Комментарии 21
Я поставил минус и я хотел бы объяснить почему:
Ваши требования к паролям устарели так на лет 10. Сегодня пароли должны быть минимум 12 символов в длину, И самое важно что в приоритете идет длина а потом сложность. То есть пользователь и дальше может делать вырвиглаз комбинацию больших/маленьких/цифр/спец но это только вторичный фактор, если пароль короче, на пример, 15ти символов. Очень советую окунуться в NIST SP800-63B или почитать эту статью https://auth0.com/blog/dont-pass-on-the-new-nist-password-guidelines/
То есть если убрать тот факт что в статье нету ничего нового в плане определения силы паролей то остается только "как использовать регулярные выражение в питоне" и "как считать файл в питоне".
Было бы круто если бы вы раскрыли как раз таки специфики и сложности парольной валидации, а в плане проверки популярных паролей могли бы показать интеграцию с HaveIbeenPwnd(https://haveibeenpwned.com/Passwords) у которых есть базы с самыми популярными паролями на основе анализа 5.5млрд слитых учетных записей.
А пока это немного Stackoverflow, но может быть реально отличный и полезный материал.
Ваш комментарий оборвался.
"Если бы люди могли потратить своё время на то, чтобы объяснить своё несогласие, было бы очень здорово." ©
В момент моего комментария, коммент выше содержал три строки, оканчивался словами "лет на 10, и вот по каким причинам:". Я обратил внимание автора, чтобы при желании он сделал корректировку до истечения получаса.
Было бы круто если бы вы раскрыли как раз таки специфики и сложности парольной валидации, а в плане проверки популярных паролей могли бы показать интеграцию с HaveIbeenPwnd(https://haveibeenpwned.com/Passwords) у которых есть базы с самыми популярными паролями на основе анализа 5.5млрд слитых учетных записей.
Спасибо за идею!
А на счет HaveIbeenPwnd — мне вот, например, интересно, кэшируют ли они то, что им отправляют «на проверку»? ;) Строго говоря если ты куда-то в сторонний сервис отправляешь свой пароль — ты этим действием его автоматом компрометируешь!
Я думаю, речь о оффлайн-базе, которую вы скачиваете, и своими скриптами к локальной копии этой базы делаете запрос(ы).
Прямо в моем комментарии есть ссылка на скачивание базы хешей самых популярных паролей
Так и представляю себе продакт-решение, где чисто для проверки нужной сложности пароля развернута локальная копия базы на десяток с лишним ГиГ! )
Зачем? API же есть…
Ну и самое главное — я все равно не понимаю за что минуса человеку за статью… Нормальная статья, как по мне!
Если проект маленький и нету проблем с юристами то да, API вам в помощь. Но есть компании с лямом запросов в месяц и им не до чьих-то API. 20гб на AWS это 7.5$ dynamodb. Можно еще захостить себе сервер для проверки хешей за 10-20$ с SSD жд. Если все в одной зоне то там скорость проверки будет космической.
Простой 12-символьный лучше сложного 8-символьного.
о, спасибо, сохранил.. а не подскажешь первоисточник?
хммм интересно посмотреть какие системы какие пароли предлагают нашёл маил и гугл
84nNSpgN!qqhkQj гугл пароль взламывать очень долго
&yrVbtpXUO22 маил поменьше будет но тоже достаточно
Т.е. это удобно для оценки относительно сложности пароля, но не стоит цифры воспринимать буквально… Типа что ваш пароль из 7 букв разного регистра подберут за 2 секунды — нет, не подберут, если система не совсем примитивная.
это в случае если говорить про отсылку данных на сайт для проверки. если же работать с дампом украденной базы то проверка будет мгновенная
на сайте что выше говорится
Password cracking is becoming very trivial with the vast amount of computing power readily available for anyone who desires so.
At a current rate of 25$ per hour, an AWS p3.16xlarge nets you a cracking power of 632GH/s (assuming we’re cracking NTLM hashes). This means we’re capable of trying a whopping 632.000.000.000 different password combinations per second!
Проверка наличия символов в строке с помощью регэкспов выглядит ужасно странно. Это же python. help set что-ли. Возврат результата через exception.. Я художник, я так вижу ;)
Проверка сложности паролей на Python