Комментарии 321
До свидания.
Все прямо в шоке от дерзости.
НЛО прилетело и опубликовало эту надпись здесь
Тю, поменяй на какой нить новый, а потом зайди в настройки пользователя и поменяй на свой старый и будет тебе счастье)))
Я кстати попробовал, почему-то не получилось, надо ещё попозже.
Смысл-то в чём? Если появилось сие беспокойство, возможно, что пароли пользателей есть не только в базе хабра. Вернёте вы пароль, а через неделю аакаунт угонят. Разве у вас один пароль на всё, другие категорически запрещены?
Мне тоже эта идея сразу пришла в голову :)
НЛО прилетело и опубликовало эту надпись здесь
/me вспомнил старый пароль с третьей попытки :)
Такая же лажа со сменой пароля в универе (только там у админов фантазия воспалена поболее — пароль не должен совпадать с 5 предыдущими). Так вот бесит и напрягает жутко, из за этого частенько забывал пасс, потом в конце тупо 1 символ добавлять стал чтобы помнить, ну или если забыл, перебрать из пятерки возможных :)
А с точки зрения повышения безопатсности — если сильно будет нужно все равно своруют, администрация этим только лишние неоправданные неудобства приносит. ИМНО.
п.с. Даешь настройку на постоянный пасс в профиль для ленивых :)
А с точки зрения повышения безопатсности — если сильно будет нужно все равно своруют, администрация этим только лишние неоправданные неудобства приносит. ИМНО.
п.с. Даешь настройку на постоянный пасс в профиль для ленивых :)
в качестве последнего символа проще использовать номер месяца ;)
Научился ан прошлой работе
Научился ан прошлой работе
Админам на заметку ;)
Скорее взломщикам, которые это и так знают.
Сам в молодости, когда переборщики были слишком медленными, вскрыл по необходимости шестибуквенный rar-пароль друга, вспомнив несколько случайно подсмотренных в результате набора букв. Кроме того, давно подмечено, что слишком сложные механизмы авторизации выливаются в ухудшение безопасности в виде, скажем, приклееных на монитор стикеров с паролем. :)
Если уже на хабре пекутся о безопасности пользовательских паролей, сделали бы https или openid авторизацию, что бы не светить пароли в виде нешифрованного текста «на последней миле».
Сам в молодости, когда переборщики были слишком медленными, вскрыл по необходимости шестибуквенный rar-пароль друга, вспомнив несколько случайно подсмотренных в результате набора букв. Кроме того, давно подмечено, что слишком сложные механизмы авторизации выливаются в ухудшение безопасности в виде, скажем, приклееных на монитор стикеров с паролем. :)
Если уже на хабре пекутся о безопасности пользовательских паролей, сделали бы https или openid авторизацию, что бы не светить пароли в виде нешифрованного текста «на последней миле».
Особенно когда просят сменить раз в 2 недели :)
Там ниже уже ответили что не придется делать это каждый мес, надеюсь так и будет :)
Там ниже уже ответили что не придется делать это каждый мес, надеюсь так и будет :)
Для ленивых и смелых :)
НЛО прилетело и опубликовало эту надпись здесь
Надо будет запомнить, значит пароль не должен совпадать с предыдущими.
У нас нельзя последние 32 использовать )))
хаха тоже ели вспомнил)))
аналогично :)
правда сначала попытался «вспомнить», пройдя по соответствующей ссылке
однако в ответ опять вывалилась страница с предложением поменять пароль и вводом старого О_о хорошо хоть смог подобрать :) а если бы нет?..
правда сначала попытался «вспомнить», пройдя по соответствующей ссылке
однако в ответ опять вывалилась страница с предложением поменять пароль и вводом старого О_о хорошо хоть смог подобрать :) а если бы нет?..
Сменил :)
Капчи мало?
За что?
Обычно такое делают, когда у сайта «угоняют» базу с паролями. Так что не исключено что был взлом Хабра…
Да, поддерживаю, это первое про что я подумал. Логика такая:
1) «Пароли надо менять — а то так сильно опасно».
2) НО! «Это разовая акция, парни! Спокойно! Никто не будет вас заставлять менять пароли раз в месяц!». =>
3) ХабрАдмины понимают, что народ будет бунтовать/злиться/плакать и т.п. и делать такого бы никогда не стали… но сделали =>
4) С нашими старыми паролями чё-то явно не так случилось.
С другой стороны, было бы разумнее привязать ввод новых паролей к емейлам, т.к. если базу и правда угнали, сменить все пароли могли бы и сами угонщики.
Тобишь особо бояться вроде нечего — и можно спокойно неврозиться из-за доставленных неудобств :)
1) «Пароли надо менять — а то так сильно опасно».
2) НО! «Это разовая акция, парни! Спокойно! Никто не будет вас заставлять менять пароли раз в месяц!». =>
3) ХабрАдмины понимают, что народ будет бунтовать/злиться/плакать и т.п. и делать такого бы никогда не стали… но сделали =>
4) С нашими старыми паролями чё-то явно не так случилось.
С другой стороны, было бы разумнее привязать ввод новых паролей к емейлам, т.к. если базу и правда угнали, сменить все пароли могли бы и сами угонщики.
