Комментарии 63
Спасибо. Узнал, что AZERTY — раскладка клавиатуры, используемая как основная во Франции и Бельгии. Остальные пароли вобщем-то очевидны. Неясно только, что за одержимость принцессами и обезьянами у буржуе-человеков.
Видимо, со времён Кинг-конга ещё осталась :-)
Скорее Donkey Kong'a
Немного непонятно про расшифровку все равно. Если я правильно понял, то они просто брали искали повторы хешей, брали от них подсказки и сами угадывали что там скрыто (судя по изображению с кроссвордом)? Если они угадали что скрыто в хеше, то они могут восстановить ключ. В чем тогда проблема знаю ключ, восстановить остальные, почему было восстановлено только «большинство хешей»? Или я что-то упустил?
Вы путаете хеширование с шифрованием ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5
Дело в том, что очень сложно восстановить ключ.
У меня идея для мобильного приложения!
Взять топ-1000 паролей и использовать их для перебора в качестве пароля к видимым wi-fi.
Взять топ-1000 паролей и использовать их для перебора в качестве пароля к видимым wi-fi.
Не получится так просто, т.к. для вайфая обычно требуется пароль не мене 12-ти символов. В силу этого они будут очень сильно отличаться от стандартных 1000 самых распространенных (полагаю, ни одного 12-тисимвольного в числе топ-1000 нет).
НЛО прилетело и опубликовало эту надпись здесь
Это, возможно совпадение, но в настройках при установке вайфая для 2х из 3х моих последних трех вайфай-роутеров (все три — разных производителей и типов прошивок) от меня требовали пароль не менее 12-ти символов. Текущий роутер хочет не менее 8-ми. Может быть, производители прошивок решили так позаботиться о юзверях?..
НЛО прилетело и опубликовало эту надпись здесь
Хотите защитить своих пользователей, запретите им придумывать пароли самостоятельно.
Не поможет. Если после регистрации выслать пользователю на почту пароль вида xKFHd873fke, то первое, что он сделает после логина это сменит пароль на 123456. Остается только запретить смену пароля. Но это уже перебор.
запретить простые пароли и по длине и по словарю простых паролей.
И будет как в том баянчике:
Хотя на самом деле без введения требований к сложности пароля всё-таки не обойтись + неплохо бы там же на странице регистрации пропагандировать пару-тройку бесплатных программ для хранения паролей.
Заголовок
«Вы не посещали свою страницу более 30 дней. Ваш пароль устарел. Создайте новый:»
розы
«Ошибка! Пароль слишком короткий. „
красивые розы
“Ошибка! Пароль должен содержать хотя бы одну цифру.»
1 красивая роза
«Ошибка! Нельзя использовать пробелы.»
1красиваяроза
«Ошибка! Вы должны использовать как минимум 10 разных символов.»
1сранаякрасиваяроза
«Ошибка! Вы должны использовать как минимум один заглавный символ.»
1СРАНАЯкрасиваяроза
«Ошибка! Вы не можете использовать более одного заглавного символа в слове.»
1СранаяКрасиваяРоза
«Ошибка! Длина пароля должна быть больше 20 символов.»
1СранаяРозаПознакомитсяСтвоимЗадомЕслиЯнеПолучуДоступПрямоСейчас!
«Ошибка! Нельзя использовать знаки пунктуации.»
1СранаяРозаПознакомитсяСтвоимЗадомЕслиЯнеПолучуДоступПрямоСейчас
«Ошибка! Данный пароль уже зарегистрирован.»
розы
«Ошибка! Пароль слишком короткий. „
красивые розы
“Ошибка! Пароль должен содержать хотя бы одну цифру.»
1 красивая роза
«Ошибка! Нельзя использовать пробелы.»
1красиваяроза
«Ошибка! Вы должны использовать как минимум 10 разных символов.»
1сранаякрасиваяроза
«Ошибка! Вы должны использовать как минимум один заглавный символ.»
1СРАНАЯкрасиваяроза
«Ошибка! Вы не можете использовать более одного заглавного символа в слове.»
1СранаяКрасиваяРоза
«Ошибка! Длина пароля должна быть больше 20 символов.»
1СранаяРозаПознакомитсяСтвоимЗадомЕслиЯнеПолучуДоступПрямоСейчас!
«Ошибка! Нельзя использовать знаки пунктуации.»
1СранаяРозаПознакомитсяСтвоимЗадомЕслиЯнеПолучуДоступПрямоСейчас
«Ошибка! Данный пароль уже зарегистрирован.»
Хотя на самом деле без введения требований к сложности пароля всё-таки не обойтись + неплохо бы там же на странице регистрации пропагандировать пару-тройку бесплатных программ для хранения паролей.
