2ivlad и Yandex: зачем вы ухудшаете ситуацию с безопасностью?

Ты еще забыл добавить, что распространенные требования иметь в пароле обязательно буквы разных регистров и спецсимволы сужает пространство определения паролей, а значит и базу для перебора.

Yandex

security

Коим образом оно сужает это пространство?

Не будем перебирать пароли без спецсимволов.

Я считаю нужно Яндексу нанять thespiritofbirdie в качестве директора отдела безопасности. У него не был подобран ни один пароль!

Это же яндекс, найдется все.

Зачем, зачем, вы рекомендуете вредные привычки, что касается сетевой безопасности?

Действительно, зачем? Компания, которая зарабатывает на сборе личных данных для продажи их рекламщикам, рекомендует ухудшать безопасность. Удивительно.

Поддерживаю! Наверняка он еще и няшечка.

Не будем перебирать пароли без спецсимволов.

Откуда ты знаешь, что их нет?

+1 меня тоже задалбывает по корпоративной политике менять пароль каждые 4 месяца. Кончилось тем, что я просто меняю уже последнюю цифру в пароле и все.

https://www.linux.org.ru/forum/security/10831419?cid=10831425 (комментарий)

Ты еще забыл добавить, что распространенные требования иметь в пароле обязательно буквы разных регистров и спецсимволы сужает пространство определения паролей, а значит и базу для перебора.

Ни один из паролей не был взломан или подобран

kekeke

Я так же делаю со своим Интернет банком. Задолбали. Звонки в банк ни к чему не приводят - «это от нас не зависит».

Пользователям keepass пофиг.

Надоела гора паролей. Надо законодательно обязать сайтовладельцев переводить всё на OpenID, а доступ к OpenID серверу по ключу, а ключ - в утке.

Ты еще бы капсом написал. Пичаль-беда.

А, я понял, это конкуренты потырили базу паролей юзеров Яндекса.

Кончилось тем, что я просто меняю уже последнюю цифру в пароле и все.

От этого он не стал менее надежным.
http://rghost.ru/57910380.view

Одна точка отказа? Спасибо, не надо.

Число OpenID серверов неограничено, любой может быть отозван.

// Утка в зайце, заяц в гусе.

Хотя что-то мне в этой схеме не нравится, не пойму что.

требования иметь в пароле обязательно буквы разных регистров и спецсимволы сужает пространство определения паролей

Интересная мысль. В комбинаторике я не силён, а сам додумать не могу. Ведь если теоретически база пароля бесконечна (допустим), то как можно уменьшить бесконечную базу в этом случае?

Или дело как раз в этом допущении?

lastpass

меньше перебирать паролей до правильного.

так бы надо было перебирать пароли типа qwe123, а так мы знаем, что их нет.

Регулярная смена паролей приводит к тому, что
1) Люди ...
2) Люди ...
3) Люди ...
4) Люди ...

Nobody cares.

Я за всю жизни не менял ни одного пароля

Nobody cares.

Ни один из паролей не был взломан или подобран.

4.2

вредные привычки
выбирать сложные пароли и регулярно их менять

Синхронизация в браузере? Не, не видел.

Хэши поролей регулярно текут у всех, по этому.

меньше перебирать паролей до правильного.

так бы надо было перебирать пароли типа qwe123, а так мы знаем, что их нет.

Иксперты в треде.

Ничего, что без этого ограничения пространство паролей у половины пользователей сокращается до слова кий?

4.2

Вы поди в привидений ещё верите, да?

меньше перебирать паролей до правильного

Точно. Об этом я не подумал. Спасибо :)

зачем вы ухудшаете ситуацию с безопасностью?

это заговор

Ты еще забыл добавить, что распространенные требования иметь в пароле обязательно буквы разных регистров и спецсимволы сужает пространство определения паролей

Мне кажется, не всё так просто. Если у нас стоит задача подобрать один конкретный пароль, то да, пространство сужается. Но если подбор идёт через нормальные соединения (а не, допустим, в случае, когда у злоумышленника есть база хэшей), то это можно обнаружить (100500 попыток подключения к одному аккаунту с неправильным паролем). А если стоит задача подобрать любой пароль, то если пароль qwerty123 разрешён, он обязательно хоть у кого-то будет. И перебор всех аккаунтов по немногу паролей обнаружить, я думаю, будет сложнее, особенно если у злоумышленника есть ботнет.