Тобишь особо бояться вроде нечего — и можно спокойно неврозиться из-за доставленных неудобств :)
Ну, вот обновили первый пост — всё стало на свои места :)
PS: Я не смог сменить пароль под текущим логином — пришлось выйти и снова войти в аккаунт, только тогда всё сработало как надо.
PS: Я не смог сменить пароль под текущим логином — пришлось выйти и снова войти в аккаунт, только тогда всё сработало как надо.
И получить из старой базы паролей новую можно просто, как md5( salt + oldPassHash )
Поэтому заново вводить пароль не было смысла …
Поэтому заново вводить пароль не было смысла …
Нет, это неправильно. Соль прибавляется к чистому паролю, а потом хешируется.
Это ещё один алгоритм. Объясните, почему он неправильный, и в чем принципиальное отличие от предложенного вами?
Хм. Прошу прощения, реализацию хеширования пароля подсмотрел в django — там просто md5(salt + raw_password).
Погуглил — действительно вариаций масса: соль добавляется к/после пароля, соль добавляется к/после хеша от пароля с солью, и некоторые другие пертурбации тоже возможны.
Что более криптостойкое сказать не могу, не специалист.
Погуглил — действительно вариаций масса: соль добавляется к/после пароля, соль добавляется к/после хеша от пароля с солью, и некоторые другие пертурбации тоже возможны.
Что более криптостойкое сказать не могу, не специалист.
Повышенная вероятность хэш-коллизий в результате двойного применения md5.
Откуда дровишки?
Доказывать не буду, т. к. строго доказать не получится, а неграмотными рассуждениями засорять Хабр не хочу.
Это всего лишь предположение, хоть и не безосновательное.
Это всего лишь предположение, хоть и не безосновательное.
Ответьте на самый главный вопрос — чем же принципиально отличается как входной аргумент какой-то произвольный пользовательский пароль от 32-символьного хэша MD5?
И, в целом, я лично не рискнул бы высказываться о том, в чём не уверен и не могу обосновать. И так уже достаточно людей, которые на собеседовании говорят «MD5 ненадёжен», а максимум что могут привести в качестве аргументов — «так на хабре писали».
И, в целом, я лично не рискнул бы высказываться о том, в чём не уверен и не могу обосновать. И так уже достаточно людей, которые на собеседовании говорят «MD5 ненадёжен», а максимум что могут привести в качестве аргументов — «так на хабре писали».
Принципиальное отличие 32-символьного хэша — в том, что его можно получить из более, чем одного пользовательского пароля.
Оттуда и дровишки.
Оттуда и дровишки.
Нет, я спрашивал про то, чем он отличается в качестве входного аргумента хэширующей функции MD5, а не про то, из чего он может быть получен. Вы заявили, что вероятность хэш-коллизии (получения на выходе MD5 двух одинаковых значений) выше, если на вход подавать не пароли в чистом виде, а хэш от них. Таки где же в алгоритме MD5 «дыра», из-за которой от входного значения зависит дисперсность получаемых результатов? Огласите миру своё открытие в области криптоанализа, не стесняйтесь!
или обнима уволили
Действительно похоже. Если дело в посолить, то посолить можно было и существующие хеши.
Меня звали?
Довольно жестоко. Надеюсь в следующий раз можно будет обратно прошлый пароль поставить? А то на вас так паролей на напасешься! :)
НЛО прилетело и опубликовало эту надпись здесь
действительно, за что?
все будут менять лишь последнею цифру
1,2,3,4,5,6,7,8,9…
1,2,3,4,5,6,7,8,9…
Забыли теперь только пароль озвучить :)
Чтобы было не так легко разгадать: 4,8,15…
16, 23, 42
А дальше? ;)
SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE! SYSTEM FAILURE!
Черт, так и сделал
Я первую сменил…
на моей работе служба безопасности заставляет пороль менять каждую неделю, так что без проблем:))
Благими намерениями устелена дорога в ад!
так можно нефиговую базу паролей собрать (=
А почему на главной странице не показывается блок с именем пользователя в правом верхем углу? Страница отображается так, как если бы я не залогинен.
В первый раз сталкиваюсь с ресурсом, где просят менять пароль каждый месяц. Не понимаю, как это усилит безопасность моего аккаунта.
Никто не будет просить вас менять его каждый месяц. Но очень хочется избавиться от паролей типа 123456, qwerty и подобных. Если у вас «хороший» пароль, вас, возможно, не будут просить его менять больше никогда.
Да и с нормальным паролем (и по длине, и по степени сложности) заставляют поменять… так что никаких возможно :(
У меня было что-то вроде этого «ia;uv@6|oIp`.`6rgOWR» и всё равно попросили :)
Первый раз просим всех. Мы же не знаем какой у вас был пароль
>>> Первый раз просим всех. Мы же не знаем какой у вас был пароль
>>> Никто не будет просить вас менять его каждый месяц. Но очень хочется избавиться от паролей типа 123456, qwerty и подобных. Если у вас «хороший» пароль, вас, возможно, не будут просить его менять больше никогда.
тоесть теперь знаете?
>>> Никто не будет просить вас менять его каждый месяц. Но очень хочется избавиться от паролей типа 123456, qwerty и подобных. Если у вас «хороший» пароль, вас, возможно, не будут просить его менять больше никогда.
