещенных символов». Очень часто владельцы сервисов страхуются от массовой возможной неработоспособности содержащих такие символы паролей после конвертации баз данных. Практически каждый сервис периодически вынужден мигрировать на разные СУБД (в целях повышения надежности, произодительности, безопасности и т.д.)
А вот ограничение на количество символов не очень понятно.
А вот ограничение на количество символов не очень понятно.
да ладно российские — на иностранных сайтах (где регистрироваться вынужден, т.к. это провайдеры каких-то там услуг, или оплата чего-то там) пару раз я натыкался на максимум то ли 9, то ли 10 символов!
А меня напрягает то, что mail удаляет электропочту по непонятным мне причинам, ящик был зарегистрирован по реальным данным, с него не спамили, а лишь иногда принимали письма. Восстановить не смог по причине доблестной ТП (здесь имелась ввиду техподдержка :]).
Автор, ну что это вы, ей богу!?
Посты в блоге «Информационная безопасность» должны иметь как минимум 10 смешных картинок со словами WTF и ЛОЛШТО. Можно еще добавить пару демотиваторов и advice dog.
Посты в блоге «Информационная безопасность» должны иметь как минимум 10 смешных картинок со словами WTF и ЛОЛШТО. Можно еще добавить пару демотиваторов и advice dog.
Да что там mail.ru. на myprofile.oracle.com/ парни тоже не парятся
habreffect.ru/files/e03/13a2480c9/ora-fail.JPG
Пароль хотя и по длине не менее 8 символов, но со спецсимволами не прокатил: (
habreffect.ru/files/e03/13a2480c9/ora-fail.JPG
Пароль хотя и по длине не менее 8 символов, но со спецсимволами не прокатил: (
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Про криптостойкость паролей и отношение к ней некоторых крупных российских интернет-сервисов