Я так придумывал пароль в эппл стор. В итоге у меня ругательный пароль про компанию эппл и в конце добавлена цифра и прописная буква.
С тех пор, как я перешёл на программы для хранения паролей, проблема «придумывания пароля» в принципе исчезла.
Открываешь программу, нажимаешь создать новую запись — а там тебе любезно подставлен автоматически сгенерированный сложный пароль.
Правда появились новые проблемы:
1. Некоторые сайты зачем-то ограничивают длину пароля 8, 12, 16 или 20 символами. Зачем? Неужели они хранят его plain text'ом и на длине экономят место?
2. Ну ладно, пусть даже ограничивают, но лишь иногда INPUT для ввода пароля на сайте не имеет ограничения на длину. Тогда сколь угодно длинный пароль, вставленный мной из буфера обмена, уйдёт целиком на сайт, там не пройдёт валидацию и мне ясно напишут «пароль слишком длинный».
Но ведь бывает и так, что длина INPUT'а ограничена, я вставляю свой 32-символьный пасс, он незаметно обрезается до 12-20 (или сколько там) символов и потом я имею чудесную мозголомку на этапе логина: «ваш пароль не подходит».
3. Ещё бывает, когда JavaScript'ом (в случае с сайтами) или в играх, где нужно логиниться, зачем-то отключают возможность вставки пароля из буфера обмена. Паразиты. Приходится вбивать все 32 сложные символа вручную.
4. Ещё небольшая проблема с вбиванием длинных паролей на мобильных устройствах. Но она, в отличие от предыдущих, решается достаточно просто — (на Android это программа ClipSync), синхронизирующей буфер обмена на ПК и телефоне.
Открываешь программу, нажимаешь создать новую запись — а там тебе любезно подставлен автоматически сгенерированный сложный пароль.
Правда появились новые проблемы:
1. Некоторые сайты зачем-то ограничивают длину пароля 8, 12, 16 или 20 символами. Зачем? Неужели они хранят его plain text'ом и на длине экономят место?
2. Ну ладно, пусть даже ограничивают, но лишь иногда INPUT для ввода пароля на сайте не имеет ограничения на длину. Тогда сколь угодно длинный пароль, вставленный мной из буфера обмена, уйдёт целиком на сайт, там не пройдёт валидацию и мне ясно напишут «пароль слишком длинный».
Но ведь бывает и так, что длина INPUT'а ограничена, я вставляю свой 32-символьный пасс, он незаметно обрезается до 12-20 (или сколько там) символов и потом я имею чудесную мозголомку на этапе логина: «ваш пароль не подходит».
3. Ещё бывает, когда JavaScript'ом (в случае с сайтами) или в играх, где нужно логиниться, зачем-то отключают возможность вставки пароля из буфера обмена. Паразиты. Приходится вбивать все 32 сложные символа вручную.
4. Ещё небольшая проблема с вбиванием длинных паролей на мобильных устройствах. Но она, в отличие от предыдущих, решается достаточно просто — (на Android это программа ClipSync), синхронизирующей буфер обмена на ПК и телефоне.
Честно говоря, первые три пункта вообще меня первое время шокировали. Первая возникающая мысль: «НАФИГА?!».
Я даже писал в поддержку таких сайтов с вопросами. Писем двадцать уже суммарно где-то. Пока никто не ответил.
Вот только 32 символа для меня — это скорее исключение, когда на сайте ограничение стоит. ^_^
Я даже писал в поддержку таких сайтов с вопросами. Писем двадцать уже суммарно где-то. Пока никто не ответил.
Вот только 32 символа для меня — это скорее исключение, когда на сайте ограничение стоит. ^_^
Как вариант KeePass 2 + Keepass2Android + Dropbox для синхронизации.
Там другая проблема — вводить длиннющий пароль от самой базы с паролями с планшета довольно неудобно.
Да, но в подавляющем большинстве эти требования вахтерские и не будут нести пользу.
Как самый типичный пример, на большинстве сайтов пароль KfKhIPGlqUySdec будет считаться, увы, совершенно небезопасным. Видите ли там нет магической цифры, которая по мнению создателей сайта делает пароль значительно сильнее. И пофиг, что 99% просто добавляют 1 в этом случае.
Как самый типичный пример, на большинстве сайтов пароль KfKhIPGlqUySdec будет считаться, увы, совершенно небезопасным. Видите ли там нет магической цифры, которая по мнению создателей сайта делает пароль значительно сильнее. И пофиг, что 99% просто добавляют 1 в этом случае.
Есть подозрение, что на этот случай у злоумышленников есть отдельная база самых распространенных паролей. К примеру, длина минимум 8 символов, обязательно использование цифр а также строчных и прописных букв. Скорее всего половина паролей будет 123456Aa, 123456Qw, Qwerty12 и так далее.