тоесть теперь знаете?
нет, теперь тоже не знаем
>Но очень хочется избавиться от паролей типа 123456, qwerty и подобных.
тогда как вы отсеете?
базу чтоль слили?
тогда как вы отсеете?
базу чтоль слили?
Можно хранить пароли, например как md5 хеши (и тогда разработчики их не знают), и делать поиск по хешам наиболее известных и простых паролей.
И фильтровать пароли на сложность на входе.
И фильтровать пароли на сложность на входе.
угу, я в курсе, а так же можно спокойно сделать выборку из базы тех пользователей у кого слабые пароли и персонально попросить сменить пароли дабы избежать кипиша который тут поднялся.
Если пароли в md5, то как узнать у кого слабые?
А вообще, чтобы не было возможности использовать базы слабых паролей в md5, можно шифровать с солью, например можно хранить результат md5(login + pass).
А вообще, чтобы не было возможности использовать базы слабых паролей в md5, можно шифровать с солью, например можно хранить результат md5(login + pass).
А вообще Вы молодец, что про соль напомнили ) по-моему как раз это и сделали, Вы топик прочли?
Каюсь, не успел прочитать, после смены пароля сразу кинулся комментарии читать. Вообще была мысль что это был взлом хабра, и я повелся и передал свой пароль хакерам.
Можно было это сделать незаметно, сбросить авторизацию у всех, и при следующей авторизации заменять md5 без соли на такой же с солью, с удалением прежнего.
Можно было это сделать незаметно, сбросить авторизацию у всех, и при следующей авторизации заменять md5 без соли на такой же с солью, с удалением прежнего.
>Если пароли в md5, то как узнать у кого слабые?
скажем есть набор «слабых» паролей типа
123456 qwerty и тп.
генерируешь хэши от них и смотришь у кого в бд такие пароли, если найдены значит пароль слабый, ну эт самый простой вариант.
скажем есть набор «слабых» паролей типа
123456 qwerty и тп.
генерируешь хэши от них и смотришь у кого в бд такие пароли, если найдены значит пароль слабый, ну эт самый простой вариант.
Складывается такое ощущение что раньше не знали, а теперь знаете.
тоесть они не хотят говорить что вчера ночью слили около 5000 паролей юзеров.
да, да база с юзернеймами, паролями, ай-пи и ещё некоторыми интересными статистическими данными была слита.
ещё хочу добавить что стоимость этой статистики по рыночным меркам довольно неплохая и гораздо больше чем пароли.
если что то я никакого отношения к взлому не имею, я просто слышала информацию из узких кругов.
да, да база с юзернеймами, паролями, ай-пи и ещё некоторыми интересными статистическими данными была слита.
ещё хочу добавить что стоимость этой статистики по рыночным меркам довольно неплохая и гораздо больше чем пароли.
если что то я никакого отношения к взлому не имею, я просто слышала информацию из узких кругов.
будущий троль?:)
а я вот в узких кругах слышал, что некоторые люди от свиней произошли, иногда даже доказательства проскакивают ;)
а я вот в узких кругах слышал, что некоторые люди от свиней произошли, иногда даже доказательства проскакивают ;)
а ты видишь другие причины для столько внезапного и малологичного действия?
одно дело подозрение, другое дело «знание», подозрение можно высказать, высказать «знание» можно только если предоставляешь доказательство, иначе это просто подозрение.
ахахах, то есть, раньше вы хранили пароль в базе в виде hash+salt, а теперь решили хранить в открытом виде, и поэтому заставляете всех сменить пароли?
НЛО прилетело и опубликовало эту надпись здесь
Интересно, что об этом не написано было.
Поэтому я поменял как раз на такой, чтобы зайти.
Поэтому я поменял как раз на такой, чтобы зайти.
Ну получили 1234567 и qwertyu :)
Каждый месяц?? Первый раз за три года просим.
Это не выход. У людей как были простые пароли, так они ими и останутся (с добавлением цифры, как сказано выше).
Ну и пользователей растеряете по двум причинам: одни забудут свой старый пароль, а вторые просто обидятся на вас за то, что вы на них плюёте.
Ну и пользователей растеряете по двум причинам: одни забудут свой старый пароль, а вторые просто обидятся на вас за то, что вы на них плюёте.
Сух, ну это бред полный. Киньте от меня помидором в того, кто это придумал.
У меня пароль, который я точно помню. Теперь, если через месяц будет логаут, то я
1) Вряд ли вспомню, что менял пароль.
2) Через десять попыток ввода своих паролей, придется «напоминать пароль» и всё-равно я поставлю свой старый.
У меня пароль, который я точно помню. Теперь, если через месяц будет логаут, то я
1) Вряд ли вспомню, что менял пароль.
2) Через десять попыток ввода своих паролей, придется «напоминать пароль» и всё-равно я поставлю свой старый.
Некоторые люди хранят пароли, которые у них совсем рандомные в одной зашифрованой базе, что дает несколько приемуществ:
1) нужно знать лишь один (желательно сложный) пароль;
2) безопасность паролей на сервисах хороша ибо можна генерить пароли любой сложности
3) смена пароля совсем не напрягает.
