Комментарии 29
Кажется что расшифровка всех паролей которые знает NordPass занимает меньше 1 сек.
Как в анекдоте:
-- Скажи пароль
-- пароль
Интересно, а квк они составили такую статистику, если у них якобы нет доступа к самим паролям?
Zero-knowledge architecture ensures that only you have access to what is
stored in your encrypted NordPass vault — we can’t see or access your
vault in any way.
Соль же они знают, соответственно хэшируют «password» вместе с солью, считают матчи, пишут статью о глупых пользователях.
У меня знакомый админ ещё 30 лет назад этим занимался. И потом рассылал требование пользователям, кого удалось хакнуть, сменить пароль. А сейчас многие системы проверяют пароли пользователей по словарям и предупреждают об опасности (иногда вижу такие предупреждения). Хуже, когда требуют устанавливать сильный пароль по своим правилам. Я вправе сам решать, где я могу использовать слабый пароль, а где необходим сильный. Т.к. насколько я себе это представляю, основной метод подбора паролей - проверить список паролей, полученных путём хака одного сайта, на другом сайте. Писать везде разные, действительно, замучаешься. Предупреждение - норм, это даже хорошо.
А в чём состоит снижение доверия? Они же наружу никакую информацию не выдают (статистика не в счёт). Это даже проконтролировать невозможно - проводят они такие тесты, или нет.
А, по-моему, нет разницы. Если провайдер недобросовестный, ему знать пароль даже необязательно - он может сфальсифицировать Ваш вход (логи, и т.п.). Поскольку процедура проверки пароля всё равно на его стороне.
провайдер услуги не знает моего пароля и не может войти в мой аккаунт
конечно он может войти в ваш аккаунт и вообще не вести никакие логи. пароль для этого вообще не нужен.
тут дело не только в недобросовестности, а в концептуальном устройстве подавляющего числа онлайн сервисов вообще
также как быть уверенным что пинкод банковской карты вас както защищает, а ваши драгоценные данные о ваших деньгах никто вообще никогда не видит без спец.разрешения, если у человека пароля нет. (вспоминаю тестовые серваки с данными выгруженными из прода… доступ на прод админу который мог селектнуть все что хочет, отключенный ids и логирование на время работ, чтобы не мешал… эх… интересная работа была)
(у вас, кстати, отключение логирования не логируется?).
1) это было больше 10 лет назад
2) нет не логировалось, но тем не менее, даже если бы логировалось — поправить логи или ченить устроить чтобы 'временно сломалось' не большое дело. я потом работал в более серьезных конторах (которые обслуживали гораздо больше банков и в.т.ч серьезных банков), и отношение там было… по моим оценкам еще хуже… но 'аудит PCIDSS и SAX проходит? все значит норм! проблем нет' (с) СБ+аудиторы
вообще с тех времен я стал очень ревностно относится к ИБ, и могу сказать меня еще нигде никто не поддержал в рвении закрутить гайки по безопасности… в плане 'нахрен это надо? никому не нужно, у нас все ок' (я в сфере финансов с 16 года не работаю уже)
то вот у уже действующего клиента с принятым паролем делать такой пентест это снижение доверия у сервиса.
Почему? Safari делает также. Проверять на уязвимость можно и с фронта, причем различными методами.
Я к тому, что если при регистрации проверять пароль и говорить «не надо, он популярный и легко подбирается» вполне нормально
Вот как раз абсолютно и полностью ненормально. Пароль даже на момент регистрации не должен читаться провайдером услуг. Максимум он может его прогнать через шаблон "требование к количеству символов, регистры etc".
то вот у уже действующего клиента с принятым паролем делать такой пентест это снижение доверия у сервиса.
В чем снижение доверия то? В том, что сервис честно сказал о том, про провел проверку? Т.е. тот факт, что у него есть техническая возможность молча делать эти пентесты в режиме 24/7 нас не беспокоит, а волноваться мы начинаем только после публикации результатов? ;)
На самом же деле, это вполне нормальная практика. Даже Гугул недавно спамил, что ряд ваших паролей мог быть скомромитирован, пожалуйста поменяйте.
И да, в результате такого пентеста не сообщается, какой пароль у какого аккаунта, а просто выдается общая сводка по количеству успешных срабатываний.
ps> Из личной практики, одного пользователя удалось убедить в том, что у него пароль не очень только таким вот брутфорсом. Да, его пароль формально проходил по шаблону, но являлся словарным. И только натравив словарь и показав скриншот успешного логина в его аккаунт помогло убедить его в том, что пароль все же надо поменять. Заняло все несколько секнуд буквально.
То есть то что они - ещё и создатели VPN вас не смущает?
Вы посмотрите как регулярно "хакают" базы LastPass после того как их купили владельцы Hamachi.
Интересно, а квк они составили такую статистику, если у них якобы нет доступа к самим паролям?
Один из стандартных методов тестирования же. Берут "словарь", натравливают на аккаунты, фиксируют успешный "брутфорс". Владельцам сообщают, что они не в безопасности.
Странно видеть подобные вопросы на Хабре как то.
Установил как-то вторую операционную систему на комп - Windows NT. Большого смысла в пароле не было (домашний комп, к сети не подключен), но система требовала. Про систему забыл, через какое-то время попытался войти: не пускает. Перебрал все возможные пароли: не пускает. И только через несколько часов - эврика! - пустой пароль! :)
О, недавно на квизе отвечали вопрос про самый популярный пароль, выбирали между password и 123456. Остановились на 123456, потому что password не особо применим на мобильных устройствах, пользователи которых не пользуются латиницей. А тут вот теперь.
Интересно, где ж они набрали столько популярных простых паролей, если сейчас чуть ли не каждый сервис имеет накрученные политики "не менее 8 символов, буквы в верхнем и нижнем регистре, цифры и спецсимволы".
NordPass: самым популярным паролем в 2022 году стал «password»