Браузер, которым я пользуюсь, сам запоминает пароли. Достаточно один раз скопипастить и подтвердить на вопрос.
Более того, скорее всего я попрошу KeyPass придумать мне абракадабру подлинее: этак символов 16-20. Все равно же не мне запоминать.
Более того, скорее всего я попрошу KeyPass придумать мне абракадабру подлинее: этак символов 16-20. Все равно же не мне запоминать.
Да, высылать пароль через почту, которая незашифрованной проходит несколько серверов — отличная идея в плане безопасности!
А зачем? По-моему достаточно просто, в случае выбора пользователем недостаточно надёжного пароля, предупредить его почему его пароль не надёжен и чем ему это может грозить, а дальше пусть решает сам.
Согласен! Я обычно запрещаю использовать пароли меньше 4 слов. :) ведь у каждого есть любимое четверостишье :)
И самый популярный пароль — «Я помню чудное мгновенье»?
Села муха на варенье…
А зачем? Меня раздражают сайты, желающие от меня сложнейший навороченный пароль. Сейчас же каждый форум и каждый блог хочет видеть меня своим подписчиком и посетителем. Вот им мыло на 10minutemail и пароль 123456. Если я на этот сайт захожу в первый и в последний раз, мне достаточно будет 123456 или qwerty, что будет с моим акком на этом сайте через месяц, мне абсолютно по барабану.
Сложные пароли у меня только на важных для меня ресурсах.
Сложные пароли у меня только на важных для меня ресурсах.
Раздражают штрафы за то, что «не пристёгнут в автомобиле». Быть дураком — личный выбор каждого. Право на ошибку позволяет не пропустить плохие гены в генофонд грядущих поколений.
Я хочу иметь право иметь плохие пароли. Это мой личный выбор. Пароль «123» на сайтах, на которые мне наплевать для меня предпочтительнее, чем регистрация на них со сложным паролем… Почему все хотят думать за меня?
Я хочу иметь право иметь плохие пароли. Это мой личный выбор. Пароль «123» на сайтах, на которые мне наплевать для меня предпочтительнее, чем регистрация на них со сложным паролем… Почему все хотят думать за меня?
Почему из-за вас должны страдать страховщики, потенциальные иждивенцы, государственная казна и т.д?
Вы правы, не должны. Но я за право человека на самоубийство. На ошибки и на жизнь. То что современные социальные системы не могут позволить этого людям проблема несовершенства систем, но не моя и не ваша.
К счастью государство в курсе подобной горячности юных и (в отличие от самих юных) в курсе что со временем это проходит.
Это не обязательно проблема несовершенства систем, это может быть философский выбор поддерживаемый системой. Выбор неоотограемых прав, неооторгаемых даже при желании индивида (первые 8 минут). Такая вот идея.
Тем, кто забыл, можно напомнить про bugmenot.com/
Ответы
1
adobeadobe
2
password1
3
dreamweaver
4
chocolate
5
asdfgh
6
shadow
7
asdasd
8
jordan
9
macromedia
10
letmein
11
test
На самом деле эти ТОП-100 паролей покрывают всего около 5% базы, а топ-1000, судя по тенденции — 6-7%. Не так уж все и плохо. А с учетом пользовательской аудитории adobe — так это вообще прекрасный показатель.
Да… Adobe — та еще шарашка… Кто пытался более-менее профессионально работать с их продуктами — поймёт, почему её пользователи обычно ругаются похлеще сапожников.
Я работаю профессионально с продуктами Adobe уже 15 лет. Нареканий почти нет. ЧЯДНТ?
Не знаю, может как-то связано с вашим родом деятельности, либо со спецификой работы…
Когда нам понадобился тримминг проектов в Premiere — обнаружился баг, при котором MXF триммятся/не-триммятся в зависимости от фаз луны. Пробовали на многих разных компьютерах и многих системах, и многих версиях премьера — пока не нашли волшебное сочетание плясок с бубном при котором _может быть_ удастся заставить Premiere CS6 триммить (к слову — CC так и не смогли заставить триммить ни на одной машине).
Или например Adobe Media Encoder, который тупо обрезал видео дальше середины, держа один кадр до конца, если изменяешь Frame Rate исходной сиквенции в Interpret опциях. Этот баг висел год, начиная с CS5.5 по-моему. Пофиксили только неделю назад, в ноябре этого года. Но так и остался висеть другой баг, когда Media Encoder тупо пропускает пару начальных кадров вышеупомянутых обрезанных MXF, при перекодировке.
Или загрузка обрезанных премьером MXFок в AE — глючит первая секунда. В том же нюке глючат только первые два кадра, где отсутсвует ключевой кадр.
Или отсутствие нормальной поддержки таймкода в Premiere (он тупо его игнорирует при реплейсе других файлов, а вставляет их с начала).