Cheers ;)
1) нужно знать лишь один (желательно сложный) пароль;
2) безопасность паролей на сервисах хороша ибо можна генерить пароли любой сложности
3) смена пароля совсем не напрягает.
Cheers ;)
Не у всех есть желание таскать с собой базу данных паролей, и невозможность залогиниться с чужого компьютера из-за отсутствия программы хранения паролей.
Да, но это ведь не сложно. Все, что нужно — флешка и какая-нибудь портабл софтина с базой туда скинутая. Например keepass.
даёщь идентификацию по сертификатам!!!
юмор
юмор
Не верю.
Пользователи с простыми паролями будут менять простой пароль на еще более простой (надо же запомнить, через месяц менять). А для тех, кто ценит свой аккаунт на хабре и использует длинный неподбираемый уникальный пароль (тут таких гиков большинство, уверен), только добавили геморроя.
Сбрасывание куки раз в две недели решит все проблемы, особенно если они надуманные.
Пользователи с простыми паролями будут менять простой пароль на еще более простой (надо же запомнить, через месяц менять). А для тех, кто ценит свой аккаунт на хабре и использует длинный неподбираемый уникальный пароль (тут таких гиков большинство, уверен), только добавили геморроя.
Сбрасывание куки раз в две недели решит все проблемы, особенно если они надуманные.
Так если каждый месяц заставлять менять пароли, у меня скоро вообще паролей не останется. Придется придумывать новые, а новые пароли обычно плохо запоминаются и медленно набираются.
Менять пароли хорошо, только пожалуйста, не раз в месяц!
А кстати можно завести два пароля и менять их друг на друга?
Менять пароли хорошо, только пожалуйста, не раз в месяц!
А кстати можно завести два пароля и менять их друг на друга?
Мда, неожиданно. Хоть это, конечно, и хорошо менять пароли, но может быть все-таки это оставить на совести пользователя? А в профиль вынести опцию, управляющую автоматическим запросом нового пароля через н-ое кол-во времени.
Плюс ко всему, постоянные смены паролей в итоге приведут к тому, что все их будут забывать, т.к. основные используемые уже употребили на Хабре.
Плюс ко всему, постоянные смены паролей в итоге приведут к тому, что все их будут забывать, т.к. основные используемые уже употребили на Хабре.
А что с микрохабром? Теперь разные пароли будут?
Социализм на Хабре. Забота о пользователях «для их же блага», но без учета их мнения.
Не помешала бы кнопочка «Напомнить пароль».
Хорошо хоть предупредили, а то я уже начал подозревать банальный фишинг.
Мне кажется со временем пароли будут все проще и проще. Что-то меня не улыбает придумывать каждый месяц весьма четкие непробиваемые комбинации. Сомнительная затея.
Никто не будет просить менять пароль каждый месяц. Даже каждые два месяца не будем просить. И через полгода мы тоже не попросим вас его менять, не переживайте, придумывать пароли в промышленных масштабах не нужно.
ну так написали б
связи с подозрением на утечку базы паролей просим всех срочно сменить пароли
связи с подозрением на утечку базы паролей просим всех срочно сменить пароли
>>… отныне раз в несколько месяцев каждый пользователь обязательно должен менять свой пароль для доступа к Хабрахабру.
Так сколько это — несколько?
Так сколько это — несколько?
>>… отныне раз в несколько месяцев каждый пользователь обязательно должен менять свой пароль для доступа к Хабрахабру.
Так сколько это — несколько?
Так сколько это — несколько?
До этого у меня была система, позволяющая мне запоминать сложные пароли. Теперь она сломалась.
Могу я быть уверенным, что, поменяв пароль обратно на мой предыдущий сложный, вы не заставите меня снова менять мою систему, и изобретать новую?
Могу я быть уверенным, что, поменяв пароль обратно на мой предыдущий сложный, вы не заставите меня снова менять мою систему, и изобретать новую?
а месяц назад вы то же самое говорили? а два месяца? а полгода?
не зарекайтесь, может через три месяца вам таки предложат купить базу паролей хабра, и что вы будете делать? :)
не зарекайтесь, может через три месяца вам таки предложат купить базу паролей хабра, и что вы будете делать? :)
Ӕто вы правильно сделали.
Люди не будут каждый месяц придумывать новые пароли. Ӕто очевидно. В итоге хабра сможет насобирать классную базу персональных паролей.
Люди не будут каждый месяц придумывать новые пароли. Ӕто очевидно. В итоге хабра сможет насобирать классную базу персональных паролей.
Это единственный способ заставить сменить меня пароль (банально лень). Спасибо.
В следующем месяце, обязательную смену пароля нужно сделать платной. :)
Тогда подскажите, пожалуйста, как сменить почту для восстановления пароля? А то с момента обновления хабр перестал принимать е-мэйлы с символом подчеркивания и теперь серое поле вместо почты заполнено «old_email_is_invalid_...».
Как по мне так ничего страшного в смене пароля раз в месяц нету, так даже лучше. Спасибо
Неужели у хабры «угнали» базу паролей?
тогда смысл сей акции понятен.
тогда смысл сей акции понятен.
Блин :(
НЛО прилетело и опубликовало эту надпись здесь
Не надо заботится о моем благе. Я сам о нем позабочусь. Если уведут мой акк, то это я сам лох. Тут вроде не лирушечка, тут люди думающие и понимающие что к чему.
