NordPass: самым популярным паролем в 2022 году стал «password»

[abutorin]

Кажется что расшифровка всех паролей которые знает NordPass занимает меньше 1 сек.

[andy_p]

Как в анекдоте:

-- Скажи пароль

-- пароль

[Pastoral]

А анекдот то был не про это, он был про идентификацию по биоданным.

[okeld]

Соль же они знают, соответственно хэшируют «password» вместе с солью, считают матчи, пишут статью о глупых пользователях.

[Gryphon88]

Т.е. взяли словарик, посолили и взломали (часть) собственных клиентов? Щикарно…

[Gryphon88]

Я к тому, что если при регистрации проверять пароль и говорить «не надо, он популярный и легко подбирается» вполне нормально, то вот у уже действующего клиента с принятым паролем делать такой пентест это снижение доверия у сервиса.

[Gryphon88]

Как-то неявно подразумевается, что провайдер услуги не знает моего пароля и не может войти в мой аккаунт. Условно, если провайдер войдет в мой аккаунт и подключит услугу, то мне будет сильно сложнее отказаться от нее, а тем более вернуть деньги, чем если он подключит ее молча на ознакомительный бесплатный период, а потом я подтвержу свое согласие на участие в акции молчанием (привет, МТС!).

[DMGarikk]

провайдер услуги не знает моего пароля и не может войти в мой аккаунт

конечно он может войти в ваш аккаунт и вообще не вести никакие логи. пароль для этого вообще не нужен.
тут дело не только в недобросовестности, а в концептуальном устройстве подавляющего числа онлайн сервисов вообще
также как быть уверенным что пинкод банковской карты вас както защищает, а ваши драгоценные данные о ваших деньгах никто вообще никогда не видит без спец.разрешения, если у человека пароля нет. (вспоминаю тестовые серваки с данными выгруженными из прода… доступ на прод админу который мог селектнуть все что хочет, отключенный ids и логирование на время работ, чтобы не мешал… эх… интересная работа была)

[Gryphon88]

Вы, конечно, правы, но с паролем сильно проще в смысле «возможная прибыль/затраченные усилия», т.е. может делать не админ (у вас, кстати, отключение логирования не логируется?).

[DMGarikk]

(у вас, кстати, отключение логирования не логируется?).

1) это было больше 10 лет назад
2) нет не логировалось, но тем не менее, даже если бы логировалось — поправить логи или ченить устроить чтобы 'временно сломалось' не большое дело. я потом работал в более серьезных конторах (которые обслуживали гораздо больше банков и в.т.ч серьезных банков), и отношение там было… по моим оценкам еще хуже… но 'аудит PCIDSS и SAX проходит? все значит норм! проблем нет' (с) СБ+аудиторы

вообще с тех времен я стал очень ревностно относится к ИБ, и могу сказать меня еще нигде никто не поддержал в рвении закрутить гайки по безопасности… в плане 'нахрен это надо? никому не нужно, у нас все ок' (я в сфере финансов с 16 года не работаю уже)

[Layan]

то вот у уже действующего клиента с принятым паролем делать такой пентест это снижение доверия у сервиса.

Почему? Safari делает также. Проверять на уязвимость можно и с фронта, причем различными методами.

[khulster]

Я к тому, что если при регистрации проверять пароль и говорить «не надо, он популярный и легко подбирается» вполне нормально

Вот как раз абсолютно и полностью ненормально. Пароль даже на момент регистрации не должен читаться провайдером услуг. Максимум он может его прогнать через шаблон "требование к количеству символов, регистры etc".

то вот у уже действующего клиента с принятым паролем делать такой пентест это снижение доверия у сервиса.

В чем снижение доверия то? В том, что сервис честно сказал о том, про провел проверку? Т.е. тот факт, что у него есть техническая возможность молча делать эти пентесты в режиме 24/7 нас не беспокоит, а волноваться мы начинаем только после публикации результатов? ;)

На самом же деле, это вполне нормальная практика. Даже Гугул недавно спамил, что ряд ваших паролей мог быть скомромитирован, пожалуйста поменяйте.

И да, в результате такого пентеста не сообщается, какой пароль у какого аккаунта, а просто выдается общая сводка по количеству успешных срабатываний.

ps> Из личной практики, одного пользователя удалось убедить в том, что у него пароль не очень только таким вот брутфорсом. Да, его пароль формально проходил по шаблону, но являлся словарным. И только натравив словарь и показав скриншот успешного логина в его аккаунт помогло убедить его в том, что пароль все же надо поменять. Заняло все несколько секнуд буквально.

[surzefastu]

То есть то что они - ещё и создатели VPN вас не смущает?

Вы посмотрите как регулярно "хакают" базы LastPass после того как их купили владельцы Hamachi.

[surzefastu]

неправильная затея - это хранить их у какого-то дяди, а не просто бэкапить шифрованную базу.

[khulster]

Интересно, а квк они составили такую статистику, если у них якобы нет доступа к самим паролям?

Один из стандартных методов тестирования же. Берут "словарь", натравливают на аккаунты, фиксируют успешный "брутфорс". Владельцам сообщают, что они не в безопасности.

Странно видеть подобные вопросы на Хабре как то.

[MyKinda]

О, недавно на квизе отвечали вопрос про самый популярный пароль, выбирали между password и 123456. Остановились на 123456, потому что password не особо применим на мобильных устройствах, пользователи которых не пользуются латиницей. А тут вот теперь.

[PuerteMuerte]

Интересно, где ж они набрали столько популярных простых паролей, если сейчас чуть ли не каждый сервис имеет накрученные политики "не менее 8 символов, буквы в верхнем и нижнем регистре, цифры и спецсимволы".

[Protos]

То есть они признались в своей же слабости?

[Protos]

Ну, что никак этому не противодействуют, не выполняют повышение осведомлённости по нормальному