Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 72
6.46 million passwords,
3.7 already cracked.
3.7 already cracked.
Часто аккаунт необходим только для просмотра сайта, его ценность нулевая. Для этих целей подойдет любой пароль, чтобы отстали.
Безответственное поведение — такие аккаунты брутят и используют, например, для рассылки спама.
Как правило простой люд один и тот же пароль ставит на разных ресурсах, в т.ч. и на почту.
Часто мыл и пароль к тому самому сайту являются мылом и паролем ко всем остальным ресурсам.
Зачастую важным.
Зачастую важным.
Ни разу не пользовался LinkedIn, но блин, они что, серьезно разрешали пользователям выбирать пароли из 3-х символов и последовательных цифр? Не удивительно, что с таким подходом к безопасности их хакнули.
Даже хуже: когда я там регистрировался (около года назад) — длинна пароля вообще никак не проверялась. Ну т.е. я вбил в регистрационную форму нормальный такой, длинный пароль, а залогинится с ним уже не смог. Оказалось, что из 30 введеннных символов, запомнились в виде пароля, только 16 первых. И никаких предупреждений. Такие дела.
Странное дело с этими проверками:
* либо вообще ничего не проверяют
* либо считают, что это их собачье дело говорить мне, что в моем пароле обязаны быть большие и маленькие буквы, знаки препинания, числа и парочка символов из шумерского алфавита
Мне лично кажется, что эта часть вообще ни у кого проработана.
* либо вообще ничего не проверяют
* либо считают, что это их собачье дело говорить мне, что в моем пароле обязаны быть большие и маленькие буквы, знаки препинания, числа и парочка символов из шумерского алфавита
Мне лично кажется, что эта часть вообще ни у кого проработана.
Ещё лучше когда говорят чего в пароле не должно быть!
Можно выводить предупреждение типа «слишком простой пароль».
Если пользователь проигнорил, то это хотя бы его осознанный выбор, а заставлять насильно использовать сложный пароль уместно только для ограниченного круга сайтов, например для банковских.
Если пользователь проигнорил, то это хотя бы его осознанный выбор, а заставлять насильно использовать сложный пароль уместно только для ограниченного круга сайтов, например для банковских.
Да, мне даже кажется, что можно делать более комплексно:
* ежели твой пароль входит в сотню-тысячу самых подбираемых — запрещаем такой пароль и нормально это объясняем в сообщении об ошибке.
* если твой пароль просто плохой (совсем маленький, без цифр и т.п.) — выдаём предупреждение, но всё-таки разрешаем создать учетку.
* ежели твой пароль входит в сотню-тысячу самых подбираемых — запрещаем такой пароль и нормально это объясняем в сообщении об ошибке.
* если твой пароль просто плохой (совсем маленький, без цифр и т.п.) — выдаём предупреждение, но всё-таки разрешаем создать учетку.
«Извините, ваш новый пароль уже использует пользователь Вася, придумайте другой пароль»
Да, так даже лучше, единственный минус в том, что придётся написать подробную статью на тему распространённых паролей с отсылкой к статистическим данным. А то найдутся пользователи, которые даже запрет 100 самых популярных паролей сочтут самоуправством… Кстати, интересно какая будет вероятность ситуации, когда пользователь 3 раза пытается задать пароль и каждый раз попадает на легко подбираемый :-)
Нюанс в том, как переводить.
Когда потребность в обсценной лексике превышает возможности языка, люди ставят звездочки в неожиданных местах.
Если что, дик — есть имя в америке, так что даже с членом сравнивать наверно не стоит =)
«Член» — это «penis». А «dick» — это скорее «х*р» ;)
Ну что за политкорректность? «dick» это скорее «х*й»
P.S. У меня сотрудник есть, и он предпочитает, чтобы его звали Dick а не Richard. Взрослый уже дядька, за 50.
P.S. У меня сотрудник есть, и он предпочитает, чтобы его звали Dick а не Richard. Взрослый уже дядька, за 50.
dick — сыщик, детектив (US), клятва, обещание (сокращение, declaration)
Кто-нибудь знает, где можно посмотреть какие пароли были взломаны? Интересно посмотреть, попал ли мой в их число. Проверял хэш на сайте leakedin.org/, но он пока не числится в числе взломанных.
Мой старый пароль линкедина — 8 golf MIKE charlie BRAVO papa ROMEO foxtrot 7 x-ray romeo 0 1 uniform ROMEO victor (фонетика)
ждем расшифровку ;)
ждем расшифровку ;)
Мой сайт сказал бы — слабый пароль, потому что:
* пароль начинается с цифры
* нет спецсимволов
* пароль начинается с цифры
* нет спецсимволов
Тоже правда.