Или у вас кто-то увел базу с паролями юзеров и вы решили перестраховаться? ;)
Или у вас кто-то увел базу с паролями юзеров и вы решили перестраховаться? ;)
Сменил пароль на временный, зашел в профиль и вернул старый.
Старый пароль вспомнить не удалось, пришлось восстанавливать.
Прошел по ссылке для восстановления. Ввел новый пароль, точно не совпадающий с тем, который был ранее.
Авторизируюсь и у меня выскакивает опять эта форма принудительной смены пароля, зачем? если только что его сменил через reminder.
Прошел по ссылке для восстановления. Ввел новый пароль, точно не совпадающий с тем, который был ранее.
Авторизируюсь и у меня выскакивает опять эта форма принудительной смены пароля, зачем? если только что его сменил через reminder.
НЛО прилетело и опубликовало эту надпись здесь
логичным продолжением будет то что пароли при реге будут генериться самим хабром и высылаться на почту :)
даешь openID!!!
Не срабатывала смена пароля в мозилле (FF3) — скрипт отрабатывал, но безрезультатно. Пришлось логиниться под ие, чтобы перейти на следующий уровень.
Трижды перепроверял — точно-ли это именно админы сайта меня заставляют менять пароль, а не фишерство. А то ведь очень удобный и простой способ получился-бы :)
Форма для смены какая-то глюченная, пароль поменялся только с четвёртого раза.
Даешь опенИД раз, а два, такая политика ничего не изменит, а может и добавит простых паролей.
Шух, предлагаю внести в топик ссылки на отличные статьи про пароли, которые были на хабре. Про легкое придумывание непростых паролей, использование спецсофта и т.д. Тогда эта акция могла бы иметь смысл.
Шух, предлагаю внести в топик ссылки на отличные статьи про пароли, которые были на хабре. Про легкое придумывание непростых паролей, использование спецсофта и т.д. Тогда эта акция могла бы иметь смысл.
Если увели базу хешей паролей, какой смысл сейчас менять?)
Авторизация на хабре через год:
1. Введите капчу
2. Введите старый пароль
3. Введите новый пароль
4. Введённый пароль слишком простой, введите новый пароль ещё раз.
5. Введите дату вашего рождения.
6. Вы младше 25 лет, введите дату рождения ещё раз.
7. В каком городе вы живёте?
8. Неправда, ваш IP из другого города, введите ваш город ещё раз.
9. Всё введено првильно. Продолжить?
10 Упс. У вас низкая карма, вам запрещено входить.
1. Введите капчу
2. Введите старый пароль
3. Введите новый пароль
4. Введённый пароль слишком простой, введите новый пароль ещё раз.
5. Введите дату вашего рождения.
6. Вы младше 25 лет, введите дату рождения ещё раз.
7. В каком городе вы живёте?
8. Неправда, ваш IP из другого города, введите ваш город ещё раз.
9. Всё введено првильно. Продолжить?
10 Упс. У вас низкая карма, вам запрещено входить.
Заметьте:
1: «во избежание неприятных ситуаций, связанных с угоном аккаунтов и прочими возможными проблемами, нам стоит время от времени принудительно заставлять всех пользователей обновить пароль»
2: «Это разовая акция, парни! Спокойно! Никто не будет вас заставлять менять пароли раз в месяц!»
Походу у хабра базу стырили… Бывает…
1: «во избежание неприятных ситуаций, связанных с угоном аккаунтов и прочими возможными проблемами, нам стоит время от времени принудительно заставлять всех пользователей обновить пароль»
2: «Это разовая акция, парни! Спокойно! Никто не будет вас заставлять менять пароли раз в месяц!»
Походу у хабра базу стырили… Бывает…
НЛО прилетело и опубликовало эту надпись здесь
«просьба» (по факту, требование) о смене паролей наталкивает разве что на мысль о взломе и потерей той самой базы с паролями.
интересно, как бы отреагировали пользователи, попросив Google сменить пароли. я бы сразу о самом плохом бы подумал.
интересно, как бы отреагировали пользователи, попросив Google сменить пароли. я бы сразу о самом плохом бы подумал.
сколько нытиков собралось.
Ну сменили и сменили, лишнее телодвижения сделать уже лень.
Ну сменили и сменили, лишнее телодвижения сделать уже лень.
А никто не заметил, что перед этим было «мы скоренько»? )
Бесит конечно, что за тебя решают. Типа как в кипе. Может это эксперимент на лояльность аудитории?
В форме написано, что новый пароль должен быть не менее 4-х символов. Ввёл пароль из пяти символов — ругается, что пароль короткий.
Ситуация — 2а браузера, на обоих залогинен на хабре. Защел через браузер А, попросили поменять пароль, что я и сделал. Затем зашел через браузер Б и… меня абсолютно спокойно, без лишних телодвижений, как то ввод нового пароля, впустило (автовходом по кукам). Вы еще что-то говорите о безопасности?)
раз в полгода менять пароли — нормальная практика, чему тут удивляться?
как то похер, сменил и забыл. Надо значит надо.