Либо фотошоп, который превращает 32-битный EXR в 16битный, стоит только изменить Image Size (например — тупо отскейлить в два раза). Всё. На выходе имеем урезанный 16-бит…
Либо иллюстратор, который не умеет экспортировать векторы большого формата в растр при включенной опции Optimize for Art (на CC с последними обновлениями правда еще не пробовал).
В целом интерфейс связок AE/Premiere/Photoshop/Illustrator — отличается в корне, хотя продукт вроде бы от одной компани. В шопе размер текста можно изменить потянув за букву T, в АЕ — нельзя, только за сами цифры, и т.п. — т.е. какие-то общие мелочи, которые везде есть — но работают по-разному.
И т.п. и т.д… сейчас уже всех плясок с бубнами не вспомню. Но как только дело касается каких-то сложных задач, отличных от копи-паста и намалевать там-сям кисточкой — сразу всплывает куча багов.
В целом складывается такое ощущение, что последние пару лет продукты тупо отданы разным индусским командам на аутсорс, причем команды друг с другом никак не связаны, а пытаются связать результаты работы уже в америках, кое-как и с костылями.
И давно все уже ждут какой-то революции, а Adobe каждый год добавляет пару фишек, исправляют пару багов (ДАЖЕ НЕ ВСЕ НАЙДЕННЫЕ!). Хотя давно уже можно было внедрить в том же фотошопе недеструктивную систему (но только не эти смарт-слои, Боже упаси), нодовую систему со связкой разных слоёв, и т.п. идеи. Но это будет не раньше чем через лет 10-15.
Когда нам понадобился тримминг проектов в Premiere — обнаружился баг, при котором MXF триммятся/не-триммятся в зависимости от фаз луны. Пробовали на многих разных компьютерах и многих системах, и многих версиях премьера — пока не нашли волшебное сочетание плясок с бубном при котором _может быть_ удастся заставить Premiere CS6 триммить (к слову — CC так и не смогли заставить триммить ни на одной машине).
Или например Adobe Media Encoder, который тупо обрезал видео дальше середины, держа один кадр до конца, если изменяешь Frame Rate исходной сиквенции в Interpret опциях. Этот баг висел год, начиная с CS5.5 по-моему. Пофиксили только неделю назад, в ноябре этого года. Но так и остался висеть другой баг, когда Media Encoder тупо пропускает пару начальных кадров вышеупомянутых обрезанных MXF, при перекодировке.
Или загрузка обрезанных премьером MXFок в AE — глючит первая секунда. В том же нюке глючат только первые два кадра, где отсутсвует ключевой кадр.
Или отсутствие нормальной поддержки таймкода в Premiere (он тупо его игнорирует при реплейсе других файлов, а вставляет их с начала).
Либо фотошоп, который превращает 32-битный EXR в 16битный, стоит только изменить Image Size (например — тупо отскейлить в два раза). Всё. На выходе имеем урезанный 16-бит…
Либо иллюстратор, который не умеет экспортировать векторы большого формата в растр при включенной опции Optimize for Art (на CC с последними обновлениями правда еще не пробовал).
В целом интерфейс связок AE/Premiere/Photoshop/Illustrator — отличается в корне, хотя продукт вроде бы от одной компани. В шопе размер текста можно изменить потянув за букву T, в АЕ — нельзя, только за сами цифры, и т.п. — т.е. какие-то общие мелочи, которые везде есть — но работают по-разному.
И т.п. и т.д… сейчас уже всех плясок с бубнами не вспомню. Но как только дело касается каких-то сложных задач, отличных от копи-паста и намалевать там-сям кисточкой — сразу всплывает куча багов.
В целом складывается такое ощущение, что последние пару лет продукты тупо отданы разным индусским командам на аутсорс, причем команды друг с другом никак не связаны, а пытаются связать результаты работы уже в америках, кое-как и с костылями.
И давно все уже ждут какой-то революции, а Adobe каждый год добавляет пару фишек, исправляют пару багов (ДАЖЕ НЕ ВСЕ НАЙДЕННЫЕ!). Хотя давно уже можно было внедрить в том же фотошопе недеструктивную систему (но только не эти смарт-слои, Боже упаси), нодовую систему со связкой разных слоёв, и т.п. идеи. Но это будет не раньше чем через лет 10-15.
Если кому-то интересно, всю базу можно найти в интернете. Файл называется users.tar.gz, весит 3,8 Гб. Есть зеркала с названием файла Base_users_adobe.com.tar.gz
В распакованном виде представляет собой текстовый файл размером 9,2 Гб (130 млн. записей)
В распакованном виде представляет собой текстовый файл размером 9,2 Гб (130 млн. записей)
К черту пароли, мне нужны исходники флеш-плеера!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кроссворд на основе украденной у Adobe базы паролей