Но я не люблю когда мне говорит сайт, какой пароль ставить. Раздражает одним словом такая забота. Уживаюсь только с е-банками.
Но я не люблю когда мне говорит сайт, какой пароль ставить. Раздражает одним словом такая забота. Уживаюсь только с е-банками.
Особенно бесят, когда ставят довольно странные ограничения — например обязательно должна быть цифра, но НЕ должно быть спецсимволов. Как пример, тот же lj.ru
Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь) — мое личное дело.
Бесит еще, что о том, что пароль «неверный» узнаешь только нажав submit. Догадались? Все поля тутже очищаются, капча новая… FFUUUU эффект в чистом виде.
Бесит еще, что о том, что пароль «неверный» узнаешь только нажав submit. Догадались? Все поля тутже очищаются, капча новая… FFUUUU эффект в чистом виде.
Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь)
Прикольнее когда задать необычные символы можно, но потом либо такой пароль/ник не будет работать вообще, либо (в случае ника) будет выводиться неправильно (например в виде экранированного кода). Я так попадал один раз с паролем, один раз с ником.
Странный у Вас сайт. Т.е. пароль из 10-ти символов, без первой цифры и с одним спец-символом Вы сочли бы надежным, а пароль из 16-ти символов с первой цифрой и без спец-символа — нет?
я не думаю, что ваш сайт в этом случае будет прав
Дефис в «x-ray» не спецсимвол? А чем вам первая цифра не угодила?
Странно что нет QWERT и QWERTY.
Я правда это вижу? Картинка больше метра весом прямо в теле поста?
Меня удивляет то, что система регистрации (или обновления пароля в уже существующем аккаунте) пропустила такие простые слабые пароли. Это о многом говорит про сайт и про его систему безопасности пользователей.
Удивляет, что в списке нет PASS или qwerty )
Скажу по личному опыту.
Одно время ставил «средненькие пароли» (6-8 символов без заморочек).
Когда мне взломали почту, сразу изменил свой подход к этому вопросу. Теперь все оценщики стойкости паролей говорят «Very strong» в противовес старому «Normal».
Т.е. это я к чему — самое главное уже озвучено: извлечь урок.
Я более чем уверен, что большинство «обычных пользователей» и понятия не имеет, что утекают такие базы.
Но те, что знают и умеют извлекать урок из своих и чужих ошибок — обязательно сделают выводы. Т.е. какой-то «положительный» (прошу не прикапываться к этой фразе) момент также есть.
Хотя… как показывает практика, большая часть людей ничему не учится на ошибках.
Одно время ставил «средненькие пароли» (6-8 символов без заморочек).
Когда мне взломали почту, сразу изменил свой подход к этому вопросу. Теперь все оценщики стойкости паролей говорят «Very strong» в противовес старому «Normal».
Т.е. это я к чему — самое главное уже озвучено: извлечь урок.
Я более чем уверен, что большинство «обычных пользователей» и понятия не имеет, что утекают такие базы.
Но те, что знают и умеют извлекать урок из своих и чужих ошибок — обязательно сделают выводы. Т.е. какой-то «положительный» (прошу не прикапываться к этой фразе) момент также есть.
Хотя… как показывает практика, большая часть людей ничему не учится на ошибках.
Бесполезный анализ. В общем-то и так очевидно, какие пароли самые слабые — какая разница сколько их.
Да и всего 3.7 миллиона сломали из 6.5 (в реальности и того меньше 5.8, из-за дубликатов).
Завтра постараюсь подготовить анализ самых «сложных» из найденных паролей и выложу обновленную версию MD5Blast, теперь с поддержкой SHA1.
Да и всего 3.7 миллиона сломали из 6.5 (в реальности и того меньше 5.8, из-за дубликатов).
Завтра постараюсь подготовить анализ самых «сложных» из найденных паролей и выложу обновленную версию MD5Blast, теперь с поддержкой SHA1.
Мне кажется, что общество скоро наткнется на проблему с паролями.
1. Я уже (и, думаю, не только я) не могу вспомнить, какой и где я сохранял пароль. Получается, что нужно использовать один пароль для нескольких ресурсов. В чем тогда смысл пароля?
2. Дальше больше. Многие ресурсы позволяют использовать открытую учетную запись вроде google. Так какой смысл в пароле вообще, если один раз ввел и потом им пользуешься?
1. Я уже (и, думаю, не только я) не могу вспомнить, какой и где я сохранял пароль. Получается, что нужно использовать один пароль для нескольких ресурсов. В чем тогда смысл пароля?
2. Дальше больше. Многие ресурсы позволяют использовать открытую учетную запись вроде google. Так какой смысл в пароле вообще, если один раз ввел и потом им пользуешься?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
30 наиболее популярных паролей, украденных с LinkedIn