«напомнить пароль» как-то странно работает. рекурсивненько
Я так и не смог напомнить себе пароль — что должна делать эта ссылка, не понятно. Пароль пришлось вспоминать.
Ура! Вспомнил!
Жестокая шутка с напоминалкой и с проверкой старого пароля. Я уже заволновался за работоспособность Хабра: жму кнопку «сохранить» — реакции нет. Жму «напомнить» — та же страница!
Жестокая шутка с напоминалкой и с проверкой старого пароля. Я уже заволновался за работоспособность Хабра: жму кнопку «сохранить» — реакции нет. Жму «напомнить» — та же страница!
представляю удивленные лица при просьбе сменить пароль=)
А по сути: что плохого в действии на опережение? Улучшить шифрование пароля — не во вред. Зато теперь если стырят вдруг даже базу — то пару лет пусть возятся.
А по сути: что плохого в действии на опережение? Улучшить шифрование пароля — не во вред. Зато теперь если стырят вдруг даже базу — то пару лет пусть возятся.
Я уж подумал что троян, заглянул в hosts.
Вы заранее предупреждайте…
Вы заранее предупреждайте…
Сменил на тот-же — всех нае… :)
НЛО прилетело и опубликовало эту надпись здесь
А в чём проблема сменить пароль? Попросили — сменили. Менять пароли вообще полезно, и не тольео на хабре.
Хорошо бы предупредить, хоть на емайл или топиком на главной, мол, ребята, завтра меняем все пароли. Хотя… тут сразу могут воспользоваться негодники. Спорный вопрос.
Мы все умрём!
А давайте зададим прямой вопрос администрации про угон базы?
Администрация, прошу дать разъяснения по вопросу угона базы пользователей. Правда? Неправда? Возможно? Если, как вы говорите, просто надо перехешировать пароли — можно было бы просто всех разлогаутить по кукам и при входе пользователя сравнить со старым хешем и если всё хорошо — построить новый хеш. Хотелось бы всё-таки получить чёткий ответ про угон. Спасибо.
Администрация, прошу дать разъяснения по вопросу угона базы пользователей. Правда? Неправда? Возможно? Если, как вы говорите, просто надо перехешировать пароли — можно было бы просто всех разлогаутить по кукам и при входе пользователя сравнить со старым хешем и если всё хорошо — построить новый хеш. Хотелось бы всё-таки получить чёткий ответ про угон. Спасибо.
не могу оторваться от чтения комментариев! ))) Сегодня праздник какой-то!
НЛО прилетело и опубликовало эту надпись здесь
> Раньше на Хабре пароли хранились в базе в виде md5. Мы решили, что этого недостаточно и добавили еще salt к этим паролям. Чтобы все пароли перегенерировались, мы и просим заменить пароль на новый.
Чтобы все пароли перегенерировались, достаточно попросить пользователя войти заново и, в случае удачи, применить к введенному паролю «еще salt»
Чтобы все пароли перегенерировались, достаточно попросить пользователя войти заново и, в случае удачи, применить к введенному паролю «еще salt»
одобрямс
Я подумал, что можно и ник сменить =(
Что бы сменить пароль надо 20 секунд максимум.
За 2 часа к этому топику больше полутросотни коментариев, среди которых единственного чего нет — это только «ну все, пойду повешусь». Я даже не заметил как пролетела эта формочка — ну надо сменить пароль — сменил. Всё.
Еще раз. Что бы сменить пароль надо 20 секунд максимум. Обычно хватает 5-ти.
За 2 часа к этому топику больше полутросотни коментариев, среди которых единственного чего нет — это только «ну все, пойду повешусь». Я даже не заметил как пролетела эта формочка — ну надо сменить пароль — сменил. Всё.
Еще раз. Что бы сменить пароль надо 20 секунд максимум. Обычно хватает 5-ти.
НЛО прилетело и опубликовало эту надпись здесь
У меня пропала тема(История про Дойче бан)!!!
Раньше на Хабре пароли хранились в базе в виде md5. Мы решили, что этого недостаточно и добавили еще salt к этим паролям. Чтобы все пароли перегенерировались, мы и просим заменить пароль на новый.
Судя по присутствию администрации в теме и полным игнорированием ею вопросов касательно слива базы пользователей, не всё гладко и пушисто в Хаброкоролевстве. Администрация, прокомментируйте пожалуйста этот момент.
Вроде бы все мы здесь не глупые люди. Так зачем пытаться скрыть что-то?
Даже если была допущена какае-то оплошность, имейте смелость признать это.
Все люди, все мы ошибаемся. Фактора человеческой глупости никто не отменял.
Шух, Аист, подтвердите или опровергните подозрения пользователей касательно базы ников и паролей.
Всё-равно, рано или поздно, тайное становится явным. Так лучше узнать это из уст администрации ресурса. Так по крайней мере можно будет сохранить доверие пользователей.
Вроде бы все мы здесь не глупые люди. Так зачем пытаться скрыть что-то?
Даже если была допущена какае-то оплошность, имейте смелость признать это.
Все люди, все мы ошибаемся. Фактора человеческой глупости никто не отменял.
Шух, Аист, подтвердите или опровергните подозрения пользователей касательно базы ников и паролей.
Всё-равно, рано или поздно, тайное становится явным. Так лучше узнать это из уст администрации ресурса. Так по крайней мере можно будет сохранить доверие пользователей.