меньше перебирать паролей до правильного

Кто сказал? Во-первых, за счёт ввода новых символов увеличивается алфавит и, следовательно, общее количество вариантов. Пусть без допсиволов у нас алфавит n символов, а длина пароля l, всего вариантов n^l, добавив m допсимовлов получим (n+m)^l-n^l ( (n+m)^l всего вариантов минус n^l вариантов, которые проверять больше не надо). Чтобы стало меньше, чем было, требуется выполнение неравенства (n+m)^l-n^l < n^l => (n+m)^l < 2n^l => ((n+m)/n)^l < 2 => (1+m/n)^l < 2 => l*ln(1+m/n) < ln 2 при m<<n приближённо заменяем логарифм первым членом ряда Тейлора l*m/n < 0.69. Для латинских букв+цифры n=64, большинство паролей требуют длину не менее 8 символов l=8, т.е. с допсимволами вариантов будет меньше, только если m < 0.69*64/8 ~ 4.3, т.е. не более 4х символов.

так было (n+m)^l, а стало (n+m)^l-n^l. Первое, очевидно больше.

Я говорю о разнице между «в алфавите есть спецсимволы» и «в алфавите есть спецсимволы и хотя бы один должен использоваться в пароле».

доступ к OpenID серверу по ключу, а ключ - в утке

Даёшь аутентификацию по ДНК юзераутки.

А как же база утковладельцев у большого брата?

А если серьёзно, то глупость - хранить тысячи паролей при условии, что большинство людей хранят их в одном месте.

Я говорю о разнице между «в алфавите есть спецсимволы» и «в алфавите есть спецсимволы и хотя бы один должен использоваться в пароле»

Эта разница по определению никого не волнует — требование введено не для тех, кто и так использует безопасные пароли (они, в конце концов, могут и на пару символов длину увеличить, раз о безопасности заботятся, да и их слишком малый процент), а для тех, кто иначе их использовать ни за что не будет.

1) Люди начинают их забывать.
2) Люди записывают их в файлы на рабочем столе под именем «пароли.txt/пароли.doc».
3) Люди начинают использовать простые пароли.
4) Люди начинают использовать одинаковые пароли на разных сервисах.
5) Люди заводят менеджер паролей.

[/thread]

А утка в терапевтическом отделении....

Вы читаете неправильные сказки.

так было (n+m)^l, а стало (n+m)^l-n^l. Первое, очевидно больше.

Я говорю о разнице между «в алфавите есть спецсимволы» и «в алфавите есть спецсимволы и хотя бы один должен использоваться в пароле».

Ты прав, но IRL всё несколько сложнее.

ИМХО, если мы полностью избавляемся от простых паролей ценой небольшой потери стойкости сложных паролей (время подбора сократилось с 200 лет до 190 8)), то оно того стоит.

LastPass какой-нибудь уже советовали?

за всю жизни

ясно.

Ни один из паролей не был взломан или подобран

откуда такая 100%-я уверенность? ты что, лично проинспектировал ВЕСЬ код ВСЕХ систем и ПО, с которыми имел дело? нет? тогда свои наивные утверждения оставь при себе, потом спасибо скажешь

Зачем, зачем, вы рекомендуете вредные привычки, что касается сетевой безопасности? Прекратите

Зачем, зачем, ты набиваешь себе скор? Это же вредная привычка! Прекрати. Другой причины создания этой темы я не вижу.

Другой причины создания этой темы я не вижу.

ТС работает в мейлру? :)

А то.

Зачем, зачем, ты набиваешь себе скор?

Я не помню, это случайно не он бил пяткой в грудь и обещал больше не писать на лор?

Они SSL только год назад включили, а вы к ним с какой-то безопасностью.

поставь назад азиатку!)

что-то не припоминаю таких обещаний
Но тем с подобной стилистикой я вроде не замечал

не могу, я влюбился!

никогда не выдавай логику формирования пароля.

:) лучшая логика формирования пароля - ее отсутствие