Все равно, те кто не имеют прямого источника информации, поверят в то во что захотят поверить, и слова администрации на это мнение не повлияют ;)
Так что, лично я не вижу смысла, администрации отходить от официальной точки зрения… ;) (ну то есть есть один вариант когда администрации все поверят, это вариант: «Да, мы слили пароли»,- а вот вариант: «Нет, мы пароли не сливали», — не имеет смысла)
Так что, лично я не вижу смысла, администрации отходить от официальной точки зрения… ;) (ну то есть есть один вариант когда администрации все поверят, это вариант: «Да, мы слили пароли»,- а вот вариант: «Нет, мы пароли не сливали», — не имеет смысла)
За время моего прибывания на Хабре и знакомства с некоторыми представителями администрации, причин не доверять их словам у меня не возникло. Поэтому, мне достаточно подтверждения или опровержения информации, чтобы сделать для себя личные выводы.
P.S. Никогда не думай о человеке плохо, пока он не сделал дурного.
А уж если человек сделал тебе хорошее, то подозревать его в скверном тем более грех. (Брат Андреас)
P.S. Никогда не думай о человеке плохо, пока он не сделал дурного.
А уж если человек сделал тебе хорошее, то подозревать его в скверном тем более грех. (Брат Андреас)
Я уведенной базы не видел, а комментарии читаю точно те же самые, что и вы. Кто-то вот написать про слив базы и эта тема стала популярной. Посеяла панику. С нашей стороны (по логам и т.п.) никаких сливов базы не видно. Как можно слить базу без резкого скачка запросов к серверу я не знаю. Только если хакнуть сервер у хостера, что маловероятно и следов этого мы не нашли.
Нам никто не предлагал выкупить нашу же базу. Объявлений подобных мы тоже не встречали в сети. Все остальные комментарии и объяснения есть к этом посте и наших предыдущих ответах.
Я понимаю, что поиски черной кошки в темной комнате многих захватывают, но не усердствуйте слишком сильно, кошки тут нет.
Спасибо.
Нам никто не предлагал выкупить нашу же базу. Объявлений подобных мы тоже не встречали в сети. Все остальные комментарии и объяснения есть к этом посте и наших предыдущих ответах.
Я понимаю, что поиски черной кошки в темной комнате многих захватывают, но не усердствуйте слишком сильно, кошки тут нет.
Спасибо.
Подсолили базу. Очень важная приправа!
Не, ну все таки вы подохуели, я не против сменить, но что так грубо
Дали бы срок в неделю и все сами бы сменили, а то так неприятно
Тут только что в магазин не пустили потому что рюкзак, тут на Хабр, куда катится мир :)
Дали бы срок в неделю и все сами бы сменили, а то так неприятно
Тут только что в магазин не пустили потому что рюкзак, тут на Хабр, куда катится мир :)
> «Раньше на Хабре пароли хранились в базе в виде md5»
Ну вы блин даете! Не ожидал. Даже в самых первых учебниках по сайтостроению говорят, что пароли надо солить. Хотя понятно, что обладаю большой базой паролей и хорошими вычислительными мощностями можно и соль подобрать. Но уже на порядок сложнее, чем без нее.
Ну вы блин даете! Не ожидал. Даже в самых первых учебниках по сайтостроению говорят, что пароли надо солить. Хотя понятно, что обладаю большой базой паролей и хорошими вычислительными мощностями можно и соль подобрать. Но уже на порядок сложнее, чем без нее.
Кстати, можно было и проще сделать.
Сначала проапдейтить базу и существующий уже md5 закодировать еще раз md5, прибавив к нему salt.
При проверки соответственно такая же процедура — md5(md5($password).$salt). И понадежнее было бы, и тормошить никого не надо. А проблемму простых паролей эта мера все равно не решит.
Сначала проапдейтить базу и существующий уже md5 закодировать еще раз md5, прибавив к нему salt.
При проверки соответственно такая же процедура — md5(md5($password).$salt). И понадежнее было бы, и тормошить никого не надо. А проблемму простых паролей эта мера все равно не решит.
вот и мне показалось, что для того, чтоб обновить базу, нужно было к имеющимся хешам, добавить соль одним из двух вариантов md5(md5($salt).md5($pass)) или md5($salt.md5($pass)) и всё было б нормально, а теперь если не все юзеры пароли сменят (ну уехали там куда-нить), то в базе будет бардак не известно до какого времени.
другая мысль, это что не базу слили, а только админов подломали, написали вместо них «паролеменялку», и таким образом получили пассы всех активных пользователей в чистом виде… =) шучу
другая мысль, это что не базу слили, а только админов подломали, написали вместо них «паролеменялку», и таким образом получили пассы всех активных пользователей в чистом виде… =) шучу
НЛО прилетело и опубликовало эту надпись здесь
Простите но: на роботе поменял пароль на новый, пришел домой и зашел под старым паролем…
Первые комментарии напомнили недавнюю статью про 95% людей, непреемлющих глобальные переделки на используемых сайтах. Тут дело в тысячу раз проще, но уже когда вместо привычной страницы люди увидели «Поменяйте пароль», что на самом деле ничем плохим не является, уже стали раздаваться хамства недовольных.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Страница напоминания пароля не пашет, там так же просят сменить пароль :)
Э, господа. Вы только что вынудили меня сменить мой самый крутой пароль в 19 символов, которым закрыто всего 2 вещи в этих интернетах — Хабр и моя админка.
Сменить на пароль, которым я пользую обычно на форумах «зарегистрируйтесь. чтобы ответить» и сайтах «зарегистрируйтесь, чтобы скачать».
+1 к безопасности, ага.
Ща буду менять обратно =Р
Сменить на пароль, которым я пользую обычно на форумах «зарегистрируйтесь. чтобы ответить» и сайтах «зарегистрируйтесь, чтобы скачать».
+1 к безопасности, ага.
Ща буду менять обратно =Р
Надо, так надо. Делов то.
очень много комментариев, может и был подобный, но почему обращение только к ПАРНЯМ? А что же девушки пароли сменить не должны, что за дискриминация? ))
Интересно скольким сейчас влом генерить новый сложный пароль, многие вместо этого введут более простй пасс. Ваще…
Почему-то ссылка «напомнить старый пароль» на вездесущей странице «Смени пароль, юзернейм» хоть и вела на habrahabr.ru/login/reminder/, но снова содержала страницу «Смени пароль, юзернейм». Пришлось логаутиться, потом только на эту страницу заходить. :)
Ребят, вы конечно управляете отличным и интересным ресурсом и вообще большие молодцы. Но о таких вещах вообще-то пользователей неплохо было бы и спросить, надо ли им оно. Ну или, хотя бы, предупредить заранее.
Старый пароль не вспомнил! Попробовал воспользоваться ссылкой над вводом — ничего не вышло — она не рабочая. Пришлось разлогиниться, и воспользоваться восстановлением со страницы входа!!!
НЛО прилетело и опубликовало эту надпись здесь
я поменял пароль.
сделайте плиз так чтоб от хабра мне на мыло пришло письмо с моим новым паролем
сделайте плиз так чтоб от хабра мне на мыло пришло письмо с моим новым паролем
А почему не sha1?
Спасибо за заботу :)
соль не сильно усложняет процесс декрипта хеша, да и сам md5 давно устарел
Ну, теперь говорим друг -другу старые пароли… У кого длиннее?!
по-моему, какой пароль юзать — это мое личное право, админы Хабра
разве нет?
а если увели базу с мд5 — ну признайтесь лучше, мы поймем ))
разве нет?
а если увели базу с мд5 — ну признайтесь лучше, мы поймем ))
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Добавьте этот текст на страницу смены пароля, а то страшновато, что вас хакнули.
Базу потеряли, да? Сочувствую…
Всё-таки правильно я персонально для Хабра с самого начала сгенерил случайный пароль. Как чувствовал…
Всё-таки правильно я персонально для Хабра с самого начала сгенерил случайный пароль. Как чувствовал…
Если партия говорит НАДО, значит надА!
Хм.
Если это просто плановый переход на новый алгоритм хеширования паролей, то можно было бы это и втихую сделать.
Ведь все равно при авторизации пароль приходит открытым текстом — можно заодно и зашифровать его по-другому.
А так, даже если база паролей в порядке, все хабрапараноики убеждены в обратном :)
Если это просто плановый переход на новый алгоритм хеширования паролей, то можно было бы это и втихую сделать.
Ведь все равно при авторизации пароль приходит открытым текстом — можно заодно и зашифровать его по-другому.
А так, даже если база паролей в порядке, все хабрапараноики убеждены в обратном :)
Забавно, только сегодня днем сделал букмарклет для генерации пароля, захожу на Хабр — бац, бета-тестирование =)
Столько негатива от некоторых — а процедура то нужная и полезная.
В FF 3.5b4 была проблема — невозможно было поменять пароль, перекидывало на страницу с ошибкой «Пустоту сохранить невозможно».
В Chrome все сработало.
В Chrome все сработало.
НЛО прилетело и опубликовало эту надпись здесь
Я поменял мне нежалко! Давно хотел пройти по всем своим ресурсам и поменять пароли везде а то что то давно не проводил такого мероприятия.
Опять Шухарт какую-то фигню придумал
Вас попросили сменить пароль и вы разорались…
VoidExу и аналогичным товарищам — Пока!
Этож как уже ахренеть то нада… вам действительно нечего делать в данном сообществе!!!
VoidExу и аналогичным товарищам — Пока!
Этож как уже ахренеть то нада… вам действительно нечего делать в данном сообществе!!!
Поменял. Всё ради безопасности.
НЛО прилетело и опубликовало эту надпись здесь
что делать тем пользователям, которые не вспомнили свой старый пароль? ведь по ссылке «забыли пароль» все таже форма смены пароля?
НЛО прилетело и опубликовало эту надпись здесь
Были, я только меньше недели назад сменил пароль на 20-тизначный…
НЛО прилетело и опубликовало эту надпись здесь
под 3-м фф венды заглушка не хотела работать по нажатию кнопки сохранить. все выхи без хабра просидел. Под убунтой нормально сохранился) делаете — делайте нормально, а то как будто не смена пароля, а перерегистрация. Хотя мб это что-то с моей стороны было криво )
Смени пароль, юзернейм